미국 FDA 의료기기 사이버보안 위험 평가: CVSS 점수 산정과 NIST SP 800-30 위험평가 프로세스

공격 벡터는 취약점 악용에 필요한 접근 수준을 나타냅니다. 공격자가 타겟으로부터 물리적이나 논리적으로 멀어질수록 점수가 높아집니다.

공격 복잡성은 공격자가 성공적으로 취약점을 악용하기 위해 필요한 조건과 난이도를 설명하는 지표입니다. 공격이 언제든지 수행될 수 있을 때 점수가 높아집니다.

공격자가 취약성을 성공적으로 악용하기 전에 가져야 하는 권한 수준을 의미합니다. 공격을 실행하는 데 필요한 권한이 적을수록 점수는 높아집니다.

공격자가 취약성을 악용하기 위해 다른 사용자의 도움이 필요한지 여부에 대한 지표입니다. 다른 사용자와의 상호작용이 필요하지 않으면 점수가 높아집니다.

기밀성은 권한이 있는 사용자에게만 정보 접근 및 공개를 제한하고 권한이 없는 사용자의 접근 또는 공개를 방지하는 것을 말합니다. 영향을 받는 구성 요소에 대한 손실이 클수록 점수가 높아집니다.

무결성은 정보의 신뢰성과 진실성을 의미합니다. 무결성이 완전히 손실되어 공격자가 정보를 마음대로 변경할 수 있을 경우 점수가 높아집니다.

가용성은 시스템이나 정보가 필요한 시점에 접근 가능하도록 보장하는 것입니다. 가용성이 손실되어 공격자가 시스템이나 정보를 완전히 사용할 수 없게 만들 경우 점수가 높아집니다.

위험 평가 준비 단계에서는 위험 평가의 범위와 목표를 설정해야 합니다.

• 민감한 데이터, 지적 재산, 인프라 및 고객 정보를 포함하여 조직에서 중요한 자산을 식별하고 우선순위 지정
• 잠재적 위협 및 취약점 식별 (사이버 공격, 자연 재해, 내부자 위협, 규정 준수 문제 등)
• 평가를 완료하기 위한 현실적인 타임라인 설정

위험 평가 수행에는 조직이 직면한 위험을 식별, 분석 및 평가하는 체계적인 프로세스가 포함됩니다.

• 자산 데이터 수집
• 확립된 방법론을 활용하여 분석
• 위협이 실현될 가능성과 잠재적 영향을 정량화하여 평가
• 평가된 가능성과 영향을 결합하여 전반적인 위험 수준 계산
• 어떤 위험이 가장 중요하며 즉각적인 주의가 필요한지 판단
• 위험 완화/이전/수용 등 위험 대응 전략 수립

위험 평가 결과 전달은 평가 프로세스의 복잡성을 이해관계자에게 번역하고 전달하는 과정입니다.

• 비기술적인 언어를 사용하여 고위 경영진을 포함한 중요한 이해 관계자와 평가 결과 공유
• 의사 결정권자가 평가된 위험, 잠재적 영향 및 완화 전략의 근거를 이해할 수 있도록 지원

조직은 위험 대응과 관련된 지속적인 의사 결정을 지원하기 위해 위험 평가 내 정보를 최신 상태로 유지해야 합니다.

위험 모니터링을 통해 발견된 변경 사항을 포착하기 위한 변경 관리 메커니즘이 마련되어야 합니다.