피드로 돌아가기
Dev.toSecurity
원문 읽기
ALE 기반 정량적 리스크 분석을 통한 보안 투자 최적화
SLE, ARO, ALE: the Security+ risk math that looks easy until the question inverts it
AI 요약
Context
보안 프로그램 운영 시 단순 직관이 아닌 정량적 수치 기반의 예산 책정 필요성 증대. 특히 ARO 산정 시 발생하는 빈도 해석 오류로 인한 잘못된 리스크 평가 및 예산 낭비 가능성 존재.
Technical Solution
- AV(Asset Value)와 EF(Exposure Factor)를 곱해 단일 사고 발생 시의 기대 손실액인 SLE 산출
- 사고 발생 빈도를 연간 단위로 환산하는 ARO(Annualized Rate of Occurrence) 로직 적용
- SLE에 ARO를 곱하여 연간 예상 손실액인 ALE(Annualized Loss Expectancy)를 도출하는 파이프라인 구축
- 제안된 보안 통제 비용과 ALE 감소분(ALE Reduction)을 비교하는 Cost-Benefit 분석 모델 적용
- ARO 산정 시 'N년 주기'를 '1/N'으로 처리하는 역산 로직을 통해 데이터 왜곡 방지
Impact
- 컨트롤 비용 $25,000 대비 ALE 감소액 $8,000 분석을 통해 부적절한 투자 결정 방지
- $1,000,000 자산에 대해 0.1의 ARO와 0.25의 EF를 적용하여 연간 $25,000의 정확한 리스크 비용 산출
Key Takeaway
보안 설계 시 단순 도구 도입이 아닌, ALE 감소분이 통제 비용보다 큰 경우에만 리소스를 투입하는 경제적 타당성 검토 원칙 준수.
실천 포인트
- ARO 산정 시 'N년에 한 번'이라는 표현을 1/N 소수로 변환했는지 검토 - EF(Exposure Factor)를 퍼센트가 아닌
0.0~
1.0 사이의 Decimal 값으로 적용했는지 확인 - 최종 도출된 ALE가 SLE보다 비정상적으로 크지 않은지(희귀 사건 기준) Sanity Check 수행 - 보안 솔루션 도입 전 '연간 도입 비용 < (기존 ALE - 도입 후 ALE)' 식을 통해 ROI 검증