[보안] 위험, 위협, 취약점의 차이점

위험 위협 취약점의 차이점

정보보호에서는 위헙(Threat) 위험(Risk) 취약점(Vulunerability)가 있습니다. 이 각각의 개념들은 어찌보면 비슷하고 같다고 생각할지도 모르지만 서로가 다른 기능들을 하고 있습니다.

취약점이 존재하지 않다면 위협이 있다해도 위험이 되지 못합니다.

취약점

이미 공격자가 악용했던 공격 기법이 적용될 수 있는 약점 또는 구조

위협에 의해서 손실이 발생되는 자산의 약점

예) 안티바이러스 미설치, 임의의 SQL 구문이 실행될 수 있는 구조

취약점을 이용해서 공격하는 행위 그 자체

손실이나 손상의 원인이 될 가능성을 제공하는 환경

예) 악성코드, SQL Injection

취약점과 위협이 결합되었을 때 미치는 파급효과

해당 취약점이 실제 고객사 환경에 미치는 영향도를 분석해서 중장기 대책수립을 위한 과정

위험 = 자산 X 위협 X 취약점

자산 중요도 등급 + 위협등급 + 취약점 등급 + 우려사항 = 위험도