실용적인 위험분석 도구의 개발

기존의 정보기술 위험분석 방법론에 대한 연구는 캐나다의 CSE에서 발표한 위험관리 방법론, 미국의 NIST에서 발표한 FIPS 65 정보보호 관리지침에서의 위험분석 방법론, 그리고IS0/IEC JTCl SC27의 정보보호 관리지침 등이 있으며, 위험분석 자동화 도구는 크게 국외와 국내로 나뉘어 국외의 경우 영국의 정성적 위험분석 방법론의 대표적 도구인 CRAMM, 미국의 정량적 위험분석 방법론 도구인 BDSS, 그리고 네트워크 위험분석 중심의 Expert와 같은 어플리케이션이 개발/활용 되고 있다. 한편, 국내 위험분석 자동화 도구로는 한국전산원에서 국내 최초로 개발한 위험분석 자동화 도구인 HAWK와 KAIST/펜타 시스템이 있다. 연구에서는 기존의 국내외 위험분석 방법론들의 비교분석 결과를 바탕으로, 실용적인 위험분석 방법론을제안하고 실용적으로 위험분석을 수행하기 위한 구체적인 도구를 개발하고 구현하였다. 세부적으로 위험분석 수행의 절차와 개념적 모형화에 대한 내용을 포함하여 표준적 틀을 유지하면서 현재 국내의 실무에 적합하며 간결한 위험분석 도구를 제시하였다.