SIS 2급 실기 서술&실무 문제 정리

자주 나오는 서술형&실무형 문제 정리

1. 전자서명의 5가지 조건

2. TCP-Wrapper

3. Apache 서버의 httpd.conf 파일

4. CISCO Router 설정

5. 스위칭 환경에서의 스니핑 가능한 방법

6. IP 주소를 보고 해당 클래스, 네트워크, 호스트 구분

7. SET 프로토콜

8. 위험분석

1. 전자서명의 5가지 조건

• 위조 불가(Unforgeable) : 합법적인 서명자만이 전자 서명을 생성할 수 있어야 한다.
• 서명자 인증(User Authentication) : 전자 서명의 서명자를 누구든지 검증할 수 있어야 한다.
• 부인 불가(Non Repudiation) : 서명자는 후에 서명한 사실을 부인할 수 없어야 한다.
• 변경 불가(Unalterable) : 서명한 문서의 내용을 변경할 수 없어야 한다.
• 재사용 불가(Not Reusable) : 문서의 서명을 다른 문서의 서명으로 사용할 수 없어야 한다.

2. TCP-Wrapper

TCP-Wrapper 원리와 사용방법에 대해 기술하시오.

[정의 및 원리]

• TCP-Wapper는 inetd 데몬에 의해 구동되는 네트워크 서비스들에 대한 접근통제와 사용된 서비스별 로그를 기록할 수 있는 보안강화 도구이다. 장점으로 존재하는 S/W나 설정파일을 바꿀 필요가 없으며 Client/Server 응용 프로그램 사이의 실질적인 통신에 부하를 주지 않는다는 점이다.
• TCP-Wrapper의 원리는 간단하게 들어오는 패킷의 출발지 IP를 접근통제목록 파일의 해당 조건에 맞게 서비스를 제공하거나 제공하지 않는다.
• 접근허용목록 파일은 /etc/hosts.allow이며 접근거부목록 파일은 /etc/hosts.deny이다.
• 접근허용목록 파일에는 허용할 서비스 및 IP를 설정해 주고, 그 외의 연결은 거부하는 것을 기본 원칙으로 하여 사용하고 있다.

[사용방법]

1. inetd 데몬에 의해 통제되는 네트워크 서비스를 통제하기 위해서는 inetd의 환경설정 파일인 /etc/inetd.conf 파일을 tcpd를 통하여 서비스가 되도록 수정을 하여야 한다. TCP-Wrapper를 이용하여 통제하고자 하는 네트워크 서비스인 in.telnetd, in.ftpd 등을 tcpd in.telnetd, tcpd in.ftpd 처럼 수정해야 한다.

(사용 예)

ftp stream tcp nowait root /usr/sbin/in.ftpd in.ftpd

ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd

2. 접근통제목록 파일을 서버 환경에 맞게 수정해야 한다.

허용할 목록은 /etc/hosts.allow에 추가하고, 접근 거부할 목록은 /etc/hosts.deny에 추가한다.

(사용 예)

/etc/hosts.allow      in.telnetd:192.168.0.1, 192.168.0.2

/etc/hosts.deny       ALL:ALL

위와 같이 설정하였을 시 telnet 서비스가 허용되는 곳은 192.168.0.1과 0.2 밖에 없다. 그 외 IP에서 telnet 서비스를 요청한다면 거부하게 될 것이다.

3. 접근 로그의 기록을 남기려면 /etc/syslog.conf 파일에서 설정을 하면 된다.

TCP Wrapper의 기능, 사용되는 OS 환경, 작동원리 관점에서 기술하시오.

[기능]

• inetd 데몬에 의해 실행되는 모든 서비스들을 접근통제와 로그를 기록할 수 있다.
• 손쉽게 사용이 가능하며, TCP Wrapper를 사용함으로써 처리량이 많이 생기거나 서버에 부하가 걸리지 않고, 효율적으로 접근 통제를 할 수 있다.

[사용되는 OS 환경]

• Linux 계열에는 inet과 TCP Wrapper가 기본적으로 설치되어 있어 /etc/hosts.allow와 /etc/hosts.deny 파일을 설정하여 inet만 재시작 하면 사용할 수 있다.
• Unix 계열에는 Xinet이라는 inet과 TCP Wrapper 기능이 포함된 서비스가 설치되어 있어 마찬가지로 접근통제 파일의 수정만 하고, Xinetd를 재시작하면 사용할 수 있다.
• Windows 계열의 TCP Wrapper는 없다.

[작동원리]

TCP Wrapper를 사용함으로써 기존의 inetd <-> service demon 구조에서 inetd <-> tcpd <-> service demon 구조로 바뀌게 된다. tcpd는 접근허용목록 파일인 /etc/hosts.allow 파일과 접근거부목록 파일인 /etc/hosts.deny를 참조하여 서버로 서비스 요청을 해오는 Client들의 허용과 거부(접근통제)를 하게 되며 거부하였을 시 로깅 기능까지 할 수 있다.

다음은 간단히 TCP Wrapper의 작동원리를 나열해 보았다.

1. Client가 Server의 Service를 요청한다.

2. Server는 inetd 환경설정 값을 참조한다.

3. inetd 환경설정 중 tcpd가 사용된다면 /etc/hosts.allow와 /etc/hosts.deny를 참조하여 Client가 요청한 Service에 대해 허용할 것인지 거부할 것인지 결정된다.

4. 허용된다면 요청한 Service Daemon으로 연결을 하고, 거부된다면 요청한 Service의 이용이 불가능하며 로그 파일에 기록이 된다.

3. Apache 서버의 httpd.conf 

Apache 서버의 httpd.conf 파일설정에 의미와 기본 값에 대해 서술하시오.

[httpd.conf의 주요설정]

옵션	설명 (기본 값)
Port	서비스 포트 번호를 지정 (80)
ServerAdmin	웹 서버 관리자의 전자우편 주소  (기본 값 : 웹 마스터 전자우편 주소)
Timeout	Client가 요청하기 전까지 웹서버 데몬이 기다려 주는 최대 시  간을 초 단위로 설정 (1200)
PidFile	웹서버 시작 데몬에 대한 프로세스 번호
User와 Group	웹서버 운영자에 관한 사용자 및 그룹 정보, 정보보안을 위하  여 대부분 root보다는 nobody로 설정한다. (nobody)
ServerRoot	Apache Server의 홈 디렉토리 설정 (/usr/local/httpd)
AccessFileName	Directory별로 접근 제어할 정보를 담고 있는 파일  (.htaccess)

Apache Httpd.conf 설정문제 기본설정 값과 추천하는 값을 적고, 간단한 설명을 적으시오.

• ServerRoot "/usr/local/httpd" -> 홈 디렉토리의 절대경로로 입력 (추천 값 : 절대경로)
• timeout 1200 -> Client와 Server 연결 후 유휴시간 제한을 설정 (서버 환경에 맞게)
• Port 80 -> 기본 포트설정 (추천 값 : 8080)
• KeepAlive On -> 접속한 채로 특별한 요청 없이 지속적인 연결을 허용 (추천 값 : off)
• MaxKeepAliveRequest 100 -> Client가 접속된 시간동안 서버에 요청할 수 있는 최대 개수
• MiniSpareServers 5 -> 최소 유휴서버의 개수 조절 (서버 환경에 맞게)
• MaxSpareServers 10 -> 최대 유휴서버의 개수 조절 (서버 환경에 맞게)
• MaxClient 150 -> 웹서버에 접근할 수 있는 최대 Client 수 (서버 환경에 맞게)
• User nobody -> 웹서버 daemon을 구동할 계정명 (추천 값 : nobody)
• Group nobody -> 웹서버 daemon을 구동할 그룹명 (추천 값 : nobody)
• ServerTokens -> 버전 정보를 표시 (추천 값 : off)
• DirectoryIndex index.cgi index.shtml, index.html index 페이지의 순서 결정 (추천 값 : 서버에서 사용하는 index 페이지를 맨 처음 순서로 참고하게 설정)

4. CISCO Router 설정

다음 조건에 맞게 라우터를 설정하시오.
(ACL은 110번 Extended Access-List를 이용하라.)
(1) 192.168.1.0 대역에서 Telnet 접속을 허용하라.
(2) 192.168.2.5 에서 들어오는 UDP 100번 ~ 150번 포트는 허용하라.
(3) 모든 웹 서비스를 허용하라. (기본 80포트를 사용한다고 가정한다.)
(4) DNS 서비스를 허용하라.
(5) 그 외 모든 접근을 거부하라.
(6) Serial 0 Interface에 In-Bound 트래픽에 한하여 적용되게 하시오.

(1) access-list 110 permit tcp 192.168.1.0  0.0.0.255 any eq 23

(2) access-list 110 permit udp host 192.168.2.5 any range 100 150

(3) access-list 110 permit tcp any any eq 80

(4) access-list 110 permit tcp any any eq 53

(4) access-list 110 permit udp any any eq 53

(5) access-list 110 deny all any any

(6) interface serial 0

(6) ip access-group 110 in

라우터의 명령이다. 각 번호의 작업에 대해 자세하게 기술하시오.
(1) enable security endjfi78
(2) access-list 50 permit host 192.168.10.1
(2) access-list 50 deny any
(2) snmp-server community sdfj94js ro 50
(3) loggin on
(3) logging trap debugging
(3) logging 192.168.10.13

(1) Privileged Mode로 전환할 때 암호는 endjfi78로 설정한다.

(2) 192.168.10.1 호스트를 제외하고, 모든 호스트를 거부한다는 Access List를 50번으로 정의하며 snmp-server를 enable과 community string을 sdfj94js로 설정하고, 권한은 Read Only로 하여  ACL 50번을 적용한다.

(3) logging 기능을 enable하고, logging 될 경고 수준을 debugging으로 정한다. 그 후 생성되는 log를 192.168.10.13으로 전송한다.

다음은 CISCO Router의 access-list 설정 부분이다. 차례에 맞게 정확하게 기술하시오.
Router> en
Password:
Router#
Router# cont t
Router(config)# access-list 150 deny tcp any any eq 445
Router(config)# access-list 150 deny tcp 192.168.1.0  0.0.0.255 host 100.100.1.1 eq 80
Router(config)# access-list 150 deny udp host 192.168.2.5  100.100.1.0  0.0.0.255 range 100 200
Router(config)# access-list 150 deny ip host 192.168.1.3 host 100.100.1.2
Router(config)# access-list 150 permit tcp any any
Router(confg)# ^Z
Router# conf t
Router(config)# int serial0
Router(config)# ip access-group 150 in
Router(config)# ^Z

[전체적인 절차]

1. enable로 Privileged Mode로 전환하였다.

2. 라우터 설정을 하기 위해 config terminal 명령어로 global configuration 모드로 전환 하였다.

3. ACL 150번의 첫번째 규칙은 소스, 목적지 IP에 상관없이 TCP인 프로토콜과 445번 포트의 트래픽을 거부한다. (netbios 트래픽 거부)

4. ACL 150번의 두번째 규칙은 소스 IP가 192.168.1.0의 C Class 대역이고, 목적지 IP가 100.100.1.1이며 프로토콜이 TCP인 80포트의 모든 트래픽을 거부한다.

5. ACL 150번의 세번째 규칙은 소스 IP가 192.168.2.5이고, 목적지 IP가 100.100.1.0의 C Class 대역에 속하며 프로토콜이 UDP인 100번 ~ 200번 포트의 모든 트래픽을 거부한다.

6. ACL 150번의 네번째 규칙은 소스 IP가 192.168.1.3 이고 목적지 IP가 100.100.1.2인 모든 트래픽을 거부한다.

7. ACL 150번의 마지막 규칙은 TCP인 트래픽은 모두 허용한다.

8. serial0인 interface에 access-list 150번의 규칙을 In-Bound 되는 트래픽에 적용한다.

5. 스위칭 환경에서의 스니핑 가능한 방법

스위칭 환경에서 스니핑 가능한 방법을 모두 열거하고 설명하시오.

[Switch Jamming]

Switch의 ARP Cashe Table을 모두 채워서 Switch가 아닌 Hub처럼 동작하게 강제적으로 만드는 기법을 말한다. ARP Cache Table을 채우기 위해 MAC 주소를 변경하면서 ARP 패킷을 네트워크에 지속적으로 뿌려 ARP Cache Table을 넘치게 하는 것을 말한다.

[ARP Spoofing]

Host와 Host 간 MAC 주소를 속이는 것으로 두 Host 사이에서 서로의 통신대상자 MAC 주소를 공격자의 주소로 속여 패킷을 받아 스니핑을 할 수 있게 하는 기법을 말한다.

[ARP Redirection]

자신의 MAC이 스위치의 MAC인 것으로 속이는 Broadcast ARP 패킷을 전송하여 모든 호스트와 스위치 사이의 모든 트래픽을 스니핑하고, IP Forwarding 기능을 통해 사용자들이 눈치 채지 못하도록 하는 기법을 말한다.

[ICMP Redirection]

ICMP Redirection 메시지는 하나의 네트워크에서 여러 개의 라우터가 있을 경우 호스트가 올바른 라우터에게 전송되도록 알려주는 역할을 한다. 공격자는 이를 악용하여 다른 세그먼트에 있는 호스트들에게 위조된 ICMP Redirect 메시지를 보내 공격자의 호스트로 보내도록 하여 패킷을 스니핑하는 기법을 말한다.

[Switch의 Span/Monitor Port를 이용]

원래 Monitor Port란 스위치를 통과하는 모든 트래픽을 볼 수 있는 포트로 네트워크 관리를 위해 만들어 놓은 것이지만 공격자가 트래픽들을 스니핑하는 좋은 장소를 제공한다.

-스니핑 방지 대책-

• 암호화를 사용한다. - SSL, PGP, S/MIME, SSH, VPN 등
• 스위치에서 주소 테이블을 Static으로 설정한다.
• 스니퍼를 탐지한다.

- ping을 이용하는 방법.

존재하지 않는 MAC으로 위조하여 ping을 날려서 ICMP Echo Reply 패킷을 받게 된다면 Promiscuous Mode란 것이다.

- ARP를 이용하는 방법.

Non-Broadcast로 위조된 ARP Request 패킷을 보냈을 때, ARP Response 패킷을 받게 된다면 Promiscuous Mode란 것이다.

- sentinal 도구를 이용 한다.

- DNS Query 이용하는 방법.

일반적으로 스니핑 프로그램은 사용자의 편의를 위하여 스니핑한 시스템의 IP 주소를 보여주지 않고, 도메인 네임을 보여주기 위하여 Inverse-DNS Lookup을 수행하게 된다. 따라서 트래픽을 감시하여 스니퍼를 탐지할 수도 있다.

- 유인 방법.

고의적으로 ID와 Password를 네트워크에 지속적으로 흘려 공격자가 이 ID와 Password를 사용하게끔 하여 탐지하는 방법이다.

- ifconfig/ ipconfig 명령어를 이용하여 확인하는 방법이다.

6. IP 주소를 보고 해당 클래스, 네트워크, 호스트 구분

다음 ip 주소를 보고 해당클래스, 해당 네트워크부분, 해당 호스트 부분을 작성하시오.
                                                        클래스            네트워크            호스트    
   210.5.2.9
  21.8.120.98
192.168.100.1
   160.1.2.1

      

	클래스	네트워크	호스트
210.5.2.9	C Class	210.5.2	9
21.8.120.98	A Class	21	8.120.98
192.168.100.1	C Class	192.168.100	1
160.1.2.1	B Class	160.1	2.1

7. SET 프로토콜

SET 프로토콜을 이용한 신용카드의 사용에 있어서
(1) 사용자 (Cardholder)
(2) 판매자 (Merchant)
(3) 발급사 (Issuer)
(4) 매입사 (Acquirer)
(5) 지불 게이트웨이 (Payment Gateway)
(6) 인증기관 (Certification Authority)
각각의 역할에 대하여 기술하시오.

(1) 사용자 (CardHolder)

 인터넷쇼핑몰에서 물품 또는 서비스를 구매하는 자

(2) 판매자 (Merchant)

 인터넷상에서 상품이나 서비스를 제공하는 자

(3) 발급사 (Issuer)

 고객의 카드발급 금융기관 혹은 결제카드 소지인의 계좌가 개설되어 있는 금융기관

(4) 매입사 (Acquirer)

 판매자의 가맹점 승인 금융기관 혹은 판매자의 계좌가 개설되어 있는 금융기관

(5) 지불 게이트웨이 (Payment Gateway)

 판매자가 요청한 고객의 지급정보로 해당 금융 기관에 승인 및 결제를 요청하는 기관

(6) 인증기관 (Certification Authority)

 고객 및 판매자 등 각 참여기관이 인터넷 상에서 서로 신뢰하면서 거래할 수 있도록 각 참여기관에게 전자적인 인증서를 발급하는 기관

SET에서 이중서명을 사용한다. 다음 질문에 대해 기술하시오.
(1) 이중서명이 필요한 이유는?
(2) 이중서명 생성참여자와 확인참여자는 누구인가?
(3) 이중서명 생성(계산) 방법은?
(4) 이중서명 확인방법은 무엇인가?

(1) 개인 정보의 노출을 최소화하기 위해서 사용된다.

이중서명이란 주문정보의 메시지 다이제스트와 지불정보의 메시지 다이제스트를 합하고, 두 정보의 메시지 다이제스트를 합하여 생성된 새로운 메시지의 메시지 다이제스트를 구한 후, 고객의 서명용 Private Key로 암호화한 것을 말한다. 즉 판매자에게는 주문정보만을 Payment Gateway에게는 결재정보만을 알린다는 것이다.

(2) 생성참여자는 고객과 Payment Gate가 되며 확인참여자는 판매자와 Payment Gateway가 된다.

(3) 구매정보에 대해 Hash 함수를 적용하여 160비트의 메시지 다이제스트 M1을 생성하고, 결제정보에 대해 Hash 함수를 적용하여 160비트의 메시지 다이제스트 M2를 생성하게 된다. 이 후 생성된 M1과 M2를 연접한 후 연접된 결과에

Hash 함수를 적용하여 메시지 다이제스트 M을 생성하고, M에 고객의 개인키로 전자서명을 하게 된다. 결재정보에 대해서는 비밀키를 Random Generate하여 암호화 시킨 후 해당키를 Payment Gateway의 공개키로 암호화하여 전자봉투를 생성하게 된다. 이렇게 함으로 판매자에게 결제정보의 노출을 방지한다.

(4) 판매자와 Payment Gateway가 확인하는 방법에는 약간의 차이가 있다. PG는 전자봉투까지 복호화해야 하기 때문이다. 판매자는 수신된 구매정보에 고객과 동일한 Hash 함수를 적용하여 메시지 다이제스트 M1을 생성하고, 수신된 M1M2 중 M1(주문정보)을 생성한 M1으로 대체시킨 후, 대체된 M1M2에 동일한 Hash함수를 적용하여 메시지 다이제스트 M을 구한다. 그리고 수신된 이중서명을 고객의 공개키로 복호화하여 메시지 다이제스트 M을 추출하여 판매자쪽에서 생성된 M과 추출된 M을 비교하여 동일하면 정당한 구매요청으로 처리한다. 그 후 판매자는 고객으로부터 전송받은 암호화된 결제정보, 전자봉투, 이중서명, M1M2를 자신의 승인요청문 전송시 PG로 전송하게 된다. PG는 첫 번째로 자신의 개인키를 사용하여 전자봉투를 복호화하여 획득한 비밀키를 이용하여 결제정보, M1M2값, 고객의 서명값을 추출하게 된다. 두 번째로 고객의 이중서명 확인 및 결제정보를 확인하게 된다. PG는 복호화된 결제정보에 고객과 동일한 Hash 함수를 적용하여 메시지다이제스트 M2를 생성하고, 수신된 M1M2 중 M2를 새로 생성한 M2로 대체 시킨 후, 대체된 M1M2에 동일한 Hash 함수를 적용하여 새로운 메시지 다이제스트 M을 구한다. 그 후, 수신된 고객의 이중서명을 고객의 공개키로 복호화하여 메시지다이제스트 M을 추출하고, PG에서 생성된 M과 복호화 M을 비교하여 동일한 경우 정당한 결제요청으로 처리한다.

SET 프로토콜의 장점과 단점 2가지를 기술하시오.

SET 프로토콜의 장점은 판매자에게는 주문정보만 카드사에는 결제 정보만 가기 때문에 주문자의 프라이버시가 보장된다.

단점은 PKI가 구축되어야 하고 프로토콜 자체가 복잡하기 때문에 구현하기 힘들다.

8. 위험분석

① 위험분석 (Risk Analysis)

위험을 분석하고, 해석하는 과정으로 조직 자산의 취약성을 식별하며 위험분석을 통해 발생 가능한 위험의 내용과 정도를 결정하는 과정이다.

②위험평가 (Risk Assessment)

조직이 보호하여야할 자산을 파악하여 그 가치를 평가하고, 자산에 대한 위협의 종류와 영향을 평가하며 조직이 지니는 취약점을 분석함으로써 위협이 주는 위험의 정도를 평가하는 과정이다.

③위험관리 (Risk Management)

측정 및 평가된 위험을 줄이거나 제거하기 위한 과정으로 위험을 일정 수준까지 유지, 관리하는 것으로써 종종 위험평가가 위험관리 개념내에 포함되기도 한다. 주 목적은 위험을 수용 가능한 수준으로 감소시키는데 있다.

④기본통제접근법 (Baseline)

너무 높으면 비용이 많이 들며 너무 제한적이 되고, 너무 낮으면 보안결핍이 된다.

* 정량적 위험분석

-과거자료 분석법

과거에 일어났던 사건이 미래에도 일어난다는 가정이 필요하며, 과거의 사건 중 발생 빈도가 낮은 자료에 대해서는 적용이 어렵다.

-수학공식 접근법

과거자료의 획득이 어려울 때 위험 발생 빈도를 추정하여 분석하는데 유용하다.

-확률 분포법

미지의 사건을 추정하는데 사용되는 방법(정확성 낮음)이다.

*정성적 위험분석

-델파이법

시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고, 위험을 분석 및 평가하여 정보시스템이 직면한 다양한 위협과 취약성을 토론을 통해 분석한다.

-시나리오법

어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 분석한다.

-순위결정법

비교우위 순위결정표에 위험 항목들의 서술적 순위를 결정하는 방법이다.

위험관리(Risk Management)에 대해 기술하시오.
1) 위험관리의 목적은 무엇인가?
2) 위험분석과의 관계에 대해 기술하시오.
3) 상세위험분석, 기본통제방식유형과 대책 선정 시 고려사항을 기술하시오.

[위험관리 개념]

측정 및 평가된 위험을 줄이거나 제거하기 위한 과정으로 위험을 일정 수준까지 유지, 관리하는 것으로써 종종 위험평가가 위험관리 개념내에 포함되기도 한다.

1) 위험관리의 목적

주요 목적은 위험을 수용 가능한 수준으로 감소시키는 데 있다.

2) 위험분석과의 관계

위험분석(Risk Analysis)이란 위험을 분석하고, 해석하는 과정으로 조직 자산의 취약성을 식별하고, 위험분석을 통해 발생 가능한 위험의 내용과 정도를 결정하는 과정을 말한다.

이러한 위험분석을 거친 이후 이것을 토대로 위험관리를 하는 것이다.

3) 상세위험분석, 기본통제방식 유형과 대책 선정 시 고려사항

① 기본통제방식

위험관리 방법론의 기본적인 방법으로 위험분석을 위한 자원이 필요하지 않으며 보호대책 선택에 들어가는 시간과 노력이 줄어들고, 같은 환경에서 운영되는 조직의 시스템이 많으므로 사업 필요성이 비교가능 하다면 기본적인 안전요소는 비용 효과적인 선택이다. 고려사항으로 기본적인 보호대책이 너무 높게 설정되었다면 어떤 시스템에 대해서는 비용이 너무 많이 들어 너무 제한적이 되고, 기본적인 보호대책이 너무 낮게 설정되었다면 어떤 시스템에 대해서는 보안결핍을 가져올 수 있다.

② 상세위험분석

위험분석 접근법으로 화폐가치로 표현이 가능하여 예산 수립에 유용한 정량적 분석과 자산에 대한 화폐가치 식별이 어려운 경우에 사용하는 정성적 분석이 있다. 정량적 분석의 종류로는 ALE(연간예상손실), 과거자료 분석법, 수학공식 접근법, 확률 분포법 등이 있으며 정성적 분석의 종류로는 델파이법, 시나리오법, 순위결정법 등이 있다.

정량적 분석의 고려사항으로 계산이 복잡하여 분석하는데 시간, 노력 비용이 많이 들고 수작업의 어려움으로 자동화 도구를 사용할 시 신뢰도가 벤더에 의존된다는 점이다. 하지만 정보의 가치가 논리적으로 평가되여 화폐로 표현되어 납득이 더 잘되고, 객관적인 평가기준이 적용되며 위험관리 성능 평가가 용이하다.

정성적 분석의 고려사항으로 위험평가 과정과 측정기준이 지극히 주관적 이여서 사람에 따라 달라질 수 있고, 위험완화 대책의 비용 및 이익 분석에 대한 근거가 제공되지 않기 때문에 문제에 대한 주관적인 지적만 있다. 또한 위험관리 성능을 추적할 수 없다. 하지만 정보자산에 대한 가치, 비용, 이익을 평가할 필요가 없어 계산에 대한 노력이 적게 든다.