위험관리(Risk Management) - 이해하기

위험관리 핵심 정리

키워드: 자산–위협–취약점 → 위험 · 정성/정량 분석 · 대응전략 · 잔여위험 · 위험기록부

1) 기본 개념 맵

• 자산(Asset): 보호 대상(정보/시스템/평판/사람/시설 등)

• 위협(Threat): 자산에 손해를 입히는 잠재 사건(자연재해, 인적실수, 악의적 공격 등)

• 취약점(Vulnerability): 위협이 악용할 수 있는 약점

• 통제(보안대책, Control): 위험을 낮추는 수단(정책·절차·기술)

위험(Risk) = 위협이 취약점을 악용하여 자산에 미칠 가능성 × 영향

---

2) 위험평가(Assessment) 절차 7단계

1. 범위/기준 정의: 조직/업무 범위, 평가기준(점수척도, 임팩트 정의), 위험 허용수준 설정

2. 자산 식별·가치평가: 중요도(기밀성/무결성/가용성)와 대체/복구 난이도 반영

3. 위협·취약점 식별: 내부/외부, 기술/물리/관리 영역

4. 현재 통제 파악: 예방/탐지/대응 통제의 성숙도

5. 위험분석

   • 정성적: 발생가능성(L)·영향(I)을 등급화하여 **위험행렬(Heat Map)**로 순위화

   • 정량적: 금액 기반(아래 3장 참고)

6. 위험평가(우선순위 결정): 경영 기준(허용수준·규정·고객요건)으로 처리 우선도 결정

7. 위험대응 계획 수립 및 승인: 대응전략 선택, 잔여위험 승인, 일정/책임/예산 확정

---

3) 위험분석 방법

3-1. 정성적 분석(빠르고 실무 친화)

• 척도 예시

  • 가능성: 1(희박)~5(매우높음)

  • 영향: 1(경미)~5(치명)

• 점수: Risk Score = L × I → 1~25점

• Heat Map: 15+ “빨강(즉시 대응)”, 8~12 “노랑(모니터링/개선)”, 1~6 “초록(허용 가능)`

3-2. 정량적 분석(금액 기반, 시험 단골 공식)

• SLE (Single Loss Expectancy): 단일 사고 손실액

  • SLE = 자산가치(AV) × 노출계수(EF) (EF: 손실비율, 예: 0.4=40%)

• ARO (Annualized Rate of Occurrence): 연간 발생빈도

• ALE (Annual Loss Expectancy): 연간 기대손실

  • ALE = SLE × ARO

예시 계산

• 서버 자산가치 1억 원, 침수 시 손실비율 30% → SLE = 3천만 원

• 연간 발생빈도 0.2회/년 → ALE = 6백만 원/년

• 통제 도입비용이 연간 4백만 원이고 ALE를 2백만 원으로 낮춘다면

  • 절감액(6백만→2백만) = 4백만 원 ⇒ 도입 타당

시험 포인트: ALE, SLE, ARO의 정의와 공식, EF 해석(%) → 소수로 계산!

---

4) 위험대응(처리) 전략 4가지

전략	설명	예시	주의점
회피(Avoid)	위험원인 자체 제거	클라우드 리전 이전 취소, 위험한 기능 삭제	사업 기회 손실 고려
전가(Transfer)	타자와 분담/이관	보험, 클라우드/아웃소싱, 계약상 책임전가	책임 완전 소멸 아님
완화(Mitigate/Reduce)	통제 도입으로 가능성/영향 감소	WAF, MFA, 백업/DR, 교육	비용-효익 분석 필수
수용(Accept/Retain)	잔여위험을 관리적으로 승인	경영층 승인서/리스크 레지스터 기록	모니터링 전제

잔여위험(Residual Risk) = 통제 적용 후 남는 위험
고유위험(Inherent Risk) = 통제 적용 전 위험

---

5) 통제(Control) 분류 & 예시

• 기능별

  • 예방(Preventive): 방화벽, 접근통제, 보안설계

  • 탐지(Detective): IDS/IPS, 로그·SIEM, 무결성 점검

  • 교정/복구(Corrective/Recovery): 패치, 백업/복구, 장애조치

  • 억지(Deterrent): 경고배너, 보안서약

  • 보완(Compensating): 대체 통제(기능 동등·효과 입증 필요)

• 영역별: 관리(정책/절차/교육), 물리(출입통제/CCTV), 기술(암호화/MFA/네트워크)

---

6) 위험기록부(Risk Register) 구성 템플릿

• ID / 자산 / 시나리오(위협×취약점) / 현재통제 / L/I 또는 SLE·ARO·ALE

• 대응전략 / 책임자 / 일정 / 예산 / 잔여위험 / 상태(열림/진행/종결) / 검토일

팁: 블로그에는 표+칸 예시를 넣고, 실제 프로젝트에선 스프레드시트로 운영하세요.

---

7) 경영 연계 키워드 (시험·실무 둘 다 중요)

• 위험 식욕(Risk Appetite): 조직이 수용할 의지 수준(상위 개념)

• 위험 허용(Risk Tolerance/Acceptance Criteria): 지표별 허용 한계(정량/정성)

• 잔여위험 승인(ROAM: Resolved/Owned/Accepted/Mitigated): 의사결정의 문서화

• BCP/DRP 연계: RTO(복구시간), RPO(복구시점) → 영향(Impact) 평가에 직접 반영

---

8) 빈출 함정 체크

1. EF(%)를 소수로 변환 안 함 → SLE 오답

2. L×I 점수와 ALE 금액 혼동

3. 전가=책임 해제로 이해 → 전가해도 관리 책임 남음

4. 잔여위험 승인 누락 → 처리완료로 오판

5. 예방/탐지/복구 통제 예시 분류 혼선

---

9) 초압축 암기 카드

• 공식: SLE = AV × EF, ALE = SLE × ARO

• 대응전략 4개: 회피·전가·완화·수용

• 통제 3대기능: 예방–탐지–복구

• 용어쌍: 고유위험 vs 잔여위험, Appetite vs Tolerance

---

10) 미니 연습문제 (정답 아래 스포일러)

Q1. 자산가치 5,000만 원, EF 25%, ARO 0.5 → ALE?
Q2. DDoS 위험(L=4, I=5)과 내부오류(L=2, I=5), 어느 쪽 우선?
Q3. 보험 가입으로 데이터 유출 비용을 보전받았다. 대응전략은?

• A1. SLE = 5,000만 × 0.25 = 1,250만 → ALE = 1,250만 × 0.5 = 625만 원/년

• A2. 점수: DDoS=20, 내부오류=10 → DDoS 우선

• A3. 전가(Transfer)

---

마무리 Tip

• 시험은 정의+공식+대응전략 매칭을 묻습니다. 각 용어를 예시와 세트로 암기하세요.

• 실무는 리스크 레지스터가 핵심. 잔여위험 승인과 주기적 재평가(분기/반기)를 잊지 마세요.