위험관리 분석기법
1) 한 줄 정의
-
정성적(Qualitative): 점수·등급으로 위험을 빠르게 순위화
-
정량적(Quantitative): 돈(₩) 으로 위험을 금액화해 투자 의사결정을 돕는 방식
2) 정성적 분석 — 가볍고 빠르게 “우선순위” 잡기
어떻게 하나요?
-
**가능성(Likelihood)**과 **영향(Impact)**에 등급을 줍니다.
-
예: L·I 각 1~5점 (낮음→매우 높음)
-
-
Risk Score = L × I로 점수를 계산합니다.
-
**히트맵(Heat Map)**에 찍고 빨강(즉시), 노랑(개선), 초록(허용) 구간으로 구분합니다.
예시
-
랜섬웨어: L=4, I=5 ⇒ 20점(빨강)
-
내부오류(오타 발송): L=2, I=3 ⇒ 6점(초록)
자주 쓰는 기법
-
위험행렬/히트맵, 체크리스트, 전문가 판단(Delphi), 점수 가중치(자산 중요도 가중)
장단점
-
✅ 빠름, 데이터 부족해도 가능, 커뮤니케이션 용이
-
⚠️ 주관성 있음(평가기준을 미리 정의해야 신뢰도↑), 같은 “점수 12”라도 의미가 조직마다 다름
언제 쓰나?
-
초기 스크리닝/빠른 우선순위가 필요할 때
-
데이터가 적거나, 짧은 주기로 재평가해야 할 때(분기별 등)
3) 정량적 분석 — 숫자로 “돈이 되는 판단” 하기
핵심 공식(시험 단골)
-
SLE (Single Loss Expectancy): 단일 사고 손실액
-
SLE = 자산가치(AV) × 노출계수(EF)(EF=손실비율, 40%→0.4로 계산!)
-
-
ARO (Annualized Rate of Occurrence): 연간 발생빈도
-
ALE (Annual Loss Expectancy): 연간 기대손실
-
ALE = SLE × ARO🙂두음스토리: ASA (아싸~~~)
-
예시 계산
-
파일서버 자산가치 1억 원, 침수 시 손실비율 30%(EF=0.3) → SLE = 3천만 원
-
연간 발생빈도 0.2회/년(5년에 한 번) → ALE = 600만 원/년
-
방수대책 도입비 연 400만 원, 적용 후 ALE가 200만 원으로 감소한다면
-
절감액 = 600 → 200 = 400만 원 ⇒ 비용=절감액 → 도입 타당(부가 효과까지 보면 보통 “도입”)
-
보완 도구(있으면 가점)
-
민감도 분석: EF/ARO를 ±10~20% 바꿔도 결론이 유지되는지 확인
-
의사결정나무/기대값(EV), 몬테카를로(여러 변수의 확률 분포가 있을 때, 필수는 아님)
장단점
-
✅ 투자 판단(ROI, 비용-효익) 에 강함, 경영진 설득 쉬움
-
⚠️ ARO/EF 추정이 어려움, 초기 작업량 많음, 가정이 틀리면 결과도 흔들림
언제 쓰나?
-
예산 편성/우선 투자 결정을 내려야 할 때
-
보험·아웃소싱·시스템 고도화 등 돈이 크게 드는 안건 비교할 때
4) 같이 쓰면 가장 좋다 (실무/시험 모두 OK)
-
정성적으로 전체 위험을 쫙 정렬한다.
-
상위 몇 개 빨간 위험만 정량화(ALE)해서 돈 기준으로 투자 우선순위 확정.
-
실행 후 잔여위험을 다시 정성적으로 체크(히트맵 색이 내려갔는지 확인).
5) 실수 방지 체크리스트
-
EF 퍼센트→소수 변환 잊지 않기(25%는 0.25)
-
L×I 점수(무단위)와 ALE 금액(원/년)을 혼동하지 않기
-
히트맵은 **평가기준(점수 구간)**을 문서화해 일관성 유지
-
정량분석의 가정(AV/EF/ARO)과 출처를 위험기록부에 남기기
6) 30초 연습문제
-
Q1. AV=8,000만 원, EF=40%, ARO=0.25 → ALE?
-
Q2. 두 위험의 L×I가 각 12점인데, 하나는 고가 자산(백오피스), 하나는 저가 자산(테스트 서버)입니다. 투자 우선은?
-
A1. SLE=8,000만×0.4=3,200만 → ALE=3,200만×0.25=800만 원/년
-
A2. 정성 점수는 같아도 자산가치가 큰 쪽(백오피스)을 먼저 정량화(ALE)해 우선 투자를 결정
7) 한 페이지 암기 카드
-
정성: L×I, 히트맵, 빠른 우선순위(주관성↑)
-
정량: SLE=AV×EF, ALE=SLE×ARO, 비용-효익 판단(데이터 요구↑)
-
실무 루틴: 정성 스크리닝 → 상위만 정량화 → 잔여위험 재평가
