위험관리(자산,위협,취약점) - 이해하기

1. ISO/IEC 31000에서 보는 “리스크” 

ISO/IEC 31000에서는 리스크를 이렇게 봅니다.

목표(objectives)에 대한 불확실성의 효과

즉,

• “안 일어났지만 일어날 수도 있는 일(불확실성)”이

• “조직의 목표(서비스 안정성, 매출, 평판 등)에 어떤 좋은/나쁜 영향을 주는가?”

를 체계적으로 관리하는 게 리스크 관리입니다.

정보보안 쪽으로 가져오면, 이 “불확실성의 효과”를 만드는 재료가 바로:

자산 + 위협 + 취약점 → 정보보안 리스크

---

2. 자산(Asset) – 보호해야 할 “목표물”

2-1. 정의

자산(asset)

조직이 가치 있다고 여기는 모든 것
(정보, 시스템, 사람, 명성, 서비스 등)

보안에서 자산은 단순히 장비뿐 아니라:

• 정보 자산: 고객 정보, 소스코드, 기밀 문서, 로그 데이터

• 물리 자산: 서버, 노트북, 네트워크 장비, 출입통제 장치

• 인적 자산: 개발자, 운영자, 보안 담당자, 경영진

• 무형 자산: 브랜드 가치, 평판, 노하우, 특허

ISO/IEC 31000에서 리스크는 항상 목표 달성과 연결됩니다.
정보보안에서는 그 “목표”를 자산의 기밀성·무결성·가용성(CIA) 을 지키는 것으로 표현하는 거죠.

---

3. 위협(Threat) – 자산을 노리는 “위험한 사건의 원인”

3-1. 정의

위협(threat)

자산에 손실이나 피해를 줄 수 있는 잠재적인 원인 또는 사건

즉, “문제를 일으킬 수 있는 존재 혹은 상황”입니다.

예시:

• 인적 위협

  • 해커의 공격, 내부자의 정보 유출, 실수(잘못된 설정, 오타로 인한 삭제)

• 기술적 위협

  • 악성코드, 랜섬웨어, 취약한 프로토콜 악용, DDoS 공격

• 물리적/환경적 위협

  • 화재, 홍수, 정전, 장비 도난

• 관리적 위협

  • 보안 정책 부재, 인력 부족, 교육 미실시

위협은 아직 “일어난 것”이 아니라 일어날 수 있는 것입니다.
ISO/IEC 31000의 표현을 빌리면, 리스크를 만드는 불확실한 사건의 한 축이죠.

---

4. 취약점(Vulnerability) – 위협이 파고드는 “약한 고리”

4-1. 정의

취약점(vulnerability)

위협이 자산에 피해를 입히도록 만드는 약점 또는 허점

즉, 위협이 “들어올 틈”입니다.

예시:

• 기술적 취약점

  • 패치 안 된 OS/미들웨어

  • 취약한 암호 알고리즘 사용

  • 기본 계정/기본 비밀번호 그대로 사용

• 관리적 취약점

  • 계정·권한 관리 미흡

  • 로그 미수집 / 미분석

  • 보안 정책은 있으나 지키지 않음

• 물리적 취약점

  • 서버실 출입통제 미비

  • CCTV 미설치, 백업 매체 방치

• 인적 취약점

  • 보안 교육 부족 → 피싱 메일 클릭

  • 사회공학 공격에 쉽게 속는 환경

---

5. 자산·위협·취약점의 관계 – “리스크 삼각형”

블로그용으로 하나의 문장으로 정리해 보면:

가치 있는 자산이 있고, 그 자산을 노리는 위협이 있으며,
그 위협이 파고들 수 있는 취약점이 있을 때,
비로소 “리스크”가 발생한다.

5-1. 관계를 그림처럼 표현하면

1. 자산(무엇을 지킬까?)

   • 예: “고객 개인정보가 저장된 DB 서버”

2. 위협(누가/무엇이 공격할까?)

   • 예: “외부 공격자의 SQL Injection 시도”

3. 취약점(어디로 들어올까?)

   • 예: “입력값 검증이 없는 로그인 페이지”

이 세 가지가 동시에 존재하면:

리스크 =
고객 개인정보 유출 → 법적 제재, 신뢰도 하락, 매출 감소

ISO 31000 관점에서 보면,

• 위협 발생 가능성(발생 확률)

• 발생 시 결과(영향)

을 함께 보고 리스크 수준을 평가합니다.
정보보안에서는 그 “발생 가능성”을 크게 위협의 빈도/강도 + 취약점의 정도로 보고,
“영향”은 자산의 중요도로 보는 경우가 많죠.

---

6. ISO 31000 프로세스와 연결해서 보기

ISO 31000의 리스크 관리 프로세스는 보통 이런 단계로 설명합니다:

1. 리스크 식별(Risk Identification)

   • 어떤 자산이 있고, 어떤 위협이 있으며, 어떤 취약점이 있는가?

   • → 자산 목록 작성, 위협 목록, 취약점 진단 결과 등을 정리

2. 리스크 분석(Risk Analysis)

   • 각 리스크의 발생 가능성과 영향이 어느 정도인가?

   • → 위험도 = 가능성 × 영향 (정성/정량 평가)

3. 리스크 평가(Risk Evaluation)

   • 허용 가능한 수준인가? 우선순위는?

   • → 수용/감소/회피/전가 의사결정 기준 설정

4. 리스크 처리(Risk Treatment)

   • 어떻게 처리할 것인가?

   • → 기술·관리·물리적 통제 수립 및 적용

5. 모니터링 및 리뷰, 커뮤니케이션 등

   • 지속적으로 리스크 상태를 점검하고 개선

여기서 자산·위협·취약점은 특히 ① 리스크 식별 단계의 핵심 요소입니다.

---

7. 학습/정리용 한 줄 요약

• 자산: 보호해야 할 것(가치)

• 위협: 그 자산에 해를 끼칠 수 있는 잠재적 사건·행위

• 취약점: 위협이 자산에 영향을 줄 수 있게 만드는 약점

자산 × 위협 × 취약점이 결합하면
ISO 31000에서 말하는 “목표(자산 보호)에 대한 불확실성의 부정적 효과”,
즉 정보보안 리스크가 된다.