핵심 인사이트
- 위험 대응 전략의 4가지 유형(회피·전가·완화·수용)은 위험 확률과 영향도의 매트릭스에서 최적 전략을 선택하며, PMBOK 7판과 ISO 31000은 이를 리스크 처리(Risk Treatment) 활동으로 표준화하고 있다.
- 회피(Avoid)는 위험 원인을 제거하는 가장 강력한 전략이지만 사업 기회도 함께 포기할 수 있으며, 전가(Transfer)는 보험·계약으로 재무적 책임을 이전하지만 위험 자체는 사라지지 않는다는 점이 핵심 차이다.
- 실무에서 대부분의 위험은 단일 전략이 아닌 복합 전략(완화 + 수용 한계치 설정)으로 관리되며, 완화 후 남는 "잔류 위험(Residual Risk)"에 대한 수용 한계 정의가 리스크 관리 완성의 핵심이다.
Ⅰ. 위험 대응 전략 4유형
위험 대응 전략 (PMBOK, ISO 31000):
1. 회피 (Avoid):
위험 원인/활동 자체를 제거
예: 미검증 기술 스택 → 검증된 기술로 교체
불확실 요구사항 작업 → 착수 연기
장점: 위험 근본 제거
단점: 기회도 포기 (범위/일정 변경)
2. 전가 (Transfer):
위험의 재무적 결과를 제3자에게 이전
예: 외주 계약 (성과 책임 전가)
사이버 보험 (데이터 유출 피해 전가)
SLA 패널티 조항 (공급업체 위험 전가)
장점: 재무 리스크 이전
단점: 비용 발생, 위험 자체는 존재
3. 완화 (Mitigate):
위험 발생 확률 또는 영향도 감소
예: 코드 리뷰 강화 (버그 확률 감소)
테스트 자동화 (영향 감소)
이중화 구성 (장애 영향 최소화)
가장 많이 사용되는 전략
4. 수용 (Accept):
위험을 인지하고 그대로 받아들임
능동적: 비상 계획/예비비 수립
수동적: 위험 발생 시 대응 (사전 계획 없음)
적용: 낮은 위험, 대응 비용 > 위험 비용
📢 섹션 요약 비유: 4가지 대응 전략은 폭풍 대비법 — 회피(여행 취소), 전가(여행 보험), 완화(튼튼한 우산), 수용(비 맞기 각오).
Ⅱ. 위험 매트릭스와 전략 선택
위험 매트릭스 (Risk Matrix):
낮은 확률 높은 확률
높은 영향 | 완화/전가 | 회피/전가 |
낮은 영향 | 수용 | 완화/수용 |
위험 점수 = 확률(1~5) × 영향(1~5)
1~4: 낮음 (수용 가능)
5~9: 중간 (완화/모니터링)
10~14: 높음 (완화/전가)
15~25: 심각 (회피/전가)
예시 위험 선택:
새 프레임워크 도입 (확률2, 영향4, 점수8):
→ 완화: PoC(기술 검증) 후 진행
핵심 개발자 이탈 (확률3, 영향5, 점수15):
→ 전가/완화: 지식 이전 문서화
복수 담당자 지정
데이터 유출 (확률1, 영향5, 점수5):
→ 전가: 사이버 보험 + 완화: 암호화
사소한 UI 버그 (확률4, 영향1, 점수4):
→ 수용: 이슈 트래커 등록, 다음 릴리즈 대응
📢 섹션 요약 비유: 위험 매트릭스는 의사 결정 지도 — 심각도×발생 가능성으로 좌표를 찍고 "회피/완화/전가/수용" 구역 중 어디에 있는지 확인.
Ⅲ. 잔류 위험과 보조 위험
잔류 위험 (Residual Risk):
대응 전략 적용 후에도 남아있는 위험
완화 후 잔류 위험:
완화 전: 확률3, 영향4, 점수12 (높음)
완화 후: 확률2, 영향3, 점수6 (중간)
→ 잔류 위험 6점에 대한 수용 결정 필요
보조 위험 (Secondary Risk):
위험 대응 전략 실행으로 발생하는 새로운 위험
예: 외주 전가(Transfer) → 외주사 부도 위험 (보조)
테스트 자동화(Mitigate) → 자동화 유지보수 위험 (보조)
위험 유발 원인(Trigger):
위험 발생 징후 (Early Warning Signal)
비상 계획 실행 기준점
비상 계획 (Contingency Plan):
위험 발생 시 사전 정의된 대응 절차
비상 예비비 (Contingency Reserve): 예산의 5~15%
관리 예비비 (Management Reserve): 미지 위험 대비
위험 노출도 (Risk Exposure):
RE = 확률(P) × 영향(I)
예: P=0.3, I=100만원 → RE=30만원
→ 30만원 이하 완화 비용이면 완화 가치 있음
📢 섹션 요약 비유: 잔류 위험은 우산 후 남은 빗물 — 완벽한 우산도 발은 젖는다. 이 남은 위험을 받아들일지, 장화도 신을지 결정.
Ⅳ. 위험 대응 계획 수립
위험 대응 계획 (Risk Response Plan):
필수 포함 요소:
1. 위험 식별자 (ID)
2. 위험 설명
3. 위험 유형 (기술/일정/비용/인력)
4. 현재 확률 × 영향 = 위험 점수
5. 선택한 대응 전략 (회피/전가/완화/수용)
6. 구체적 대응 행동 계획
7. 위험 소유자 (담당자)
8. 대응 후 잔류 위험 점수
9. 트리거 조건
10. 비상 계획
위험 등록부 (Risk Register):
전체 위험을 스프레드시트/도구로 관리
Jira, Confluence, MS Project 등
정기 검토:
주간/격주 위험 검토 회의
완료 위험 종결 처리
신규 위험 추가
대응 전략 선택 원칙:
비용 효과 분석: 대응 비용 < 위험 노출도
조직 리스크 허용도 (Risk Tolerance) 반영
이해관계자 합의 (특히 수용 결정 시)
📢 섹션 요약 비유: 위험 등록부는 가정집 안전 점검 리스트 — 각 위험(낡은 전선, 누수)마다 담당자, 대응법, 비용, 재점검 일자를 기록.
Ⅴ. 실무 시나리오 — IT 프로젝트 위험 관리
금융 앱 리뉴얼 프로젝트 위험 관리 사례:
프로젝트: 모바일 뱅킹 앱 전면 리뉴얼
기간: 9개월, 예산: 8억원
주요 위험 대응:
R01. 핵심 개발자 이탈 (점수 15, 심각)
전략: 완화
행동: 지식 이전 문서화, 다중 담당자 지정
잔류 위험: 점수 8
R02. 레거시 API 연동 지연 (점수 16, 심각)
전략: 완화 + 전가
행동: Mock API 병렬 개발
SLA 계약 (지연 시 패널티 조항)
잔류 위험: 점수 6
R03. 금융 규제 변경 (점수 8, 중간)
전략: 수용 (능동적)
행동: 비상 예비비 3,000만원 책정
R04. 성능 목표 미달 (점수 9, 중간)
전략: 완화
행동: 성능 테스트 6개월 차 완료
CDN, 캐시 아키텍처 설계
결과: 9개월 내 완료
R02 레거시 지연 → 비상 계획 실행
Mock API 전략으로 일정 영향 2주 최소화
📢 섹션 요약 비유: IT 위험 관리는 여행 보험 패키지 — 항공+의료+분실 복합 보험(복합 전략)으로 모든 상황에 대비.
📌 관련 개념 맵
위험 대응 전략
+-- 4유형
| +-- 회피 (원인 제거)
| +-- 전가 (제3자 책임 이전)
| +-- 완화 (확률/영향 감소)
| +-- 수용 (능동적/수동적)
+-- 위험 매트릭스
| +-- 확률 × 영향 = 위험 점수
+-- 개념
| +-- 잔류 위험, 보조 위험
| +-- 비상 계획, 예비비
📈 관련 키워드 및 발전 흐름도
[PMBOK 위험 관리 표준화 (1996~)]
식별-분석-대응-모니터링 4단계
|
v
[ISO 31000 (2009, 2018 개정)]
전사 위험 관리 (ERM) 국제 표준
|
v
[애자일 위험 관리 (2010s~)]
스프린트 단위 리스크 검토
백로그에 위험 아이템 추가
|
v
[현재: AI 기반 위험 예측]
프로젝트 데이터 분석으로 위험 조기 감지
ML 기반 리스크 모델 적용
👶 어린이를 위한 3줄 비유 설명
- 위험 대응 4전략은 폭풍 대비 방법 — 여행 취소(회피), 여행 보험(전가), 우산 챙기기(완화), 비 맞을 각오(수용)!
- 위험 점수 = 발생 가능성 × 심각도 — 점수가 높을수록 강한 전략(회피/전가)이 필요해요.
- 어떤 전략을 써도 남는 잔류 위험은 있어요 — 얼마까지 허용할지 사전에 정해두는 것이 위험 관리의 완성이에요!