핵심 인사이트 (3줄 요약)

  1. 본질: 정보보안 위험 관리(Risk Management)는 자산(Asset)에 대한 위협(Threat)이 취약점(Vulnerability)을 통해 발생시킬 수 있는 위험(Risk)을 식별·분석·평가하고, 허용 가능한 수준으로 낮추기 위한 통제(Control)를 선택·구현·모니터링하는 지속적 프로세스다.
  2. 가치: 위험 관리 없이는 조직이 가장 중요한 자산을 보호하는 데 투자를 집중하지 못하고 모든 곳에 균등하게(=비효율적으로) 보안 투자를 분산시킨다. 위험 관리는 제한된 보안 예산을 "가장 높은 위험"에 우선 배분하는 경제적 의사결정 프레임워크다.
  3. 판단 포인트: ISMS-P 인증에서 위험 관리는 핵심 요건(2.1.2 위험 관리)으로, 연 1회 이상 위험 평가를 수행하고 잔여 위험(Residual Risk)에 대한 경영진 승인이 필수다. 위험 = 발생 가능성(Likelihood) × 영향도(Impact) 공식과 위험 처리 4가지 방안(수용/전가/감소/회피)을 정확히 이해해야 한다.

Ⅰ. 개요 및 필요성

┌───────────────────────────────────────────────────────────┐
│         위험 관리 프로세스 5단계 (ISO 31000)               │
├───────────────────────────────────────────────────────────┤
│ 1. 상황 설정    │ 범위, 기준, 맥락 정의                     │
│ 2. 위험 식별    │ 자산·위협·취약점 목록화                    │
│ 3. 위험 분석    │ 가능성×영향도 = 위험 수준                  │
│ 4. 위험 평가    │ 허용 기준과 비교, 우선순위 결정             │
│ 5. 위험 처리    │ 수용/전가/감소/회피 선택 → 통제 구현        │
│    + 모니터링   │ 지속적 검토 및 개선                        │
└───────────────────────────────────────────────────────────┘
  • 📢 섹션 요약 비유: 위험 관리는 보험 설계와 같다. 어떤 위험이 얼마나 자주 발생하는지(가능성), 발생하면 얼마나 피해인지(영향도)를 평가하고, 보험(통제)으로 해결할지, 보험료를 내지 않을지(수용)를 결정한다.

Ⅱ. 아키텍처 및 핵심 원리

위험 = 자산 × 위협 × 취약점

자산 가치: 중요도/민감도 기반 분류
  (예: 고객 개인정보 DB = 매우 중요)

위협:       의도적(해킹, 내부자) + 비의도적(재해, 실수)
취약점:     패치 미적용, 취약한 인증, 물리 접근 부재

위험 수준 = 발생 가능성 × 영향도

          영향도
          높음  중간  낮음
가능성 높음│  H  │  H  │  M  │
       중간│  H  │  M  │  L  │
       낮음│  M  │  L  │  L  │

위험 처리 4가지 방안

1. 위험 감소 (Risk Reduction/Mitigation)
   - 취약점을 줄이는 통제 구현 (패치, 방화벽)
   - 가장 일반적인 처리 방안

2. 위험 전가 (Risk Transfer)
   - 사이버 보험, 외주(아웃소싱)로 책임 이전

3. 위험 수용 (Risk Acceptance)
   - 잔여 위험이 허용 수준 이하 → 경영진 승인

4. 위험 회피 (Risk Avoidance)
   - 위험 원인 활동 자체를 중단
  • 📢 섹션 요약 비유: 위험 처리는 폭풍 대비 방안이다. 방파제(감소) vs 폭풍보험(전가) vs "이 정도 비는 괜찮아"(수용) vs "해안가 사업 자체를 하지 않는"(회피). 비용과 위험을 고려해 최적 방안을 선택한다.

Ⅲ. 비교 및 연결

항목정성적 위험 분석정량적 위험 분석
방법높음/중간/낮음 레벨ALE = SLE × ARO
특징주관적, 빠름객관적, 시간·비용 높음
적합성중소 조직, 초기금융·대기업, 정밀 분석

ALE = Annual Loss Expectancy, SLE = Single Loss Expectancy, ARO = Annual Rate of Occurrence

  • 📢 섹션 요약 비유: 정성적 분석은 날씨 예보(비올 확률 "높음"), 정량적 분석은 보험 계리사(연간 예상 손실액 정확히 계산)이다. 정확할수록 계산이 복잡하다.

Ⅳ. 실무 적용 및 기술사 판단

ISMS-P 위험 관리 수행 절차

  1. 자산 식별: 정보 자산 목록(서버, DB, 문서) 작성 + 중요도 분류.
  2. 위협·취약점 분석: CVE 취약점 스캔, 위협 인텔리전스 참조.
  3. 위험 평가: 3×3 또는 5×5 위험 매트릭스로 위험 수준 결정.
  4. 위험 처리: 잔여 위험 목록 → CISO 보고 → 경영진 승인.
  5. 모니터링: 연 1회 재평가 + 중요 변경 시 수시 평가.

잔여 위험 (Residual Risk)

  • 모든 통제 적용 후에도 남아있는 위험.

  • 조직은 잔여 위험을 "수용"할지 추가 통제를 적용할지 결정해야 함.

  • ISMS-P 심사에서 잔여 위험에 대한 경영진 서명된 수용 결정서가 필수.

  • 📢 섹션 요약 비유: 잔여 위험은 안전벨트를 매도 교통사고에서 완벽히 안전하지 않은 것과 같다. 최대한 통제(안전벨트)를 갖추고 남은 위험을 경영진이 인식하고 수용한다.

Ⅴ. 기대효과 및 결론

기대효과내용
합리적 투자최고 위험에 보안 예산 우선 배분
법적 증적ISMS-P, GDPR 위험 관리 의무 이행
경영진 참여잔여 위험 수용으로 보안 거버넌스 확립

AI 기반 지속적 위험 평가(Continuous Risk Assessment)는 취약점 스캐너, 위협 인텔리전스, SIEM 이상 탐지를 통합하여 실시간으로 위험 수준을 업데이트하는 자동화된 위험 관리 플랫폼으로 발전하고 있다.

  • 📢 섹션 요약 비유: 전통 위험 관리는 연 1회 건강검진이고, AI 기반 지속적 위험 평가는 스마트워치로 24시간 건강을 모니터링하는 것이다. 실시간 이상 감지로 더 빠른 대응이 가능하다.

📌 관련 개념 맵

개념연결 포인트
자산·위협·취약점위험 계산의 3요소
위험 처리 4방안수용/전가/감소/회피
잔여 위험통제 후 남은 위험, 경영진 수용
ISMS-P위험 관리 의무화 인증 체계
ALE/SLE/ARO정량적 위험 분석 공식

📈 관련 키워드 및 발전 흐름도

[자산 식별 — 보호 대상 목록화]
    │
    ▼
[위험 분석 — 가능성×영향도 매트릭스]
    │
    ▼
[위험 처리 — 4가지 방안 선택]
    │
    ▼
[잔여 위험 수용 — 경영진 보고·승인]
    │
    ▼
[지속적 모니터링 — AI 기반 실시간 위험 평가]

👶 어린이를 위한 3줄 비유 설명

  1. 위험 관리는 어떤 사고가 일어날 수 있는지 미리 찾아서(위험 식별), 얼마나 위험한지 점수를 매기고(위험 평가), 어떻게 막을지 결정하는 과정이에요!
  2. 방법은 4가지예요: 안전장치 설치(감소), 보험 가입(전가), "이 정도는 괜찮아"(수용), 위험한 일 자체를 안 하기(회피).
  3. 보안 예산이 한정되어 있으니 가장 위험한 것부터 먼저 막는 게 중요하답니다!