핵심 인사이트 (3줄 요약)

  1. 본질: 위험 식별(Risk Identification)은 정보보호 위험 관리 프로세스의 첫 번째 단계로, 자산(Asset)·위협(Threat)·취약점(Vulnerability)을 체계적으로 목록화하여 잠재적 보안 위험을 발견하는 활동이다. ISO 27001, NIST SP 800-30, ISMS-P 모두 위험 식별을 위험 관리의 출발점으로 정의한다.
  2. 가치: 식별되지 않은 위험은 관리할 수 없다. 위험 식별이 불완전하면 이후 위험 평가·처리 단계가 허점투성이가 된다. 특히 신규 서비스·시스템 도입 시 위험 식별을 소홀히 하면 운영 단계에서 예상치 못한 보안 사고로 이어진다.
  3. 판단 포인트: 위험 = 자산 × 위협 × 취약점. 위험 식별의 핵심은 세 요소를 독립적으로 목록화한 뒤 연결하는 것이다. 위협은 외부에서 오지만 취약점은 내부에 존재하며, 위협이 취약점을 통해 자산에 피해를 주는 구조가 위험이다.

Ⅰ. 개요 및 필요성

┌─────────────────────────────────────────────────────────┐
│         위험 3요소 관계도                                 │
├─────────────────────────────────────────────────────────┤
│                                                         │
│  [위협] ───────► [취약점] ───────► [자산 피해]            │
│  (Threat)       (Vulnerability)   (Asset Impact)        │
│                                                         │
│  위험 = 위협 발생 가능성 × 취약점 × 자산 가치             │
│                                                         │
│  예: 랜섬웨어(위협) + 패치 미적용(취약점) → 데이터 암호화  │
└─────────────────────────────────────────────────────────┘
  • 📢 섹션 요약 비유: 위험 식별은 집 안전 점검이다. 도둑(위협)이 침입할 수 있는 열린 창문(취약점)을 찾아내고, 그 창문 근처에 귀중품(자산)이 있는지 확인하는 것이다.

Ⅱ. 아키텍처 및 핵심 원리

위험 식별 절차

단계활동산출물
1. 자산 목록화정보자산 식별·분류·가치 평가자산 목록
2. 위협 목록화해킹, 자연재해, 내부자 위협 등위협 목록
3. 취약점 목록화기술·관리·물리적 취약점취약점 목록
4. 위험 식별위협-취약점-자산 연결위험 목록

위협 분류 (STRIDE 모델)

S - Spoofing        (신분 위장)
T - Tampering       (데이터 변조)
R - Repudiation     (부인)
I - Information Disclosure (정보 유출)
D - Denial of Service (서비스 거부)
E - Elevation of Privilege (권한 상승)
  • 📢 섹션 요약 비유: STRIDE는 6종류의 나쁜 행동 목록이다. 신분 사칭(S), 문서 위조(T), 거래 부인(R), 비밀 유출(I), 방해(D), 불법 권한 획득(E) — 해커가 할 수 있는 모든 나쁜 짓을 체계적으로 목록화한 것이다.

Ⅲ. 비교 및 연결

단계위험 식별위험 평가위험 처리
목적위험 발견위험 우선순위화위험 저감
방법자산·위협·취약점 목록화정량/정성 분석수용·전가·회피·감소
산출물위험 목록위험 수준 (High/Med/Low)위험 처리 계획
  • 📢 섹션 요약 비유: 위험 관리 3단계는 건강검진과 같다. 식별=증상 발견, 평가=진단·심각도 결정, 처리=치료 방법 결정이다. 증상을 먼저 발견해야 치료할 수 있다.

Ⅳ. 실무 적용 및 기술사 판단

위험 식별 기법

  • 체크리스트: 산업 표준(OWASP Top 10, CVE) 기반 취약점 목록 점검.
  • 인터뷰: 업무 담당자·개발자 대상 위협 시나리오 청취.
  • 브레인스토밍: 팀 기반 창의적 위협 발굴.
  • 취약점 스캐너: Nessus, OpenVAS 자동화 스캔.

ISMS-P 위험 식별

  • ISMS-P 인증에서 위험 식별은 연 1회 이상 수행.

  • 자산 가치 평가 기준: 기밀성(C)·무결성(I)·가용성(A) 3가지 영향도.

  • 📢 섹션 요약 비유: 취약점 스캐너는 집 안전 점검 드론이다. 드론이 자동으로 집 안 모든 창문·문·자물쇠를 스캔하여 열린 곳을 즉시 보고한다. 사람이 직접 확인하는 것보다 빠르고 누락이 없다.

Ⅴ. 기대효과 및 결론

기대효과내용
사각지대 최소화체계적 목록화로 누락 위험 감소
우선순위 기반 관리고위험 자산·위협 집중 관리
규제 준수ISMS-P, ISO 27001 요구사항 충족

AI 기반 위험 식별(AI Threat Intelligence)은 OSINT(공개 출처 정보)·다크웹·CVE 데이터베이스를 실시간 분석하여 신규 위협을 자동으로 식별하고 조직 자산과 연결하는 방향으로 발전하고 있다.

  • 📢 섹션 요약 비유: AI 위협 인텔리전스는 전 세계 범죄 정보를 실시간 수집하는 AI 탐정이다. 새로운 해킹 수법이 다크웹에 올라오면 즉시 탐지하여 "우리 회사가 이 공격에 취약한지" 자동으로 확인한다.

📌 관련 개념 맵

개념연결 포인트
자산위험 식별의 보호 대상
위협자산에 피해를 줄 수 있는 외부 요소
취약점위협이 자산에 도달하는 경로
STRIDE위협 분류 6종 모델
ISMS-P위험 식별 의무화 정보보호 인증 체계

📈 관련 키워드 및 발전 흐름도

[자산·위협·취약점 목록화 — 위험 식별 기본 활동]
    │
    ▼
[STRIDE / OWASP — 체계적 위협 분류 모델]
    │
    ▼
[자동화 스캔 (Nessus, OpenVAS) — 기술적 취약점 자동 탐지]
    │
    ▼
[ISMS-P / ISO 27001 — 위험 관리 체계 인증]
    │
    ▼
[AI 위협 인텔리전스 — 실시간 신규 위협 자동 식별]

👶 어린이를 위한 3줄 비유 설명

  1. 위험 식별은 집 점검이에요! 도둑(위협)이 들어올 수 있는 열린 창문(취약점)과 그 근처 귀중품(자산)을 목록으로 만들어요.
  2. STRIDE로 6종류 나쁜 행동(신분 사칭·위조·부인·유출·방해·권한 탈취)을 체계적으로 점검해요!
  3. AI가 전 세계 해킹 정보를 실시간으로 수집해서 새로운 위협을 자동으로 알려주는 시대가 됐답니다!