28. 정량적 위험 분석 (Quantitative Risk Analysis)

핵심 인사이트 (3줄 요약)

본질: 정량적 위험 분석(Quantitative Risk Analysis)은 보안 위험을 화폐 단위(원화/달러)로 수치화하여 경영진이 ROI 기반으로 보안 투자 의사결정을 내릴 수 있게 하는 방법론이다. ALE(연간 기대 손실) = SLE × ARO가 핵심 공식이다.

가치: 정성적 분석(High/Medium/Low)과 달리 정량적 분석은 "이 통제를 구현하면 연간 5억 원 손실을 막을 수 있다"는 명확한 비용-편익 근거를 제공한다. CISO가 경영진에게 보안 예산을 정당화하는 핵심 도구다.

판단 포인트: 정확한 자산 가치·위협 발생 확률 산정이 어렵다는 한계가 있다. 랜섬웨어 발생 빈도를 예측하기 어려운 경우 몬테카를로 시뮬레이션 등 확률 분포 기반 접근이 필요하다. 정성적 분석과 병행 사용이 권장된다.

Ⅰ. 개요 및 필요성

┌──────────────────────────────────────────────────────┐
│         정량적 위험 분석 핵심 공식                    │
├──────────────────────────────────────────────────────┤
│                                                       │
│  SLE (단일 예상 손실)                                 │
│    = 자산 가치 (AV) × 노출 계수 (EF)                  │
│                                                       │
│  ALE (연간 기대 손실)                                 │
│    = SLE × ARO (연간 발생 빈도)                       │
│                                                       │
│  예시: 서버 AV=10억, EF=50%, ARO=0.1 (10년에 1번)     │
│    SLE = 10억 × 0.5 = 5억                            │
│    ALE = 5억 × 0.1 = 5천만 원/년                      │
│    → 5천만 원 이하 통제 비용이면 투자 가치 있음        │
└──────────────────────────────────────────────────────┘

📢 섹션 요약 비유: 정량적 위험 분석은 보험 계리(Actuarial) 방법이다. 보험사가 "화재 발생 확률 × 예상 피해액 = 연간 기대 손실"로 보험료를 계산하듯, 기업은 보안 위협의 연간 기대 손실을 계산해서 적정 보안 투자액을 결정한다.

Ⅱ. 아키텍처 및 핵심 원리

주요 용어 정리

용어	영문	의미
AV	Asset Value	자산 가치 (원화)
EF	Exposure Factor	위협 발생 시 자산 손실 비율 (%)
SLE	Single Loss Expectancy	단일 사고 예상 손실액
ARO	Annual Rate of Occurrence	연간 위협 발생 빈도
ALE	Annual Loss Expectancy	연간 기대 손실액
ROSI	Return on Security Investment	보안 투자 수익률

ROSI 계산

ROSI = (ALE before - ALE after - 통제 비용) / 통제 비용 × 100%

예: ALE 5천만 → 통제 도입 후 1천만, 통제 비용 2천만
ROSI = (5천만 - 1천만 - 2천만) / 2천만 = 100%

📢 섹션 요약 비유: ROSI는 보안 투자의 ROI다. 2천만 원짜리 방화벽이 4천만 원의 잠재 손실을 막는다면 ROSI는 100% — 투자한 것의 두 배를 절약하는 셈이다.

Ⅲ. 비교 및 연결

비교	정량적 분석	정성적 분석
결과	화폐 단위 수치	High/Med/Low
정확성	데이터 의존	전문가 판단
경영진 설득	강력	보통
적용 시간	많음	적음

📢 섹션 요약 비유: 정량 vs 정성은 온도계 vs 체감온도다. 온도계(정량)는 정확한 수치를 주지만 측정이 복잡하고, 체감온도(정성)는 빠르게 판단하지만 주관적이다. 상황에 맞게 혼용한다.

Ⅳ. 실무 적용 및 기술사 판단

랜섬웨어 위험 분석 예시

자산: 핵심 ERP 서버, AV = 50억 원.
EF: 랜섬웨어 발생 시 복구 불가 40% → EF = 0.4.
ARO: 업종 통계상 연 0.2회 (5년에 1번).
SLE = 50억 × 0.4 = 20억.
ALE = 20억 × 0.2 = 4억 원/년.
통제: EDR + 오프라인 백업 비용 1억/년 → ROSI = (4억 - 0.5억 - 1억) / 1억 = 250%.
📢 섹션 요약 비유: 랜섬웨어 ALE 계산은 화재 보험 가입 여부 결정과 같다. "연간 4억 원 손실 위험이 있다면 1억짜리 방어 솔루션은 반드시 투자해야 한다"는 경영진 설득 논거가 된다.

Ⅴ. 기대효과 및 결론

기대효과	내용
예산 정당화	보안 투자의 재무적 근거
우선순위 결정	ALE 기준으로 위험 우선 처리
경영진 소통	화폐 단위로 C레벨 설득

AI·머신러닝을 활용한 동적 위험 계량화가 발전하고 있다. 위협 인텔리전스 피드와 ML 모델을 결합하여 ARO를 실시간으로 갱신하는 자동화 정량 위험 분석 플랫폼이 등장하고 있다.

📢 섹션 요약 비유: AI 동적 위험 분석은 자동 갱신 보험 계약이다. 과거 통계 대신 실시간 위협 데이터로 위험 확률을 매일 업데이트해서 정확한 보안 투자 금액을 자동으로 산출한다.

📌 관련 개념 맵

개념	연결 포인트
ALE	정량 위험 분석의 핵심 지표
정성적 위험 분석	정량 분석의 보완 수단
ROSI	보안 투자의 재무적 효과 측정
몬테카를로 시뮬레이션	확률 분포 기반 정량 분석
위험 처리 (AAMT)	수용·회피·완화·전가 전략

📈 관련 키워드 및 발전 흐름도

[정성적 위험 분석 — High/Med/Low 분류]
    │
    ▼
[정량적 위험 분석 — ALE = SLE × ARO]
    │
    ▼
[ROSI 계산 — 보안 투자 수익률 산정]
    │
    ▼
[몬테카를로 시뮬레이션 — 확률 분포 기반 분석]
    │
    ▼
[AI 동적 위험 계량화 — 실시간 위협 인텔리전스 기반]

👶 어린이를 위한 3줄 비유 설명

정량적 위험 분석은 "도둑이 들어올 확률"을 돈으로 계산하는 거예요! 1년에 얼마나 잃을지 금액으로 표현해요.
보안 장치 비용이 예상 손실보다 적으면 당연히 설치해야 해요 — 이게 ROSI(보안 투자 수익률)이에요!
이제 AI가 실시간으로 위협 확률을 계산해서 "오늘은 해킹 위험이 높으니 추가 보안이 필요해요"라고 알려준답니다!