핵심 인사이트 (3줄 요약)

  1. 본질: 정성적 위험 분석(Qualitative Risk Analysis)은 위험을 High/Medium/Low 또는 1~5 척도로 정의하고 위협 발생 가능성(Likelihood)과 영향도(Impact)를 주관적으로 평가하여 위험 매트릭스(Risk Matrix)에 위치시키는 방법론이다.
  2. 가치: 정확한 자산 가치·발생 확률을 수치화하기 어려운 상황에서 빠르게 위험 우선순위를 도출한다. 전문가 인터뷰, 설문, 브레인스토밍으로 단기간에 전체 위험 지도를 그릴 수 있다.
  3. 판단 포인트: 정성적 분석의 한계는 주관성과 편향이다. "HIPAA 위반 위험이 High인가?"는 평가자마다 다를 수 있다. 정량적 분석과 병행하고, 위험 매트릭스 기준을 조직 차원에서 사전 정의해야 재현 가능한 결과를 얻을 수 있다.

Ⅰ. 개요 및 필요성

┌──────────────────────────────────────────────────────────┐
│              위험 매트릭스 (Risk Matrix)                   │
├──────────────────────────────────────────────────────────┤
│  영향도         가능성                                    │
│          ┌─────┬─────┬─────┐                             │
│  높음(H) │  M  │  H  │  H  │                             │
│  중간(M) │  L  │  M  │  H  │                             │
│  낮음(L) │  L  │  L  │  M  │                             │
│          └─────┴─────┴─────┘                             │
│           낮음   중간   높음                               │
│                                                           │
│  위험 = 가능성 × 영향도                                   │
│  H × H = 최고 위험 → 즉시 대응 필요                       │
│  L × L = 낮음 → 수용 가능                                 │
└──────────────────────────────────────────────────────────┘
  • 📢 섹션 요약 비유: 정성적 위험 분석은 날씨 예보 색상 경보다. 태풍(High 가능성+High 영향) = 빨간색 경보, 소나기(Low 영향) = 노란색, 맑음(Low) = 초록색. 정확한 강수량(수치)보다 "오늘 우산 필요한가?"(우선순위 판단)에 초점을 맞춘다.

Ⅱ. 아키텍처 및 핵심 원리

정성적 분석 프로세스

1단계: 자산 식별
  - 정보 자산·시스템·프로세스 목록화

2단계: 위협·취약점 식별
  - STRIDE, OWASP, CVE 기반
  - 브레인스토밍, 전문가 인터뷰

3단계: 가능성·영향도 평가 (1-5 또는 L/M/H)
  - 과거 사례, 업종 통계 참고
  - 전문가 합의 (Delphi 기법)

4단계: 위험 매트릭스 작성

5단계: 위험 처리 전략 결정
  - Accept / Avoid / Mitigate / Transfer

위험 처리 (AAMT)

전략의미예시
Accept수용 (Low 위험)연 1회 단순 장애 수용
Avoid회피 (활동 중단)위험 기능 비활성화
Mitigate완화 (통제 적용)방화벽·암호화 구현
Transfer전가 (보험·외주)사이버 보험 가입
  • 📢 섹션 요약 비유: 위험 처리 AAMT는 운전 시 도로 위험 대응이다. 수용(Accept)=작은 과속방지턱 그냥 통과, 회피(Avoid)=위험 도로 우회, 완화(Mitigate)=안전벨트·에어백 착용, 전가(Transfer)=자동차 보험 가입.

Ⅲ. 비교 및 연결

비교정성적 분석정량적 분석
표현H/M/L, 1~5화폐 단위
시간빠름느림
주관성높음낮음
경영진 설득보통강력
CISSP기본 도구고급 도구
  • 📢 섹션 요약 비유: 정성 vs 정량은 간단 체온 측정 vs 정밀 혈액 검사다. 체온계(정성)로 빠르게 이상 여부를 파악하고, 필요하면 혈액 검사(정량)로 정확한 진단을 내린다.

Ⅳ. 실무 적용 및 기술사 판단

ISO 27001 위험 평가

ISO 27001:2022 위험 관리 프로세스:
  1. 위험 평가 기준 수립 (기관별 H/M/L 정의)
  2. 위험 식별·분석·평가
  3. 위험 처리 계획 수립
  4. 위험 수용 기준 승인
  5. 주기적 재평가 (최소 연 1회)

NIST 800-30:
  Likelihood (1-5) × Impact (1-5) = Risk Level
  매트릭스 기반 우선순위 분류
  • 📢 섹션 요약 비유: ISO 27001 위험 평가는 연간 건강검진이다. 매년 주기적으로 조직의 보안 위험을 검진하고, 문제가 발견되면 치료(위험 처리)를 시행하며 결과를 기록한다.

Ⅴ. 기대효과 및 결론

기대효과내용
빠른 위험 지도단기간 전체 위험 현황 파악
우선순위 도출한정 예산 내 고위험 우선 처리
조직 합의전문가 합의 기반 공통 인식

AI 기반 자동화 정성적 위험 분석이 발전하고 있다. 위협 인텔리전스 피드, CVE 데이터베이스, 인터넷 노출 스캔을 자동 분석하여 실시간 위험 매트릭스를 생성하는 SIEM·SOAR 통합 플랫폼이 등장했다.

  • 📢 섹션 요약 비유: AI 자동 위험 분석은 실시간 건강 모니터링 앱이다. 웨어러블이 심박수·혈압을 실시간 측정하고 이상 징후를 즉시 알리듯, AI가 보안 위험 지표를 실시간 수집해서 위험 매트릭스를 자동 업데이트한다.

📌 관련 개념 맵

개념연결 포인트
위험 매트릭스가능성×영향도 시각화 도구
AAMT위험 처리 4가지 전략
ISO 27001정성적 위험 분석 표준
정량적 분석정성적 분석의 심화 보완
STRIDE위협 모델링 방법론

📈 관련 키워드 및 발전 흐름도

[위협 식별 — STRIDE, OWASP, 전문가 인터뷰]
    │
    ▼
[정성적 위험 분석 — 가능성×영향도 매트릭스]
    │
    ▼
[정량적 위험 분석 — ALE = SLE × ARO (화폐 단위)]
    │
    ▼
[위험 처리 — AAMT 전략 수립]
    │
    ▼
[AI 자동화 위험 분석 — 실시간 위협 인텔리전스 기반]

👶 어린이를 위한 3줄 비유 설명

  1. 정성적 위험 분석은 위험을 빨간색·노란색·초록색으로 표시하는 날씨 경보예요!
  2. 위험 매트릭스에서 빨간(High×High) 위험부터 먼저 처리하고, 초록(Low×Low)은 그냥 수용할 수 있어요!
  3. 수용(그냥 통과), 회피(우회), 완화(안전장치), 전가(보험) 4가지 방법으로 위험에 대응해요!