핵심 인사이트 (3줄 요약)
- 본질: ARO(Annual Rate of Occurrence, 연간 발생률)는 특정 위협이 1년 동안 발생할 것으로 예상되는 횟수다. ALE = SLE × ARO 공식에서 핵심 변수로, 정확한 ARO 산정이 정량적 위험 분석의 신뢰성을 결정한다.
- 가치: ARO은 과거 사고 통계·산업 벤치마크·전문가 판단으로 추정한다. ARO = 1이면 매년 한 번, ARO = 0.1이면 10년에 한 번 발생 예상이다. 소수점 ARO가 가능하며 확률적 개념이다.
- 판단 포인트: ARO 추정의 가장 큰 도전은 데이터 부족이다. 조직 내부 사고 이력, NIST NVD(국가 취약점 DB), IC3(인터넷 범죄 신고센터), 산업별 사고 리포트(Verizon DBIR)를 ARO 추정의 주요 데이터 소스로 활용한다.
Ⅰ. 개요 및 필요성
ARO 예시:
랜섬웨어 감염: ARO = 0.3 (3년에 1번)
DDoS 공격: ARO = 2.0 (연 2번)
내부자 데이터 유출: ARO = 0.05 (20년에 1번)
화재: ARO = 0.02 (50년에 1번)
정전 (1시간+): ARO = 4.0 (연 4번)
ALE 계산:
랜섬웨어:
AV = 5억원, EF = 0.6, SLE = 3억원
ALE = 3억 × 0.3 = 9천만원/년
→ 1억원짜리 EDR+백업 솔루션 투자 타당 (절감 효과 있음)
- 📢 섹션 요약 비유: ARO는 보험 통계표다. 같은 나이·건강 상태의 사람이 1년에 몇 번 병원에 입원하는지 통계 기반으로 추정하듯, ARO는 특정 보안 사고가 1년에 몇 번 발생하는지 추정한다.
Ⅱ. 아키텍처 및 핵심 원리
위협 발생 가능성 분류 기준
| 발생 빈도 | ARO 범위 | 설명 |
|---|
| 매우 빈번 | ARO ≥ 10 | 일상적 위협 (스팸, 포트 스캔) |
| 빈번 | ARO 1~10 | 연간 수회 (피싱, DDoS 소규모) |
| 가능 | ARO 0.1~1 | 수년에 한 번 (랜섬웨어, 침해) |
| 드문 | ARO 0.01~0.1 | 수십 년에 한 번 (대형 재해) |
| 매우 드문 | ARO < 0.01 | 극히 드문 사고 |
신뢰할 수 있는 ARO 데이터 소스
외부 데이터:
- Verizon DBIR (Data Breach Investigations Report)
→ 산업별 침해 사고 유형·빈도 통계
- IC3 (Internet Crime Complaint Center, FBI)
→ 사이버 범죄 신고 통계
- NIST NVD → CVE 취약점 활용 빈도
내부 데이터:
- 자사 보안 사고 이력 (SIEM 로그)
- 인시던트 티켓 시스템
- 취약점 스캔 결과
전문가 판단:
- 침투 테스트 결과
- 위협 모델링 (STRIDE)
- 📢 섹션 요약 비유: ARO 데이터 소스는 의료 통계다. 내 개인 병원 기록(내부 사고 이력)과 국가 통계청 데이터(NIST, Verizon DBIR)를 결합해 정확한 발생 확률을 추정한다.
Ⅲ. 비교 및 연결
| 비교 | 정량적 (ARO/ALE) | 정성적 (매트릭스) |
|---|
| ARO | 숫자로 표현 | 높음/중간/낮음 |
| 신뢰도 | 데이터 의존 | 전문가 주관 |
| ROI 계산 | 가능 | 어려움 |
| 소통 | 경영진에게 설득력 | 직관적 이해 |
- 📢 섹션 요약 비유: 정량적·정성적 위험 분석은 날씨 예보 방식이다. 정량적("강수 확률 70%")은 정확하지만 계산이 필요하고, 정성적("비 올 것 같다")은 직관적이지만 부정확할 수 있다.
Ⅳ. 실무 적용 및 기술사 판단
위험 등록부(Risk Register)
| 위협 ID | 위협 유형 | ARO | AV | EF | SLE | ALE | 우선순위 |
|---------|----------------|------|-------|-----|--------|--------|----------|
| R-001 | 랜섬웨어 | 0.3 | 5억 | 0.6 | 3억 | 9천만 | 1 |
| R-002 | DDoS 공격 | 2.0 | 1억 | 0.3 | 3천만 | 6천만 | 2 |
| R-003 | 내부자 유출 | 0.05 | 10억 | 0.8 | 8억 | 4천만 | 3 |
ALE 높은 순서로 보안 투자 우선순위 결정
- 📢 섹션 요약 비유: 위험 등록부는 의료 우선순위 목록이다. 응급 환자(높은 ALE) 순서로 치료 우선순위를 정하듯, 위험 등록부는 보안 투자 순서를 ALE 기준으로 결정한다.
Ⅴ. 기대효과 및 결론
| 기대효과 | 내용 |
|---|
| 객관적 우선순위 | ALE 기반 투자 순위 결정 |
| 경영진 설득 | 금액으로 표현된 위험 |
| CISO 도구 | 보안 예산 정당화 |
TARA(Threat Agent Risk Assessment)와 CVSS(Common Vulnerability Scoring System)는 ARO 추정을 정교화하는 현대 프레임워크다. CVSS가 취약점의 악용 가능성(Exploitability)을 수치화하여 ARO 추정의 객관성을 높이고, AI 기반 위협 인텔리전스가 실시간 ARO를 동적으로 업데이트하는 방향으로 발전하고 있다.
- 📢 섹션 요약 비유: CVSS 기반 ARO는 날씨 예보 고도화다. 경험적 추측(전통 ARO)에서 위성 데이터 분석(CVSS/위협 인텔리전스)을 통한 정확한 강수 확률(ARO) 예측으로 발전한다.
📌 관련 개념 맵
| 개념 | 연결 포인트 |
|---|
| SLE·ALE | ARO를 활용한 정량적 위험 계산 |
| FAIR | ARO 개념 확장한 현대 위험 분석 |
| CVSS | 취약점 악용 가능성 → ARO 추정 |
| Verizon DBIR | ARO 추정 외부 데이터 소스 |
| TARA | 위협 에이전트 기반 ARO 분석 |
📈 관련 키워드 및 발전 흐름도
[위협 목록화 — 가능한 위협 유형 식별]
│
▼
[ARO 추정 — 통계·전문가 판단으로 연간 발생률]
│
▼
[SLE·ALE 계산 — 손실 기대값 정량화]
│
▼
[위험 등록부 — ALE 순위 기반 투자 우선순위]
│
▼
[동적 ARO — AI 위협 인텔리전스 실시간 업데이트]
👶 어린이를 위한 3줄 비유 설명
- ARO는 "1년에 몇 번 사고가 날까?" 예측이에요 — 0.1이면 10년에 한 번이에요!
- ARO × 피해액(SLE) = 연간 예상 손실(ALE)로 보안 투자 가치를 계산해요!
- Verizon DBIR 같은 통계 자료를 보면 실제 해킹 사고가 얼마나 자주 발생하는지 알 수 있어요!