168. 프로젝트 리스크 대응 전략 (Risk Response Strategies)

핵심 인사이트

본질: 프로젝트 리스크 대응 전략은 식별된 리스크의 확률과 영향을 줄이기 위한 4가지 방식—회피(Avoid), 전가(Transfer), 완화(Mitigate), 수용(Accept)—으로, 각 전략의 선택은 리스크 비용 대비 편익 분석에 따른다.

가치: 리스크를 사전에 분류하고 대응 계획을 수립하면, 리스크가 실제 문제(이슈)로 전환될 때 당황하지 않고 준비된 대응책을 실행할 수 있어 프로젝트 충격을 최소화한다.

판단 포인트: 잔여 리스크(Residual Risk)와 2차 리스크(Secondary Risk)를 구분하라—대응 후에도 남는 리스크(잔여)와 대응 조치 자체가 만들어내는 새 리스크(2차)는 별도로 등록·관리해야 한다.

Ⅰ. 개요 및 필요성

리스크 대응 전략은 PMBOK 리스크 관리(Risk Management) 지식 영역의 핵심 프로세스다. 리스크가 식별·분석된 후, 각 리스크에 대해 "어떻게 대응할 것인가"를 결정하는 단계다.

리스크 대응이 중요한 이유는 "모든 리스크에 동일한 자원을 투입하면 비효율적"이기 때문이다. 발생 확률이 낮고 영향이 작은 리스크를 완화하는 데 막대한 예산을 쓰는 것은 낭비다. 리스크 노출도(Risk Exposure = 확률 × 영향)를 기준으로 우선순위를 정하고, 각 리스크의 특성에 맞는 전략을 선택해야 한다.

PMBOK는 위협(Threat)에 대한 4가지 대응 전략과 기회(Opportunity)에 대한 4가지 대응 전략을 구분한다. 리스크는 부정적 사건(위협)뿐 아니라 긍정적 사건(기회)도 포함하며, 기회도 적극적으로 활용하는 전략이 필요하다.

📢 섹션 요약 비유: 리스크 대응 전략은 보험 선택과 같다. 집에 화재 보험(전가)을 드는 것과 소화기를 비치해 화재 위험을 줄이는 것(완화), 화재 위험이 있는 집을 사지 않는 것(회피), 소규모 도난을 감수하는 것(수용)은 모두 다른 전략이다.

Ⅱ. 아키텍처 및 핵심 원리

위협(Threat)에 대한 4대 대응 전략

┌────────────────────────────────────────────────────────────────┐
│           위협(Threat) 대응 전략                               │
├──────────────────┬─────────────────────────────────────────────┤
│  회피 (Avoid)    │ 리스크 원인 자체를 제거                    │
│                  │ → 범위 변경, 계획 수정, 기술 대체          │
│                  │ → 리스크 확률 = 0으로 만들기               │
│                  │ 예: 불안정한 외부 라이브러리 → 자체 구현  │
├──────────────────┼─────────────────────────────────────────────┤
│  전가 (Transfer) │ 리스크 영향을 제3자에게 이전               │
│                  │ → 보험, 외주 계약, 고정가 계약             │
│                  │ → 리스크 소유권이 이동 (제거 아님)          │
│                  │ 예: 불확실한 개발을 FP 계약으로 외주       │
├──────────────────┼─────────────────────────────────────────────┤
│  완화 (Mitigate) │ 발생 확률 OR 영향을 줄임                   │
│                  │ → 추가 테스트, 프로토타입, 여유 일정        │
│                  │ 예: 신기술 도입 전 PoC(개념 증명) 실시     │
├──────────────────┼─────────────────────────────────────────────┤
│  수용 (Accept)   │ 리스크를 그대로 받아들임                   │
│                  │ 소극적: 대응 계획 없음, 발생 시 임기응변   │
│                  │ 적극적: 비상 준비금(Contingency Reserve) 설정│
└──────────────────┴─────────────────────────────────────────────┘

기회(Opportunity)에 대한 4대 대응 전략

전략	설명	예시
활용 (Exploit)	기회가 반드시 발생하도록 조치	핵심 기술 보유 팀원을 해당 작업에 배정
강화 (Enhance)	기회 발생 확률 또는 영향 확대	파트너십으로 기회 포착 가능성 높임
공유 (Share)	기회 포착 역량이 있는 제3자와 협업	조인트 벤처, 파트너십
수용 (Accept)	기회를 적극적으로 추구하지 않음	기회가 작거나 비용이 클 때

리스크 매트릭스 (Risk Matrix)

      영향 (Impact)
       낮음    중간    높음
  ┌────────┬────────┬────────┐
높│        │        │        │
  │ 완화   │ 회피   │ 회피   │  리스크
확│        │        │        │  노출도
률│────────┼────────┼────────┤  = 확률
  │        │        │        │  × 영향
중│ 수용   │ 완화   │ 전가/  │
  │        │        │ 완화   │
  │────────┼────────┼────────┤
낮│        │        │        │
  │ 수용   │ 수용   │ 수용   │
  └────────┴────────┴────────┘

리스크 등록부 (Risk Register)

리스크 등록부 주요 항목:
  - 리스크 ID (R-001, R-002, ...)
  - 리스크 설명 (What, When, Where)
  - 범주 (기술, 자원, 외부, 조직적)
  - 발생 확률 (0.1 ~ 0.9)
  - 영향도 (1=낮음 ~ 5=높음)
  - 리스크 점수 (확률 × 영향)
  - 대응 전략 (Avoid/Transfer/Mitigate/Accept)
  - 대응 계획 (구체적 행동)
  - 리스크 오너 (담당자)
  - 잔여 리스크
  - 트리거 (리스크 발생 신호)
  - 상태 (활성/모니터링/종료)

📢 섹션 요약 비유: 리스크 매트릭스는 의사 결정 신호등이다. 확률이 높고 영향이 큰 빨간 등(회피/전가), 중간인 노란 등(완화), 낮은 초록 등(수용)으로 리스크 우선순위를 직관적으로 보여준다.

Ⅲ. 비교 및 연결

대응 전략 비교 상세

전략	리스크 소유	비용	적합 조건
회피 (Avoid)	없어짐	범위/계획 변경 비용	리스크 비용이 범위 변경 비용보다 클 때
전가 (Transfer)	제3자 이전	보험료/계약 프리미엄	특정 전문업체가 더 잘 관리할 수 있을 때
완화 (Mitigate)	유지 (줄임)	완화 활동 비용	완전 제거는 불가하지만 줄일 수 있을 때
수용 (Accept)	유지	준비금 (적극적)	비용 대비 대응 효과가 작을 때

잔여 리스크 vs 2차 리스크

잔여 리스크 (Residual Risk):
  대응 전략 실행 후에도 남아있는 리스크
  예: 완화 후에도 5% 실패 가능성이 남음
  → 별도 등록하고 지속 모니터링

2차 리스크 (Secondary Risk):
  대응 전략 자체가 만들어내는 새로운 리스크
  예: 외주(Transfer)로 납품 지연 리스크를 전가했지만
      외주 업체가 품질 기준을 못 맞출 새 리스크 발생
  → 새로운 리스크로 등록하고 별도 대응 계획 수립

📢 섹션 요약 비유: 잔여 리스크와 2차 리스크는 의사의 치료와 부작용 관계와 같다. 약(대응 전략)을 먹어도 병이 완전히 낫지 않을 수 있고(잔여), 약의 부작용으로 새 증상이 생길 수도 있다(2차). 둘 다 모니터링이 필요하다.

Ⅳ. 실무 적용 및 기술사 판단

리스크 대응 계획 프로세스

1단계: 리스크 식별 (Risk Identification)
   → 브레인스토밍, 체크리스트, SWOT 분석

2단계: 정성적 분석 (Qualitative Analysis)
   → 확률×영향 매트릭스로 우선순위화

3단계: 정량적 분석 (Quantitative Analysis)
   → 필요 시 몬테카를로 시뮬레이션, 기대화폐가치(EMV) 계산

4단계: 대응 계획 수립 (Response Planning)
   → 각 리스크별 전략 선택 및 구체적 행동 계획

5단계: 모니터링·통제 (Monitoring & Control)
   → 트리거 감시, 리스크 재평가, 잔여/2차 리스크 관리

기대화폐가치 (EMV, Expected Monetary Value)

EMV = 확률 × 화폐 영향

예시:
  리스크 A: 발생 확률 30%, 발생 시 손실 200만원
  EMV_A = 0.30 × (-200) = -60만원 (위협)

  기회 B: 발생 확률 20%, 발생 시 이익 500만원
  EMV_B = 0.20 × 500 = +100만원 (기회)

  비상 준비금 = 위협 EMV 합산 (최소 기준)
  의사결정 트리에서 최적 경로 선택에 활용

기술사 시험 판단 포인트

전가 ≠ 제거: 보험이나 외주로 리스크를 전가해도 리스크 자체는 사라지지 않는다—관리 책임이 이동할 뿐.
적극적 수용 = 비상 준비금: 단순 수용과 달리 비상 준비금(Contingency Reserve)을 확보하는 것.
잔여 vs 2차: 시험에서 "대응 후 남은 리스크"는 잔여, "대응으로 생긴 새 리스크"는 2차.
기회 전략: 위협 전가(Transfer)↔기회 공유(Share), 위협 수용↔기회 수용 (대칭 구조).

📢 섹션 요약 비유: 리스크 전가는 책임을 이웃에게 미루는 것이 아니라, 그 일을 더 잘 할 수 있는 전문가(보험사, 외주)에게 맡기는 것이다—책임이 이전되었을 뿐, 리스크는 여전히 어딘가에 존재한다.

Ⅴ. 기대효과 및 결론

리스크 대응 전략을 체계적으로 적용하면:

사전 대비: 리스크가 이슈로 전환될 때 준비된 대응책 실행으로 충격을 최소화.
예산 최적화: 고위험 리스크에 자원을 집중하고, 저위험 리스크는 수용으로 비용 절감.
이해관계자 신뢰: 리스크 투명 보고와 체계적 대응으로 신뢰를 구축.
기회 포착: 기회 리스크에 대한 전략으로 프로젝트 가치를 추가로 창출.

리스크 관리의 궁극 목표는 "리스크를 제거"하는 것이 아니라 "알려진 리스크는 계획 내에서 관리하고, 알려지지 않은 리스크를 최소화"하는 것이다. 프로젝트에서 리스크 없음은 존재하지 않는다—관리되지 않은 리스크만 있을 뿐이다.

📢 섹션 요약 비유: 리스크 대응은 날씨 대비와 같다. 비가 올 것 같으면 우산을 준비하고(완화), 폭풍이 예보되면 외출을 취소하고(회피), 홍수 보험을 드는 것(전가), 가랑비는 그냥 맞는 것(수용)—상황에 맞는 선택이 핵심이다.

📌 관련 개념 맵

개념	설명	연관 키워드
회피 (Avoid)	리스크 원인 제거, 계획 변경	범위 변경, 기술 대체
전가 (Transfer)	보험/외주로 제3자에게 이전	FP 계약, 보험
완화 (Mitigate)	확률 또는 영향 감소	PoC, 추가 테스트
수용 (Accept)	소극적/적극적(비상 준비금)	Contingency Reserve
리스크 등록부 (Risk Register)	리스크 목록·분석·대응 문서	PMBOK
잔여 리스크 (Residual Risk)	대응 후 남은 리스크	지속 모니터링
2차 리스크 (Secondary Risk)	대응 조치로 발생한 새 리스크	추가 등록 필요
EMV (Expected Monetary Value)	확률×화폐 영향, 비상 준비금 계산 기준	정량적 분석

👶 어린이를 위한 3줄 비유 설명

회피는 위험한 게임을 안 하는 것이고, 전가는 다른 친구에게 맡기는 것, 완화는 보호대를 착용해 다칠 위험을 줄이는 것, 수용은 "좀 다쳐도 괜찮아"하고 그냥 하는 것이에요.
리스크 등록부는 "혹시 이런 일이 생기면 어떻게 할까" 계획표예요 — 미리 써두면 실제로 그 일이 생겼을 때 당황하지 않아요.
2차 리스크는 약 먹고 나온 부작용처럼, 원래 문제를 해결하려다 새 문제가 생기는 것이에요 — 그것도 미리 생각해둬야 해요.