콘텐츠로 바로가기
HY_TECH_BASE

Risk Management & Assessment

보안 리스크 관리(Risk Management)와 위험 평가(Risk Assessment)의 정량화 물리, 평가 방법론, 대응 전략을 다룹니다.

sys.entry
M

Me

hyunyoun's Blog

posts6 min read

1. Overview

리스크 관리 및 평가(Risk Management & Assessment, RMA)는 조직의 물리적 자산과 수리적 정보가 직면한 위협을 식별하고, 사고 발생 시의 기대 손실액을 수치적으로 산출하여 최적의 보안 투자를 결정하는 '보안 의사결정 물리학'입니다.

학습자는 정보 자산의 가치를 수치화하고, 취약점과 위협의 결합 확률을 계산하는 정량적 위험 분석(Quantitative Analysis) 수순을 배웁니다. 특히, 연간 기대 손실액인 **ALE(Annual Loss Expectancy)**의 수리적 도출 과정과, 위험을 수용할지 혹은 기술적 통제(Countermeasure)를 통해 완화할지 결정하는 거버넌스 로직을 익힙니다. 이를 통해 막연한 공포가 아닌, 수치적 근거에 기반하여 보안 투자의 ROI(Return on Investment)를 극대화하는 하이엔드 전략 역량을 확보합니다.

2. Scope & Boundaries

In-Scope

  • Asset Discovery & Valuation: 하드웨어 및 소프트웨어 자산의 물리적 식별 및 수리적 가치 평가
  • Threat & Vulnerability Analysis: 위협 주체의 공격 확률과 시스템 취약점의 수치적 매핑
  • Quantitative Risk calculation: SLE(단일 손실액), ARO(발생 빈도), ALE(연간 기대 손실)의 수리적 연산
  • Risk Treatment Strategies: 수용(Accept), 완화(Mitigate), 전가(Transfer), 회피(Avoid)의 물리적 집행 기준
  • BIA & Continuity Foundations: 장애의 수평적 파급력을 수치화하는 비즈니스 영향 분석 기초

Out-of-Scope

  • 보안 시스템의 기술적 상세 구현 및 코딩 (10-02-0X 구역에서 분담)
  • 단순한 자산 관리 창고 관리 시스템 운영 (09-06-0X 구역에서 분담)

Boundaries

  • RMA vs. Incident Management: 사고 대응(10-04-03)이 '이미 터진 불을 끄는 물리 작업'이라면, RMA는 '불이 어느 확률로 날지 계산하고 방화벽 수치를 미리 정하는' 사전 설계 물리학에 집중합니다.

3. Counterexample

  • 단순히 "위험한 것 적어보기"라 설명하는 것은 RMA 학습이 아닙니다. 왜 **정성적 분석(Qualitative)**만으로는 경영진에게 보안 예산의 수리적 정당성을 확보하기 어려운지 증명할 수 있어야 하며, **잔여 위험(Residual Risk)**의 수치가 조직의 위험 수용 한계(Risk Appetite)를 물리적으로 넘었을 때 발생하는 거버넌스 붕괴를 논증하지 못한다면 리스크 관리의 본질을 이해하지 못한 것입니다.

4. Prerequisites

  • Security Governance (Basic): 10-05-01의 보안 전략 및 조직 체계 이해가 필수입니다.
  • Probability & Statistics (Recommended): 위험 발생 확률의 수치적 모델링을 위한 수리 기초가 권장됩니다.

5. Learning Map

  1. Asset Profiling: 보호해야 할 물리적 실체와 데이터의 수리적 가치를 전수 측정합니다.
  2. Probability of Failure: 취약점과 위협이 만나는 수치적 접점(Potential)을 확률로 도출합니다.
  3. The Math of Loss: 사고 시 잃게 될 연간 기대 손실(ALE)을 화폐 수치로 정량화합니다.
  4. Strategy Optimization: 가성비(ROI)가 가장 높은 보안 통제 수치를 선택하여, 리스크를 하이엔드 정렬(Alignment)합니다.

6. Learning Topics

Basic

Core: 자산 식별과 위협 모델링 (Asset & Threat Identification)

  • Why to Learn: 무엇을 지켜야 하는지 수치화하지 못하면, 어디에 방패를 세울지도 물리적으로 정할 수 없기 때문입니다.
  • What to Learn:
    • Information Assets: 데이터, 하드웨어, 인력 등 보안 수치에 영향을 주는 모든 요소
    • Vulnerability vs. Threat: 시스템적 약점과 이를 노리는 외부 물리적 힘의 구분
  • How to Learn:
    • 내 PC의 폴더별 중요도를 0~10의 수치로 매기고, 유출 시 피해액을 직접 산출해 보는 실습
  • Implement: 특정 시스템의 자산 가치를 수리 입력받아 보안 등급을 뱉는 ValueProcessor

Core: 정량적 위험 분석과 ALE (Quantitative Risk Physics)

  • Why to Learn: "매우 위험함"이라는 말보다 "연간 10억 손실"이라는 수치가 보안 예산을 확보하는 물리적 설득력이 크기 때문입니다.
  • What to Learn:
    • SLE (Single Loss Expectancy): 자산 가치 * 노출 계수(EF)의 수치
    • ALE (Annual Loss Expectancy): SLE * 연간 발생률(ARO)의 수리적 결과
  • How to Learn:
    • 클라우드 서버 1대가 디도스로 1시간 마비될 때의 SLE를 계산하고, 연간 3회 발생 시의 ALE 도출 실습
  • Implement: 자산 수치를 입력하면 ALE와 TCO를 대조하여 순이익을 계산하는 RiskCalculator

Practical

Core: BIA와 연속성 전략 (BIA & Resilience Tactics)

  • Why to Learn: 리스크 평가 결과, 수용 불가능한 위험에 대해 하드웨어 복구 목표(RTO/RPO)를 수치적으로 설정하기 위함입니다.
  • What to Learn:
    • BIA (Business Impact Analysis): 장애 시 발생하는 물리적 손실의 시계열 분석
    • RTO & RPO: 시스템을 살려내야 하는 수리적 골든타임 수치
  • How to Learn:
    • 가상의 서비스 시나리오에서, 매출 하락 수치를 토대로 목표 RTO를 물리적으로 도정하는 훈련
  • Implement: 목표 수치를 초과하는 장애 발생 시 경보 수치를 뱉는 ContinuityMonitor

Advanced

Core: 전사적 리스크 거버넌스 (Enterprise Risk Strategy)

  • Why to Learn: 개별 하드웨어 보안을 넘어, 조직 전체의 비즈니스 목표와 보안 수치를 수리적으로 일치(Business Alignment)시키기 위함입니다.
  • What to Learn:
    • Risk Appetite: 조직이 물리적으로 감당할 수 있는 위험의 수치적 총량
    • Optimization Analysis: 통제 비용(Cost)과 보호 가치(Benefit)의 수리적 최적점 도출
  • How to Learn:
    • 여러 보안 대안들의 ROI를 비교하고, 한정된 예산($) 내에서 가장 높은 방어 수치를 달성하는 포트폴리오 설계 실습
  • Implement: 다중 위험 인자를 시뮬레이션하여 최적의 방어 전략을 추천하는 StrategyOptimizer

7. Terminology

Term (EN / ko, abbr) 1문장 정의 단계(기본/권장/실무/심화) 역할/맥락 관련 개념 유사/대비/함께 사용 오해 포인트 Evidence(Primary/Secondary/Industry) Flags(core)
ALE 자산의 연간 기대 손실액으로, 보안 투자 규모를 수리적으로 정당화하는 핵심 수치입니다. 권장 의사결정 SLE / ARO ROI 단순 피해액이 아닌 연간치 P3:CyBOK core
Vulnerability 위협이 하드웨어 시스템에 물리적으로 침투할 수 있는 통로가 되는 수리적/논리적 결함입니다. 기본 약점 식별 Threat / Asset Exploit 위협 그 자체와 다름 Industry core
Risk Appetite 조직이 비즈니스 목표 달성을 위해 유지하고자 하는 수리적 위험 감수 수치입니다. 심화 전략 수립 Residual Risk Acceptance 모든 위험을 다 막는 게 아님 Industry core
BIA 비즈니스 기능별 업무 중단 시의 물리적/수리적 파급력을 분석하여 복구 우선순위를 정하는 공정입니다. 실무 연속성 RTO / RPO Business Continuity 기술적 복구와 무관할 수 있음 P3:CyBOK core

8. References

Primary

Secondary

  • [ISO/IEC 27005<2022> Information security, cybersecurity and privacy protection - Guidance on management of information security risks] — International standard.
  • [NIST SP 800-30: Guide for Conducting Risk Assessments] — Technical benchmark.

Industry

  • [OCTAVE Allegro: A Practical Guide for Improving Information Security Risk Assessment] — Methodology manual.
  • [FAIR: Factor Analysis of Information Risk] — Quantitative risk modeling framework.

9. Final Checklist

Primary

  • '정성적 분석'과 '정량적 분석'의 수리적 차이를 설명하고 각각의 물리적 적용 한계를 기술할 수 있는 가? (P3)
  • '위험 완화(Mitigation)' 비용이 '자산 가치'를 수치적으로 넘었을 때의 전략적 대안(전가 등)을 제정할 수 있는 가? (P5)

Secondary

  • ARO(연간 발생률) 수치를 조정함으로써 ALE 결과값이 수리적으로 어떻게 민감하게 반응하는지 감도 분석(SensitivitySensitivity AnalysisAnalysis)을 수행 가능한가?
  • Residual Risk 수치가 조직의 수용 한계를 넘었을 때, 추가적인 하드웨어 통제 수순을 물리적으로 설계할 수 있는 가?

Industry

  • 실무 환경에서 '자산 중요도'에 따른 수치 범주화(Critical/High/Medium/Low) 기제와 이에 따른 물리적 검토 주기를 제안할 수 있는 가? (ISO)
  • OCTAVEFAIR 방법론이 리스크의 수리적 정밀도를 높이는 물리적 워크플로우를 분석할 수 있는 가?

Concepts & Tags

#risk-management#risk-assessment#bia#ale-sle#mitigation