위험평가(Risk Assessment), 컨설팅 없이도 시작할 수 있는 단계별 가이드
안녕하세요. [ISO 인증 성공 파트너]입니다.
ISO 27001 인증 준비 과정에서 많은 담당자가 가장 막막해하는 단계가 바로 '위험평가(Risk Assessment)'입니다. 각종 방법론과 수식, 방대한 자산 목록 앞에서 전문가의 도움 없이 해낼 수 있을까 걱정부터 앞서게 됩니다.
하지만 위험평가의 본질은 결국 "우리 회사의 중요한 자산이 무엇이고, 어떤 위협에 노출되어 있으며, 이를 어떻게 보호할 것인가"를 스스로 파악하는 과정입니다.
오늘은 컨설팅의 복잡한 방법론을 걷어내고, 기업 자체 인력만으로도 당장 시작할 수 있는 실무형 위험평가 3단계 가이드를 정리해 드립니다.
1단계: 핵심 자산 식별하기 (모든 것을 지키려 하지 마라)
위험평가가 실패하는 가장 큰 이유는 회사에 있는 '모든' 자산을 평가하려 들기 때문입니다. 모든 것을 지키려는 것은 아무것도 지키지 못하는 것과 같습니다.
- 핵심 과제: 회사의 비즈니스에 치명적인 영향을 미칠 수 있는 핵심 정보 자산(Core Information Asset)부터 추려냅니다.
- 실천 팁 (자산 그룹핑):
- 노트북 100대를 각각 평가하지 마세요. '영업부서 노트북', '개발부서 노트북' 등 동일한 보안 정책이 적용되는 그룹 단위로 묶어 평가하세요.
- 가장 중요한 데이터(예: 고객 개인정보 DB, 소스코드 저장소, 회계 시스템)를 우선순위 최상단에 둡니다.
2단계: 위협(Threat)과 취약점(Vulnerability) 매핑하기 (시나리오 기반 접근)
자산을 식별했다면, 그 자산에 어떤 일이 벌어질 수 있는지 상상해야 합니다.
- 위협(Threat): 외부 해커의 공격, 직원의 실수, 화재 등 자산에 손실을 입히는 '사건'
- 취약점(Vulnerability): 백신 미설치, 약한 패스워드, 스프링클러 고장 등 위협이 발생하도록 돕는 '약점'
- 실천 팁 (시나리오 작성법):
막연하게 평가하지 말고 [자산] + [취약점]으로 인해 [위협]이 발생할 경우라는 시나리오를 만드세요.
예시: [고객 DB 서버]에 [패치 관리가 미흡]하여 [랜섬웨어 감염]이 발생할 수 있다.
3단계: 위험 크기 산정 및 조치 계획(RTP) 수립
마지막으로 각 시나리오의 위험도가 얼마나 큰지 평가하고, 이를 어떻게 처리할지 결정합니다.
- 위험도 산정 (단순화): [발생 가능성(상/중/하)] x [발생 시 피해 규모(상/중/하)]의 매트릭스를 활용하세요. 수치화에 너무 연연할 필요는 없습니다.
- 조치 계획 (Risk Treatment Plan): 수용 가능한 위험 수준(DoA)을 초과한 위험에 대해 4가지 조치 중 하나를 선택합니다.
- 감소(Reduce): 보안 솔루션 도입, 절차 개선 등 (가장 일반적)
- 회피(Avoid): 위험이 너무 커서 해당 서비스나 프로세스 자체를 폐기
- 전가(Transfer): 보험 가입, 외부 전문 업체에 위탁
- 수용(Accept): 조치 비용이 피해액보다 클 경우 경영진 승인 하에 위험 안고 가기
🤝 전문가의 한마디: 완벽함보다 지속성이 중요합니다
처음부터 완벽한 위험평가를 하려고 하지 마세요. 핵심 자산 위주로 빠르게 1회전(Cycle)을 돌려보고, 다음 해에 범위를 넓혀가며 고도화하는 것이 훨씬 실용적이고 ISO 표준이 권장하는 방식입니다.
자체적인 위험평가를 진행하시다가 막히는 부분이 있거나, 결과에 대한 객관적인 전문가 리뷰가 필요하시다면 언제든 문의해 주시기 바랍니다.
- Email: [npsol2010@gmail.com]