[CISA 이론 정리 - 1장] 4. 위험 관리 (1/2)

1) 위험(Risk)의 의의

(1) 위험의 일반적 특성

위험은 크게 목적과 자산 관점에서 정의할 수 있다.

• 목적 관점: 목적(Objectives) 달성에 부정적 영향을 주는 사건(event)이 발생할 가능성

• 자산 관점: 위협이 자산의 취약점을 악용해(exploit) 손실(loss)을 끼칠 가능성

IT 위험 관리에서는 위험을 주로 자산 관점에서 접근하며 일부 목적 관점을 가미한다.

일부 위험은 긍정적 영향을 주기도 하는 데 이를 투기적(speculative) 위험이라고 한다.

하지만 일반적인 프레임워크에서 위험은 부정적 영향만 주는 순(pure) 위험이다.

(2) 위험의 기본 요소

위험을 정의하는 5가지 요소는 다음과 같이 구분할 수 있다.

• 위험의 기본 요소 = 자산 × 위협 × 취약점

• 위험의 크기 = 영향 × 가능성

IT 위험 관리는 주로 자산 관점에서 위험을 정의한다.

위협(Threat)

∙ 자산(목적)에 손실을 발생시키는 주체, 원인, 행위, 사건, 사고 등

∙ 예) 해커, 횡령, 지진, 산불, 정전, 화재 등

자산(Asset)

∙ 조직이 보호할 가치가 있는 유용한 사람, 사물, 가치, 목적 등

∙ 예) 조직원, 시설, 금전, 경영 정보, 영업 비밀 등

취약점(Vulnerability)

∙ 위협이 자산에 손실을 발생시킬 수 있는 조건 및 기회

∙ 예) 직무 분리 미비, 취약한 인증 절차, 데이터 백업 부족 등

영향(Impact)

∙ 원치 않는 결과로 인한 경제적/비경제적 피해 및 부정적 영향

∙ 정성적 방법 및 정량적 방법으로 평가함

가능성(Possibility)

∙ 정성적 및 정량적으로 평가한 위협의 발생 가능성 또는 빈도

∙ 상대적 확률 또는 연간 발생 빈도로 표현함

2) 내부 통제와 잔여 위험

(1) 고유 위험, 완화된 위험, 잔여 위험

위험 관리와 관련한 세 가지 위험 개념은 다음과 같다.

고유 위험(Inherent Risk)

∙ 위험 관리 노력을 전혀 하지 않았을 때 존재하는 위험

∙ 조직의 업무 성격, 환경적 특성, 자산 구성 등에 따라 달라짐

∙ 조직의 성격과 자산 구성이 근본적으로 변하지 않으면 유지됨

완화된 위험(Mitigated Risk)

∙ 위험 관리 수준을 늘리면서 사라지거나 감소한 위험

∙ 다양한 수단을 통해 위험의 가능성이나 영향을 낮출 수 있음

∙ 관리 노력을 같은 크기만큼 늘려도 위험 완화의 속도와 폭은 감소함

잔여 위험(Residual Risk)

∙ 위험 관리 대책을 통해 위험을 완화하고도 여전히 남아 있는 위험

∙ 잔여 위험 = 고유 위험 – 완화된 위험

∙ 잔여 위험을 완전히 제거하는 것은 사실상 불가능함

위험(또는 잔여 위험) 곡선은 위험 관리 노력이 증가하면 우하향하는 것으로 이해된다.

 

고유 위험이 높은 조직은 위험 관리 노력의 수준이 같더라도 일반적으로 잔여 위험이 높다.

위험을 극단적으로 낮추려는 위험 관리 노력은 과도한 것이며 비경제적이다.

따라서 대부분의 위험 관리 접근법에서는 위험을 일정 수준까지만 낮추는 것을 목표로 한다.

(2) 용인 가능 위험 수준(ARL: Acceptable Risk Level) 또는 위험 허용도(tolerance)

용인 가능 위험 수준이란 조직이 감수할 수 있는 위험 수준으로서 위험 허용도라고도 한다.

적정한 위험 관리 수준은 잔여 위험이 허용 가능 위험 수준과 같아지는 수준이다.

 

(3) 위험 성향(appetite) 또는 위험 태도(attitude)

위험 성향이란 조직이 위험에 대해 보이는 민감성의 정도로서 위험 태도라고도 한다.

위험 성향은 위험 선호형(taking), 중립형(neutral), 회피형(avoiding)으로 크게 나눈다.

위험 회피형 조직일수록 용인 가능 위험 수준은 낮아지며 적정 위험 관리 수준은 높아진다.