Quick Overview with ChatGPT 🤖 기업에 필수적인 효과적인 위험 관리 전략은 IT 위험을 정량화하고 우선순위를 정하며 대응하는 데 중점을 둡니다. 위험 관리의 주요 요소로는 위험 공식, 위험 행렬, 위험 허용 한계, 그리고 위험 등록부가 있으며, 각 위험에 대한 대응 방법으로는 감소, 수용, 회피, 공유, 이전이 있습니다. 기업은 다양한 IT 위험(사이버 공격, 실수, 소프트웨어 및 하드웨어 장애, 규정 준수 및 공급망 문제 등)에 직면하므로, 이를 위해 위험을 평가하고 우선순위를 정하는 과정은 매우 중요합니다. |
효과적인 위험 관리 전략은 오늘날 모든 기업에 필수적입니다. 하지만 위험이란 정확히 무엇이고, 기업에서 위험을 정량화하고 우선순위를 정하고 관리하려면 어떻게 해야 할까요? 이 글에서는 특히 IT 위험에 중점을 둔 위험 관리 전략을 살펴봅니다. 위험 공식, 위험 행렬, 위험 등록부, 위험 허용 한계와 같은 핵심 개념을 다루고 특정 위험에 대응하기 위한 5가지 주요 옵션을 알아봅니다. 마지막으로, 프로젝트 제안서를 작성하거나 평가할 때 위험 관리 전략에 대한 이러한 이해를 어떻게 활용할 수 있는지 살펴보겠습니다.
🚨‘위험’이란?
위험의 의미는 정확히 무엇일까요? 넓은 의미로 위험은 나쁜 일이 일어날 가능성입니다. IT의 맥락에서 위험은 데이터 손실, 운영 중단, 고객 이탈, 소송, 규제 기관의 벌금 부과와 같은 계획되지 않은 부정적인 비즈니스 결과로 이어지는 정보 기술의 장애 또는 오용 가능성을 의미합니다. IT 위험의 종류는 매우 다양하지만 가장 일반적인 위험은 다음과 같습니다.
사이버 공격 위험 – 일반적으로 가장 먼저 떠오르는 IT 위험은 의도적인 공격입니다. 예를 들어 악의적 행위자는 피싱 캠페인을 사용해 네트워크에 랜섬웨어를 심어 돈을 갈취하고 서비스 거부(DoS) 공격을 감행하여 기업 웹사이트나 서비스를 중단시키고 민감한 데이터를 훔쳐 경쟁사에 판매할 수 있습니다.
실수 위험 – 과중한 업무에 시달리거나 교육을 제대로 받지 못한 또는 부주의한 사용자 역시 많은 비용을 초래하는 실수를 저지를 수 있으므로 또 다른 중요한 위험입니다. 예를 들어 직원이 엉뚱한 수신자에게 이메일 첨부 파일을 보내 민감한 데이터를 유출할 수 있습니다. IT 전문가의 경우 위험도가 더욱 높습니다. 방화벽 또는 클라우드 서비스를 잘못 구성해서 사이버 범죄자가 네트워크에 침입할 수 있도록 하거나, 충분히 보호되지 않는 시스템에 특권 자격 증명을 사용해 로그인해서 이러한 자격 증명을 유출할 수 있기 때문입니다.
소프트웨어 위험 – 소프트웨어 버그, 잘못된 구성 및 호환성 문제는 많은 비용을 초래하는 시스템 다운타임, 보안 침해, 비즈니스 중단으로 이어질 수 있습니다. 정기적인 패치와 업데이트로 이 위험을 완화할 수 있지만 공격자 역시 솔루션 업체가 제로데이 취약점을 수정하기 전에 소프트웨어 결함을 찾고 이를 악용하기 위해 부지런히 노력합니다.
하드웨어 위험 – 서버, 워크스테이션, 네트워킹 장비를 비롯한 IT 인프라의 물리적 구성요소는 오작동하거나 아예 고장 날 수 있습니다. 또한 파괴 또는 도난도 발생할 수 있습니다.
노후화 위험 – 더 이상 유지 관리 및 지원되지 않는 기술은 침해와 장애 위험이 커집니다.
규정 준수 위험 – 규정과 표준을 준수하지 못할 경우 규제 기관으로부터 막대한 벌금과 기타 처벌을 받을 수 있습니다.
혁신 위험 – 새로운 기술 솔루션과 프로세스를 채택하는 경우 배포 및 통합 문제를 해결하기 위한 예상치 못한 비용이 발생하거나 시장 반응이 좋지 않아 비즈니스 손실이 발생할 수도 있습니다.
공급망 위험 – 기업은 공급망 곳곳의 사이버보안 문제에 따른 위험에도 노출됩니다. 공급업체, 파트너 또는 서비스 제공업체에서 발생한 침해 또는 실수로 인해 생산이 지연되고 제품 품질이 저하되거나 데이터 손실 및 다운타임이 발생할 수도 있습니다.
💡위험을 정량화하고 우선순위를 정하는 방법
IT 위험 관리의 첫 번째 단계는 위험을 평가하고 우선순위를 정하는 것입니다.
위험 공식
위험 계산을 위한 표준 공식은 다음과 같습니다.
위험=가능성×심각성
이 공식에서 가능성은 특정 이벤트가 발생할 확률, 심각성은 이벤트가 실제 발생할 경우 기업이 받는 피해 또는 영향입니다.
기업에서는 이 위험 공식을 어떻게 사용할까요? 일부 기업은 정량적 접근 방법을 취해 가능성에 백분율 값을, 심각성에 금전적 값을 할당합니다. 그러나 이 글에서 살펴볼 정성적 접근 방법도 사용할 수 있습니다.
위험 행렬
정성적 접근 방법에서 가능성과 심각성은 숫자로 표현되지 않으므로 위험도 곱셈 연산으로 계산되지 않습니다. 대신 가능성, 심각성, 위험은 모두 별개의 범주 집합으로 표현됩니다. 예를 들어 가능성의 범위는 희박함부터 거의 확실까지, 심각성은 미미함부터 치명적임까지입니다.
이벤트의 가능성과 심각성이 평가된 다음 기업은 아래와 같은 위험 행렬을 사용해서 관련된 위험을 파악합니다. 이 위험 행렬에서 이벤트에 대해 가능한 위험 값은 낮음, 보통, 높음, 매우 높음입니다.
여기서 볼 수 있듯이 이벤트 발생 가능성이 높고 그 영향이 심각할수록 그 결과인 위험 값도 높아집니다. 여기서 위험은 매우 위험 범주로 분류되며 빨간색으로 표시되고 행렬의 오른쪽 상단에 군집을 이룹니다.
반면 이벤트가 가능하더라도 그 영향이 미미한 경우 위험 등급은 낮음이 됩니다. 비슷한 맥락에서 이벤트가 드물게 발생할 것으로 예상되는 경우라 해도 발생 시 영향이 크거나 치명적이면 관련 위험은 낮지 않습니다.
내재적 위험과 잔여 위험
기업은 이와 같은 위험 행렬을 적용함으로써 다양한 이벤트와 관련된 내재적 위험을 판단할 수 있습니다. 그러나 IT 위험 관리의 목표는 단순히 내재적 위험을 측정하는 것이 아니라 기업의 위험 태세를 개선하기 위한 전략적 조치를 취하는 것입니다.
기업은 선택한 통제, 프로세스 및 기타 조치를 구현함으로써 이벤트의 가능성 또는 심각성을 낮출 수 있으며 이를 통해 잔여 위험을 더 용인 가능한 수준으로 통제할 수 있습니다. 예를 들어 이메일 필터링을 구현하면 피싱 메시지가 사용자에게 도달할 가능성을 줄일 수 있으며 MFA(Multi-factor Authentication)을 요구하면 도난된 비밀번호에 따른 영향을 낮출 수 있습니다.
위험 등록부
기업은 광범위한 이벤트에서 발생하는 위험에 직면합니다. 따라서 위험 등록부를 유지하는 것이 IT 위험 관리의 핵심 모범 사례입니다. 위험 등록부는 식별된 모든 위험, 그리고 이 위험을 정량화하고 우선순위를 지정하는 세부적인 방법이 기록된 자료입니다. 스프레드시트나 데이터베이스를 사용하여 위험 등록부를 작성하면 위험을 그룹으로 묶어 검토하고 특정 위험이 더 광범위한 위험 환경에 어떻게 속하는지 보다 쉽게 파악할 수 있습니다.
위험 허용 한계
위험 관리를 위한 로드맵을 만들기 위해서는 위험을 평가하고 등급으로 분류된 범주에 할당해야 하지만 그것으로 충분한 것은 아닙니다. 또 다른 중요한 요소인 위험 허용 한계(위험 성향이라고도 함)에 대해서도 알아야 합니다. 위험 허용 한계는 기업에서 다양한 위험 수준을 얼마나 용인할 수 있는지를 의미합니다. 실무 관점에서 위험 허용 한계는 기업이 위험 등록부의 위험에 어떻게 대응할지 결정하는 데 도움이 됩니다.
위험 허용 한계에 “정답”은 없습니다. 어느 한 회사가 충분하다고 여기는 위험 허용 한계가 다른 회사에서는 수용할 수 없는 수준일 수 있습니다. 개별 투자자가 포트폴리오에서 주식과 채권을 서로 다른 비율로 할당할 수 있는 것과 마찬가지입니다. 위험 허용 한계의 핵심 요소는 부정적 이벤트가 미치는 영향에 대한 기업의 회복탄력성입니다. 예를 들어 특정 시장에서 지배적 위치에 있는 기업이라면 고객 기반을 확보하기 위해 애쓰는 작은 회사에 비해 평판 손상에 대한 우려 수준이 더 낮을 것입니다.
💡위험 관리 전략
기업이 주어진 위험에 대해 선택 가능한 대응 방법은 크게 다음의 5가지입니다.
감소 - 5가지 위험 관리 전략 중에서 가장 명확한 전략은 부정적인 이벤트의 발생 가능성 또는 그 영향을 줄이기 위한 조치를 취하는 것입니다. 많은 IT 보안 통제 수단이 감소에 해당합니다. 예를 들어 견고한 패치 관리 프로세스를 구현하면 적대적 세력이 알려진 취약성을 악용할 가능성이 줄어들고, 강력한 비밀번호 관리 정책을 도입하면 사용자 계정이 침해될 가능성이 줄어듭니다.
수용(유지) - 또 다른 옵션은 특정 위험에 대해 아무것도 하지 않기로 선택하는 것입니다. 단, 위험을 수용하는 것은 무시하는 것과는 다릅니다. 수용은 모래 속에 머리를 파묻는 것이 아니라 의식적인 의사 결정입니다. 수용은 특히 위험도가 낮은 이벤트에 대해 실용적인 선택입니다. 예를 들어 바다에서 멀리 떨어진 곳에 위치한다면 허리케인이 데이터 센터에 타격을 입힐 내재적 위험이 매우 낮고 따라서 허리케인에 대응하기 위해 비용을 지출할 가치가 없다고 결정할 수 있습니다. 위험 수용을 선택하는 또 다른 타당한 이유는 그 외의 다른 옵션에 너무 많은 비용이 드는 경우입니다(여기서 “너무 많다”는 기준은 기업의 위험 허용 한계에 따라 크게 달라짐).
회피 - 세 번째 위험 관리 전략은 부정적인 특정 이벤트의 가능성을 피하는 것입니다. 예를 들어 EU 거주자의 개인 데이터를 수집 또는 처리하지 않음으로써 GDPR 규제 대상 데이터 침해 위험 및 이와 관련된 처벌을 피하거나, 소프트웨어를 배포하는 데 필요한 로컬 관리자 권한을 부여하지 않음으로써 사용자가 디바이스에 맬웨어를 설치할 위험을 피할 수 있습니다.
공유 – 위험을 여러 개체로 분산해서 공유하는 방법을 선택할 수 있습니다. 예를 들어 기업은 특정 서비스를 제공하는 데 내재된 위험을 전문 지식 또는 장비를 갖춘 파트너 또는 하청업체와 공유할 수 있습니다.
이전 - 5가지 위험 관리 전략 중 마지막 전략은 위험을 이전하는 것입니다. IT 위험을 이전하는 가장 일반적인 방법은 사이버 보험 가입입니다. 보험에 가입하면 사고 발생 시 보험사가 피해 복구 비용을 지불합니다.
위험의 종류에 따라 사용할 수 없는 옵션도 있습니다. 예를 들어 회피가 불가능한 위험도 있고, 공유나 이전이 불가능한 위험도 있습니다.
여러 위험 관리 전략의 혼합
경우에 따라서는 두 가지 이상의 IT 위험 관리 전략을 결합해서 특정 위험에 대처할 수 있습니다. 예를 들어 보안 침해 및 다운타임 가능성이 높은 경우 사이버 보험사에 위험을 이전하는 비용이 상당히 높을 수 있습니다. 또한 모든 위험을 이전하는 것은 현실적으로 불가능합니다. 보험 정책에는 거의 항상 많은 예외 조항이 있기 때문입니다.
따라서 기업은 다음과 같이 여러 위험 관리 전략을 결합해서 사용하는 경우가 많습니다.
프로젝트 개발 또는 평가에 위험 관리 전략 적용하기
위험 관리 전략에 대한 이 포괄적인 이해를 사용하여 더 효과적인 프로젝트 제안서를 작성하고 비즈니스를 위해 더 효과적으로 제안을 평가할 수 있습니다. 다음과 같은 네 가지 요소에 주의를 기울여야 합니다.
프로젝트에서 대처할 위험
기업의 위험 등록부에 있는 항목 중에서 프로젝트가 다루는 항목은 무엇인가요? 또는 지금까지 간과했지만 이제는 평가하고 우선순위를 정해 위험 등록부에 추가해야 할 위험을 다룰 수도 있습니다.
필요한 맥락을 파악하는 좋은 방법은 동종 업계의 다른 회사에서 발생한 침해 및 기타 사고를 살펴보는 것입니다. 근본 원인과 기여 요소, 그 결과로 발생한 피해의 유형과 범위에 대해 최대한 많은 내용을 알아보십시오. 그런 다음 “우리 기업에서 이와 비슷한 사고가 어떤 식으로 발생할 수 있는가? 발생하지 않도록 방지하기 위해, 또는 피해를 완화하기 위해 우리는 취할 수 있는 다른 방법은 무엇인가?”를 자문하십시오.
프로젝트가 위험을 처리하는 방법
일반적으로 IT팀은 위험 감소 대응에 집중합니다. 그러나 기업에는 위험 공유, 회피 또는 수용과 같은 다른 옵션도 있다는 점을 기억하십시오. 제안서에는 어떤 위험 관리 전략을 제시하는지, 정확히 어떤 방법으로 위험에 대처할 것인지가 자세히 나와 있어야 합니다.
위험에 대한 영향과 추정 비용이 각기 다른 여러 가지 대응 옵션을 고려하는 것이 좋습니다. 이 접근 방식은 경영진의 위험 성향을 이해하는 데 도움이 될 수 있습니다.
제안이 해당 위험에 비례하는지 여부
제안이 해결하고자 하는 위험의 심각성에 비례하는 것도 중요합니다. 즉, 위험을 평가하는 데 사용되는 두 가지 요소인 가능성과 심각성을 고려해야 합니다. 예를 들어 발생할 가능성이 매우 낮거나 발생 시 피해 규모가 1,000달러에 불과한 이벤트의 발생 위험을 줄이기 위해 1,000만 달러를 지출하자는 제안은 아마 아무런 가치도 없을 것입니다.
가능성과 심각성, 혜택에 대한 근거를 확보하려면 비슷한 과제를 겪은 동료 및 동종 업계 종사자와 경험에 대해 이야기하십시오. 제안에서 대처하는 위험이 다른 기업에서 많은 비용을 초래한 침해 또는 다운타임으로 이어진 사례를 자세히 다룬 기사를 찾으십시오. 또한 비슷한 위험 관리 전략을 채택한 프로젝트에서 어떻게 성공적으로 위험에 대처했는지에 대한 사례 연구도 찾아보십시오.
프로젝트가 더 넓은 범위의 IT 위험 관리 전략에 어떻게 부합하는가
IT 위험 관리 전략에 투자할 수 있는 기업의 자금은 한정되어 있습니다. 따라서 제안서는 제안의 본질적인 장점만으로 평가되는 것이 아니라 다른 위험 관리 전략과 비교하여 평가되기도 합니다. 의사 결정자는 핵심적인 위험에 대처하는 프로젝트, 특히 그 과정을 비용 효율적으로 수행하는 프로젝트를 우선시합니다.
따라서 해당 프로젝트가 어떻게 기업의 사이버보안과 사이버 회복탄력성 태세를 대폭 개선하고 확실한 투자 회수를 제공하는지를 면밀히 고려하십시오. 간단히 말해 기업의 위험 등록부 및 위험 허용 한계와 일맥상통하는지를 확인해야 합니다.
결론
모든 기업은 다양한 위험에 직면합니다. IT 위험은 의도적인 사이버 공격과 값비싼 비용을 초래하는 실수부터 소프트웨어 및 하드웨어 위험, 규정 준수와 공급망 위험에 이르기까지 다양합니다. 효과적인 위험 관리 전략을 개발하기 위해서는 위험을 측정하고 우선순위를 지정하고 기록할 방법, 그리고 이에 대응하기 위한 5가지 핵심 옵션(감소, 수용, 회피, 공유, 이전)에 대해 정확히 이해하고 있어야 합니다. 이 정보를 갖추면 기업은 사이버보안과 사이버 회복탄력성을 개선하는 합리적인 의사 결정을 내릴 수 있습니다.
위험 관리에 어려움을 겪고 계시거나 전략 수립 시 궁금한 점이 있으시면 언제든 퀘스트소프트웨어코리아로 문의주시기 바랍니다.
Quick Overview with ChatGPT 🤖
기업에 필수적인 효과적인 위험 관리 전략은 IT 위험을 정량화하고 우선순위를 정하며 대응하는 데 중점을 둡니다. 위험 관리의 주요 요소로는 위험 공식, 위험 행렬, 위험 허용 한계, 그리고 위험 등록부가 있으며, 각 위험에 대한 대응 방법으로는 감소, 수용, 회피, 공유, 이전이 있습니다. 기업은 다양한 IT 위험(사이버 공격, 실수, 소프트웨어 및 하드웨어 장애, 규정 준수 및 공급망 문제 등)에 직면하므로, 이를 위해 위험을 평가하고 우선순위를 정하는 과정은 매우 중요합니다.
효과적인 위험 관리 전략은 오늘날 모든 기업에 필수적입니다. 하지만 위험이란 정확히 무엇이고, 기업에서 위험을 정량화하고 우선순위를 정하고 관리하려면 어떻게 해야 할까요? 이 글에서는 특히 IT 위험에 중점을 둔 위험 관리 전략을 살펴봅니다. 위험 공식, 위험 행렬, 위험 등록부, 위험 허용 한계와 같은 핵심 개념을 다루고 특정 위험에 대응하기 위한 5가지 주요 옵션을 알아봅니다. 마지막으로, 프로젝트 제안서를 작성하거나 평가할 때 위험 관리 전략에 대한 이러한 이해를 어떻게 활용할 수 있는지 살펴보겠습니다.
🚨‘위험’이란?
위험의 의미는 정확히 무엇일까요? 넓은 의미로 위험은 나쁜 일이 일어날 가능성입니다. IT의 맥락에서 위험은 데이터 손실, 운영 중단, 고객 이탈, 소송, 규제 기관의 벌금 부과와 같은 계획되지 않은 부정적인 비즈니스 결과로 이어지는 정보 기술의 장애 또는 오용 가능성을 의미합니다. IT 위험의 종류는 매우 다양하지만 가장 일반적인 위험은 다음과 같습니다.
사이버 공격 위험 – 일반적으로 가장 먼저 떠오르는 IT 위험은 의도적인 공격입니다. 예를 들어 악의적 행위자는 피싱 캠페인을 사용해 네트워크에 랜섬웨어를 심어 돈을 갈취하고 서비스 거부(DoS) 공격을 감행하여 기업 웹사이트나 서비스를 중단시키고 민감한 데이터를 훔쳐 경쟁사에 판매할 수 있습니다.
실수 위험 – 과중한 업무에 시달리거나 교육을 제대로 받지 못한 또는 부주의한 사용자 역시 많은 비용을 초래하는 실수를 저지를 수 있으므로 또 다른 중요한 위험입니다. 예를 들어 직원이 엉뚱한 수신자에게 이메일 첨부 파일을 보내 민감한 데이터를 유출할 수 있습니다. IT 전문가의 경우 위험도가 더욱 높습니다. 방화벽 또는 클라우드 서비스를 잘못 구성해서 사이버 범죄자가 네트워크에 침입할 수 있도록 하거나, 충분히 보호되지 않는 시스템에 특권 자격 증명을 사용해 로그인해서 이러한 자격 증명을 유출할 수 있기 때문입니다.
소프트웨어 위험 – 소프트웨어 버그, 잘못된 구성 및 호환성 문제는 많은 비용을 초래하는 시스템 다운타임, 보안 침해, 비즈니스 중단으로 이어질 수 있습니다. 정기적인 패치와 업데이트로 이 위험을 완화할 수 있지만 공격자 역시 솔루션 업체가 제로데이 취약점을 수정하기 전에 소프트웨어 결함을 찾고 이를 악용하기 위해 부지런히 노력합니다.
하드웨어 위험 – 서버, 워크스테이션, 네트워킹 장비를 비롯한 IT 인프라의 물리적 구성요소는 오작동하거나 아예 고장 날 수 있습니다. 또한 파괴 또는 도난도 발생할 수 있습니다.
노후화 위험 – 더 이상 유지 관리 및 지원되지 않는 기술은 침해와 장애 위험이 커집니다.
규정 준수 위험 – 규정과 표준을 준수하지 못할 경우 규제 기관으로부터 막대한 벌금과 기타 처벌을 받을 수 있습니다.
혁신 위험 – 새로운 기술 솔루션과 프로세스를 채택하는 경우 배포 및 통합 문제를 해결하기 위한 예상치 못한 비용이 발생하거나 시장 반응이 좋지 않아 비즈니스 손실이 발생할 수도 있습니다.
공급망 위험 – 기업은 공급망 곳곳의 사이버보안 문제에 따른 위험에도 노출됩니다. 공급업체, 파트너 또는 서비스 제공업체에서 발생한 침해 또는 실수로 인해 생산이 지연되고 제품 품질이 저하되거나 데이터 손실 및 다운타임이 발생할 수도 있습니다.
💡위험을 정량화하고 우선순위를 정하는 방법
IT 위험 관리의 첫 번째 단계는 위험을 평가하고 우선순위를 정하는 것입니다.
위험 공식
위험 계산을 위한 표준 공식은 다음과 같습니다.
위험=가능성×심각성
이 공식에서 가능성은 특정 이벤트가 발생할 확률, 심각성은 이벤트가 실제 발생할 경우 기업이 받는 피해 또는 영향입니다.
기업에서는 이 위험 공식을 어떻게 사용할까요? 일부 기업은 정량적 접근 방법을 취해 가능성에 백분율 값을, 심각성에 금전적 값을 할당합니다. 그러나 이 글에서 살펴볼 정성적 접근 방법도 사용할 수 있습니다.
위험 행렬
정성적 접근 방법에서 가능성과 심각성은 숫자로 표현되지 않으므로 위험도 곱셈 연산으로 계산되지 않습니다. 대신 가능성, 심각성, 위험은 모두 별개의 범주 집합으로 표현됩니다. 예를 들어 가능성의 범위는 희박함부터 거의 확실까지, 심각성은 미미함부터 치명적임까지입니다.
이벤트의 가능성과 심각성이 평가된 다음 기업은 아래와 같은 위험 행렬을 사용해서 관련된 위험을 파악합니다. 이 위험 행렬에서 이벤트에 대해 가능한 위험 값은 낮음, 보통, 높음, 매우 높음입니다.
여기서 볼 수 있듯이 이벤트 발생 가능성이 높고 그 영향이 심각할수록 그 결과인 위험 값도 높아집니다. 여기서 위험은 매우 위험 범주로 분류되며 빨간색으로 표시되고 행렬의 오른쪽 상단에 군집을 이룹니다.
반면 이벤트가 가능하더라도 그 영향이 미미한 경우 위험 등급은 낮음이 됩니다. 비슷한 맥락에서 이벤트가 드물게 발생할 것으로 예상되는 경우라 해도 발생 시 영향이 크거나 치명적이면 관련 위험은 낮지 않습니다.
내재적 위험과 잔여 위험
기업은 이와 같은 위험 행렬을 적용함으로써 다양한 이벤트와 관련된 내재적 위험을 판단할 수 있습니다. 그러나 IT 위험 관리의 목표는 단순히 내재적 위험을 측정하는 것이 아니라 기업의 위험 태세를 개선하기 위한 전략적 조치를 취하는 것입니다.
기업은 선택한 통제, 프로세스 및 기타 조치를 구현함으로써 이벤트의 가능성 또는 심각성을 낮출 수 있으며 이를 통해 잔여 위험을 더 용인 가능한 수준으로 통제할 수 있습니다. 예를 들어 이메일 필터링을 구현하면 피싱 메시지가 사용자에게 도달할 가능성을 줄일 수 있으며 MFA(Multi-factor Authentication)을 요구하면 도난된 비밀번호에 따른 영향을 낮출 수 있습니다.
위험 등록부
기업은 광범위한 이벤트에서 발생하는 위험에 직면합니다. 따라서 위험 등록부를 유지하는 것이 IT 위험 관리의 핵심 모범 사례입니다. 위험 등록부는 식별된 모든 위험, 그리고 이 위험을 정량화하고 우선순위를 지정하는 세부적인 방법이 기록된 자료입니다. 스프레드시트나 데이터베이스를 사용하여 위험 등록부를 작성하면 위험을 그룹으로 묶어 검토하고 특정 위험이 더 광범위한 위험 환경에 어떻게 속하는지 보다 쉽게 파악할 수 있습니다.
위험 허용 한계
위험 관리를 위한 로드맵을 만들기 위해서는 위험을 평가하고 등급으로 분류된 범주에 할당해야 하지만 그것으로 충분한 것은 아닙니다. 또 다른 중요한 요소인 위험 허용 한계(위험 성향이라고도 함)에 대해서도 알아야 합니다. 위험 허용 한계는 기업에서 다양한 위험 수준을 얼마나 용인할 수 있는지를 의미합니다. 실무 관점에서 위험 허용 한계는 기업이 위험 등록부의 위험에 어떻게 대응할지 결정하는 데 도움이 됩니다.
위험 허용 한계에 “정답”은 없습니다. 어느 한 회사가 충분하다고 여기는 위험 허용 한계가 다른 회사에서는 수용할 수 없는 수준일 수 있습니다. 개별 투자자가 포트폴리오에서 주식과 채권을 서로 다른 비율로 할당할 수 있는 것과 마찬가지입니다. 위험 허용 한계의 핵심 요소는 부정적 이벤트가 미치는 영향에 대한 기업의 회복탄력성입니다. 예를 들어 특정 시장에서 지배적 위치에 있는 기업이라면 고객 기반을 확보하기 위해 애쓰는 작은 회사에 비해 평판 손상에 대한 우려 수준이 더 낮을 것입니다.
💡위험 관리 전략
기업이 주어진 위험에 대해 선택 가능한 대응 방법은 크게 다음의 5가지입니다.
감소 - 5가지 위험 관리 전략 중에서 가장 명확한 전략은 부정적인 이벤트의 발생 가능성 또는 그 영향을 줄이기 위한 조치를 취하는 것입니다. 많은 IT 보안 통제 수단이 감소에 해당합니다. 예를 들어 견고한 패치 관리 프로세스를 구현하면 적대적 세력이 알려진 취약성을 악용할 가능성이 줄어들고, 강력한 비밀번호 관리 정책을 도입하면 사용자 계정이 침해될 가능성이 줄어듭니다.
수용(유지) - 또 다른 옵션은 특정 위험에 대해 아무것도 하지 않기로 선택하는 것입니다. 단, 위험을 수용하는 것은 무시하는 것과는 다릅니다. 수용은 모래 속에 머리를 파묻는 것이 아니라 의식적인 의사 결정입니다. 수용은 특히 위험도가 낮은 이벤트에 대해 실용적인 선택입니다. 예를 들어 바다에서 멀리 떨어진 곳에 위치한다면 허리케인이 데이터 센터에 타격을 입힐 내재적 위험이 매우 낮고 따라서 허리케인에 대응하기 위해 비용을 지출할 가치가 없다고 결정할 수 있습니다. 위험 수용을 선택하는 또 다른 타당한 이유는 그 외의 다른 옵션에 너무 많은 비용이 드는 경우입니다(여기서 “너무 많다”는 기준은 기업의 위험 허용 한계에 따라 크게 달라짐).
회피 - 세 번째 위험 관리 전략은 부정적인 특정 이벤트의 가능성을 피하는 것입니다. 예를 들어 EU 거주자의 개인 데이터를 수집 또는 처리하지 않음으로써 GDPR 규제 대상 데이터 침해 위험 및 이와 관련된 처벌을 피하거나, 소프트웨어를 배포하는 데 필요한 로컬 관리자 권한을 부여하지 않음으로써 사용자가 디바이스에 맬웨어를 설치할 위험을 피할 수 있습니다.
공유 – 위험을 여러 개체로 분산해서 공유하는 방법을 선택할 수 있습니다. 예를 들어 기업은 특정 서비스를 제공하는 데 내재된 위험을 전문 지식 또는 장비를 갖춘 파트너 또는 하청업체와 공유할 수 있습니다.
이전 - 5가지 위험 관리 전략 중 마지막 전략은 위험을 이전하는 것입니다. IT 위험을 이전하는 가장 일반적인 방법은 사이버 보험 가입입니다. 보험에 가입하면 사고 발생 시 보험사가 피해 복구 비용을 지불합니다.
위험의 종류에 따라 사용할 수 없는 옵션도 있습니다. 예를 들어 회피가 불가능한 위험도 있고, 공유나 이전이 불가능한 위험도 있습니다.
여러 위험 관리 전략의 혼합
경우에 따라서는 두 가지 이상의 IT 위험 관리 전략을 결합해서 특정 위험에 대처할 수 있습니다. 예를 들어 보안 침해 및 다운타임 가능성이 높은 경우 사이버 보험사에 위험을 이전하는 비용이 상당히 높을 수 있습니다. 또한 모든 위험을 이전하는 것은 현실적으로 불가능합니다. 보험 정책에는 거의 항상 많은 예외 조항이 있기 때문입니다.
따라서 기업은 다음과 같이 여러 위험 관리 전략을 결합해서 사용하는 경우가 많습니다.
효과적인 통제 및 프로세스를 구현해 내재적 위험을 감소
나머지 위험의 대부분을 훨씬 더 낮은 비용으로 보험사에 이전
잔여 위험을 수용
프로젝트 개발 또는 평가에 위험 관리 전략 적용하기
위험 관리 전략에 대한 이 포괄적인 이해를 사용하여 더 효과적인 프로젝트 제안서를 작성하고 비즈니스를 위해 더 효과적으로 제안을 평가할 수 있습니다. 다음과 같은 네 가지 요소에 주의를 기울여야 합니다.
프로젝트에서 대처할 위험
기업의 위험 등록부에 있는 항목 중에서 프로젝트가 다루는 항목은 무엇인가요? 또는 지금까지 간과했지만 이제는 평가하고 우선순위를 정해 위험 등록부에 추가해야 할 위험을 다룰 수도 있습니다.
필요한 맥락을 파악하는 좋은 방법은 동종 업계의 다른 회사에서 발생한 침해 및 기타 사고를 살펴보는 것입니다. 근본 원인과 기여 요소, 그 결과로 발생한 피해의 유형과 범위에 대해 최대한 많은 내용을 알아보십시오. 그런 다음 “우리 기업에서 이와 비슷한 사고가 어떤 식으로 발생할 수 있는가? 발생하지 않도록 방지하기 위해, 또는 피해를 완화하기 위해 우리는 취할 수 있는 다른 방법은 무엇인가?”를 자문하십시오.
프로젝트가 위험을 처리하는 방법
일반적으로 IT팀은 위험 감소 대응에 집중합니다. 그러나 기업에는 위험 공유, 회피 또는 수용과 같은 다른 옵션도 있다는 점을 기억하십시오. 제안서에는 어떤 위험 관리 전략을 제시하는지, 정확히 어떤 방법으로 위험에 대처할 것인지가 자세히 나와 있어야 합니다.
위험에 대한 영향과 추정 비용이 각기 다른 여러 가지 대응 옵션을 고려하는 것이 좋습니다. 이 접근 방식은 경영진의 위험 성향을 이해하는 데 도움이 될 수 있습니다.
제안이 해당 위험에 비례하는지 여부
제안이 해결하고자 하는 위험의 심각성에 비례하는 것도 중요합니다. 즉, 위험을 평가하는 데 사용되는 두 가지 요소인 가능성과 심각성을 고려해야 합니다. 예를 들어 발생할 가능성이 매우 낮거나 발생 시 피해 규모가 1,000달러에 불과한 이벤트의 발생 위험을 줄이기 위해 1,000만 달러를 지출하자는 제안은 아마 아무런 가치도 없을 것입니다.
가능성과 심각성, 혜택에 대한 근거를 확보하려면 비슷한 과제를 겪은 동료 및 동종 업계 종사자와 경험에 대해 이야기하십시오. 제안에서 대처하는 위험이 다른 기업에서 많은 비용을 초래한 침해 또는 다운타임으로 이어진 사례를 자세히 다룬 기사를 찾으십시오. 또한 비슷한 위험 관리 전략을 채택한 프로젝트에서 어떻게 성공적으로 위험에 대처했는지에 대한 사례 연구도 찾아보십시오.
프로젝트가 더 넓은 범위의 IT 위험 관리 전략에 어떻게 부합하는가
IT 위험 관리 전략에 투자할 수 있는 기업의 자금은 한정되어 있습니다. 따라서 제안서는 제안의 본질적인 장점만으로 평가되는 것이 아니라 다른 위험 관리 전략과 비교하여 평가되기도 합니다. 의사 결정자는 핵심적인 위험에 대처하는 프로젝트, 특히 그 과정을 비용 효율적으로 수행하는 프로젝트를 우선시합니다.
따라서 해당 프로젝트가 어떻게 기업의 사이버보안과 사이버 회복탄력성 태세를 대폭 개선하고 확실한 투자 회수를 제공하는지를 면밀히 고려하십시오. 간단히 말해 기업의 위험 등록부 및 위험 허용 한계와 일맥상통하는지를 확인해야 합니다.
결론
모든 기업은 다양한 위험에 직면합니다. IT 위험은 의도적인 사이버 공격과 값비싼 비용을 초래하는 실수부터 소프트웨어 및 하드웨어 위험, 규정 준수와 공급망 위험에 이르기까지 다양합니다. 효과적인 위험 관리 전략을 개발하기 위해서는 위험을 측정하고 우선순위를 지정하고 기록할 방법, 그리고 이에 대응하기 위한 5가지 핵심 옵션(감소, 수용, 회피, 공유, 이전)에 대해 정확히 이해하고 있어야 합니다. 이 정보를 갖추면 기업은 사이버보안과 사이버 회복탄력성을 개선하는 합리적인 의사 결정을 내릴 수 있습니다.
위험 관리에 어려움을 겪고 계시거나 전략 수립 시 궁금한 점이 있으시면 언제든 퀘스트소프트웨어코리아로 문의주시기 바랍니다.