위험분석

hi2li·2026년 6월 10일

security

목록 보기
7/12

위험분석(Risk Analysis)이란?

정보보안의 목적은 단순히 취약점을 찾는 것이 아니라, 실제로 조직에 위험을 발생시킬 수 있는 요소를 식별하고 관리하는 것이다.

하지만 모든 취약점이 동일한 수준의 위험을 가지는 것은 아니다.

예를 들어 웹 서버에 취약점이 존재하더라도 중요하지 않은 테스트 서버라면 영향이 적을 수 있으며, 반대로 작은 취약점이라도 고객 개인정보가 저장된 서버라면 매우 큰 위험이 될 수 있다.

따라서 보안 담당자는 단순히 취약점을 나열하는 것이 아니라,

  • 어떤 자산이 존재하는지
  • 어떤 위협이 존재하는지
  • 어떤 취약점이 존재하는지
  • 실제 위험도는 어느 정도인지

를 종합적으로 분석해야 한다.

이러한 과정을 위험분석(Risk Analysis) 이라고 한다.

위험분석(Risk Analysis)은 조직의 자산, 위협, 취약점을 식별하고 이들이 결합하여 발생할 수 있는 위험을 평가하는 과정이다.






위험분석은 왜 필요한가?

기업은 제한된 예산과 인력을 가지고 있기 때문에 우선적으로 대응해야 할 위험을 판단해야 한다.

예를 들어 다음과 같은 두 가지 취약점이 있다고 가정해보자.


취약점 A
- 개인정보 서버
- 원격 코드 실행 가능

취약점 B
- 테스트 서버
- 정보 노출 가능

두 취약점 모두 존재하지만 일반적으로 취약점 A의 위험도가 훨씬 높다.

따라서 위험분석을 통해 어떤 위험을 먼저 대응해야 하는지 결정하게 된다.





위험분석의 구성요소

위험분석은 크게 다음 세 가지 요소로 구성된다.

  1. 자산(Asset)
  2. 위협(Threat)
  3. 취약점(Vulnerability)

이 세 가지 요소가 결합될 때 위험(Risk)이 발생한다.


1. 자산 (Asset)

보호해야 할 가치가 있는 대상

정보보안에서 자산은 단순히 서버만 의미하는 것이 아니다.

기업의 업무와 관련된 모든 중요한 대상이 자산이 될 수 있다.

예시

  • 개인정보 데이터베이스
  • 웹 서버
  • 네트워크 장비
  • 업무 시스템
  • 소스코드
  • 기업 기밀 문서

예를 들어 고객 개인정보가 저장된 데이터베이스는 중요한 자산이다.


2. 위협 (Threat)

자산에 피해를 줄 수 있는 잠재적인 원인

위협은 실제 공격뿐 아니라 자연재해나 시스템 장애까지 포함하는 개념이다.

예시

  • 해커 공격
  • 랜섬웨어
  • 악성코드
  • 내부자 정보 유출
  • 정전
  • 화재
  • 홍수

예를 들어 랜섬웨어 공격은 기업의 데이터를 암호화하여 사용할 수 없게 만드는 대표적인 위협이다.



3. 취약점 (Vulnerability)

위협이 악용할 수 있는 약점

취약점은 시스템이 가지고 있는 보안상의 약점을 의미한다.

예시

  • 패치 미적용
  • 약한 비밀번호
  • SQL Injection
  • 잘못된 접근 권한 설정
  • 방화벽 정책 오류

예를 들어 관리자 계정의 비밀번호가 admin/admin이라면 명백한 취약점이다.






자산, 위협, 취약점의 관계

위험은 자산, 위협, 취약점이 결합될 때 발생한다.

예를 들어 다음과 같은 상황을 생각해보자.

자산 : 고객 개인정보 DB  
취약점 : SQL Injection 존재  
위협 : 해커 공격 

-> 결과 :  개인정보 유출 

즉 위험 = 자산 + 취약점 + 위협이 되는 것이다.



위험(Risk)이란?

위험은 자산에 손실을 발생시킬 가능성을 의미한다.

일반적으로 다음과 같이 표현한다.

위험 = 자산 + 위협 + 취약점 
위험도 = 발생 가능성 × 영향도 

로 표현하기도 한다.


위험도(Risk Level) 평가

위험도는 일반적으로 발생 가능성과 영향도를 기준으로 평가한다.
위험도 = 발생 가능성 × 영향도



발생 가능성 (Likelihood)

해당 사고가 실제로 발생할 확률

예시

  • 높음
  • 중간
  • 낮음

영향도 (Impact)

사고 발생 시 조직에 미치는 피해 규모

예시

  • 높음
  • 중간
  • 낮음



위험분석 절차

위험분석은 일반적으로 다음 순서로 진행된다.

자산 식별
↓
위협 식별
↓
취약점 식별
↓
위험도 산정
↓
대응방안 수립

1. 자산 식별

보호해야 할 자산을 식별한다.

예시

  • 고객정보 DB
  • 웹 서버
  • 네트워크 장비

2. 위협 식별

자산에 영향을 줄 수 있는 위협을 식별한다.

예시

  • 해킹
  • 악성코드
  • 랜섬웨어

3. 취약점 식별

위협이 악용할 수 있는 취약점을 식별한다.

예시

  • 패치 미적용
  • SQL Injection
  • 약한 비밀번호

4. 위험도 산정

발생 가능성과 영향도를 기반으로 위험도를 계산한다.


5. 대응방안 수립

위험도를 기준으로 우선순위를 정하고 대응한다.

예시

  • 패치 적용
  • 접근제어 강화
  • 백업 정책 수립
  • 보안 장비 구축



한 줄 정리

위험분석(Risk Analysis)은 자산, 위협, 취약점을 식별하고 이들이 결합하여 발생하는 위험을 평가한 후 적절한 대응방안을 수립하는 과정이다.

profile
Easy come , Easy go

0개의 댓글