[isms-p 정리] 1.2.3 위험 평가

※ 인증기준

조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다.

※ 내용정리
- 위험 평가의 목적
 > 정보자산이 직면한 위협과 취약점을 파악하고, 이를 통해 보안 사고의 발생 가능성과 영향도를 분석, 조직에 실질적인 영향을 미칠 수 있는 위험을 사전에 파악하여 대응 전략을 수립하기 위함.
 
- 평가 대상 자산
 > 앞선 항목(1.2.1~1.2.2)에서 식별된 정보자산과 그 흐름이 평가 대상. 개인정보, 핵심 비즈니스 시스템, 서버, 네트워크 장비, 외부 연계 시스템 등.
 
- 위험 평가 절차 (일반적인 단계)
 ① 자산 식별: 보호할 대상이 무엇인지 확인
 ② 위협 및 취약점 도출: 예: 해킹, 내부자 유출, 백업 미흡 등
 ③ 위험도 산정: 위협 발생 가능성과 발생 시 영향을 조합하여 “높음/중간/낮음” 등으로 평가
 ④ 우선순위 결정 및 보호대책 수립 기반 마련
 
- 위험 평가 방법 예시
 > 정량적(수치 기반 분석) 또는 정성적(전문가 판단) 방법
 > 자산별로 발생 가능성(Likelihood) × 영향도(Impact) = 위험 수준(Risk Level)
 > 산정 결과는 위험 매트릭스(Risk Matrix)로 시각화 가능
  
- 평가 주기 및 책임
 > 최소 연 1회 이상 수행
 > 신규 시스템 도입, 조직 변경, 보안 사고 발생 시 재평가
 > 정보보호 책임자(CISO) 주관 하에 실무부서와 협력 수행
 
결함사례
- 위험평가 미실시
D사는 정보자산 목록과 흐름도는 작성했지만, 위협과 취약점을 식별하고 분석하는 '위험평가' 자체를 수행하지 않음
 > ‘위험 수준’ 산정 자료가 없고, 보호대책도 위험 기반이 아닌 관행적으로 운영됨.
 > 개인정보처리 시스템이 다수 존재하지만, 어떤 시스템이 더 위험한지 파악하지 못함
 
영향
 > 조직의 보안 투자와 보호조치가 우선순위 없이 비효율적으로 배치
 > 고위험 자산에 대해 적절한 대책이 누락될 가능성 증가
 > isms-p심사에서 '위험평가활동 미이행' 결함 지적

- 형식적인 평가수행
D사는 위험평가를 수행했으나, 위험 가능성과 영향도를 전 자산에 일괄 '중간'으로 기입하는 등 형식적인 작업에 그침
 > 위험 평가표는 존재하지만, 실제 자산의 특성이나 보안수준과 무관한 값이 기입
 > 사내 PC와 개인정보가 포함된 고객 db의 위험수준이 동일하게 평가
 
영향
 > 고위험 자산이 저평가되거나, 저위험 자산이 과도하게 관리됨.
 > 평가 결과에 기반한 보호대책도 현실과 불일치.
 > 심사 시 “위험 평가 결과의 신뢰성 부족 및 실효성 결여”로 지적
 
- 위험평가 대상 누락
D사는 대부분의 주요 시스템에 대한 위험 평가는 수행했으나, 신규 도입한 모바일 앱과 클라우드 기반 저장소는 평가 대상에서 제외됨
 > 신규 시스템이 서비스에 포함되었지만, 위험 평가가 이전 시스템 중심으로만 이루어짐
 > 앱 내에서 수집되는 고객 정보가 암호화 되지 않은 채 저장되고 있었지만, 미평가로 인한 보호조치 누락
 
영향
 > 신규 정보자산에 대해 적절한 보호조치가 수립되지 않음
 > 침해사고 발생 시 관리체계의 실효성 문제가 발생
 > 심사에서 "위험평가 범위 누락" 결함

- 위험 평가 결과 반영 미흡
D사는 위험 평가를 수행했으나, 도출된 고위험 항목에 대해 보호 대책이 실제 운영에 반영되지 않음
 > 예: 고객 DB에 대한 '매우 높음' 평가 결과가 있었음에도 불구하고, 접근통제 정책이 기존과 동일하게 유지됨.
 > 관리자 계정 관리 취약점이 보고되었지만 후속 조치가 없음.
 
영향
 > 위험 평가 결과가 보호활동과 연계되지 않아 실질적인 개선이 없음.
 > 보안 사고 발생 시 "사전 평가했음에도 불구하고 조치가 없었다"는 책임문제 발생
 > 심사에서 "위험 평가와 보호대책 연계 미흡" 결함 지적
 
- 정기 검토 및 재평가 미수행
D사는 과거 2년전에 위험평가를 수행한 이후 변경 사항이 발생했음에도 위험 평가를 갱신하지 않음
 > 외부 위탁처가 변경되고, 내부 시스템 구조도 일부 변경되었지만 재평가 미이행
 > 위험 평가문서는 오래되어 현재 자산 목록과도 불일치
 
영향
 > 현행 정보자산에 맞는 위협대응이 이루어지지 않음.
 > 변경된 환경에서의 새로운 취약점에 대한 대응 누락
 > isms-p 심사 시 "위험 평가 최신화 미흡"으로 결함

증거자료
위험관리 지침
위험관리 매뉴얼/가이드
위험관리 계획서
위험평가 결과보고서
정보보호 및 개인정보보호위원회 회의록
정보보호 및 개인정보보호 실무 협의회 회의록
정보자산 및 개인정보자산 목록
정보서비스 및 개인정보 흐름표/흐름도