ISMS-P 위험평가 방법론: 보안팀을 위한 실전 가이드

ISMS-P 심사에서 결함 판정을 받는 항목 중 위험관리 영역(인증기준 1.2)은 매년 상위권에 오릅니다. 위험평가를 수행했음에도 결함을 받는 이유는 대부분 동일합니다. 방법론이 문서에만 존재하고, 실제 조직 환경을 반영하지 못한 경우입니다.

이 글은 위험평가를 처음 구축하거나 기존 방법론을 재정비해야 하는 보안팀을 위해 작성했습니다.

위험평가, 어디서 시작해야 하는가

ISMS-P 인증기준 1.2.1(정보자산 식별)은 위험평가의 출발점을 "관리 범위 내 정보자산의 식별과 중요도 평가"로 규정합니다. 즉, 범위 설정이 엉성하면 이후 단계 전체가 흔들립니다.

실무에서 가장 흔히 발생하는 실수는 두 가지입니다.

• 자산 목록을 IT 자산 중심으로만 구성하는 경우: 개인정보 처리 시스템, 계약서, 외부 위탁 업체 접근 권한 등 비IT 자산이 누락됩니다.
• 중요도 평가 기준을 조직 내부와 공유하지 않는 경우: 심사 시 "기준은 누가 정했나"라는 질문에 담당자만 알고 있는 구조가 됩니다.

산출물 체크리스트:

• 정보자산 목록 (유형·위치·담당자·중요도 포함)
• 자산 중요도 평가 기준서 (기밀성·무결성·가용성 점수 산정 방식 포함)

위협·취약점 분석: 정성적 vs 정량적 선택 기준

ISMS-P 인증기준 1.2.2(현황 및 흐름 분석)와 1.2.3(위험 평가)은 위협과 취약점을 식별하고, 이를 바탕으로 위험도를 산정하도록 요구합니다. 방법론 자체를 강제하지는 않지만, 선택한 방법론을 일관되게 적용했다는 근거를 남겨야 합니다.

정성적 방법론 (소규모 조직·첫 도입 시 권장)

위협 발생 가능성과 영향도를 상/중/하 3단계로 구분하고 매트릭스로 위험도를 산정합니다. 빠르게 구축할 수 있지만, 심사관이 "등급 판단 근거"를 요구할 때 명확한 기준이 없으면 결함으로 이어집니다.

실무 팁: 위협 목록은 KISA의 「정보보호 위험관리 가이드」 또는 ISO/IEC 27005 부속서를 참조해 조직 환경에 맞게 커스터마이징하는 방식이 심사에서 가장 무난합니다.

정량적 방법론 (금융·대규모 조직)

연간예상손실(ALE = 단일손실예상액 × 연간발생률)을 계산합니다. 수치 기반이라 경영진 보고에 유리하지만, 데이터 수집 부담이 크고 수치의 신뢰성을 입증해야 합니다. 전자금융감독규정 대상 기관처럼 경영진 보고 체계가 중요한 조직에 적합합니다.

위험 수용 기준: 가장 많이 빠뜨리는 항목

위험 수용 기준(Acceptable Risk Level)은 ISMS-P 인증기준 1.2.3에서 명시적으로 요구합니다. 위험평가 결과에서 "잔여 위험을 수용하겠다"는 판단에는 반드시 경영진 승인이 필요하며, 이 근거가 없으면 독립적인 결함 항목이 됩니다.

실무에서 자주 빠지는 산출물:

• 위험 수용 기준 정의서 (수치 기준 또는 정성적 기준 명시)
• 잔여 위험 목록 및 경영진 승인 이력 (회의록, 결재 문서 등)

위험 처리 계획과 연간 일정

위험평가 결과는 위험 처리 계획(인증기준 1.2.4)으로 연결되어야 합니다. 위험 감소·회피·전가·수용 중 어떤 전략을 선택했는지, 담당자와 완료 일정이 명시되어야 합니다.

단계별 타임라인 예시 (연 1회 정기 평가 기준):

흔히 하는 실수 두 가지

1. 위험평가와 보안 점검 결과를 연계하지 않는 경우

취약점 점검, 모의해킹 결과가 위험평가 입력값으로 들어오지 않으면, 위험평가는 현실과 괴리된 문서가 됩니다. 점검 일정과 위험평가 일정을 맞추는 것이 기본입니다.

2. 매년 동일한 결과가 나오는 위험평가

조직 환경 변화(신규 서비스 오픈, 클라우드 전환, 인수합병 등)가 위험평가 결과에 반영되지 않으면 심사관은 "형식적으로 수행된 평가"로 판단할 수 있습니다. 변경 이력과 재평가 사유를 문서에 남겨두어야 합니다.

위험평가 절차를 처음부터 구조화하거나 기존 방법론의 공백을 점검하는 데 시간이 부족하다면, ComplixShield의 위험평가 자동화 기능을 통해 자산 식별부터 처리 계획 수립까지의 절차를 체계적으로 관리할 수 있습니다.