risk to incident

위험관리는 사고 전 기준을 만들고, 사고대응은 기준을 검증한다

자산과 위협을 평가해 대책을 세우고, 실제 사고 신호가 나오면 대응 결과를 다시 위험관리로 돌려보낸다.

1식별

자산, 위협, 취약점, 영향 범위를 목록화한다.

2분석

가능성과 피해도를 묶어 우선순위를 정한다.

3대책

수용, 회피, 전가, 감소 중 처리 방식을 고른다.

4탐지·대응

로그와 알림으로 사고 징후를 잡고 절차대로 조치한다.

5개선

증거와 조치 결과를 재발 방지 기준으로 환류한다.

위험 항목 사전 기준 사고 신호 대응 후 개선
계정 탈취 MFA, 권한 최소화, 로그인 이상 탐지 불가능한 이동, 대량 실패 로그인 정책 예외 계정 제거, 탐지 조건 보정
웹 취약점 입력값 검증, 배포 전 보안 테스트 비정상 파라미터, 오류 응답 증가 필터 규칙과 테스트 케이스 추가
랜섬웨어 백업 격리, 패치, EDR 경보 파일 대량 변경, 권한 상승 시도 복구 시간 검증과 백업 범위 보완

핵심: 위험관리는 문서가 아니라 사고 때 어떤 신호를 보고 어떤 결정을 할지 미리 정하는 운영 기준이다.