자산, 위협, 취약점, 영향 범위를 목록화한다.
위험관리는 사고 전 기준을 만들고, 사고대응은 기준을 검증한다
자산과 위협을 평가해 대책을 세우고, 실제 사고 신호가 나오면 대응 결과를 다시 위험관리로 돌려보낸다.
가능성과 피해도를 묶어 우선순위를 정한다.
수용, 회피, 전가, 감소 중 처리 방식을 고른다.
로그와 알림으로 사고 징후를 잡고 절차대로 조치한다.
증거와 조치 결과를 재발 방지 기준으로 환류한다.
| 위험 항목 | 사전 기준 | 사고 신호 | 대응 후 개선 |
|---|---|---|---|
| 계정 탈취 | MFA, 권한 최소화, 로그인 이상 탐지 | 불가능한 이동, 대량 실패 로그인 | 정책 예외 계정 제거, 탐지 조건 보정 |
| 웹 취약점 | 입력값 검증, 배포 전 보안 테스트 | 비정상 파라미터, 오류 응답 증가 | 필터 규칙과 테스트 케이스 추가 |
| 랜섬웨어 | 백업 격리, 패치, EDR 경보 | 파일 대량 변경, 권한 상승 시도 | 복구 시간 검증과 백업 범위 보완 |
핵심: 위험관리는 문서가 아니라 사고 때 어떤 신호를 보고 어떤 결정을 할지 미리 정하는 운영 기준이다.