위험관리 순환
침해사고 대응은 위험평가를 갱신하는 운영 루프다
위험관리는 문서로 끝나지 않는다. 자산과 취약점을 기준으로 우선순위를
정하고, 사고 대응에서 얻은 증거와 원인을 다시 위험평가에 반영해야
운영 통제가 살아난다.
평가자산, 위협, 취약점, 영향을 묶어 위험을 산정한다.
대응탐지, 격리, 복구, 보고로 피해 확산을 줄인다.
갱신사고 원인을 통제 개선과 잔여위험 재평가로 되돌린다.
| 구간 | 확인 대상 | 근거 자료 | 빠지면 생기는 문제 |
|---|---|---|---|
| 자산 식별 | 보호 대상, 중요도, 업무 영향도를 정한다. | CMDB, 서비스 목록, 개인정보 흐름 | 빠진 자산은 통제와 모니터링 밖에 남는다. |
| 위협·취약점 | 공격 가능성과 시스템 약점을 연결한다. | 취약점 진단, 권한 검토, 위협 인텔리전스 | 미패치, 권한 과다, 노출 서비스가 방치된다. |
| 위험 분석 | 가능성과 영향도를 묶어 우선순위를 만든다. | 위험등급, 허용 기준, 업무 중단 비용 | 중요한 위험과 사소한 작업이 같은 줄에 선다. |
| 처리·잔여위험 | 감소, 회피, 전가, 수용 중 조치를 고른다. | 조치 계획, 승인 기록, 책임자 | 위험 수용의 책임과 기한이 흐려진다. |
| 탐지·대응 | 관제 신호와 사고 대응 절차를 실행한다. | SIEM, 로그, 플레이북, 증거 보존 기록 | 초기 대응이 늦고 증거가 훼손된다. |
| 복구·개선 | 원인 제거와 재발방지를 위험평가에 반영한다. | 사고 보고서, 교육, 정책 개정 | 같은 사고가 다른 이름으로 반복된다. |
Monitor로그와 지표로 위험 징후를 계속 본다.
Contain확산 경로를 끊고 증거를 보존한다.
Recover서비스와 통제를 정상 상태로 되돌린다.
Improve원인과 교훈을 위험평가에 다시 넣는다.