메인 콘텐츠로 건너뛰기

위험 관리 프레임워크란 무엇인가요?

AWS 계정 생성

페이지 주제

위험 관리 프레임워크란 무엇인가요?

위험 관리 프레임워크는 조직 내 위험을 검토, 완화, 모니터링하기 위해 순차적으로 구조화되고 규칙에 기반하여 문서화된 접근 방식입니다. 조직은 위험을 임시적, 비체계적인 방식으로 다루기보다는, 표준화된 프레임워크를 선택하거나 자체 프레임워크를 수립합니다. 프레임워크를 사용하면 더 나은 결과를 달성하고 예기치 않은 상황 발생 시 보다 신속하게 대응할 수 있다는 확신을 가질 수 있습니다.

구조화된 위험 관리가 중요한 이유는 무엇일까요?

위험 관리는 거버넌스, 위험 및 규정 준수(GRC) 비즈니스 영역의 기능이며, 주로 사이버 보안 또는 규정 준수 부서 내에 있습니다. 조직에서 위험을 처리하는 방식은 비즈니스 연속성, 운영, 규정 준수 및 평판에 매우 중요할 수 있습니다. 위험 관리 프레임워크는 조직 전체의 위험을 식별, 평가, 완화 및 추적하는 데 도움이 됩니다. 

위험 유형에는 무엇이 있나요?

위험은 조직, 사업부 및 비즈니스 자산에 영향을 미칠 수 있습니다. 여기에는 운영, 비즈니스, 규정 준수, 사이버 보안, 법률, 인수 합병, 개인 정보 보호, 하드웨어, 소프트웨어 및 계약상의 위험이 포함됩니다. 기업은 종종 사이버 위험에 초점을 맞추지만 다른 유형의 위험을 간과하지 않는 것도 중요합니다. 이 문서에서는 클라우드에 적용되는 운영, 비즈니스 및 규정 준수 위험을 주로 다룹니다.

운영 위험은 인프라의 가용성, 신뢰성, 성능 및 보안과 관련이 있습니다. 이 위험 범주는 일상 업무에서 가장 중요합니다.

비즈니스 위험은 평판, 경쟁력 및 시장 상황과 관련이 있습니다. 이러한 유형의 위험은 운영 위험보다 범위가 더 넓으며 비즈니스에 전반적으로 더 큰 영향을 미칠 수 있습니다.

규정 준수 위험은 비즈니스 운영이 필수 규정 준수 표준을 충족하지 못할 가능성을 나타냅니다. 이러한 유형의 위험은 벌금이나 제재, 법적 영향 또는 감사 및 보고 수준의 증가로 이어질 수 있습니다. 규정 준수 목표는 업계 표준, 연방 기관 및 기타 규제 기관에서 수립합니다.

일반적인 위험 관리 프레임워크에는 무엇이 있나요?

일반적인 위험 관리 프레임워크에는 다음이 포함됩니다.

  • 정보 시스템 및 조직을 위한 미국 국립표준기술연구소(NIST) 위험 관리 프레임워크(RMF)
  • COBIT
  • ISO/IEC 31000 위험 관리 - 가이드라인
  • ISO/IEC 27005:2022 정보 보안, 사이버 보안 및 개인 정보 보호 — 정보 보안 위험 관리에 관한 지침
  • 정보 위험의 요인 분석

위험 관리 모범 사례를 최신 상태로 유지하기 위해서는 널리 알려져 있고 정기적으로 업데이트되는 위험 관리 프레임워크를 사용하는 것이 바람직합니다.

효과적인 위험 관리 프레임워크의 핵심 구성 요소로는 무엇이 있나요?

견고한 위험 관리 프레임워크는 조직 전체의 모든 위험 유형을 관리하는 데 도움이 됩니다.

위험 식별

조직 아키텍처 전반의 모든 자산, 위협 및 취약성을 식별합니다. 위험은 취약성으로 인해 발생하는 자산에 대한 위협입니다. 잠재적 위험을 식별하는 과정은 여러 조직적 영역과 비즈니스 목표 전반에 걸쳐 장기간에 걸쳐 진행될 수 있습니다.

위험은 기술, 인력, 프로세스, 재무, 타사 등의 영역으로 분류할 수 있습니다. 이러한 상위 범주 각각은 추가로 세분화할 수도 있습니다. 예를 들어 ‘사람’ 범주는 기술, 수동 오류, 지식 사일로 등으로 더 나눌 수 있습니다.

영향 분석

자산, 위협, 취약성을 분석함으로써 잠재적 위험이 발생할 가능성과 그 영향이 미치는 규모를 파악할 수 있습니다. 분석 및 위험 평가에는 정성적 측정 및 정량적 측정이 포함됩니다. 예를 들어 특정 유형의 위험에 대한 모든 세부 정보를 수집하거나, 위험을 분류하기 위한 위험 점수 매트릭스를 개발해 그에 따른 결과와 완화 전략을 결정할 수 있습니다. 이러한 범주에는 사건 발생 가능성과 예상되는 영향에 따라 낮음, 중간, 높음, 매우 높음의 위험 점수가 포함될 수 있습니다.

완화 전략

다음은 각 개별 위험에 대응하기 위한 네 가지 위험 완화 전략입니다.

  • 완화: 위험을 제거하거나 줄이기 위한 통제를 구현합니다.
  • 수용: 위험을 그대로 수용하되, 발생 가능성이나 심각도의 변화 여부를 면밀히 모니터링합니다.
  • 방지: 위험 제거 및 시스템 재구성
  • 이전: 위험 관련 부서를 아웃소싱하거나, 계약상 완화 조치를 마련하거나, 사고에 대비하여 보험을 마련합니다.

위험의 중요성과 발생 가능성 외에도, 조직의 위험 성향은 적절한 전략을 결정하는 데 도움이 될 수 있습니다.

솔루션 구현

선택한 완화 전략에 따라 통제를 적용하고, 시스템을 변경하며, 모니터링 솔루션을 도입하고, 위험을 외부로 전가할 수 있습니다. 통제는 관리적, 물리적, 기술적 유형으로 구분될 수 있습니다. 이 단계에는 원하는 결과를 얻기 위한 여러 시스템, 사업부, 이해 관계자 및 절차가 포함될 수 있습니다.

위험 완화 솔루션에는 위험 에스컬레이션 프로세스, 위험 책임자, 그리고 사고 이후 계획을 수립하기 위한 사고 대응 팀과의 협업이 포함될 수 있습니다.

솔루션을 구현한 후 잔존 위험을 계산합니다. 대부분의 솔루션으로는 위험을 완전히 제거할 수 없으므로 위험이 남아 있습니다. 이러한 잔존 위험은 상황이 변함에 따라 변동될 수 있습니다.

거버넌스 및 지속적인 모니터링

위험 완화 솔루션을 구현한 후에는 필요한 경우 위험을 모니터링, 추적, 분석 및 감사해야 합니다. 위험 담당자, GRC 팀 및 경영진을 위한 위험 추적 프로세스에는 보고 기능을 포함해야 합니다.

거버넌스 프레임워크 내에는 비즈니스에 영향을 미치는 신규 및 확대되는 위험을 식별하기 위한 수시/정기 프로세스가 마련되어야 합니다. 위험 관리와 현재 프로세스의 재평가 주기에 관한 정책을 수립하고, 관련 팀 구성원에게 적절한 교육을 제공해야 합니다. 동일한 유형의 위험이 반복되는 것을 자동으로 방지하는 데 도움이 되는 가드레일을 구현하세요.

AWS에서 위험 관리 프레임워크를 구현하기 위한 단계는 무엇인가요?

이 안내서는 일반적인 위험 관리 프레임워크의 단계에 맞춰 AWS 파이프라인을 구현하는 방법을 보여줍니다.

지원을 위한 위험 관리 프로세스의 각 단계에서 세 가지 주요 AWS 서비스가 사용됩니다.

  • AWS Audit Manager를 사용해 AWS 사용량을 지속적으로 감사하여 위험 및 규정 준수 평가를 간소화할 수 있습니다.
  • 리소스 구성을 진단, 감사 및 평가하기 위한 AWS Config
  • AWS Security Hub는 자동화된 상관관계 분석과 향상된 위험 컨텍스트, 보안 상태 보고 등을 통해 중요한 보안 문제의 우선순위를 지정할 수 있도록 지원합니다.

1. 계획

계획 단계에서는 조직이 모범 사례에 부합하는 위험 관리 프로세스를 구축할 수 있는 견고한 기반을 확보하도록 합니다.

다음 서비스를 활용해 모범 사례에 따른 위험 관리 활동을 계획하세요.

2. 탐색

탐색 단계에서는 자산, 리소스 및 서비스를 검색하고 태그 지정합니다.

자산을 검색하고 분류하려면 다음 AWS 서비스를 사용하세요.

3. 통제 및 규칙 선택

선택 단계에서는 식별된 위험으로부터 보호하기 위한 통제와 규칙을 도입합니다.

다음 AWS 서비스에 사전 정의된 모범 사례 규칙 중에서 통제를 선택하세요.

  • AWS Config가 일반적인 모범 사례 준수 여부를 평가하는 데 사용하는 사전 정의되고 사용자 지정 가능한 규칙을 제공하는 AWS Config 관리형 규칙
  • 보안 통제를 위한 AWS Control Tower 및 AWS Security Hub 그리고 정책 규정 준수 통제를 위한 AWS Audit Manager.
  • AWS Systems Manager 규정 준수는 AWS Systems Manager의 도구로서, IT 또는 비즈니스 요구 사항을 기반으로 규정 준수 유형 및 정의를 직접 생성할 수 있습니다.

4. 구현

구현에서는 모든 대상 자산과 환경 전반에 걸쳐 통제가 일관되게 적용되도록 보장합니다.

AWS 서비스 전체에서 다음과 같은 통제 구현 도구를 사용할 수 있습니다.

  • 임베디드 통제 배포용 AWS CloudFormation을 AWS Service Catalog와 결합하여 큐레이션된 IaC 템플릿을 생성, 공유, 구성 및 관리할 수 있습니다.
  • 제어 규칙 및 다음 단계를 위한 AWS Config
  • 보안 규칙 구현을 위한 AWS Security Hub
  • 리소스 및 서비스 전반의 정책 준수를 위한 AWS Systems Manager

5. 평가

평가는 적용된 통제가 실제 운영 환경에서 얼마나 효과적으로 작동하는지를 측정합니다.

다음과 같은 AWS 서비스 조합을 통해 조직이 위험을 얼마나 잘 관리하고 있는지 평가할 수 있습니다.

  • 추적 가능한 평가를 위한 AWS Audit Manager
  • 규정 준수 규칙을 준수하는지 확인하기 위한 AWS Config
  • 보안 데이터를 분석하고 시각화하여 잠재적 보안 문제 조사하는 Amazon Detective
  • AWS 계정, 워크로드 및 데이터에 대한 지속적인 위협 모니터링을 수행하는 Amazon GuardDuty
  • 자동화된 취약성 위험 평가를 수행하는 AWS Inspector
  • 상시 보안 위험 평가를 위한 AWS Security Hub

AWS Trusted Advisor는 위험 관리 프레임워크를 설정하는 조직을 위한 또 다른 옵션입니다. AWS Trusted Advisor 서비스는 비용 최적화, 성능, 보안, 내결함성, 서비스 제한 및 운영 우수성 전반에 걸쳐 점검을 제공합니다. 대시보드를 통해 알림, 권장 조치 및 추가 리소스를 볼 수 있습니다. AWS 고객은https://console.aws.amazon.com/trustedadvisor/home에서 도구에 액세스할 수 있습니다.

6. 권한 부여

권한 부여 기능은 접근 방식, 선행 단계, 잔존 위험의 수용 및 모니터링을 공식화합니다.

다음 AWS 서비스를 사용하여 안심하고 권한을 부여하세요.

  • AWS Artifact는 AWS 및 ISV 보안 및 규정 준수 보고서를 생성합니다.
  • AWS Audit Manager는 의사 결정권자를 위한 보고 기능을 제공합니다.
  • AWS Config는 규정 준수 보고서 및 추적을 자세히 설명합니다.
  • AWS Security Hub는 시스템 보안 및 보고 상태를 실시간으로 볼 수 있습니다.

7. 모니터링

지속적인 모니터링을 통해 위험 관리 프로세스를 최신 상태로 유지하고 새로운 위험과 변화하는 위험을 통합할 수 있습니다.

다음 AWS 서비스를 통해 지속적인 모니터링을 수행할 수 있습니다.

  • 애플리케이션을 모니터링하고, 이상 징후를 경고하고, 규정 준수를 위한 운영 상태에 대한 인사이트를 제공하는 AWS CloudWatch
  • 지속적인 규정 준수 모니터링을 위한 AWS Config
  • 다른 AWS 서비스의 트리거를 기반으로 자동 응답을 생성하기 위한 Amazon EventBridge
  •  지속적인 보안 모니터링을 위한 AWS Security Hub
  • 패치 및 구성 모니터링을 위한 AWS Systems Manager

위험 관리 프레임워크 구축을 시작하는 데 AWS가 어떤 도움을 줄 수 있습니까?

조직의 복원력과 성과를 개선하고자 하는 조직은 위험 관리 프레임워크를 도입해야 합니다. 위험 관리 프레임워크는 엔터프라이즈에 가해지는 위험을 줄이고 이해하는 데 도움이 되므로 이와 같이 알려지지 않은 위험을 훨씬 더 쉽게 관리할 수 있습니다.

표준화된 프레임워크를 선택해 이를 기반으로 구축하는 것은 시작하기에 효과적인 방법이며, AWS는 프레임워크 구현을 지원하는 다양한 서비스를 제공합니다. AWS Well-Architected Framework와 함께 사용하면 AWS의 거버넌스, 위험 및 규정 준수를 위한 견고한 기반을 구축할 수 있습니다.

지금 무료 계정을 만들어 AWS에서 위험 관리 프로세스 구축을 시작하세요.