본문/내용
1. 기술 위험 관리를 위해 어떤 주요 프로세스와 방법론을 사용하나요
EY한영 컨설팅본부의 Technology Risk 부서는 기술 위험 관리를 위해 다음과 같은 주요 프로세스와 방법론을 사용합니다. 리스크 식별 단계에서는 시스템 감사와 취약점 분석 도구를 활용하여 기업 내부 시스템 및 인프라에서 발생 가능한 위험 요소를 찾습니다. 특히, 2022년 수행한 한 글로벌 금융기관의 IoT 시스템 보안 평가에서는 150여 개의 취약점을 발견하여 위험 가중치를 산출하였으며, 이를 기반으로 우선순위 작업을 진행하였습니다. 이후, 평가 단계에서는 정량적 분석기법인 손실 기대값 분석과 정성적 평가인 워크숍을 병행하여 리스크 규모와 영향을 산출합니다. 예를 들어, 데이터 유출 사고 가능성을 평가할 때, 데이터 배포량과 유출 시 영향력을 결합하여 평균 손실액이 25억 원 이상으로 산출된 사례가 있습니다. 또한, 대응 전략에서는 ISO 27001, NIST Cybersecurity Framework 등 글로벌 표준에 부합하는 보안 정책과 통제 방안을 설계하여 위험을 미연에 방지합니다. 기술 위험 모니터링은 지속적인 시스템 모니터링과 인시던트 대응체계를 통해 수행하며, 이로 인해 2023년…