# [[위험 평가 (Risk Assessment)]]

## 📌 Brief Summary
위험 평가는 조직의 환경 전반에서 발생할 수 있는 잠재적 위험(Risk)을 사전에 식별하고, 해당 위험의 발생 가능성(Likelihood)과 비즈니스에 미칠 잠재적 영향(Impact)을 전략적으로 평가하는 프로세스이다 [1-3]. 이는 단순히 문제 발생 후 대응하는 것이 아니라 '무엇이 잘못될 수 있는가?'를 선제적으로 묻고 파악하여, 조직이 가장 중요한 위협에 방어 자원을 효과적으로 할당하고 완화 전략을 수립할 수 있게 하는 핵심 기반이 된다 [2, 4, 5].

## 📖 Core Content
* **위험 평가의 목적 및 역할**
  위험 평가는 위험 우선순위 지정(Risk Prioritization)을 위한 필수적인 선행 단계이다. 평가 과정은 "무엇이 잘못될 수 있는가?"에 답하며 조직 환경 전반의 가능한 위험 목록을 작성하는 것이고, 우선순위 지정은 이 목록의 순위를 매겨 "무엇을 먼저 고쳐야 하는가?"에 답하는 과정이다 [2, 6]. 체계적인 위험 평가는 조직이 직관이나 추측이 아닌 데이터와 사실에 기반해 가장 시급한 위협을 판단하도록 돕는다 [1, 7, 8].

* **위험 평가의 3대 핵심 요소**
  위험의 크기를 산정하기 위해 일반적으로 다음의 세 가지 요소를 중점적으로 측정한다.
  * **심각도 및 영향(Severity & Impact):** 특정 위험이나 고장이 현실화되었을 때 제품, 시스템, 안전 또는 재무적으로 미치는 결과의 크기를 측정한다 [9, 10].
  * **발생 가능성(Occurrence/Likelihood):** 과거 데이터나 위협 인텔리전스 등을 바탕으로 특정 위험 이벤트가 발생할 확률이나 빈도를 추정한다 [9, 11].
  * **탐지 가능성(Detection):** 위험 요소나 시스템의 결함이 사용자에게 영향을 미치거나 실제 사고로 이어지기 전에 이를 조기에 발견하고 통제할 수 있는 능력을 평가한다 [9].

* **위험 평가의 주요 방법론**
  * **정성적 접근법(Qualitative Approach):** 데이터가 부족할 때 전문가의 판단, 경험, 의견을 바탕으로 위험을 '높음, 중간, 낮음' 등의 서술적 범주로 평가하는 방식이다. 평판, 문화, 이해관계자 관계 등 수치화하기 힘든 무형의 위험을 포괄하는 데 유리하며 실행이 빠르고 간단하다 [12, 13].
  * **정량적 접근법(Quantitative Approach):** FAIR(Factor Analysis of Information Risk)와 같은 통계적, 확률적 기법을 사용하여 위험을 구체적인 금전적 가치(예: 예상 손실액)로 환산하는 방식이다 [7, 14]. 경영진이 이해하기 쉬운 비즈니스 언어로 위험을 표현하여 의사결정을 돕는다 [7].

* **주요 평가 프레임워크 및 고도화**
  * **FMEA(고장 모드 및 영향 분석):** 제조업, 의료기기, 전자 등 다양한 산업에서 쓰이며, 심각도(S), 발생도(O), 검출도(D)를 곱하여 '위험 우선순위 수(RPN)'를 산출함으로써 위험을 정량화하고 대응을 우선순위화한다 [15-17].
  * **다차원적 위험 평가:** 2026년 이후의 현대적 위험 평가는 단순한 발생 가능성과 영향의 곱을 넘어선다. 위협이 발현되는 속도(Velocity), 자산의 비즈니스 중요도(Asset Criticality), 여러 시스템을 도미노처럼 무너뜨리는 상호 의존성(Systemic interdependencies), 그리고 통제 조치 이후의 잔여 위험(Residual Risk)까지 다차원적으로 분석하여 평가에 반영한다 [18-20].

## ⚖️ Trade-offs & Caveats
* **정성적 평가의 제약 및 편향 문제**
  정성적 위험 평가는 빠르고 간단하게 적용할 수 있지만, 전적으로 평가자의 주관적인 판단과 경험에 의존하므로 평가자 개인의 편향(Bias)이 개입될 수 있다. 이로 인해 동일한 위험임에도 사람에 따라 평가 결과가 달라지는 등 일관성과 정밀성이 부족해질 수 있다 [12, 13].

* **정량적 평가의 비용 및 무형 자산 측정의 한계**
  정량적 위험 평가는 신뢰할 수 있는 막대한 데이터와 통계 모델링에 대한 전문 지식을 요구하므로 실행에 시간과 자원이 많이 소모된다 [12, 14]. 결과의 품질이 입력된 데이터의 품질에 절대적으로 좌우되며, 브랜드 평판 손상이나 조직 문화 훼손과 같이 수치로 환산하기 어려운 비재무적 영향을 측정하는 데는 한계를 보인다 [12].

* **FMEA 및 RPN 모델의 맹점**
  FMEA 분석에서 심각도, 발생도, 탐지도를 채점하는 과정 역시 주관성이 개입되어 팀 간 불일치를 유발할 수 있다 [21, 22]. 특히 RPN 점수 산출 공식의 특성상, 발생 가능성은 매우 낮지만 한 번 발생하면 생명과 안전에 치명적인 영향을 미치는 '심각도'가 높은 위험이 전체 RPN 점수에서는 낮게 나와 과소평가되거나 조치 대상에서 누락될 위험이 있다 [22]. 

* **시스템 복잡성에 따른 하향식 접근의 한계**
  FMEA와 같은 도구는 개별 구성 요소와 그 고장 모드에 초점을 맞추는 방식이므로, 상호 의존성이 매우 높은 대규모의 복잡한 시스템에서는 구성 요소 간의 복잡한 상호작용이나 전체 시스템 수준의 위험 요인을 제대로 파악하지 못하고 간과할 수 있다는 단점이 있다 [21].


---
*Last updated: 2026-05-04*