# [[FAIR 방법론 (Factor Analysis 단of Information Risk)]]

## 📌 Brief Summary
FAIR(Factor Analysis of Information Risk) 방법론은 사이버 위험으로 인한 잠재적 손실을 금전적 가치로 환산하기 위해 확률론적 및 통계적 방법을 사용하는 대표적인 정량적 위험 평가 방법론이다 [1]. 이 프레임워크는 위험을 '손실 발생 빈도(loss event frequency)'와 '손실 규모(loss magnitude)'로 분해하여 분석하는 산업 표준으로 기능한다 [2]. 경영진과 이사회가 이해할 수 있는 재무적 언어로 객관적이고 데이터에 기반한 위험 측정치를 제공하는 데 유용하게 활용된다 [1, 2].

## 📖 Core Content
* **위험의 정량적 분해와 구조화**: FAIR 방법론은 사이버 위험을 손실 발생 빈도와 손실 규모로 나눈 뒤, 이를 다시 위협 역량(threat capability), 통제 강도(control strength), 그리고 다양한 형태의 손실(생산성 저하, 대응 비용, 벌금 등)과 같은 세부 요인으로 분해하여 분석한다 [2].
* **통제 수단과 위험의 직접적 연결**: 전통적인 취약점 관리를 넘어, FAIR 및 FAIR-CAM 표준은 보안 통제 수단을 위험과 직접적으로 연결한다 [3]. 이를 통해 단순히 약점을 식별하는 것에 그치지 않고, 특정 통제 수단이 위험을 얼마나 감소시킬 수 있는지 그 가치를 객관적으로 측정할 수 있게 해준다 [3]. 
* **객관적인 재무적 의사결정 지원**: 확률 및 통계 기법을 적용하여 위험에 대한 금전적 가치를 제공하므로, 임원진이 재무적 세부 정보를 바탕으로 의사결정을 내려야 할 때 매우 유용하다 [1]. 특히 신뢰할 수 있는 데이터가 풍부하게 존재하는 금융 및 보험 분야에서 광범위하게 사용된다 [1].
* **규제 대응 및 이해관계자 소통**: 위험 우선순위 지정 방법론을 FAIR와 같은 확립된 프레임워크와 연계하면, 규제 기관과 감사인에게 적절한 주의 의무(due diligence)를 다하고 있음을 입증할 수 있다 [4]. 또한, 이러한 프레임워크를 이해하는 외부 이해관계자와의 원활한 의사소통을 촉진하는 이점을 제공한다 [4].

## ⚖️ Trade-offs & Caveats
* **데이터 의존성**: 정량적 위험 관리를 위해서는 방대한 양의 신뢰할 수 있는 데이터가 필수적으로 요구되며, 산출물의 품질은 전적으로 입력되는 데이터의 품질에 크게 좌우된다는 제약이 있다 [1, 5].
* **무형적 영향 측정의 한계**: 평판 손상(reputational damage)과 같은 무형적인(non-tangible) 영향 요소들은 FAIR 방법론을 통해 제대로 평가하고 정량화하는 데 어려움이 있다 [5].
* **시간 및 고도의 전문성 요구**: FAIR와 같은 정량적 모델을 실제로 조직에 구현하는 과정은 시간이 많이 소요되며(time-consuming), 통계적 모델링에 대한 전문적인 지식과 기술이 필요하다 [5].


---
*Last updated: 2026-05-04*