위험 평가 경험 없음을 밝히고 수업에서 배운 방법론으로 이해 수준 설명
정기적인 위험 평가와 취약성 분석을 실무에서 수행한 경험은 없습니다. 정보보안 수업에서 위험 평가 방법론의 기초를 배웠습니다.
수업에서 가장 인상 깊었던 건 위험 평가가 취약점을 찾는 것과 다른 개념이라는 점이었습니다. 취약점은 기술적 약점이지만, 위험은 그 약점이 실제 피해로 이어질 가능성과 영향도를 함께 고려한 개념이라는 걸 배웠습니다. 같은 취약점이라도 어떤 자산에 존재하느냐, 공격자가 실제로 활용할 수 있느냐에 따라 위험도가 달라진다는 논리가 납득됐습니다. 수업 과제에서 취약점 목록을 받고 위험도를 매기는 실습을 했는데, 팀원마다 같은 취약점에 다른 점수를 줬습니다. 판단 기준을 먼저 합의하지 않으면 결과가 일관성 없게 나온다는 걸 그때 배웠습니다.
입사 후에 실제 위험 평가 과정을 배우겠습니다.