리스크 소유자는 특정 리스크가 허용 가능한 수준으로 적절하게 관리되도록 책임지는 개인입니다. 책임이란 리스크 소유자가 리스크를 평가하고, 적절한 대응 방안을 결정하며, 조직이 그 결정(리스크 완화, 이전, 회피 또는 수용)을 이행하도록 보장할 권한과 의무를 갖는다는 것을 의미합니다. 많은 거버넌스 모델에서 리스크 소유자는 일반적으로 해당 리스크의 영향을 가장 많이 받는 프로세스, 자산 또는 결과물을 "소유"하고, 리스크 해결에 필요한 자원을 투입하거나 변경 사항을 승인할 수 있는 비즈니스 또는 기술 리더입니다. 이는 위험 완화 작업을 수행하는 사람과는 다릅니다. 위험 책임자는 통제 책임자, 엔지니어 또는 프로젝트 팀에 작업을 위임할 수 있지만, 조치가 완료되고, 기한이 준수되며, 잔여 위험이 파악되고, 예외 사항이 정책에 따라 문서화되고 승인되도록 보장할 책임은 여전히 본인에게 있습니다. 또한 위험 책임자는 새로운 취약점, 위협 활동의 변화 또는 영향에 변화를 가져오는 비즈니스/프로세스 변경과 같이 시간이 지남에 따라 위험 상황의 변화를 검토해야 하는 사람입니다. 옵션 C는 실행자 또는 관리 책임자를 설명하는 것이지, 반드시 책임 당사자를 의미하는 것은 아닙니다. 옵션 D는 단순히 위험을 발견한 사람을 의미하며, 옵션 B는 위험이 특정 개인보다는 상황, 설계 선택 또는 외부 요인에 의해 발생하는 경우가 많기 때문에 잘못된 설명입니다.
IIBA-CCA 문제 2
다음 중 솔루션 개발 과정에서 비즈니스 분석가가 다뤄야 할 사이버 보안 위험은 무엇입니까?
정답: C
비즈니스 분석은 비즈니스 목적, 프로세스 흐름, 데이터 처리, 사용자 역할, 통합, 그리고 보안 및 개인정보 보호와 같은 비기능적 요구사항 측면에서 솔루션이 정확하게 이해되었는지 확인하는 역할을 담당합니다. 솔루션을 제대로 이해하지 못하면 보안 위험을 조기에 파악하지 못하게 되어 나중에 수정하기 어렵고 비용이 많이 드는 문제가 발생할 수 있습니다. 따라서 옵션 C가 가장 적절한 답변입니다. 솔루션에 대한 불충분한 이해는 요구사항 및 설계 단계에서 위협, 민감한 데이터 경로, 신뢰 경계, 오용 사례를 정확하게 식별하는 것을 어렵게 만듭니다. 사이버 보안 문서에서는 "설계 단계부터 보안을 고려하는 것(security by design)"과 "선제적 개발(shift-left)" 방식을 강조합니다. 이는 구축 및 테스트 전에 위험을 식별하고 해결해야 함을 의미합니다. 비즈니스 분석(BA)은 보안 요구사항을 도출하고 문서화하고, 데이터 분류 및 보존 요구사항을 명확히 하고, 사용자 접근 및 권한 기대치를 정의하고, 규제 및 정책 제약을 파악하고, 인터페이스 및 타사 종속성을 파악하고 평가함으로써 이러한 과정에 기여합니다. 또한 BA는 행위자, 워크플로 및 데이터 이동에 대한 정확한 맥락을 제공하여 위협 모델링 입력값을 지원합니다. 이는 인증, 권한 부여, 로깅, 암호화 및 유효성 검사와 같은 제어가 필요한 위치를 식별하는 데 필수적입니다. 다른 옵션들은 각기 다른 역할이나 단계에 맞춰져 있습니다. 예산은 거버넌스 및 프로젝트 관리 제약 조건이며, QA 제한 사항은 테스트 위험, 코딩으로 인한 취약점은 주로 안전한 코딩 표준, 코드 검토 및 개발자 관행을 통해 해결됩니다. 비즈니스 분석가(BA)의 핵심 사이버 보안 위험은 불완전한 이해로 인해 올바른 보안 요구 사항과 위험 식별이 이루어지지 않는 것입니다.
IIBA-CCA 문제 3
다음 중 다중 요소 인증 쌍으로 인정되는 것은 무엇입니까?
정답: B
다중 요소 인증(MFA)은 사용자가 두 가지 이상의 서로 다른 유형의 요소를 사용하여 신원을 증명하도록 요구합니다. 사이버 보안 표준에서는 주요 요소 범주를 '사용자가 알고 있는 것'(예: 비밀번호 또는 PIN), '사용자가 소유한 것'(예: 하드웨어 토큰, 스마트 카드 또는 일회용 코드를 생성하는 인증 앱), 그리고 '사용자의 신체적 특징'(지문, 얼굴 또는 홍채와 같은 생체 정보)으로 정의합니다. 유효한 MFA 쌍은 서로 다른 범주에 속하는 요소로 구성되어야 하며, 동일한 범주의 두 항목이나 인증과 비인증 개념을 혼합하여 사용할 수 없습니다. 옵션 B가 정답인 이유는 지식 요소와 내재적 요소라는 두 가지 서로 다른 유형의 요소를 명시적으로 결합했기 때문입니다. 이러한 조합은 다단계 인증(MFA)으로 널리 알려져 있는데, 한 요소가 손상되더라도 다른 요소가 자동으로 손상되지 않기 때문입니다. 즉, 비밀번호를 탈취한 공격자도 생체 정보가 필요하며, 생체 정보를 위조한다고 해서 비밀 지식 요소를 얻을 수 있는 것은 아닙니다. 옵션 A는 "암호화"가 인증 요소가 아니므로 잘못되었습니다. 암호화는 데이터의 기밀성과 무결성을 보호하는 메커니즘입니다. 옵션 D도 마찬가지로 암호화는 사용자 요소가 아닙니다. 옵션 C는 "토큰"이 진정한 소유 요소라면 실제 구현에서 다단계 인증(MFA)을 나타낼 수 있지만, 교육 자료와 시험 문제에서는 명확하고 모호하지 않은 요소-언어 조합을 선호하는 경우가 많으므로 "당신이 알고 있는 것과 당신이 가진 것"이 가장 적절한 답입니다.
IIBA-CCA 문제 4
이를 정량화하지 않는 조직은 전략적 목표 달성을 위한 기회를 놓칠 가능성이 높습니다.
정답: D
위험 감수 성향이란 조직이 목표 달성을 위해 감수하거나 유지할 의향이 있는 위험의 양과 유형을 의미합니다. 사이버 보안 및 기업 위험 관리 지침에서는 위험 감수 성향을 전략적 요소로 간주하는데, 이는 포트폴리오, 프로그램, 그리고 일상적인 운영 전반에 걸친 의사 결정에 영향을 미치기 때문입니다. 위험 감수 성향을 측정 가능한 수치와 임계값으로 정량화하면, 경영진은 제안된 계획을 합의된 한도와 비교하여 속도, 비용, 혁신, 그리고 보안 사이에서 일관된 균형을 유지할 수 있습니다. 조직이 위험 감수 수준을 정량화하지 않으면 일관성 없는 행동으로 이어지는 경우가 많습니다. 어떤 팀은 지나치게 신중해져 유익한 계획을 거부하는 반면, 다른 팀은 명확한 경계가 없어 통제되지 않은 위험을 감수합니다. 두 경우 모두 기회를 놓칠 수 있습니다. 지나친 신중함은 디지털 전환, 클라우드 도입, 자동화, 새로운 고객 기능 개발을 지연시킬 수 있습니다. 반대로 위험 경계가 불분명하면 예상치 못한 손실, 규제 문제, 예산과 시간을 낭비하는 계획되지 않은 문제 해결로 이어져 조직의 전략 실행 능력을 저해할 수 있습니다. 정량화된 위험 감수 수준은 실질적인 거버넌스를 가능하게 합니다. 즉, 어떤 위험을 감수할 수 있는지, 어떤 위험은 완화가 필요한지, 어떤 위험은 경영진의 의사 결정을 위해 보고해야 하는지를 알려줍니다. 또한 허용 범위를 초과하는 위험에 자원을 집중하고, 허용 범위 내의 활동에 대해서는 더 빠른 승인을 허용함으로써 보안 투자 우선순위를 정하는 데 도움이 됩니다. 요컨대, 위험 감수 수준은 사이버 보안 위험 감수를 비즈니스 목표와 일치시키는 전략적 "나침반"과 같으므로, 옵션 D가 올바른 선택입니다.
IIBA-CCA 문제 5
위험 점수는 어떻게 계산되나요?
정답: B
위험 점수는 일반적으로 두 가지 핵심 요소를 결합하여 계산됩니다. 하나는 위험 시나리오가 발생할 가능성이고, 다른 하나는 발생 시 그 결과가 얼마나 심각할지입니다. 사이버 보안 위험 문서에서는 이를 가능성 곱하기 영향으로 표현하거나 위험 매트릭스를 사용한 구조화된 매핑으로 설명하는 경우가 많습니다. 가능성은 현재 상황에서 위협 이벤트가 취약점을 악용할 확률을 나타냅니다. 여기에는 위협 활동, 노출 정도, 악용 용이성, 보안 강화 수준, 과거 사고 패턴 등의 요소가 고려될 수 있습니다. 영향은 조직에 미치는 피해의 규모를 나타내며, 일반적으로 사업 중단, 재정적 손실, 법적 또는 규제적 문제, 평판 손상, 기밀성, 무결성 또는 가용성 손상 등을 기준으로 측정됩니다. 기밀성, 무결성 및 가용성은 무엇이 중요하고 영향 등급에 영향을 미칠 수 있는지 이해하는 데 필수적이지만, 일반적으로 그 자체로 전체 점수 산정 방식이 아니라 영향 결정에 대한 입력값일 뿐입니다. 과거 경험과 전문가의 위협 평가는 발생 가능성 추정에 도움이 될 수 있지만, 그 자체로 표준 계산 모델은 아닙니다. 핵심 개념은 위험이 발생 가능성과 결과 모두를 반영해야 한다는 것입니다. 발생 가능성은 매우 낮지만 영향력이 큰 사건도 조직의 방법론에 따라 발생 가능성은 높지만 영향력이 중간 정도인 사건과 유사하게 평가될 수 있습니다. 따라서 위험 점수 계산 방식에 대한 가장 정확한 설명은 확률과 영향력의 조합이며, 이를 통해 우선순위를 정하고 일관된 위험 관리 결정을 내릴 수 있다는 것입니다.