🔐 10강. TARA – 위험 평가와 보안 목표 도출

"모든 위협이 똑같이 무섭진 않다구요!"

안녕하세요, 사이버보안 개발자 여러분!
오늘은 TARA의 마지막 단계, 바로 "이 위협은 얼마나 위험할까?"에 대해 이야기해보는 시간입니다.

지금까지 우리는:

이제 "그래서 얼마나 위험한데?",
그리고 "뭘 지켜야 하지?" 라는 질문에 답할 차례입니다.

🎯 오늘의 핵심 목표

"해킹 시도가 100번 들어오더라도, 실제 피해가 0이면 괜찮은 거 아닌가요?"

맞습니다!
그래서 우리는 공격의 가능성과 영향(Impact) 을 함께 고려해야 해요.

Risk Matrix는 Likelihood와 Impact를 기준으로 위험도를 시각화하는 도구예요!

🔍 각 시나리오에 대해 이 테이블을 적용해보면 위험 우선순위를 직관적으로 정할 수 있어요!

💡 보안 목표는 "시스템이 어떤 상태를 반드시 유지해야 하는가?"에 대한 선언이에요!

위험 수준이 낮다고 완전 무시하지 마세요!
예: 로그인 실패 횟수 제한을 안 두면 저위험이 모여 고위험이 될 수 있음.
Impact는 안전, 재산, 법적 문제까지 고려하세요!
특히 기능안전(ISO 26262) 과 연계된 시스템에서는 Impact 점수가 상승하는 경우가 많아요.
Risk 평가 주체가 중요합니다
개발자, 보안 담당자, QA, 심지어 법무까지 함께 논의하는 것이 가장 이상적입니다!

항목	내용
위험 평가	Likelihood + Impact를 Matrix로 평가
보안 목표	"시스템이 반드시 지켜야 하는 상태" 정의
실전 적용	공격 시나리오별 위험 수준 정하고, 목표 도출
핵심 포인트	STRIDE → Risk → Goal로 이어지는 흐름 기억하기!

보안 목표까지 도출했다면,
이제 그걸 개발팀이 바로 이해하고 구현할 수 있는 형태로 바꿔야겠죠?

Functional Requirement, Technical Control, Organizational Policy
이 세 가지 관점으로 나누는 방법을 다음 시간에 알아봅시다!

🛠️ 보안, 이제 구체적으로 만들 시간입니다!