보안 관련 공부를 하면서도, 각종 제안서를 작성하면서도 DoA에 대한 개념은 늘 봐오고 있다. 그런데 문제는 이게 진짜로 의미가 있냐는 것이다. 짐작컨대, DoA는 위험분석 및 평가 과정에서의 논리적 개념의 등장을 위해 쓰인 것으로 보인다. 그리고 단언컨대, DoA를 실제 업무에서 쓰는 경우는 거의 없을 것이다. 예를 들어, DoA를 1~10점으로 점수화해서 표현한다고 생각해 보자. 7점이면 냅두고, 8점이면 조치를 취할까? 실상은 결코 그렇지 않다는 게 내 생각이다. 결국 위험을 조치하는 데 있어 중요한 것은 인력, 예산이라 생각한다. 그것을 토대로 단기/중기/장기로 분류하여 이 문제를 해결할 수 있는가 없는가가 핵심인 것이다. 그리고 보통 장기에 속하는 것들은 해결이 불가능하기에 장기로 두는 경우도 ..