Home > 전체기사

[주말판] 사이버 보안에 돈을 낭비하지 않는 방법

  |  입력 : 2022-08-27 15:52
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
IT가 극도로 중요해지는 이 때, 보안도 덩달아 중요한 가치가 되어가는 중이다. 아무리 최신 기술로 무장하고 있더라도 보안이 허술하면 내일부터 사업장 문을 닫아야 할 수도 있다. 그래서 보안에 대한 투자를 과감히 해보려 하지만 돈만 쓴다고 해결되는 문제도 아니다.

[보안뉴스 문정후 기자] 보안은 투자할 만한 분야임이 확실하다. 하지만 돈을 쓴 만큼 비례적으로 효과가 나타나는 것은 아니다. 심지어 아무리 돈을 퍼부어도 여전히 사이버 공격자들에게 당할 수 있다. 물론 이를 단편적으로 평가할 수는 없는데, 일반 사용자나 기업 경영진 입장에서는 보안에 돈을 너무 많이 쓰고 효과도 못 본다는 불만을 토로할 수밖에 없다.

[이미지 = utoimage]


기업의 보안 책임자들은 위협과 취약점을 파악하고 평가하는 건 잘하는데, 적절한 보안 투자액을 산정하고 확보하는 데에는 꾸준히 서툰 모습을 보여준다. 딜로이트(Deloitte)의 기업 전략 리스크 담당자인 존 겔린(John Gelinne)은 “사이버 리스크에 의한 기업의 영향이라는 것이 너무 어렵게 설명되어 있는 경우가 많고, C레벨들은 대부분 이를 이해하지 못한다”고 말한다. “그래서 적절한 예산을 배정받지 못합니다. 지나치게 많이 받거나, 지나치게 적게 받는 경우가 대부분이죠.”

자주 하는 실수들
지나치게 적게 받는 경우는 그렇다 치고(왜냐하면 이 칼럼은 낭비를 막고자 작성된 것이니) 어떻게 하다가 사이버 보안에 너무 많은 투자하게 되는 걸까? 몇 가지 흔히들 저지르는 실수가 있는데, 그건 바로 최근 사이버 보안 트렌드와 타기업들의 움직임에 지나치게 예민하게 반응하는 것이다. 최근에 일어난 대형 사건을 마치 우리 회사의 일인 것처럼 받아들이고 보안 계획을 세우면 예산이 초과될 수밖에 없다.

“모든 조직들은 나름의 고유한 보안 문제들과 해결책들을 가지고 있습니다. 상황도 다르고 필요한 것도 다릅니다. 어떤 사업을 어느 지역과 문화권에서 하느냐, 어떤 소비자들을 대상으로 하며 사업적 목표가 무엇이냐 등에 따라 다 달라집니다.” 보안 투자 및 컴플라이언스 전문 회사인 가이드포스트솔루션즈(Guidepost Solutions)의 IT 인프라 책임자인 아마드 주아(Ahmad Zoua)의 설명이다. “우리 회사에는 100만 달러의 가치가 있는 솔루션이 다른 회사에서는 10달러의 가치도 가지지 못할 수 있습니다.”

필요한 것을 정확하게 알아내고 추진한다고 해도 꼼꼼하게 계획하고 진행하지 않으면 비용 낭비가 발생한다. 알고 보니 기능이 상당 부분 겹치는 솔루션을 두 개, 세 개 중복해서 구입하거나 사실상 거의 같은 플랫폼들에 가입하여 비용이 불필요하게 나가기도 한다. “실제로 대기업들에 가서 IT 현황을 파악하면 솔루션이나 플랫폼에 중복 투자하는 경우가 대단히 많다는 걸 알 수 있습니다. 이래서 보안 예산이 2~3배로 뻥튀기 되죠.” 컨설팅 업체 ISG의 보안 책임자 더그 세일러스(Doug Saylors)의 설명이다.

매년 보안 투자를 새롭게 하겠다면서 서로 호환도 잘 안 되고, 시너지도 일으키지 않으며, 기능상 중복되는 부분이 많은 보안 솔루션을 자꾸만 추가로 구입하는 회사들도 부지기수다. 보안 자문 업체인 딥인스팅트(Deep Instinct)의 사이버 보안 전담 찰스 에버렛(Charles Everette)는 “CISO 등 보안을 책임졌던 사람들이 퇴사하고 새로 책임자가 부임해 올 때에도 그런 일이 자주 발생한다”고 덧붙인다. “그렇게 네트워크 내에 쓸데 없는 보안 솔루션들이 쌓여가는데, 그 모든 게 비용입니다. 그런 솔루션들을 구매하는 데 썼던 자원, 그 솔루션들이 네트워크에 앉아서 소비하는 자원 등 모든 게 돈입니다.”

위에서부터 시작하라
주아는 위에서부터 아래로 내려오는 ‘탑 다운’ 접근법을 사용해 보안 예산을 산정해야 한다고 권장한다. “실제 사업 환경에서의 필요를 파악하고, 보안 도구들을 실제로 구매하기 전에 꼼꼼하게 실험하고 적용해 보는 과정이 바로 이 탑 다운 접근법에 포함되어 있습니다. 위에서부터 내려오는 것이기 때문에 경영진과 관리자들부터 움직이는 것이 핵심히기도 합니다. 그들의 시야에서 실질적인 필요가 정의되어야 하고, 그들이 특정 솔루션이나 서비스의 장단점을 이해하고 있어야 합니다. 보안과 사업을 결합하여 큰 그림을 그리고 예산까지 짜는데, 밑에서부터 위로 올라오는 접근법을 사용하기는 힘듭니다.”

또한 조사하고 계획하는 데에서 끝나는 게 아니라 그것을 최대한 실제 환경에 시험적으로 적용해 보고, 그 결과를 관찰해 가면서 수정할 것을 다 수정하는 것도 리스크를 낮추는 중요한 방법이라고 주아는 덧붙인다. “많은 CISO들이 리스크와 위험 요인들을 평가하고, 그것을 바탕으로 예산을 짭니다. 그러나 시험 적용 과정을 거치지 않고 총예산을 조금 늘려서 필요 예산 금액을 결정하죠. 이 ‘플러스 알파’는 예측할 수 없는 변수에 대비한 금액인데, 여기서도 낭비가 발생하곤 합니다.”

보안을 ‘곁다리’로 여기면 낭비가 발생한다
지난 수십 년 동안도 그랬지만 지금도 기업들은 보안을 품질 관리의 맨 마지막 단계에서 고려하기 시작하는 요소로 여기고 있다. 출시 직전까지 상품을 다 개발하고 나서 ‘자, 그러면 이제 보안을 생각해 볼까?’라는 식이다. 에버렛은 “하지만 모든 IT 제품과 프로젝트들에 있어 보안이 핵심 가치가 되어가고 있다”고 말한다. “결정의 모든 과정에 보안에 대한 고려가 있어야 한다는 뜻입니다. 기본 구성이자 뼈대가 되어야 하지 마감재가 되어서는 안 됩니다. 그렇게 되면 보안은 있으나마나한 것이 되고, 그러므로 있으나마나한 것에 돈을 투자한 것이 됩니다.”

세일러스는 총체적인 보안 전략이 오히려 예산을 아낄 수 있는 방법이라고 말한다. “사업적 필요와 상황에 따라 모든 보안 해결책의 밑바탕이 될 수 있는 총체적 전략이 필요합니다. 매년 바뀌는 그런 것이 아니고, 보안 트렌드에 따라 자꾸만 엎어졌다 새로 생겼다 하는 그런 프로젝트가 아닌 근본적인 토대가 있어야 한다는 겁니다. 중심이 든든하게 잡혀야 변화가 필요한 때에라도 최소한의 예산을 가지고 효율적으로 움직일 수 있습니다. 무조건 최신 제품, 최신 기술에 마음을 빼앗기지 않는 것도 가능해집니다.”

이런 큰 보안 계획을 잡을 때 IT 분야의 중요 책임자들과 사업적 결정권자들과 함께하는 것도 좋은 방법이 될 수 있다고 세일러스는 설명을 이어간다. “높은 권한을 가진 사람들을 기획 단계에 참여시키면 회사 입장에서 적당한 예산의 범위가 무엇인지를 보다 정확하게 파악할 수 있고, 그러므로 그 안에서 최대한의 효과를 내기 위한 노력을 이어갈 수 있습니다. 보안이 가장 먼저 보호해야 할 것들의 순서도 가장 알맞게 정해질 수 있고요. 그러니 낭비가 줄어들겠죠.”

글 : 존 에드워즈(John Edwards), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)