보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[주말판] 보안, 회사의 위험도 줄이고 비용도 절감하라

입력 : 2023-09-02 10:12
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
사이버 보안 담당이라고 해서 경제적으로 힘들어지는 시기를 몰라라 할 수 없다. 게다가 회사의 예산을 아끼는 게 오히려 보안의 강화로 이어질 수도 있다. 지금의 시기를 ‘보안의 측면에서’ 영리하게 이용할 필요가 있다.

[보안뉴스 문정후 기자] 각종 경제 전망에 어두운 그림자가 드리운 가운데 기업들은 사업 운영 비용을 줄이고 또 최적화 하는 데에 집중하고 있다. 예산이 투입되는 곳의 우선순위가 재정립 되고 있는 가운데 원래부터 예산 배정에서 뒤로 밀려나기 십상이었던 보안 분야가 위축될까봐, 그래서 할 일을 다 못하고 조직 전체가 약화될까봐 보안 담당자들은 걱정하고 있다. 하지만 걱정만 한다고 일이 달라지지 않는다. 이런 경제 상황에 맞는 보안 강화 방법을 각자가 찾아내는 게 중요하다.

[이미지 = gettyimagesbank]


먼저는 보안 예산이 어떤 식으로 지출되고 있는지를 다시 한 번 검토하고, 이를 객관적으로, 그리고 비판적으로 점검할 필요가 있다. 정말로 필요한 곳에만 돈이 지출되고 있는지 파악해 조정할 수 있는 걸 찾아내라는 것이다. 특히 공격 표면을 줄이는 데 있어서 돈을 덜 쓰고 타 부서와의 파트너십을 강화하고 확장할 수 있는 방법을 찾아내면 효과적이다. 리스크와 비용을 줄이는 방법을 전사적으로 검토하면 의외의 답이 나올 수 있다.

기업의 ‘예산’이라는 것을 이해하라
그러나 이렇게 스스로의 예산을 꼼꼼하게 검토하고 다른 부서와의 협업을 도모하기 전에 지금 이 시기에 운영비를 절감하는 게 왜 중요한지 이해하는 게 중요하다. ‘경제 전망이 암울해서 아끼고 살아야 한다’는 식으로 대강 이해하고 말하는 건 아무런 설득력을 갖지 못한다. 스스로 이런 질문들을 던지고 답할 수 있다면 좀 더 나은 이해도를 갖출 수 있을 것이다.

1) 무엇이 비용 절감을 필수로 만들고 있는가? 정확히 어느 정도 금액이 줄어들어야 하는가? 어떤 계산을 통해 그 숫자가 도출됐는가?
2) 어떤 부서에서 더 많은 예산을 배정 받았는가? 어떤 프로젝트에 더 많은 돈이 투자되고 있는가? 또 어떤 부서나 프로젝트들의 예산이 삭감됐는가? 왜 그 부서와 그 프로젝트에는 그러한 결정이 내려졌는가?
3) 회사 전체의 가장 중요한 ‘운영 목적’은 무엇인가? 그러한 목적들 중 가장 중요한 것은 무엇이며 덜 중요한 것은 무엇인가?
4) 회사가 포기할 수 있을 만한 사업에는 어떤 것이 있으며, 실제로 포기하려 하는 것에는 어떤 것이 있는가? 왜 포기가 가능한가?

이런 질문들을 통해 얻어내야 할 건 ‘전체 사업과 경영의 맥락에서의 예산 상황’에 대한 이해도이다. 즉 예산에 대한 넓은 시야를 확보하는 것이라고 말할 수 있다. 보안의 관점에서만 예산을 보면 그 어떤 돈도 한없이 부족해 보이기만 한다. 조직의 보안 강화를 위한 돈을 아낀다는 것 자체가 이해가 안 갈 수도 있다. 그러므로 예산을 최적화하는 작업이 생각만큼 잘 되지 않는다. 위에서 언급한 ‘비판적인 예산 점검’은 전체를 바라보는 눈이 있어야만 가능하다.

제로 베이스 예산 편성
기업마다 예산을 기획하고 배정하는 방법론이 있을 것이다. 하지만 예산 최적화를 계획 및 진행하고 있는 각 부서 담당자의 경우 여러 가지 방법론을 가지고 자기 부서의 예산을 점검할 수 있을 것이다. 보안 담당자도 마찬가지다. 이 때 제로 베이스 예산(zero-based budgeting)이라는 방법론도 한 번 사용해 볼 것을 추천한다.

제로 베이스 예산은 일종의 ‘생각 훈련’으로, 보안에 쓰는 비용이 0이라고 가정하는 것에서부터 시작한다. 하지만 예산이 0인 상태에서 보안 부서가 얼마나 운영될 수 있을까? 반드시 돈을 써야하는 항목들이 떠오를 것이다. 그중에서 가장 필요한 것, 그것도 회사에서도 수긍하고 승인할 만한 비용을 하나 추가한다. 이제 상상 속 보안 비용은 0이 아니라 방금 더한 액수만큼이 되었을 것이다. 이런 식으로 천천히 가장 필수적인 것들을 더해간다.

이렇게 예산을 짰을 때의 장점은 과거의 예산 항목을 고스란히 답습하지 않아도 된다는 것이다. 작년에 이러한 항목에 이 정도의 예산을 배정 받았으니 당연히 올해는 더 받아야 한다는 주장이 마음 속에서 사라진다. 경제 상황이 이렇게나 안 좋을 때 부서들끼리 조금이라도 더 예산을 확보하려고 경쟁하는 건 회사에 도움이 되지 않는다. 최적의 예산만을 생각한다는 건 작년이나 다른 부서의 상황에 개의치 않는다는 뜻이라는 걸 기억하자.

예산 ‘0’에서부터 시작해 여러 가지 비용을 추가할 때 다음 몇 가지를 고려하자.
1) 경비(초기 투자 비용, 고정 비용, 기술 투자 비용, 인건비 등)
2) 예산을 투자했을 때 기업이 얻는 것(단순 ‘강한 보안’보다 구체적이어야 한다)
3) 1~2년 후가 아니라 지금 당장 투자해야만 하는 구체적인 이유
4) 예산 시행을 늦췄을 때 기업에 나타날 수 있는 결과

이런 4가지 절차의 고민을 거친 후 아이템을 하나 비용에 추가할 때, 한 가지만 더 고민하는 걸 추천한다. 바로 ‘추가된 비용을 다른 곳에서 뺄 수는 없을까?’이다. 예를 들어 보안 업무를 보다 유연하고 막힘 없이 하기 위한 자동화 기술 도입이 꼭 필요한 것으로 결정되었다면, 추가 파트타임 인력을 줄인다든가 하는 식의 상충안을 모색할 수 있을 것이다.

기업이 예산을 아낄 수 있도록 적극 돕기
보안 전문가들의 가장 중요한 임무는 사이버 공격으로부터 조직을 보호하는 것이다. 비용 절감 혹은 예산 최적화는 어떨까? 그것도 보안 담당자들의 몫일까? 당연히 ‘아니오’이지만, 보안 업무를 추진하다가 예상치 않게 예산 절감이 이뤄지는 경우도 종종 존재한다. 네트워크와 디지털 자산에 대한 가시성을 확보하고, 불필요한 것들을 제거하는 과정에서 특히 ‘보안’과 ‘예산’이라는 두 마리 토끼를 잡는 게 가능하다. 그러므로 회사를 돕는답시고 예산 전문가가 될 필요까지는 없다. 다만 보안을 좀 더 철저히 하면 큰 도움이 될 것이다.

보안 담당자들이 찾아내면 좋은 것은 다음과 같다.
1) 사용하지 않은 채 설치만 되어 있고 연결만 되어 있는 소프트웨어와 엔드포인트
2) 사용량이 적은 SaaS 서비스
3) 사용자가 존재하지 않거나 불필요한 계정
4) 소프트웨어 및 서비스의 기능들 중 불필요한 것
5) 사용자가 없고, 따라서 관리자도 없는 가상기계
이런 것들만 찾아서 줄여도 회사는 큰 돈을 아낄 수 있다. 공격 경로가 줄어드는 효과도 볼 수 있다. 보안 기능 강화가 예산 감소로 이어진다면 회사 차원의 지원을 더 받을 가능성이 높아진다.

당연하지만 데이터 탈취나 침해의 가능성을 줄이는 것 자체도 예산을 아끼는 일이 된다. 사고가 터졌을 때 발생하는 비용을 생각하면 보안이 예산과 직결되는 분야라고 해도 과언이 아님을 알 수 있다. 다만 실제로는 터지지 않은 사고에 대해서 비용 정산을 할 수 없으니 계산이 되지 않을 뿐이다. 그러므로 경제난으로 기업이 힘든 시간을 보낼 때 보안 담당자들은 위에 언급한 것처럼 불필요한 자산들을 찾아 없앰으로써 ‘가시적으로 아낄 수 있는 비용’이 있음을 드러낼 필요가 있다.

글 : 레니 젤스터(Lenny Zeltser), CISO, Axonius
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)