Home > 전체기사
CISO들, 경제학적 관점에서 보안을 바라볼 필요가 있다
  |  입력 : 2020-09-15 15:44
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
세계적으로 보안 예산은 아직 인색한 편...돈 쓸 곳과 안 쓸 곳 잘 정해야
기술 분야에만 투자하면 기회비용 생길 수도...위험 요소들 간파하는 것이 핵심


[보안뉴스 문가용 기자] 전통적으로 적은 예산을 할당받아 온 보안 쪽(그리고 아마도 IT 쪽) 관리자들은 자원을 균형감 있게 투자하는 방법에 대해 익숙하다. 특히 하나를 얻기 위해 하나를 포기하는 결정을 잘 내린다. 아직 이 부분이 어렵다면 보안 문제를 경제적 관점에서 바라보는 데에 조금 더 훈련이 필요하다는 뜻이다.

[이미지 = utoimage]


시장 조사 기관인 가트너(Gartner)의 부회장인 톰 숄츠(Tom Scholtz)는 “경제학 개념 중 상당수가 사이버 보안에서도 도움을 준다”고 주장한다. “지난 5년 동안 평균적으로 보안 예산은 그리 크게 올라가지 못했습니다. 편차가 심해졌죠. 적은 곳은 IT 전체 예산의 1.7%만 보안에 쓰기도 하는가 하면, 그 반대편에서는 12% 이상 쓰는 곳도 있습니다.”

심지어 그 적은 보안 예산을 잘 쓴다고 말하기도 어렵다. “아직도 보안 예산의 80%가 전통적 개념의 하드웨어, 소프트웨어, 보안 전문 인력에 사용됩니다. 즉 보안 기능을 강화하기 위해 필요한 것을 구매하여 회사라는 울타리 내부로 들여오는 것만 생각한다는 겁니다. 보안 대행 서비스 같은 걸 적극 활용하는 조직은 크게 많지 않습니다. 약 20%만이 보안 서비스를 유료로 이용합니다. 하지만 클라우드로 옮겨가는 조직이 많기 때문에 이 부분은 곧 바뀔 것으로 예상합니다.”

가트너에 의하면 1년이나 2년 단위로 예산 계획을 변경할 때가 아니라면 투자 계획을 바꾸지 않는 기업이 전체의 82%라고 한다. 유연하게, 전체 예산 계획과 상관없이 투자처를 바꿀 수 있는 건 18%뿐이다. “즉 환경이나 사업 방향이라는 큰 틀에서의 변화가 없이는 조직이 운영하는 돈의 흐름을 바꾸는 게 불가능에 가깝다는 뜻입니다. 따라서 보안 담당자가 보안의 중요성을 아무리 호소해도 금고 사정이 바뀌지는 않습니다. 우리 회사가 어떤 결정 과정을 거쳐 투자할 곳을 정하고 예산을 배분하는지 이해하여 변화의 때에 공략하는 게 낫습니다.”

보안 예산은 위험 관리 차원에서 결정 및 집행하는 게 일반적이다. 즉 지적재산을 보호하고, 브랜드의 신뢰도와 가치를 보존하며, 법과 규정을 위반하지 않도록 하는 틀 안에서 필요한 것들을 가까스로 채우는 게 보안 예산을 운영하는 묘미였다. “즉 투자자와 소비자의 신뢰를 잃지 않도록 하는 게 보안 투자의 핵심이었죠. 그 신뢰가 있어야 수익을 낼 수 있고요. 즉 보안의 투자 가치가 새로운 측면에서 조명을 받기 시작한 것입니다. 이러한 인식 변화는 느리긴 하지만 분명히 긍정적인 것입니다.”

한편 보안 관리자들이 예산을 받고 투자를 이뤄갈 때 제일 먼저 알아보는 것은 무엇일까? 기술이다. 가트너가 조사한 바에 따르면 약 2/3(65%)가 ‘필요한 기술이 무엇인가’부터 검토한다고 한다. 새로운, 혹은 필요했던 보안 솔루션을 돈 생겼을 때 구매하는 건데 숄츠에 따르면 “기회비용이 될 수 있다”고 한다. “솔루션을 사는 게 합당한 투자일 수 있지만, CISO가 개인적으로 느끼기에 가장 안전한 투자를 감행한 것일 수도 있습니다. 정말로 조직 전체의 가치를 올릴만한 투자였는가, 물어볼 필요가 있습니다.”

기회비용 산출하기
모든 투자는 ‘희생되는 부분’을 낳는다. 즉 모든 필요를 한 번에 다 채울 수는 없고 중요도에 따라 순서를 정해야 한다는 것이다. “가장 큰 가치를 발생시킬 곳을 찾아야 합니다. 보안을 책임지는 CISO로서는 제일 먼저 기업의 가장 큰 위험 요소가 무엇인지, 어떤 영역에 걸쳐 그 위험 요소가 발휘되는지 파악하는 게 가장 맞다고 생각합니다. 지적재산이 가장 중요한 영역일 수도 있고, 사업 운영이 마비되는 게 가장 큰 타격일 수도 있습니다. 물리적 타격이 가장 큰 위험일 수도 있죠.”

그러면스 숄츠는 예를 든다. “한 기업이 올해는 보안과 R&D에 집중하고자 방향을 수립했다고 합시다. R&D의 결과물을 지키는 게 대단히 중요해지겠죠? 그렇기 때문에 지적재산을 보호하는 게 그 무엇보다 중요한 일이라고 의논이 되었습니다. 그렇다면 보안 담당자는 예산을 어떻게 써야 할까요? 보안이 다 연결되어 있다고는 하지만, 데이터 보호에 집중하는 게 맞겠죠. 그 외에 다른 곳에 투자할 경우, 기회비용이 발생합니다.”

사업적 가치가 낮은 인프라에 지나치게 많은 보안이 투자되는 경우도 있다. “리스크가 낮은 곳에 많은 비용을 투자하는 것 역시 현명하지 않습니다. 예산이 생겼을 때 기술 분야부터 점검하면 이런 함정에 빠질 수 있습니다. 그럴 땐 과도한 보안 장비나 솔루션 혹은 서비스에 조금 힘을 빼고 다른 곳에서 가치를 창출할 수 있어야 합니다. 그러면 가치가 낮은 곳에서 돈이 생기는 것과 같은 효과가 나타납니다.”

숄츠는 “보안이라고 해서 조직 전체의 경제적 필요와 구조 바깥에 있을 수 있는 건 아니”라고 강조했다. “우리는 위험을 기회로 전환시키는 사람들이어야 합니다. 보안 전문가들이 아닌 사람이 보기에는 ‘위험 요소’인 것에서 우리는 ‘숨겨진 돈을 찾아내거나 투자자/소비자의 신뢰도를 상승시키는 기회’를 발굴해야 하는 것입니다.”

3줄 요약
1. 지난 몇 년 동안 보안 예산은 크게 변하지 않았음.
2. 한계가 분명하기 때문에 투자의 우선순위를 명확하게 정해야 함.
3. 보안은 위험 요소들에서 숨겨진 돈을 찾고, 투자자/소비자의 신뢰도를 높이는 기능 발휘해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상