사이버 보안의 성과를 정량화 한다는 건 매우 어려운 일이다. 이 때문에 보안을 강화하자는 말이 예산 담당자들에게는 잘 통하지 않는다. 그렇다고 보안 예산을 줄인다면 해킹 공격이 난무한 시대에 생존을 장담할 수 없다.

[보안뉴스 문정후 기자] 사이버 보안 시장은 매년 천문학적인 돈을 투자 받는다. 그에 따라 보안 위협들에 대한 정보도 점점 잘 정리돼 효과적으로 전파되어가고 있다. 하지만 시장 전체의 이런 상황이 현장에서 곧바로 체감되는 것은 아니다. 특히 세계 경제가 악화되면서 외부에서 어떤 투자를 받던 예산을 효율적으로 써야 한다는 압박에 모든 경영인들은 시달리고 있다. 사이버 보안에 대한 투자 역시 아낄 수밖에 없는 상황에 처한 조직들이 대다수다.


소프트웨어 개발사 레그스케일(RegScale)의 CISO 래리 화이트사이드 주니어(Larry Whiteside Jr.)는 “동의하든 하지 않든, 사이버 보안은 IT 분야라는 커다란 카테고리 안에 있는 것으로 간주되는 분야”라고 말한다. “그렇기 때문에 IT 예산이 줄어들면 보안 예산도 줄어들 수밖에 없습니다. 재미있는 건 사이버 보안은 리스크 관리의 하위 분야이기도 하고, 규정 준수와 관련된 분야이기도 합니다. 그렇기 때문에 이런 분야들에서 예산이 삭감되면 보안도 영향을 받습니다. 보안에 대한 투자가 많다고 하는데, 현장에서 잘 느껴지지 않는 이유입니다.”

에너지 컨설팅 업체 에너지솔루션즈(Energy Solutions)의 CIO 데이비드 웨이송(David Weisong)은 “사이버 보안 예산은 투자한 만큼의 성과라는 것을 계산하기가 어렵다는 특성을 가지고 있어 책정이 까다롭다”고 말한다. “예를 들어 생산성 소프트웨어를 하나 새로 구매한다고 했을 때, 투자의 가치라는 것은 꽤나 직관적으로 계산될 수 있습니다. 하지만 있을 수 있기도 하지만 없을 수도 있는 일을 방지하는 보안 솔루션이기 때문에 가치 계산 공식이 사람마다 달라집니다. 그래서 ‘투자를 늘려야 한다’고 주장하는 게 쉬운 일은 아니죠.”

그렇다면 이야기는 간단해진다. 사이버 보안이 실질적인 이득이 된다는 것만 증명하면 예산을 늘릴 수 있다는 뜻이 된다. 이러한 방법에 대해 웨이송과 화이트사이드 등 여러 조직의 C레벨 임원들과 이야기를 나누며 다음과 같이 정리해 보았다.

보안 = 스마트한 규정 준수
보안의 가치 증명이 얼마나 복잡한 일이든, 보안에 대한 예산이 얼마나 아깝게 느껴지든, 대부분의 기업들은 보안에 어느 정도는 반드시 투자해야 한다. 국가나 산업에서 정한 규정을 지키기 위해서다. 규정 준수에 투자하지 않으면 꽤나 큰 벌금형을 맞게 되며, 상황에 따라 장기간 진행될 수 있는 복잡한 법정싸움에 휘말릴 수 있게 된다. 그 과정에서 신뢰를 잃어 사업성 자체가 사라지고 결국 회사 문을 아예 닫는 상황까지도 생긴다.

웨이송은 “에너지 산업 내 고객들과 여러 해 동안 이야기를 나눈 끝에 보안 강화라는 것을 ‘위험 대처’라는 측면으로만 접근해서는 안 된다는 것을 깨달았다”며 “사업을 보다 스마트하게 운영할 수 있는 방안의 하나로 보안을 설명하는 게 효과적이었다”고 말한다. "그래서 저희 회사의 경우 오히려 표준이나 규정에서 제시하는 최소한의 준수 사항보다 수위를 더 높여 고객들들에게 제시할 수 있게 되었습니다. 최소한만 지키는 보안이 아니라, 더 자발적으로 지키는 보안을 판매할 수 있게 되었고, 그에 따라 규정을 여유롭게 준수하면서 얻어가는 이득이 훨씬 많았음을 고객사들에게 보여주고 인정받을 수 있었습니다.”

웨이송은 “규정은 점점 더 삼엄해지고, 최소한의 지킬 것이라는 것도 그 수준이 계속 올라가기만 한다”는 점을 지적하면서 “모든 기업들에게 규정은 점점 더 무거운 짐이자 해결 과제가 될 것”이라고 설명한다. “앞으로 있을 가능성이 높은 위험한 상황을 아무리 설명해봐야 와닿지 않습니다. 하지만 규정이 점점 빡빡해진다는 것은 경영진들이 이미 체감하고 있죠. 이 부분을 스마트하게 해결해줄 수 있다는 식으로 보안의 강점을 설명하면 고객들이 쉽게 납득하는 걸 여러 차례 경험했습니다.”

보안 강화 = 운영 효율의 증대
보험사인 월드 인슈어런스 어소시에이츠(World Insurance Associates)의 CIO 마이클 코리건(Michael Corrigan)은 최근 회사 경영진을 설득해 차세대 백신을 회사 전체에 도입하는 데 성공했다. 그러면서 엔드포인트 솔루션도 새로 들여 보안을 강화하고, 안전한 보안 습관을 정착시키고, 위협에 대한 능동적인 탐지 및 해결을 전문으로 하는 서비스와 파트너십을 체결하기도 했다. 즉, 회사가 보안에 많은 돈을 쓰도록 한 것이다. 어떻게 했을까?

“보안 솔루션들을 ‘조직의 안전을 위한 것’이라고 소개하지 않았습니다. 운영의 효율을 높여주는 도구들이라고 프레임을 짰죠. 이런 저런 백신들이나 보안 솔루션을 가리지 않고 설치해 사용하면 IT 인프라 전체에 부하가 심하게 걸립니다. 이를 효과적인 차세대 제품 몇 가지로 통일하면 네트워크가 보다 원활해지죠. 새 솔루션들을 효과적으로 사용하는 방법을 알려주면서 보안을 강화하는 습관도 덩달아 알릴 수 있고요. 좋은 대행 서비스를 활용할 경우 운영 효율이 더 높아질 수 있는 게 사실이고, 이를 수치화 해서 강조했습니다.”

보안 강화 = 사건 대응력 강화
사이버 보안 사건이 발생했을 때 복구에 걸리는 시간이 짧으면 짧을수록 잃는 게 적어지는 것도 분명한 사실이다. 웹사이트 성능 모니터링 전문 기업 핑덤(Pingdom)에서 조사한 바에 따르면 기업들이 정전이나 사이버 공격 등으로 마비되었을 때 잃는 손해 규모는 분당 9천 달러 정도라고 한다. 큰 기업일수록 이 금액은 기하급수적으로 커지기 때문에 1분 마비되는 것만으로 수백만에서 수천만 달러의 손해를 입을 수도 있다. 기업의 복구력이 중요해지는 이유다.

IT 기업 셸먼(Schellman)의 수석 총괄인 더그 바빈(Doug Barbin)은 “요즘 같은 때에 그 어떤 조직도 ‘우리는 해킹 범죄를 완전히 차단할 수 있다’고 말할 수 없다”고 지적한다. 어느 회사라도 잠깐 마비되는 것만으로 큰 손해를 볼 위기에 처해 있다는 뜻이다. “굳이 사이버 공격이 아니더라도, 각종 자연 재앙과 같은 일들 때문에 뜻하지 않은 서비스 마비나 중단을 겪을 수 있습니다. 그렇기 때문에 미리 대응할 수단과 도구를 갖춰놓는 것이 중요하죠. 이러한 각도로 보안을 강조하면 예산 확보가 원활해질 수 있습니다.”

보안 강화 = 신뢰의 무결성 유지
이미징 솔루션 회사 렉스마크인터내셔널(Lexmark International)의 전 CISO 브라이언 윌렛(Bryan Willett)은 7년 동안 근무하며 렉스마크 역사상 가장 큰 보안 예산을 회사로부터 얻어내는 데 성공한 경험을 가진 인물이다. “그리고 저는 이 돈을 가지고 ‘설계에 의한 보안’ 개념을 조직 전체에 도입하고, 공급망 보안을 강화했지요. 전 세계 벤더사들 1만여 개와 파트너십을 맺고 있어 공급망 보안을 강화한다는 게 결코 쉬운 일은 아니었고, 그래서 큰 돈이 필요했었습니다.”

그는 이런 프로젝트를 진행하기 위해 보안을 “고객과의 신뢰를 강화하는 요소”로 포장해 윗선을 설득했다고 한다. “데이터 보호와 관련된 소비자들의 기대치와 규정의 삼엄함을 객관적으로, 또한 지속적으로 강조했습니다. 그리고 그런 것들이 시장의 신뢰와 브랜드 인지도로 연결된다는 것도 설명했습니다. 실제로 소비자들과 파트너사들에게서도 그런 피드백이 오곤 했으니 제가 이야기를 과장되어 한다고 받아들이지 않더군요. 브랜드 명성에 가장 민감한 것도 경영진이니, 보안 예산 결정이 비교적 쉽게 났던 것으로 기억합니다.”

보안 강화 = 보험 관리
사이버 공격자들의 공격 수위와 빈도가 빠르게 높아지면서 사이버 보안 사건에 대비한 보험금들도 기하급수적으로 비싸지고 있다. 돈을 싸들고 찾아가도 보험사들이 거절하기도 한다. 일부 보험사들은 랜섬웨어 사건은 보장할 수 없다고 선언하기도 했다. 사이버 보험은 갈수록 까다로운 요소가 되어가고 있다. 그렇다고 기업을 운영하는 입장에서 보험을 아예 포기할 수도 없는 노릇이다.

코리건은 “사업자들에게 있어 보험은 필수 요소”라며 “다들 되도록 싸면서 효과 좋은 상품을 원한다”고 짚는다. “사이버 보험 상품들의 경우 보험사가 피보험사의 보안 상황을 직접 평가해 보험금과 보험료를 책정하는 경우가 많습니다. 간단히 설명해 보안 상태가 좋으면 보험료가 낮아지고, 보안 상태가 좋지 않으면 보험료가 높아집니다. 보안 강화의 중요한 이유가 될 수 있습니다.”

글 : 캐리 팔라디(Carrie Pallardy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>