예산은 단순히 돈이 아니다. 어떻게 산출되고 어떻게 집행되느냐에 따라 대단한 무기가 될 수도 있고 반대로 아무런 힘도 없는 ‘무늬만 무기인 것’이 될 수도 있다. 그런데 우리의 예산 산출 방식 대부분은 후자에 가깝다.

[보안뉴스=이라 윙클러 CISO, CYE] 우주왕복선의 디자인의 유래를 추적하다가 결국 말의 엉덩이 크기에까지 다다르는 이야기를 인터넷에서 한 번쯤은 접해봤을 것이다. 로마에서는 전차를 말 두 마리가 끌게 했고, 그렇기 때문에 자연스럽게 말 두 마리 엉덩이 크기에 딱 맞는 너비의 전차가 정립됐으며, 이는 곧 로마가 닦아 놓은 도로의 표준 너비가 되었다는 이야기다. 그러다가 기차가 발명되고, 철로를 놓아야 하는 상황에서 양선 사이의 간격 역시 그 도로들을 기준으로 삼았고, 오늘 날 자동차들의 크기가 어느 정도 정착한 것도 그런 도로와 철로의 간격 때문이라고 한다.


그런 상황에서 인류는 우주로 나아가게 됐고, 우주왕복선의 엔진을 조립장과 발사장으로 날라야 하는 상황에 직면했다. 그 무거운 걸 차로 나를 수는 없고, 기차만이 답이었다. 그러려면 기차의 크기를 고려할 수밖에 없었는데, 그 기차의 크기는 철로의 간격 때문에 나온 것이고, 철로의 간격은 로마의 길과 관련이 있으며, 로마의 길은 말 엉덩이 크기 때문에 그렇게 굳어진 것이라는 게 위에서 언급한 이야기의 내용이다. 즉 우리의 현대 기술은 의외로 저 먼 옛날부터 처리됐던 행정 사안들은 물론 각종 기술들과 밀접하게 얽혀 있으며, 그것들의 영향을 아직도 받고 있음을 알 수 있다.

그런 맥락에서 다시 보는 예산
필자가 보기에 사이버 보안 예산이라는 것도 사정이 똑같다. 말 엉덩이에서부터 시작한 것들이 있다는 것이다. 30년 넘게 이 분야에 있으면서 다양한 과정으로 예산이 책정되고 집행되는 것을 보았는데, 그것이 산업 현장에서든 학계에서든 정부 기관에서든 차이가 크게 없었다. 모든 예산 책정 과정은 ‘작년 예산의 규모는 어느 정도 되는가’에서부터 출발하고, ‘그에 비해 얼마나 올해는 늘릴 수 있는가’를 산출하여 결정된다.

이 일을 하는 건 주로 CISO들이다. 이들은 내년도 예산을 확보하면서 “올해 받은 예산이 얼마였던가”를 상기하고 “회사 사정에 따라 어느 정도 늘릴 수 있는가”를 살피며 계산한다. 임원진들이 어느 정도나 회사 전체 혹은 IT 전체 예산을 늘릴 예정인지를 먼저 알아내고 보안이 몇 %를 가져갈 수 있을까 어림짐작 해 보는 게 주요 공식이다. 정말로 써야 할 돈이 분명하게 정해져 있다면(도입하기로 결정된 솔루션의 가격 등) 그것을 반영해 계산하기도 한다. 보안 사고가 발생했거나 감사 결과가 좋지 않아 좀 더 많은 예산을 확보해야 할 때도 있으면 그것도 어느 정도 예산 항목에 넣고 위에서 돈을 더 주기를 마음 속으로 빌고 또 빈다.

뭐가 됐든 ‘올해 우리 보안 부서가 받은 예산이 총 얼마인가?’에서부터 모든 것이 시작한다. 그런데 그 올해 예산이라는 건 작년 예산을 근거로 하고 있으며, 그것 역시 전년도의 예산을 바탕으로 계산된 것이고, 이런 식으로 계속 거슬러 올라간다. 회사와 보안 부서의 역사에 따라 10년, 20년 전에 정해진 예산 규모가 결국 지금 확정되는 보안 예산의 규모를 결정하는 주요 요인이 될 수도 있다. 조금만 생각해 보면 이게 얼마나 말이 되지 않는 상황인지 알아챌 수 있을 것이다.

우리는 항상 ‘사이버 공간은 늘 변하고 위협도 늘 변한다’고 말한다. 그렇다면 그 대비 방법도 항상 변해야 하는 것 아닐까? 해마다 기술이 얼마나 무서운 속도로 변하는지, 생각지도 못한 기술들이 우리 삶을 얼마나 바꾸어 놓는지 생각해보라. 10년 전 예산이 책정될 때와 지금은 해킹 기술과 빈도도 다르고, 피해 규모도 다르며, 따라서 해야 하는 일도 다르다. 로켓으로 달나라를 가는 때에 아직도 말 엉덩이에 근거를 둔 규격에 얽매여 있을 때 우리의 발전에는 제한이 걸릴 수밖에 없다. 10년, 20년 전의 예산에 묶인 예산 역시 현대의 대응력에 제한을 걸게 된다.

새로운 방식의 예산
물론 회사가 허락할 수 있는 예산이라는 것은 정해져 있다. 예외적인 경우가 없지 않지만 회사가 버는 돈이라는 것도 작년과 올해 사이에 크게 달라지지도 않는다. 그러니 CISO들로서는 작년에 해왔던 것에 조금 더 보충하자는 식으로 예산을 예상해 보안 프로그램을 마련하는 게 타당하다고 느껴질 법하다. 하지만 보안 상황이라는 건, 그리고 보안 사고라는 건, 그러한 사정을 감안하지 않는다. 예산은 올 한 해 조직이 접할 가능성이 가장 높은 위험들을 근거로 책정되어야 하지 작년의 예산 규모를 기준으로 책정되어서는 안 된다.

이러한 기묘한 예산 책정의 함정을 벗어나려면 제일 먼저 보안 담당자로서 어떤 위험에 맞서야 하는가를 파악하는 것부터 시작해야 한다. 어떤 공격이 어떤 식으로 들어오면 지금의 회사 상태로는 꼼짝없이 당할 수밖에 없다는 걸 인정하는 것이 첫 번째 단계다. 그런 후 ‘그런 상황이 발생하는 걸 막는다는 관점에서 지금의 예산 규모와 항목들은 적절한가?’를 자문하고, ‘처음부터 새롭게 짠다면 어떻게 되어야 하는가?’로 나아가야 한다.

물론 이게 말처럼 간단하지 않다. 아니, 어쩌면 매우 어려운 일이 될 수도 있다. 하지만 그게 더 실용적으로, 그러므로 경제적으로, 보안에 돈을 쓰는 첫 단추가 된다. 위험도 완화하고 회사 예산도 효율적으로 쓸 수 있는 방법이라는 것이다. 보안 위협들은 시대에 맞게 앞으로 치고나가는데, 구시대 예산 산출 및 집행 방식으로 맞서기는 힘들다.

글 : 이라 윙클러 (Ira Winkler), CISO, CYE
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>