대부분의 기업 보안예산 1% 미만...점진적으로 5~7%까지 확대 필요 

기업의 보안투자 확충 위해선 조직 확대와 보안의식 선행돼야 

제조업체의 한 보안담당자는 “기업에서의 보안사고가 계속 발생함에 따라 보안투자 확대 필요성이 대두되고 있는 상황”이라면서도 “그러나 보안사고 발생 후 기업들이 경각심을 갖고 수립하는 대책이 실제로는 제대로 이행되지 못하는 게 현실”이라고 말했다. 즉, 수립한 보안대책을 현실화하기 위한 보안투자가 미뤄지면서 실제 이행되지 못한다는 것.  

또한, 금융업계 한 보안담당자는 “이제는 보안담당자가 욕을 먹더라도 보안투자 확대를 적극 밀어부쳐야 할 때가 됐다”며, “하루가 다르게 새로운 위협이 등장하고 이러한 위협이 기업의 존망을 결정할 수 있다는 사실을 확인한 이상 지금이 바로 보안 투자의 적기라고 할 수 있다. 하지만 문제는 보안투자 결정은 결국 경영진의 의지에 달려있다는 것”이라고 말했다.

그러나 그는 “보안투자에 대한 결정과 책임은 경영진에게 있다고 하지만 경영진에게 보안투자가 이뤄져야 한다는 타당성을 제시하는 등의 노력은 보안관리자의 소임”이라며, “적절하고 필수적인 보안투자임에도 경영진을 설득하지 못한다면 그것은 경영진의 무관심보다는 보안담당자의 책임이 더 크다”고 덧붙였다.

대부분의 기업들이 정보보안에 투자하는 예산은 IT 투자예산 산정 시 함께 결정된다. 하지만 보안투자에 있어 가장 걸림돌이 되는 것은 모든 투자예산이 ROI(Return on Investment)를 기준으로 이뤄지는데, 보안투자는 이러한 ROI 산출이 어렵다는 데 있다. 보안투자 ROI 산정시 참고할 수 있는 명확한 자료가 아직 없기 때문이다.

이와 관련 기업의 한 보안담당자는 “보안업무는 다른 업무들과 똑같은 기준으로 비용대비 효과를 측정해서는 안된다”며, “일례로 우리 회사의 경우 가장 중요한 보안업무가 고객정보를 지키는 것인데, 그 이유는 고객정보와 관련된 보안사고는 사고의 경중을 떠나 기업 신뢰도에 상당한 영향을 미치기 때문”이라고 말했다.

덧붙여 그는 “우리 기업의 경우에는 정보보안 ROI 산정은 투자예산 대비 시스템 장애의 손실비용 최소화를 기준으로 삼고 있으며, 이외에 국내 정보보호관련 법·제도에서 요구하는  기준 등을 반영하고 있다”고 덧붙였다.

기업의 보안예산 확충을 위해서는 무엇보다 경영진의 의지가 중요하다. 그러나 이러한 경영진의 보안투자 의지를 높이기 위해서는 실무 보안담당자들의 노력이 필요하다. 결국 보안에 대한 의식을 높여 보안관련 조직을 확대하고, 다양한 보안활동을 통해 보안이 회사경영에 있어 매우 중요한 요소임을 인식시킬 수 있다면 보안예산 확충은 자연스럽게 따라올 수 있는 것이다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>