A-1. 정보보안 투자안에 대한 효과적인 Business Case를 잘 작성해야 예산을 받아낼 수 있다. 이를 위한 방법은 계량적인 방법 및 정성적인 방법을 모두 동원해야 할 것이다.

return on security investment, risk-adjusted value management, BSC 등 모델은 많이 있지만, 완벽한 모델은 없으며 저마다 장단점이 있다. 반드시 계량적인 방법이 항상 좋다고 볼 수는 없으며, 정성적인 방법도 병행해서 사용할 때 비로소 적절한 정보보안 투자에 대한 가치를 산정할 수 있다. 이 문제는 매우 어려운 이슈로 학술적 가치도 높은 분야이기도 하다.

(김정덕 중앙대학교 교수/jdkimcau@gmail.com)

A-2. 대부분의 예산 요청에서 빠지지 않는 것이 투자수익(ROI) 분석이다. 재무부서 사람들이 가장 편안하게 이해하는 개념이 ROI이다. ROI는 투자에 따른 손실과 이익을 가감해 구한다. 그러나 사이버보안 예산은 정량화가 어렵다는 특징이 있다. 보안관련 ROI는 보안투자 금액과 보안 침해 사고가 일어났을 때 책임을 추정해 산출하게 된다. 건물이나 장비 같은 재산 보험과 관련해 금전적 이익을 산출할 때와 유사하다.

예산관련 논의를 시작하기 위해서는 이익보다는 비용 회피를 강조해야 한다. 또 기업에 미치는 영향과 관련 비용을 설명하는 증거를 제시해야 한다.

흥미롭게도, 재무부서 담당자들은 보안부서와 달리 아주 중요한 위험의 성격에는 큰 관심을 두지 않는다. 이들은 기업에 미치는 재무적 파급에 주안점을 둔다. 즉 경영진이 사이버보안 프로그램에 필요한 재원을 제공하도록 하는 최선의 방법은 ROI를 사용해 지출에 대한 정보를 제공하는 것이다.

① 보안 관련 재원을 요구하기 앞서 탄탄한 관계를 구축해 유지한다.

② ‘겁을 주는 전략’은 지양한다.

③ 사이버 보안 자격증을 취득한다.

④ 보안 위험이 기업 활동에 미치는 영향을 이해시킨다.

⑤ 알아듣기 쉬운 용어를 사용해 필요성을 설명한다.

⑥ 보안 필요성을 충족하지만 동시에 재정적 제약을 감안한 계획을 수립한다.

⑦ 예산을 배정 받았으면 계획대로 집행한다.

⑧ 보안 프로그램에 대한 피드백을 계속 제공한다.

⑨ 외부의 도움을 받는다.

⑩ 사이버보안은 ‘정보 기술’ 문제가 아닌 ‘위험 관리’ 문제임을 강조한다.

(홍준석 한국산업기술보호협회 관제운영팀 팀장/jun0817@kaits.or.kr)

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>