• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

현명한 보안투자 위한 고려요소 5가지 2015.08.06

향후 10년 동안 기업 사이버 보안 리스크 관리비용 38% 증가

주니퍼 네트웍스, 현명한 보안 투자 위해 고려할 5가지 요소 발표


[보안뉴스 민세아] 최근 정보보호최고책임자(Chief Information Security Officer: 이하 CISO)들은 비즈니스 관련 보안 리스크를 가장 효과적이고 비용효율적으로 관리하는 방법을 결정하는데 있어 큰 어려움을 겪고 있는 실정이다.


▲ 사이버 공격 비용과 조직의 보안 지출 사이의 역학 관계
   (출처: 주니퍼 네트웍스 휴리스틱 모델 그래픽 中)

네트워크 전문기업인 주니퍼 네트웍스와 미국의 비영리 민간 연구소인 랜드연구소(RAND Corporation)가 공동으로 발표한 결과에 따르면, 많은 기업들이 사이버보안 솔루션에 점점 더 많은 비용을 소비하고 있음에도 불구하고 정작 이러한 투자를 통해 인프라스트럭처를 안전하게 보호할 확신이 없다는 점이 가장 심각한 문제라고 발표했다.


이러한 상황이 야기된 원인은 보안 툴과 리소스에 대한 비용, 그리고 보안 침해로 인해 일어나는 잠재적 비용을 종합적으로 고려한 명확한 계산이 없기 때문이라고 주니퍼 네트웍스는 진단했다. 즉, 보안 침해로 인해 발생하는 잠재적 비용에 대한 정확한 확신 및 예측이 불가능하다는 것이다.


따라서 CISO들은 사이버보안 리스크 관리를 위한 비용에 가장 큰 영향을 미치는 변수들을 총체적으로 이해하고 조직 보호를 위한 의사 결정을 내리는데 참고할 수 있는 수단이 필요하다.


이러한 요구를 반영해 랜드연구소는 사이버 위협으로 인한 비용에 영향을 주는 주요 요인과 결정의 연결고리를 파악하는 데 도움을 주는 최초의 휴리스틱 모델(Heuristic Model)을 개발했다.

 

랜드연구소가 개발한 RAND 모델은 향후 10년 동안 모든 기업의 사이버 보안 리스크 관리비용이 38% 증가할 것으로 전망하고 있다. 이제는 기업들이 보안비용 관리와 리스크 관리를 별개로 해야 할 시점이라는 목소리가 나오고 있다.


전략적 마케팅이나 영업 목표 수립과 달성을 위해 여러 가지 모델들을 사용하는 것과 마찬가지로, 이제는 보안팀에도 보안 리스크 관리의 경제성과 영향을 미치는 다양한 변수를 이해하고, 보다 효율적인 인프라 보호를 위한 투자 방안을 파악할 수 있는 수단이 필요하다는 것이다.


RAND 모델을 바탕으로, 기업들이 현명한 보안 투자를 위해 반드시 고려해야 하는 5가지 요소들은 아래와 같다.


1. 많은 보안 툴에는 툴 반감기가 있으며, 그 가치가 하락할 위험이 있다.

공격자들은 샌드박싱(sandboxing), 안티바이러스 기술 등과 같은 새로운 감지 시스템을 피하기 위해 끊임없이 대응공격(countermeasure)을 개발하고 있다. 이러한 공격자의 패턴으로 인해 기업이 유사한 수준의 보안을 유지하기 위해 보안에 투자해야 하는 비용이 증가하게 된다.


RAND 모델에 따르면 시간이 지나면서 이러한 대응공격을 처리하는 기술의 효과가 향후 10년 동안 65% 감소할 것으로 예상된다. 따라서 기업은 신규 보안 솔루션 도입시에 공격자의 대응공격에 취약하지 않으며, 자동화를 통한 보안관리 향상과 회사 네트워크 전반에 정책 실행이 가능한지 여부를 면밀히 살펴보아야 한다.


2. 기로에 선 사물인터넷(Internet of Things: 이하 IoT)

랜드연구소에 따르면, IoT는 전반적으로 보안 비용적인 측면에 영향을 미칠 것이지만 그 영향이 긍정적일지 혹은 부정적일지는 아직 명확하지 않다. 만약 기업이 스마트하고 정교하게 보안기술 및 기기를 관리해 IoT의 보안 시사점을 적절히 처리할 수 있다면 장기적으로 비용 절감 효과를 얻을 수 있다.


반면에 보안 통제를 효과적으로 적용하는데 어려움을 겪을 경우, RAND의 모델은 IoT가 도입되면서 사이버 공격으로 인해 기업이 입게 될 손실이 10년 동안 30% 증가할 것으로 예측했다.  


3. 인적 자원에 투자하는 것이 장기적인 비용 절감을 가져온다.

기업은 보안 관리 및 프로세스 자동화 지원 기술, 보안담당자 추가 고용 및 교육 등 인적 자원에 대한 투자를 통해 막대한 이점을 얻을 수 있다. RAND 모델에 따르면 성실성이 낮은 조직에 비해 성실성이 높은 기업, 즉 보안 프로그램을 관리하는 데 있어 가장 효과적인 조직을 갖춘 기업은, 이 모델이 작동하는 첫 해에 사이버 보안 비용을 19%, 10년 차에는 28% 절감할 수 있다.


4. 보안 솔루션에 왕도는 없다.

많은 기업들이 보안 투자에 있어 기업의 규모, 기존 정보의 유형, 보안담당자의 성실성에 차별화된 최적의 경제적 전략을 사용하지 않을 것으로 예상된다. 특히, 랜드연구소의 이번 조사 결과에 따르면, 중소기업은 기본적인 도구와 정책을 통해 이득을 얻을 수 있는 반면, 최신 공격 대상이 되기 쉬운 대형 조직이나 엄청난 양의 지적재산을 보유하고 있는 조직은 정책과 도구에 포괄적인 투자가 요구된다.


5. 소프트웨어 취약점을 제거하면 비용을 크게 절감할 수 있다.

RAND 모델에 따르면, 비용에 막대한 영향을 주는 부분 중 하나는 기업이 사용하는 소프트웨어와 애플리케이션에서 악용 가능한 취약성 빈도이다. 소프트웨어 취약성 빈도가 반으로 줄면 기업의 전체적인 사이버 보안 비용이 25% 감소하는 것으로 나타났다.

[민세아 기자(boan5@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>