| [보안예산 관리①] 현명한 보안투자 위한 새로운 패러다임 | 2015.08.31 | ||
랜드 연구소, 보안 리스크 줄이고 효과적인 보안 투자 방안 연구 [보안뉴스 김태형] 사이버 공격이 모든 분야의 기업이 직면하는 가장 큰 위협으로 급부상하고 있는 지금, 기업의 최고정보보안책임자(CISO)들의 역할과 중요성은 더욱 커지고 있다. 기업의 지적재산 손실부터 빈번하게 발생하는 대규모 데이터 유출까지, 보안 침해로 발생하는 리스크 비용 전반을 관리하는 CISO들에겐 잠재적 리스크 비용에 대한 명확한 계산과 보다 효율적인 보호를 위한 투자방안이 필수로 요구된다.
2014년 3월 ‘다크서울’ 악성코드로 인한 KBS·MBC·YTN 등 방송 3사와 신한은행·농협·제주은행 전산망이 마비되는 초유의 사건이 발생했다. 방송사 직원들의 윈도우 계열 PC 데이터가 모두 파괴됐으며 신한은행, 농협 등 금융기관들은 창구 및 인터넷뱅킹·ATM·체크카드를 포함한 모든 거래가 2시간가량 중단됐다. 사이버 위협의 테두리 내엔 비단 공공기관만 존재하는 것은 아니다. 마치 암을 연상케 하는 ‘지능형지속위협(APT)’ 공격은 PC에 일정 기간 동안 잠복하여 결정적인 순간에 공격하는 치밀한 방식으로 SK커뮤니케이션즈 3500만명, 넥슨 1320만명, 현대캐피탈 175만명의 개인정보를 유출시켰다. 더불어 국내 대형 이통사 KT는 1200만 건이라는 대량의 개인정보를 APT 공격도 아닌 단순 홈페이지를 통해 유출하는 사고를 통해 수모를 겪은 바 있다. SK커뮤니케이션즈 가입자의 개인정보 유출 사건에는 SK커뮤니케이션즈의 무료 소프트웨어 업데이트 과정에서 정상 파일을 악성코드로 변경한 뒤 유포하는 방식이 이용됐다. 위와 같은 일련의 사건들을 비추어 볼 때, 국내 보안업계는 날로 복잡해지는 사이버 보안위협에 맞서 새로운 보안 솔루션 구축이 불가피한 상황에 직면하고 있다. 새로운 형태의 외부 공격, 더욱 지능적인 공격체계가 등장하고 있으며, 외부 공격자들은 국내뿐만 아니라 암시장을 통해 유통되는 해외의 강력한 해킹툴을 적극적으로 활용하고 있다. 이러한 상황에서 국내 기업들 역시 새로운 악성코드를 사전에 발견하고 정보를 공유함으로써 사이버범죄를 미연에 방지하는 더욱 적극적인 대비책을 마련해야 한다. 이러한 상황에서 주니퍼 네트웍스와 미국 싱크탱크 비영리 민간 연구소인 랜드 연구소(Rand Corporation)는 각 기업별 CISO가 보안 리스크 관리의 경제성과 영향을 미치는 다양한 변수를 이해하고, 더욱 효율적인 보안투자 방안을 마련할 수 있는 근거를 제시하기 위한 연구를 진행했다. 이 보고서에 따르면, 현재 대부분의 기업 CISO는 보안 시스템의 안정성에 대한 확신 없이 투자를 늘리고 있으며, 충분히 투자하고 있는지, 혹은 언제 충분히 투자했는지에 대한 확신조차 없는 것으로 나타나고 있다. 또한, 현재 보안업계가 사이버 보안을 기업이 직면하는 위험으로 올바르게 인지하지 못한다는 사실도 지적했다. 아울러 종합 보안 프로그램은 차단된 공격의 규모를 측정하는 대신, 리스크 관리에 대한 투자 수익이나 RROI(투자 대비 리스크 감소) 파악을 우선시하는 것 역시 강조했다. 주니퍼 네트웍스와 RAND연구소가 진행한 이번 연구에서 주목할 만한 점은 바로 새롭게 개발한 휴리스틱 모델에 있다. 휴리스틱 모델은 사이버 보안 리스크 관리에 필요한 종합적인 비용을 체계적으로 보여주는 최초의 시스템으로, 현재 기업들이 직면하고 있는 비효율적이고 확신 없는 보안 투자 문제를 해결할 수 있는 근거를 제시한다. 특히 외부 공격을 차단하기 위한 보안툴이나 프로그램 성능을 평가하는데 주력했던 기존 모델들과는 달리, 이번 모델은 리스크 관리에 대한 투자 수익이나 투자 대비 리스크 감소 등, 더욱 비즈니스적인 측면에 초점을 맞추고 있다. 이 모델은 기업이나 조직이 최적의 사이버 보안을 구축하기 위해 투자해야 하는 최소한의 비용 규모를 파악하는데 그 목적이 있으며, 사이버 공격 방지를 위한 조직의 직·간접 비용은 물론 공격으로 인한 잠재적인 손실, 공격 대상이 되는 정보의 가치와 공격 성공 가능성을 종합적으로 파악한다. 이러한 기준을 바탕으로 조직의 사이버 보안 비용에 영향을 미치는 27개의 구체적이고 실질적인 변수를 적용함으로써 10년 동안 발생하는 구체적인 비용을 산출해낼 수 있다. 비용 산출에 활용되는 27개의 변수는 크게 조직의 규모나 보유한 장비의 규모, 정보의 가치 등 조직 특성, 사용되고 있는 보안 프로그램과 투자 현황, 마지막으로 사물인터넷 등 생태계 변화로 인해 발생하는 변수 등 총 3개의 카테고리로 구성된다. 이를 통해 본 모델은 더욱 구체적이고 실질적인 투자 비용 및 손실 예측을 제공한다. 이에 대해 주니퍼 네트웍스의 채기병 대표는 “휴리스틱 모델은 기업의 보안담당자들이 다양한 변수를 조직에 적용함으로써 비용에 가장 큰 영향을 미치는 주요 변수를 파악하고, 적절한 보안 투자 조합을 결정할 수 있도록 하는 양방향 해석 모델이다”고 설명했다. 또한, 그는 “사실상 기업의 보안담당자들이 사이버 보안 현안을 해결하기 위해 가장 필요한 부분은 투자 분야와 형태를 결정하고 내부적인 설득을 통해 더 많은 지원을 확보하는 것이다. 휴리스틱 모델은 이러한 과제를 안고 있는 보안 담당자들에게 강력한 출발점이자 근거를 제시할 것”이라고 덧붙였다. 한편 휴리스틱 모델에 따르면, 향후 10년 동안 모든 기업의 사이버 보안 리스크 관리 비용은 38%가량 증가할 전망이다. 외부 공격의 다양화와 지능화, 인프라스트럭처의 증가 및 진화로 인한 기업의 보안 투자 부담은 더욱 증가하게 될 것으로 보인다. 이에 주니퍼 네트웍스는 이 모델을 바탕으로 기업의 현명한 보안 투자를 위해 고려해야 할 구체적인 5가지 주요 요소를 제시했다. 1. 보안 솔루션에 왕도는 없다 기업은 최적의 보안 도구 개수, 직원 교육, 개인용 디바이스 제한, 기업 네트워크 규모 등을 고려한 최적의 보안 투자 전략을 취해야 한다. 이를 통해 기업은 보안 투자로부터 오는 ‘규모의 경제’ 이점을 누릴 수 있다. 2. 많은 보안 툴에는 툴 반감기가 있으며, 그 가치가 하락할 위험이 있다 공격자는 새로운 보안기술에 대한 대응공격(countermeasure)을 꾸준히 개발하기 때문에 보안 툴의 상대적인 효과는 시간이 지남에 따라 제한된다. 기업은 항상 방어를 위한 새로운 기술에 투자해야 한다. 3. 인적 자원의 중요성 새로운 도구에 대한 투자가 중요한 만큼 지식을 갖춘 체계적인 보안팀 구성 역시 중요하다. RAND 모델에 따르면 보안 프로그램을 관리하는 데 있어 가장 효과적인 조직을 갖춘 기업은 사이버 보안 비용을 향후 10년 동안 28%까지 절감할 수 있다. 4. 기로에 선 사물인터넷 IoT 시대에 기하급수적으로 증가하는 커넥티드 디바이스에 따른 보안 통제 어려움과 그에 따른 기업이 입게 될 손실 예측은 기업이 해결해야 할 중요한 과제이다. 하지만 스마트하고 정교한 보안 기술 및 기기 관리를 통해 IoT 보안 시사점을 적절히 처리한다면 장기적인 비용절감 효과를 얻어낼 수 있다. 5. 소프트웨어 취약점 제거와 비용절감 효과 IoT의 도입에 따라 소프트웨어 생태계의 복잡성이 증가하면서 기업이 사용하는 소프트웨어와 애플리케이션에서 악용 가능한 취약성 빈도가 증가할 수 있다. 보고서는 기업이 소프트웨어 취약성 빈도를 줄인다면 전체적인 사이버 보안 비용이 25%까지 감소할 수 있다고 전망한다. [김태형 기자(boan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||
 |
