| [보안예산 관리②] 기업의 효율적 보안투자 고려요소 5가지 | 2015.09.02 | ||||||
효율적 보안투자 방향 설정 및 의사결정 위한 ‘휴리스틱 모델’ [보안뉴스 김태형] 본지가 최근 정보보호 관련 업무 종사자 1,314명을 대상으로 진행한 ‘기업의 연간 정보보안 및 개인정보보호 분야에 투자하는 비용의 전체 IT 예산 대비 비율’ 설문조사 결과에 따르면, 대다수의 기업에서 연간 정보보안 및 개인정보보호 분야에 투자하는 비용이 전체 IT 예산 대비 5~10%에 불과한 것으로 조사됐다. 주니퍼 네트웍스와 RAND 연구소는 이러한 실정에서 요구되는 더욱 효율적인 보안 투자 방안을 제시하고자 기업의 보안과정 수립에 영향을 미치는 경제적 요인들을 분석했다. 주니퍼 네트웍스와 RAND 연구소는 전세계 매출 1억 달러 규모의 기업 CISO 18명과 심층 인터뷰, 현재 기업들이 직면한 보안위협 환경과 기업의 네트워크 보안 방안 툴에 대한 집중적인 리뷰 및 분석, 외부 보안업계 전문가 리뷰 등을 실시했으며, 이를 바탕으로 보고서 ‘방어자의 딜레마: 사이버 보안을 위한 과정 수립’을 발표했다.
이 보고서에서 주목할 만한 점은 바로 주니퍼 네트웍스와 RAND 연구소가 제시하는 휴리스틱 모델(Heuristic Model)에 있다. 그동안 사이버 보안 리스크 관리를 위한 툴과 프로그램 기준을 제시했던 기존 보고서들과 달리, 휴리스틱 모델(heuristic model)은 기업이 보안투자에서 고려해야 할 세부 요소들을 체계적으로 분석해 이를 바탕으로 구체적인 투자규모와 손실예측 시뮬레이션을 제공한다. 따라서 보안 담당자들이 효율적인 보안 투자 방향을 설정하고 의사 결정을 내릴 수 있도록 구체적인 근거와 기준을 제시한다. 먼저 휴리스틱 모델은 사이버 공격 비용과 조직의 보안 지출 사이의 역학 관계를 바탕으로 향후 10년 동안 모든 기업의 사이버 보안 리스크 관리 비용이 38% 증가할 것으로 전망했다. 재미있는 점은 본 모델이 사이버 공격으로 인한 직접적인 손실보다 사이버 공격 가능성에 영향을 미치는 조직 내부 및 외부적인 보안 지출 비용 증가를 전체 보안 리스크 관리 비용 증가의 주원인으로 꼽았다는 데 있다.
각 기업은 규모와 네트워크 환경, 인력 구성, 사업분야 등 다양한 내외부적인 요소를 고려하여 서로 다른 보안 투자전략을 취해야 한다. 즉, 각 기업이 보안 인프라, 직원교육, 개인용 디바이스 제한 여부, 기업 네트워크 환경의 특성 등 서로 다른 상황에 처해 있는 만큼, 이러한 특성을 고려한 최적의 보안 투자 전략을 수립해야 한다.
기본적으로 기업의 규모와 특성에 따라 취해야 하는 보안 투자 전략에는 차이가 있다. 특히 SK커뮤니케이션즈와 같이 방대한 양의 지적재산을 보유한 대기업의 경우 공격 대상이 광범위하고 정교한 공격을 받을 가능성이 높으며, 이러한 공격으로 인한 손실 규모도 더 크기 때문에 보다 적극적인 보안 투자는 필수라 할 수 있다. 아래 그래프는 대기업과 중소기업이 향후 10년 동안 최적의 보안 투자를 위해 요구되는 보안 교육 강도 및 보안 도구 사용량을 나타낸다. 기업의 규모가 커질수록 기간에 따른 보안 교육 및 도구에 대한 투자 비용 증가량도 더욱 크게 나타나는 것을 알 수 있다. 이는, 정교한 공격을 받을 가능성이 적은 중소기업은 기본 도구와 정책만으로도 많은 혜택을 볼 수 있지만, 대기업은 보안정책과 도구 전반에 대한 포괄적이고 적극적인 투자가 필수적으로 요구된다는 사실을 알 수 있다.
결론적으로 SK커뮤니케이션즈는 거대한 양의 지적재산을 보유한 자사 규모와 특성에 최적화된 보안 투자 전략을 취하지 않았으며, 대규모 개인정보 유출 피해 사례까지 이어졌다. 본 피해 사례는 기업 특성과 규모를 고려한 복합 보안 교육 및 고급 보안 기술 투자의 중요성과 관련해 시사하는 바가 크다. 많은 보안 툴에는 툴 반감기가 있으며, 그 가치가 하락할 위험이 있다 공격자들의 해킹 기술은 하루가 다르게 발전하고 있으며, 사실상 보안 기술자들은 이 기술을 쫓아가기도 벅찬 실정이다. 과거 PC 기반의 네트워크 환경이 주를 이루던 시절에는 악성코드가 첨부된 이메일을 무차별 살포해 이를 열어 본 사용자의 정보를 빼오는 단순한 방식이 일반적이었다. 하지만 모바일 환경으로 넘어오면서 해커들의 접근법은 눈에 띄게 달라졌다. 스마트폰 자체가 개인을 증명하는 도구로 활용되면서 스마트폰에 담긴 은행 계좌와 비밀번호 정보, 사용자의 위치, 통화 내용 등이 고스란히 해킹의 대상이 됐다. 전문가들은 소셜네트워크서비스(SNS) 등이 활성화되면서 해킹하고자 하는 대상이 보유한 디바이스에 악성코드를 심기 용이해졌다고 주장한다. 기술적으로는 모바일이 PC보다 해킹 난이도 면에서 높지만, 신뢰를 바탕에 둔 관계망 서비스 덕분에 악성코드를 심기에는 더 좋은 환경이 됐다는 것이다. V3·알약 같은 보안 프로그램이 24시간 단위로 업데이트되는 이유도 바로 나날이 발전하는 공격자들의 대응공격(countermeasure)에 대비하기 위함이다. 이처럼 공격자는 새로운 보안 기술에 대한 대응공격을 꾸준히 개발하기 때문에 보안 툴의 상대적인 효과는 시간이 지남에 따라 제한될 수밖에 없다. 휴리스틱 모델에 따르면, 향후 10년간 해커들의 대응공격을 처리하는 기술의 효과는 65%까지 감소할 것으로 예상된다. 보안 기술의 효과 감소는 결과적으로 기업이 보안 툴에 지출해야 하는 전체 비용 증가를 초래하며, 본 모델을 적용한 첫해와 마지막 해의 투자 비용을 비교했을 때, 기업이 보안 툴에 지출해야 하는 전체 비용은 조직의 전체 보안 비용과 비례하여 16.2%까지 증가하는 것으로 나타났다. 한편, RAND 보고서에서는 대응공격에 취약하지 않은 특정 유형의 보안 도구에 대해서도 언급했다. 일례로, 보안 및 패치 관리 개선에 중심을 둔 기술과 기능, 자동화를 통한 기업 네트워크에서의 정책 실행 개선 등은 공격자가 우회하고자 하는 유형의 보안 도구가 아니기 때문에 대응공격에 상대적으로 덜 취약한 것으로 나타났다. 따라서 기업은 증가하는 보안 툴에 대한 투자 비용을 현명하게 관리하기 위해 이러한 특정 유형의 보안 도구와 대응공격에 취약한 보안 도구를 적절히 결합하여 방어하는 것이 중요하다. 인적 자원의 중요성 전문가들은 보안에 있어 모든 공격을 100% 차단할 수 있는 무적의 방패는 없다고 말한다. 따라서 보안의 무결성은 결국 많은 부분에서 보안 시스템을 구축하고 운영하는 인적자원의 능력과 성실성에 달려 있다고 봐도 무방하다. 휴리스틱 모델 또한 새로운 도구에 대한 투자만큼이나, 전문적인 지식을 갖춘 체계적인 보안 팀 구성의 중요성을 강조하고 있다. RAND 모델에서는 보안인력의 성실성을 중요한 보안요소로 평가한다. 즉, 보안에 대한 전문적인 지식과 인식을 보유한 전문가를 확보하는 것이 장기적으로 보안 비용 절감에 큰 효과가 있다고 강조한다. RAND 모델에 따르면 성실성이 높은 조직, 즉 보안 시스템과 프로그램 관리에 효과적인 조직을 갖춘 기업은 그렇지 않은 조직에 비해 모델 적용 첫해에 19%, 10년 뒤에는 최대 28%의 보안 비용 절감 효과를 거둘 수 있다고 강조한다. 이는 보다 효율적인 보안 투자를 위해 새로운 보안 툴과 시스템을 확보하는 것 외에도, 보안 전문가를 육성하고 교육하여 전문적인 보안팀을 확장에 보다 적극적인 노력을 기울여야 함을 의미한다.
이와 관련 한국주니퍼네트웍스의 채기병 대표는 “최근 취업난이 사회적인 문제로 대두되고 있는 가운데 보안업계만은 심각한 인력난에 시달리고 있다. 그만큼 풍부한 지식을 보유한 보안전문가가 부족하다는 것을 방증하는 것이다”고 설명하며 “결국 보안에서 시스템만큼 중요한 것은 이를 관리하고 운영하는 인력이다. 날로 보안 위협이 높아지는 시점에서 기업은 보안 전문가의 육성 및 교육에 투자해야 하며 전문 보안 기능을 외부 전문가에게 위탁하는 등 보다 적극적인 방안을 모색해야 한다”고 밝혔다. 기로에 선 사물인터넷(IoT: Internet of Things) 최근 미래창조과학부가 경제협력개발기구(OECD)에서 발표한 ‘2015 디지털경제 전망’ 보고서에 따르면, 한국은 사물인터넷 규모 면에서 미국(8400만대), 중국(7800만대)에 이어 1800만대로 3위를 기록했다. 인구 100명당 연결 기기 수 부문에서는 1위를 차지했으며, 향후 국내 IoT 연결 단말은 2020년에 이르러서는 무려 10억 개에 육박할 전망이다. 이처럼 우리가 의식하지 못하는 사이에 한국은 사물인터넷 시대로 진입하고 있으며, 그 속도 또한 전세계 어느 국가보다 빠르게 진행되고 있다. 그동안 개념으로만 접해왔던 사물인터넷 시대가 현실화되고 있는 것이다. 주니퍼네트웍스는 대부분의 기업이 직접적으로 IoT의 영향을 받기까지 앞으로 수년의 기간이 남아있지만, 지금부터 기업이 이러한 IoT 연결 단말들을 보안 프로그램과 네트워크에 어떻게 포함시킬 것인지에 대해 심사숙고해야 한다고 주장한다. RAND 모델은 기업이 스마트하고 정교하게 보안 기술 및 기기를 관리하여 기하급수적으로 늘어나는 IoT 연결 단말의 보안 시사점을 적절히 처리할 수 있다면, 네트워크 기기의 개수가 전통적인 PC의 수를 넘어서는 과정에서도 장기적으로 비용 절감을 이끌어 낼 수 있다고 분석했다. 하지만 IoT가 초기 PC 시대와 같이 보안 시사점에 대한 적절한 대응책을 마련하지 못한다면, 기업이 사이버 공격으로 인해 입게 될 손실이 10년 동안 30% 증가할 것으로 예측했다. 소프트웨어 취약점 제거와 비용절감 기업의 보안에는 막강한 보안툴과 전문성을 갖춘 기업의 CISO가 통제할 수 없는 부분도 존재한다. 이는 기업에서 사용하는 소프트웨어와 애플리케이션에 존재하는 취약성이다. 실제로 인터넷 환경에서 널리 사용되고 있는 어도비 플래쉬 플레이어에서 최근 심각한 해킹 취약점이 발견되어 논란이 되고 있다. 뿐만 아니라 신규 OS나 프로그램의 보안 대응책이 발표되기 전에 공격을 감행하는 제로데이 공격 등 소프트웨어나 애플리케이션 개발 단계에서 존재하는 취약점을 공략하는 형태도 증가하는 추세에 있다. RAND연구소가 조사한 바에 따르면, 기업이 사용하는 소프트웨어와 어플리케이션을 통해 악용 가능한 취약성 빈도는 보안 비용에 막대한 영향을 주는 부분 중 하나이다. 업무에서 사용하는 기본 시스템이나 소프트웨어가 안전하지 않을 경우 이를 보호하기 위한 보안 조치에 많은 비용을 투자해야 하며, 특히 IoT로 인해 기기와 소프트웨어의 종류가 다양해짐에 따라 투자 규모는 더욱 증가할 전망이다. 뿐만 아니라 보안 전문가가 광범위한 기기와 소프트웨어 전반에 걸쳐 이러한 취약성을 모두 인지하고 통제하기란 결코 쉬운 일이 아니다. 휴리스틱 모델은 이러한 소프트웨어 취약성 빈도가 절반으로 감소할 경우 기업의 전체적인 사이버 보안 비용이 25% 감소할 것이라 전망한다. 하지만 IoT 환경이 구축됨에 따라 연결 단말장치가 증가하고 소프트웨어 생태계가 복잡해지면서 새로운 취약성 빈도는 더욱 증가할 가능성도 배제할 수 없을 전망이다. 따라서 주니퍼 네트웍스는 기업이 운용중인 소프트웨어를 자체적으로 검사하고, 소프트웨어 공급자에게 더욱 우수한 보안 테스트 및 패치를 요구해야 한다고 주장한다. [김태형 기자(boan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||||||
 |
