\r\n
\r\n
1. 부서별 분산된 보안기능 확인하기
\r\n
보안부서를 신설하던지, 보안담당자만을 지정하던지 간에 새로이 ‘보안 기능’을 위한 예산을 책정하게 되는 경우라 하더라도 ‘신규사업자’가 아닌 다음에는 기존에 수행하는 보안관련 기능이 있게 마련이다. 이를테면 사원증 발급은 HR의 서무기능 담당자가 관리한다고 했을 경우 이는 출입통제와 관련하여 보안부서에서 관여해야 할 중요한 업무 중 하나가 되기 때문에 사원증 발급 및 관리와 관련된 기능의 인수는 물론 해당예산 역시 신규 보안예산 편성에 고려되어야 할 것이다.
\r\n
만약 사업장에서 야간 침입을 방지하기 위해 무인 보안 서비스를 시행했고, 이와 관련 총무부에서 매월 일정 금액을 보안 서비스 업체에 지불했다고 한다면, 보안담당자는 이 역시 보안예산에 포함되도록 총무부와 협의해야 한다.
\r\n
해당기업이 아직 그 규모가 크지 않아 물리적 보안 활동뿐만 아니라 정보보안 활동까지 수행해야 한다면 IT 보안담당자의 업무도 일부 인수받아야 한다는 사실 또한 예상해야 한다. 사업규모상 독립 서버를 구성한다거나 패치관리 시스템을 가지고 있지 않더라도 임직원들이 사용하는 PC를 보호하기 위한 기본 안티바이러스(Anti-Virus) S/W 구매비용 및 유지관리비용 규모를 알아내야 함은 물론이다.
\r\n
\r\n
2. 신규 추진 업무 분석하기
\r\n
위와 같이 부서별로 분산된 보안기능과 그에 따른 예산을 확인한 이후에는 신규로 추진해야 할 보안업무에 대한 예산을 추정해보아야 한다. 그러나 신규 보안업무 분석과 이에 따른 예산 책정에 있어서는 몇 가지 주의해야 할 사항이 있다.
\r\n
\r\n
▲신규 추진 업무가 기존 업무와 관련이 있는가?
\r\n
위에서 소개한 예를 주의 깊게 살펴보자. 새로 임명된 기업의 보안담당자가 회사 내에 통합적인 출입통제 시스템(Total Access Control System)을 도입하기로 결정했다. 신규 출입통제 시스템 도입을 위해 기존 사원증을 대체하는 ‘신용카드형 마그네틱 출입카드’를 도입하고 이를 이용하여 출입통제 관리, 출입권한 배분, 식수관리, 사내매점 결제 등 다양한 기능을 통합하고자 했다. 이는 ‘1.부서별 분산된 보안기능 확인하기’에서 점검했던 ‘사원증 발급’ 업무를 포함하는 동시에 새로운 기능을 추가하는 작업을 하게 되는 것이다. 이 경우 단순히 위에서 확인한 업무예산을 신규로 추진하는 업무와 합산하려 했다면 신규 추진 업무와의 중복으로 인해 예산확보에 어려움을 겪을 수 있다는 사실을 고려해야 한다.
\r\n
\r\n
▲신규 추진 업무는 단기인가 중장기인가?
\r\n
단기와 중장기 업무기준은 우선 보안담당자가 그 기준을 정해서 경영진에게 설명해야 할 사안이다. 신규 추진 업무를 단기 혹은 중장기로 구분하는 주된 이유는 예산편성의 설득력(Justification)을 높이기 위해서이다. 즉, 신규로 추진하는 업무의 기간을 갠트 차트(Gantt Chart)로 작성해 해당 업무의 추진기간과 그에 소요되는 예산을 시각화할 수 있다면 경영진 입장에서는 자금 흐름을 쉽게 파악할 수 있어 예산을 승인할 가능성이 그만큼 높아지기 때문이다.
\r\n
\r\n
▲여러 업무 가운데 어떤 업무에 우선권이 있나?
\r\n
‘정책결정권자’의 입장에서 보면 이익이 발생하지 않는 업무(Non-Revenue Generating Function)에는 특별한 이유가 있지 않은 이상 투자를 꺼리게 마련이다. 특히, 보안업무의 경우 확실한 ROI를 산정하여 제시하기가 쉽지 않을 뿐더러 설사 ROI를 제시한다 해도 수많은 가정(Assumption)을 설득해야 하는 어려움이 있기 때문에 정책권자가 ‘신규로 책정하는 보안예산에서 30%를 줄여야 승인해주겠다’라고 한다면 어떤 업무에 우선권을 두고, 어떤 업무를 차후로 미룰 것인가에 대한 대비가 있어야만 한다. 이런 의미에서 신규로 채택하는 업무의 우선권을 분류해두는 것은 예산을 쉽게 승인 받을 수 있는 좋은 대책이다.
\r\n
\r\n
3. 예산편성의 근거 마련
\r\n
보안담당자가 외부출입자를 통제하기 위하여 회사 중요시설에 출입통제 장치를 통해 출입자 로그를 보유하는 한편, 1회에 1인 이상이 출입하는 것을 예방하기 위하여 턴 스타일(Turnstile) 게이트를 설치하기로 했다고 가정해보자. 이 경우 신규 설비를 위한 예산편성에 있어 그 근거를 마련하기 위해서는 기본적으로 제공해야 하는 정보가 있다.
\r\n
\r\n
A. ROI - 투자대비 이익은 얼마나 될 것인가? 위에서 간략하게 설명했던 것과 같이, 실증할만한 데이터가 없다면 최대한 많은 내용을 가정(Assumption)해야 하는 위험이 있다. 즉, 1일 출입자가 200명 내외이며, 불법침입자가 0.003%정도일 경우 200×365(일)×0.003% = 2.19명, 즉 1년에 2명 내외의 불법침입자를 예방할 수 있으며, 평균적으로 1회 침입 시에 예상되는 피해액이 1억원이라 한다면 2억원의 이익을 얻을 수 있다고 설명할 수 있다. 그러나 앞서 예에서 볼 수 있듯이 많은 내용을 가정에 의존해야 하는 단점이 있다.
\r\n
\r\n
B. Negative Justification - 보안예산 편성의 근거를 ‘보험’의 개념으로 인식시키는 방식이다. 즉, 실제 투자에 대한 이익이 얼마나 발생할 수 있는가에 대한 설득보다는 ‘무인경비 시스템을 구축하고, 무인경비업체와 이에 대한 특약을 맺었을 경우 도난 및 침입으로 인한 피해가 발생했을 때에 피해액에 상응하는 손해배상을 받을 수 있다’는 개념으로 접근하는 것이다. 통상적인 방식이며, 만약 이러이러한 시스템이 구성돼 있지 않을 경우 예상되는 피해의 종류에는 이러이러한 것이 있기 때문에 사전에 투자하는 것이 바람직하지 않느냐는 방식으로 접근할 수 있다.
\r\n
\r\n
C. Lump Sum vs. Cumulative Sum - 차후 보안 시스템을 구축하기 위하여 1회에 큰 비용을 지불하는 것보다는 순차적으로 우선권이 있는 보안 시스템부터 구축하는 것이 비용이 더 적게 들 수 있다는 논리이다. 실질적으로는 한 차례에 지불하는 Lump Sum이나 순차적으로 지불하는 Cumulative Sum이 동일하다 하더라도, 기왕에 투자된 보안 시스템을 통해 예방되는 피해를 산정했을 때에는 Cumulative Sum이 상대적으로 적게 들기 때문에 이왕이면 이른 시기에 투자해야 한다는 논리로 접근한다.
\r\n
\r\n
4. 종합
\r\n
이와 같은 방식으로 기존 업무를 정리하고, 신규 업무의 통합과 더불어 이에 대한 예산편성의 이유까지 설명했다면, 이를 종합하여 정책결정권자에게 제시해야 하는 과정이 남아있다. 정책결정권자에게 예산을 승인받기 위한 준비작업으로는 기업 상황에 따라 다양한 방식이 있을 수 있지만, 통상적으로 1)예산의 종류, 범위, 사용처, 기대효과(Justification) 등을 명시한 예산 승인 Matrix를 준비하고, 2)예산의 사용기간을 표시하는 Gantt, 혹은 Milestone Chart를 통한 자원의 투입시기를 명시하며, 3)공식 승인을 득한 후(Official Sign-Off) 집행해야 한다.
\r\n
\r\n
실제로 예산을 편성하기 위해서는 예기치 못한 상황을 위한 버퍼(Contingency Reserve) 설정, 부서간 커뮤니케이션(Communication) 계획 수립, IT 보안 부서와의 긴밀한 협조 등 다양한 상황구성을 통한 예산반영이 이루어지는 것이 가장 바람직하다. 그러나 실제로 예산을 수립하는 과정에서 중심이 되지 않는 상황에 초점을 맞출 경우 중요한 예산편성에 실패할 수 있는 위험이 있기 때문에 위에서 논의된 1, 2, 3, 4 순서대로 예산을 수립하는 것이 요구된다.
\r\n
\r\n
\r\n
이 진 규
\r\n
nhn 보안정책실 기업보안팀&개인정보보호팀장
\r\n
(davidlee@nhncorp.com)
\r\n
