보안 투자의 가치 설명하려면, 보안의 가치의 정의부터 정립해야
경연진들이 알고 싶은 건, 투자 비용 대비 효과라는 직관적 내용

[보안뉴스 문가용 기자] 마케팅 분야에는 오래 전부터 전해져 오던 말이 있다. “마케팅 비용의 절반은 버리는 것이다. 다만 어느 쪽이 버리는 절반인지를 모르는 것이 문제다.” 하지만 고객의 뒤를 바짝 뒤쫓아 데이터를 분석하는 기술이 발전하면서 이 말은 사실과 먼 것이 되어버렸다.


대신 이 말은 사이버 보안 분야로 옮겨와 무결성을 유지할 수 있게 되었다. 즉 “마케팅”이라는 단어를 “사이버 보안”으로 대체했을 때 진리의 문구가 탄생하는 것이다. 보안의 절반은 버리는 노력이 될 수 있다는 것인데, 이를 당신은 어떻게 반박할 수 있을까? 예를 들어, 필자가 지난 3년 동안 당신의 조직에서 제대로 가치를 발한 사이버 보안 관련 투자가 무엇이었냐고 묻는다면 어떻게 답할 것인가? 그 근거를 어떤 식으로 설명할 수 있을까?

사이버 보안의 가치는 어떻게 규정하는가?
우리는 확실히 규정한 것 외에는 측정을 제대로 하지 못한다. 그러므로 사이버 보안의 가치라는 주제를 논하려면, 그 전에 사이버 보안의 가치가 무엇인지부터 정해야 한다. 나는 몇 년 동안 임원들이 묻는 질문들을 떠올린다. “이 정도의 돈을 쓰면, 리스크가 얼마나 줄어드는가?” 경영진의 입장에서는(매우 중요한 입장이자 관점이다) 사이버 보안의 가치가 사업적 리스크라는 개념에서 출발한다는 걸 알 수 있다.

안타깝게도 굉장히 많은 보안 관련 보고서, 보안 예산 신청서, 보안 컨퍼런스에서 이 질문 하나 만족시키는 답변을 제대로 본 적이 없다. 대부분의 보안 전문가들은 암시가 될 수 있는 지표들에만 의존하고 있다. NIST의 사이버 보안 프레임워크라든지, 신뢰 평가 점수, 컴플라이언스 등급 같은 것들 말이다. 물론 이런 지표들이 기업의 리스크를 평가하는 데 있어 필요없다는 게 아니다. 다만 이런 간접적이고 암시적인 것들을 통해서는 ‘그래서 우리 기업의 리스크는 얼마나 줄어드는가?’를 직접, 속시원히 말할 수 없다는 것이다.

예를 들어 NIST의 사이버 보안 점수가 2.5점에서 2.9점으로 올랐다고 하자. 그렇다면 그 0.4점의 향상을 기업 리스크 점수로 어떻게 환산해야 하는 걸까? 비슷하게, 침해 사실에 대한 탐지 시간이 지연되면 지연될수록 우리 조직은 어느 정도의 리스크를 안게 되는 건가? 패치에 걸리는 시간이 1일씩 늦어질 때마다 어느 정도의 리스크를 감수해야 하는 걸까? 이에 대한 답은 아직도 오리무중이다.

리스크 감소의 정도를 측정한다면
사이버 보안 내에서 우리가 하는 모든 것들은 직접적이든 간접적이든 손실이 발생하는 사건의 빈도와 심각성에 영향을 미친다. 그렇기 때문에 보안 업계에서 하고 있는 노력의 가치를 측정하려면, 보안 업계가 영향을 미치려고 하는 ‘손실이 발생하는 사건’이 무엇인지 규정해야 한다. 피상적인 차원에서 이야기를 하면 ‘손실 발생 사건’이란 기밀 침해, 가용성 중단, 데이터 무결성 손상으로 분류가 가능하다. 하지만 이런 식의 분류는 위험 관리라는 측면에서 그다지 실용적이지 않다. 조금은 더 구체적일 필요가 있다.

예를 들어 기밀 침해라는 부분을 더 구체화시킨다면, 어느 정보가 기밀에 해당하는가, 어떤 종류의 위협이 있을 수 있는가, 어떤 경로를 통해 공격이 들어올 수 있는가 등이 있을 수 있다. 이 정도까지 구체화를 시키면 사이버 보안 제어 장치들이 미치는 영향(사건의 빈도와 심각성)에 대한 평가를 의미 있게 시작할 수 있을 것이다. 일거리가 너무 많다고 느껴진다면, 맞다. 기존의 보안 평가 시스템이 지나치게 간단하고 쉬웠기 때문이다.

가치 분석
이 부근에서 한 가지 실제 사례를 들고자 한다. 내가 CISO로 근무하던 시절의 이야기다. 내가 소속되어 있었던 조직은 수천만 건의 개인정보와 신용카드 기록이 저장되어 있던 대규모 데이터베이스를 보유하고 있었다. PCI 표준을 지키려면 저장된 데이터를 암호화시켜야 했는데, 당시 이 기술을 적용하려면 1백만 달러 이상을 써야만 하는 상황이었다. 게다가 기술 구현을 하는 데에만 1년 반은 족히 걸릴 것이었다.

CISO였던 난 경영진에 이와 같은 상황을 보고해야만 했는데, 사무실 문을 두드리기 전 이틀 정도를 투자해 사전 작업을 진행했다.
1) PCI 표준을 적용할 경우 어떤 사건을 막는 데 좋은가?
2) 위 1)번에서 언급된 사건들이 현재 상태의 조직에 얼마나 큰 위협이 되는가? 이 때 정량 위험 분석을 실시했다.
3) PCI가 요구하는 표준을 적용했을 때 2)번의 정량 분석이 어떻게 바뀌는가?
4) 3)번과 비슷한 효과를 가지고 있는 또 다른 보안 제어 장치들에는 어떤 것들이 있는가? 비용은 어떤가?
5) 4)번에 언급된 대체 장치들을 적용할 경우, 위험 수위는 어떻게 되는가? 이 때 역시 정량 위험 분석을 실시했다.

5)번의 경우 예상 외에도 PCI의 기준을 적용했을 때보다 위험 감소 측면에서 효과적이면서 비용도 낮은 방법이 몇 가지 나왔다. 이러한 작업을 하고 보니 경영진과 PCI 감사자들에게 확실하게 들이밀 수 있는 자료가 갖춰졌다. 특히 그들이 가장 궁금해 하는 ‘가격 대비 효율’에 대한 이야기를 쉽고 설득력 있게 할 수 있었다. 그들 입장에서도 결정이 쉬웠다고 들었다. 자료만으로 보면 고민할 것도 없는 내용이 없다.

“이거 하지 않으면 규정 위반입니다”라고만 말하지 않음으로써 조직은 백만 달러를 아낄 수 있게 되었고, 1년 반이나 사업 운영에 차질이 생기는 사태를 막을 수 있었다. 동시에 보안 리스크도 크게 줄이게 되었다.

결국 보안에 투자되는 돈이 있다면, 그만큼 사업의 다른 부분에서 사용할 수 있는 돈이 줄어들게 된다. 그게 투자처를 결정해야 하는 기업의 궁극적인 시각이다. 그러니 그들과 이야기를 하려면 보안이 무조건 중요하다며 돈을 끌어다 쓰고 다른 부분을 좀 더 빈곤하게 만드는 것에 대해 ‘당연하다’는 태도를 가져서는 안 된다. 이해하기 쉬운 ‘가치 제안’을 할 수 있어야 한다.

다행히 리스크 평가와 측정을 위한 괜찮은 원리와 방법, 도구들이 이미 존재한다. 활용도도 점점 높아지고 있다. 다만 이러한 방법들로 평가를 진행하려면 기존의 ‘상/중/하’식 보안 평가 방법보다 더 많은 노력과 작업이 필요하다. 문제라면, 이 ‘상/중/하’의 편리함에 이미 중독되었을지 모르는 보안 팀의 체질이다. 이러한 불편함을 굳이 감수해야 할까, 라고 묻는다면 전 CISO로서 자신 있게 답할 수 있다. 가치 평가에 대한 정성만 조금 더 쏟더라도 여태까지 알던 보안 업무와 다른 일을 할 수 있을 것이라고 말이다.

글 : 잭 존스(Jack Jones), RiskLens

3줄 요약
1. 보안 업무에 대한 가치 평가, 어떤 식으로 진행해야 할까?
2. 투자를 결정하는 사람들 입장에서 듣고 싶은 건, “가격 대비 효율”
3. 보안 팀 스스로가 보안 가치 평가하기 시작하면, 업무가 새로워질 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>