2015.04.03

리스크 함수로 풀어본 '보안 투자를 늘려야 하는 이유'

Paul Rubens | CIO
보안 유출 사고와 피해 금액이 증가함에 따라 CIO는 위험을 완화시키기 위해 보안 측정을 강화하고 보안 투자도 늘려야 한다.


이미지 출처 : Thinkstock

많은 CIO들이 보안에 들어가는 돈을 아끼다 회사를 위험에 빠뜨리는 일이 발생하기도 한다.

최근 프라이스워터하우스쿠퍼스(PwC)의 설문조사에 따르면 기업들은 현재 그 어느 때보다 더 많은 IT예산을 보안에 투자하고 있다는 점을 감안한다면, 이는 앞뒤가 맞지 않는다. PwC 보고서는 대기업들은 IT예산의 11%를, 중소기업들은 15%를 보안에 투자했다고 밝혔다.

그렇지만 기업이 보안에 책정하는 전체 IT예산의 비율을 따져보면 이러한 설문 결과가 현실과 조금 다르다는 것을 알 수 있다. 왜냐하면 대부분 기업들이 IT보안에 예산을 쓰는 이유는 (규제를 따라야 하기 때문이기도 하지만) 보안 위협 리스크를 적당한 수준으로 낮추기 위해서다. 그리고 이러한 목적을 위한 투자의 액수는 전체 IT투자와는 전혀 관계가 없다.

리스크, 어떻게 진단할까
간단하게 말해, 보안 리스크란 보안 위협이 초래할 비용이나 재정적 영향, 그리고 그러한 보안 위협이 일어날 확률의 산물이라 할 수 있다. 간단한 공식으로 써 보자면, ‘리스크=비용 x 확률’이라고 할 수도 있겠다.

소니의 정보 보안 이사 제이슨 스팔트로 역시 이러한 공식을 통해 지난 2007년 “리스크를 수용하겠다는 결정은 비즈니스 관점에서 볼 때 합리적인 것이다. 하지만 100만 달러의 손실을 막기 위해 1,000만 달러의 비용을 지출할 수는 없다”라고 밝힌 바 있다.

비용이나 확률이라는 변수에서 잘못 계산했을지 모르지만, 보안을 비롯해 그 어느 분야에서도 수익이 투자 금액보다도 적을 경우 그 투자는 하지 않겠다는 스팔트로의 주장은 일견 타당해 보인다.

다시 기업들이 보안에 충분한 예산을 투자하지 않고 있다는 이야기로 돌아가 보자. 소니 해킹 사건을 통해 우리가 얻은 교훈은 대부분 기업들이 미래의 해킹 가능성을 지나치게 낮게 평가하고 있다는 것이다.

소니는 미래의 해킹 확률을 과거의 해킹 사례를 통해 추측했다. 그렇지만 근래 여러 가지 사건을 통해 보건대 정보보안의 지평이 빠르게, 근본적으로 변화하고 있다.

과거 해킹은 대부분 한정된 자원을 가지고 금전적 이득을 얻는 것이 목적인 해커들의 소행이었다. 즉 이들의 주된 먹잇감은 신용카드 정보 등이었고 만일 목표로 삼은 기업의 보안이 너무 삼엄하면 그저 보안이 더 허술한 다른 먹잇감을 찾으면 그만이었다.

곰에게 쫓길 때 살아남는 방법으로 옆 사람보다 빨리 뛰면 된다는 얘기가 있다. 과거 기업들에게 보안은 그랬다. 적당한 수준의 보안 조치만 취해 놓으면 해커가 알아서 다른 먹잇감을 선택했을 때는 말이다.


이제는 정부도 해킹을 한다
워싱턴 D.C.의 국제전략문제연구소 보안 전문가 제임스 루이스는 소니 해킹 사건은 아마도 해외 정부의 지원을 받은 해커 단체거나 어쩌면 군 인사가 개입해 있을 수도 있다고 밝혔다.

이 경우 해커들은 대단히 숙련된 인력들일 뿐 아니라 아무리 견고한 보안망도 뚫을 수 있을 정도의 자원까지 갖추고 있다. 게다가 이들의 범죄 동기 역시 단순히 돈이 아니라 그 이상의 것, 이를테면 기업에 재정적 손실을 입히거나 오명을 씌우는 것 등으로 바뀌고 있다. 때문에 웬만한 수준의 보안 시스템을 갖춘 기업들을 몇 번 공격하다 실패하면 손 털고 다른 기업으로 넘어가는 게 아니라 사냥이 불가능하다는 판단이 설 때까지 먹잇감을 공략하는 해커들이 늘어나고 있다.




2015.04.03

리스크 함수로 풀어본 '보안 투자를 늘려야 하는 이유'

Paul Rubens | CIO
보안 유출 사고와 피해 금액이 증가함에 따라 CIO는 위험을 완화시키기 위해 보안 측정을 강화하고 보안 투자도 늘려야 한다.


이미지 출처 : Thinkstock

많은 CIO들이 보안에 들어가는 돈을 아끼다 회사를 위험에 빠뜨리는 일이 발생하기도 한다.

최근 프라이스워터하우스쿠퍼스(PwC)의 설문조사에 따르면 기업들은 현재 그 어느 때보다 더 많은 IT예산을 보안에 투자하고 있다는 점을 감안한다면, 이는 앞뒤가 맞지 않는다. PwC 보고서는 대기업들은 IT예산의 11%를, 중소기업들은 15%를 보안에 투자했다고 밝혔다.

그렇지만 기업이 보안에 책정하는 전체 IT예산의 비율을 따져보면 이러한 설문 결과가 현실과 조금 다르다는 것을 알 수 있다. 왜냐하면 대부분 기업들이 IT보안에 예산을 쓰는 이유는 (규제를 따라야 하기 때문이기도 하지만) 보안 위협 리스크를 적당한 수준으로 낮추기 위해서다. 그리고 이러한 목적을 위한 투자의 액수는 전체 IT투자와는 전혀 관계가 없다.

리스크, 어떻게 진단할까
간단하게 말해, 보안 리스크란 보안 위협이 초래할 비용이나 재정적 영향, 그리고 그러한 보안 위협이 일어날 확률의 산물이라 할 수 있다. 간단한 공식으로 써 보자면, ‘리스크=비용 x 확률’이라고 할 수도 있겠다.

소니의 정보 보안 이사 제이슨 스팔트로 역시 이러한 공식을 통해 지난 2007년 “리스크를 수용하겠다는 결정은 비즈니스 관점에서 볼 때 합리적인 것이다. 하지만 100만 달러의 손실을 막기 위해 1,000만 달러의 비용을 지출할 수는 없다”라고 밝힌 바 있다.

비용이나 확률이라는 변수에서 잘못 계산했을지 모르지만, 보안을 비롯해 그 어느 분야에서도 수익이 투자 금액보다도 적을 경우 그 투자는 하지 않겠다는 스팔트로의 주장은 일견 타당해 보인다.

다시 기업들이 보안에 충분한 예산을 투자하지 않고 있다는 이야기로 돌아가 보자. 소니 해킹 사건을 통해 우리가 얻은 교훈은 대부분 기업들이 미래의 해킹 가능성을 지나치게 낮게 평가하고 있다는 것이다.

소니는 미래의 해킹 확률을 과거의 해킹 사례를 통해 추측했다. 그렇지만 근래 여러 가지 사건을 통해 보건대 정보보안의 지평이 빠르게, 근본적으로 변화하고 있다.

과거 해킹은 대부분 한정된 자원을 가지고 금전적 이득을 얻는 것이 목적인 해커들의 소행이었다. 즉 이들의 주된 먹잇감은 신용카드 정보 등이었고 만일 목표로 삼은 기업의 보안이 너무 삼엄하면 그저 보안이 더 허술한 다른 먹잇감을 찾으면 그만이었다.

곰에게 쫓길 때 살아남는 방법으로 옆 사람보다 빨리 뛰면 된다는 얘기가 있다. 과거 기업들에게 보안은 그랬다. 적당한 수준의 보안 조치만 취해 놓으면 해커가 알아서 다른 먹잇감을 선택했을 때는 말이다.


이제는 정부도 해킹을 한다
워싱턴 D.C.의 국제전략문제연구소 보안 전문가 제임스 루이스는 소니 해킹 사건은 아마도 해외 정부의 지원을 받은 해커 단체거나 어쩌면 군 인사가 개입해 있을 수도 있다고 밝혔다.

이 경우 해커들은 대단히 숙련된 인력들일 뿐 아니라 아무리 견고한 보안망도 뚫을 수 있을 정도의 자원까지 갖추고 있다. 게다가 이들의 범죄 동기 역시 단순히 돈이 아니라 그 이상의 것, 이를테면 기업에 재정적 손실을 입히거나 오명을 씌우는 것 등으로 바뀌고 있다. 때문에 웬만한 수준의 보안 시스템을 갖춘 기업들을 몇 번 공격하다 실패하면 손 털고 다른 기업으로 넘어가는 게 아니라 사냥이 불가능하다는 판단이 설 때까지 먹잇감을 공략하는 해커들이 늘어나고 있다.


X