2016.12.23

부족한 보안 예산, 짜임새 있게 집행하려면?

Doug Drinkwater | CSO
정보보안 예산은 규모가 작고 대부분 IT예산에 포함돼 있어, CISO나 CSO는 부족하다고 불평하는 경우가 많다.


Credit:GettyImages

꾸준히 논란의 대상이었던 보안 예산은 CISO가 기업과 자산을 얼마나 잘 보호하는지 그리고 솔직히 얼마나 자신의 임무에 충실한지(결과적으로 얼마나 그 자리를 지킬 수 있는지)에 간접적인 영향을 끼친다.

하지만 완전히 비관적이라는 뜻은 아니다. 현명한 CISO/CSO와 CIO는 요즘처럼 경제적으로 어려운 상황에서 더욱 신중하게 자원을 제공해야 한다는 사실을 알고 있다. CISO의 입장에서는 돈을 더욱 효과적으로 지출하는 것과 이미 보유하고 있는 솔루션을 활용하여 정말로 중요한 자산을 보호하는 것이 포함된다. 또한 직원의 기술 강화 및 비용 효율적인 보안 인식 캠페인이 수반될 수 있다.


거대한 블록홀을 주의하라
IT보안 예산은 자신이 신뢰하는 사람과 보안을 정의하는 방식에 따라 다르지만, 대략 IT전체 예산의 약 5~15%를 차지한다.

가트너는 이번 달 초 발표한 보고서에서 이 수치를 약 5%로 추정했으며 ‘잘못된 것에 지출하고 극도로 취약’할 수 있기 때문에 업계의 다른 기업들과 비교하는 것이 무의미하다고 밝혔다.

이는 보안 예산 논쟁이 복잡함을 나타낸다. 이런 예산은 보고 구조(CFO 대신에 CIO에게 보고하면 예산이 적을 가능성이 높다), 임원 관계, 이미 마련되어 있는 기존의 기술 솔루션에 따라 조직별로 다르다. 그리고 새로운 구매는 기업의 기존 위험 관리 및 규제 준수 활동에 따라 실시해야 한다.

이에 따라 CISO는 다양한 사항을 점검해야 한다. 그렇다면 어디에 투자를 집중해야 할까? 이미 우리를 보호할 솔루션을 도입했나? IT업체가 엉터리 제품을 판매하고 있나? 그리고 이 투자로 우리가 위험을 관리하고 보안을 강화하는 능력에 어떤 변화가 생길까?

조직이 직면하고 있지만 거의 대응하지 않는 위협이 무엇인지를 파악하는 것이 중요하다. 액센츄어(Accenture)의 고성과 보안 보고서 2016(High Performance Security Report 2016)에서는 대기업의 보안 임원 2,000명을 대상으로 설문조사를 한 결과, 내부의 위협이 기업에 가장 중대한 영향을 끼쳤다는 답변이 53%나 됐지만 이런 기업들 대부분은 엔드포인트 및 클라우드 보안 지출을 우선시하고 있었다.

그리고 그 어느 때보다도 데이터 유출이 많고 사이버 범죄 그룹이 점차 복잡해져 가는 시대에는 돈이 블랙홀로 빨려 들어가는 과지출의 위험도 있다.

뱅크오브아메리카(Bank of America, BoA)를 살펴보자. 지난해, CEO 브라이언 모이니한은 이 은행이 미국에서 두 번째로 큰 대출 기관으로 2015년에 사이버 보안에 4억 달러를 지출할 것이라고 밝혔다. 그는 기업 예산 편성 20년 만에 처음으로 해당 사업부(사이버 보안)의 예산이 설정되지 않을 것이라고 밝혔다.

BoA뿐 아니라 JP모건도 2014년 8월 유출 이후로 2016년 사이버 보안 예산을 1년 전의 2억 5,000만 달러보다 두 배나 많은 5억 달러로 책정할 것이라고 밝혔다. 또 최근 크레인(Crain)의 기사에 따르면 시티은행(Citibank)의 IT보안 예산은 약 3억 달러였다.

야후 파이낸스(Yahoo Finance)의 보고서에서는 웰스파고(Wells Fargo)가 사이버 보안에 연간 약 2억 5,000만 달러를 투자한다고 밝혔으며 애널리스트 기업인 CV(Cybersecurity Ventures)는 앞으로 정부 및 사업 부문의 예산이 추가로 늘어날 것으로 전망했다.

분명 돈을 많이 쓰면 좋지만 현명하게 지출하는 것이 더 좋다. 돈을 많이 투자한 만큼 보안이 더 강력해질까? 이 의견에 대한 비판이 자주 발생하는 상황에서는 더욱 그렇다.

CIO의 프리미엄 콘텐츠입니다. 이 기사를 더 읽으시려면 개인정보 등록이 필요합니다. 이미 등록하신 분은 '본인확인'을 해주십시오.



2016.12.23

부족한 보안 예산, 짜임새 있게 집행하려면?

Doug Drinkwater | CSO
정보보안 예산은 규모가 작고 대부분 IT예산에 포함돼 있어, CISO나 CSO는 부족하다고 불평하는 경우가 많다.


Credit:GettyImages

꾸준히 논란의 대상이었던 보안 예산은 CISO가 기업과 자산을 얼마나 잘 보호하는지 그리고 솔직히 얼마나 자신의 임무에 충실한지(결과적으로 얼마나 그 자리를 지킬 수 있는지)에 간접적인 영향을 끼친다.

하지만 완전히 비관적이라는 뜻은 아니다. 현명한 CISO/CSO와 CIO는 요즘처럼 경제적으로 어려운 상황에서 더욱 신중하게 자원을 제공해야 한다는 사실을 알고 있다. CISO의 입장에서는 돈을 더욱 효과적으로 지출하는 것과 이미 보유하고 있는 솔루션을 활용하여 정말로 중요한 자산을 보호하는 것이 포함된다. 또한 직원의 기술 강화 및 비용 효율적인 보안 인식 캠페인이 수반될 수 있다.


거대한 블록홀을 주의하라
IT보안 예산은 자신이 신뢰하는 사람과 보안을 정의하는 방식에 따라 다르지만, 대략 IT전체 예산의 약 5~15%를 차지한다.

가트너는 이번 달 초 발표한 보고서에서 이 수치를 약 5%로 추정했으며 ‘잘못된 것에 지출하고 극도로 취약’할 수 있기 때문에 업계의 다른 기업들과 비교하는 것이 무의미하다고 밝혔다.

이는 보안 예산 논쟁이 복잡함을 나타낸다. 이런 예산은 보고 구조(CFO 대신에 CIO에게 보고하면 예산이 적을 가능성이 높다), 임원 관계, 이미 마련되어 있는 기존의 기술 솔루션에 따라 조직별로 다르다. 그리고 새로운 구매는 기업의 기존 위험 관리 및 규제 준수 활동에 따라 실시해야 한다.

이에 따라 CISO는 다양한 사항을 점검해야 한다. 그렇다면 어디에 투자를 집중해야 할까? 이미 우리를 보호할 솔루션을 도입했나? IT업체가 엉터리 제품을 판매하고 있나? 그리고 이 투자로 우리가 위험을 관리하고 보안을 강화하는 능력에 어떤 변화가 생길까?

조직이 직면하고 있지만 거의 대응하지 않는 위협이 무엇인지를 파악하는 것이 중요하다. 액센츄어(Accenture)의 고성과 보안 보고서 2016(High Performance Security Report 2016)에서는 대기업의 보안 임원 2,000명을 대상으로 설문조사를 한 결과, 내부의 위협이 기업에 가장 중대한 영향을 끼쳤다는 답변이 53%나 됐지만 이런 기업들 대부분은 엔드포인트 및 클라우드 보안 지출을 우선시하고 있었다.

그리고 그 어느 때보다도 데이터 유출이 많고 사이버 범죄 그룹이 점차 복잡해져 가는 시대에는 돈이 블랙홀로 빨려 들어가는 과지출의 위험도 있다.

뱅크오브아메리카(Bank of America, BoA)를 살펴보자. 지난해, CEO 브라이언 모이니한은 이 은행이 미국에서 두 번째로 큰 대출 기관으로 2015년에 사이버 보안에 4억 달러를 지출할 것이라고 밝혔다. 그는 기업 예산 편성 20년 만에 처음으로 해당 사업부(사이버 보안)의 예산이 설정되지 않을 것이라고 밝혔다.

BoA뿐 아니라 JP모건도 2014년 8월 유출 이후로 2016년 사이버 보안 예산을 1년 전의 2억 5,000만 달러보다 두 배나 많은 5억 달러로 책정할 것이라고 밝혔다. 또 최근 크레인(Crain)의 기사에 따르면 시티은행(Citibank)의 IT보안 예산은 약 3억 달러였다.

야후 파이낸스(Yahoo Finance)의 보고서에서는 웰스파고(Wells Fargo)가 사이버 보안에 연간 약 2억 5,000만 달러를 투자한다고 밝혔으며 애널리스트 기업인 CV(Cybersecurity Ventures)는 앞으로 정부 및 사업 부문의 예산이 추가로 늘어날 것으로 전망했다.

분명 돈을 많이 쓰면 좋지만 현명하게 지출하는 것이 더 좋다. 돈을 많이 투자한 만큼 보안이 더 강력해질까? 이 의견에 대한 비판이 자주 발생하는 상황에서는 더욱 그렇다.

CIO의 프리미엄 콘텐츠입니다. 이 기사를 더 읽으시려면 개인정보 등록이 필요합니다. 이미 등록하신 분은 '본인확인'을 해주십시오.

X