2019.08.22

보안 예산은 얼마가 적절할까?

Bob Violino | CSO
한 기업이 보안에 얼마나 비용을 사용해야 할까? 간단히 대답하자면 좀더 중요한 질문이 따로 있다. 

회사가 영위하는 사업의 종류, 그 회사가 취급하는 개인 또는 민감한 데이터나 지적 재산의 유형, 회사가 직면하는 규제 요건, 그 회사의 IT 인프라 복잡성, 그것이 공격의 대상이 될 가능성, 그리고 다른 요소들과 같은 요인들이 작용하게 된다.

더 중요한 질문은 아마도 다음과 같을 것이다. "보안에 얼마를 지출해야 하는지를 결정하는 문제에 대해 기업은 어떻게 접근해야 하는가?" 기업들이 보안에 대한 적절한 지출 수준을 파악하기 위해 거쳐야 하는 과정이야말로 시스템과 데이터를 효과적으로 보호하는 데 매우 중요할 수 있기 때문이다.
 
ⓒ Image Credit : Getty Images Bank


보안 지출을 야기하는 많은 요인들
최근의 연구 보고서들은 조직이 보안에 얼마나 많은 비용을 지출하고 있는 지의 측면에서 약간의 맥락을 제공한다. 2018년 11월에 실시한 CIO의 2019년 CIO 현황 조사에서는 전 세계 683명의 IT 임원들에게 자사의 총 IT 예산 중 IT 보안이 차지하는 비율을 물었다. 평균은 15%였다. 전체 조직의 거의 4분의 1(23%)이 IT 예산의 20% 이상을 보안에 할애하고 있다.

중소기업이 IT 예산에서 평균적으로 대기업만큼의 비율을 보안에 사용하는 것으로 볼 때 기업의 규모는 유의미한 요인으로 보이지는 않는다. 업계로 보자면, 예산에서 최고 비중을 보안에 할애하는 업종은 전문 서비스, 금융 서비스, 첨단 기술 분야들이다.

2019년에 각자의 회사에서 IT 투자를 추진하는 데 있어 어떤 비즈니스 이니셔티브가 가장 중요할지를 묻는 질문에 IT 임원의 40%가 사이버 보안 보호 강화의 필요성을 언급했다. 이는 가장 일반적인 대응을 위한 운영 효율성 향상과 연계되었으며, 고객 경험 향상, 비즈니스 성장, 기존 비즈니스 프로세스 전환 및 수익성 향상보다 앞선 것으로 나타났다.

IDG 커뮤니케이션즈가 전 세계에서 664명의 보안에 중점을 둔 전문가들을 대상으로 실시한 또 다른 연구에 따르면 거의 3분의 2의 기업(60%)이 내년에 보안 예산을 평균 13% 늘릴 계획이라고 한다.

보안 지출의 우선순위를 결정한 요인으로는 모범 사례(74%), 준수 의무(69%), 조직에 발생한 보안 사건에 대한 대응(35%), 이사회로부터의 위임(33%), 다른 조직에 대해 발생한 보안 사건에 대한 대응(29%) 등이 있다.

그간의 경험에 따르면 조직은 IT 예산의 7~10%를 보안에 지출해야 한다고 사이버보안 제품을 제공하는 국제 데이터기업(IDC)의 프로그램 부사장인 프랭크 딕슨은 말한다.

딕슨은 "그러나 아키텍처가 충분히 복잡하거나 보호받는 자산이 특히 가치 있는 경우 IT 예산의 15%를 보안에 지출할 수도 있지만 여전히 원하는 수준의 확신을 얻을 수는 없다"라며, "마찬가지로 5%의 지출도 때로는 적절할 수 있다"라고 말했다.

보안 회사가 보안 비용을 결정하는 방법
위험 관리와 보안 서비스를 제공하는 회사인 히트러스트(HITRUST)의 표준 및 CISO를 담당하는 제이슨 톨레 부사장은 회사의 보안 예산이 수년 간 유지 수준이었다고 전했다. 톨레는 이와 관련해 회사의 자체 위험 노출과 히트러스트에 데이터를 위탁하는 파트너 및 고객의 위험 노출을 해결하기 위해 “보안과 프라이버시를 심각하게 다루고 충분히 엄격한 프로그램을 유지하겠다는 우리 리더십 팀의 지속적인 약속을 반영하는 것이다"라고 말했다. 

운영 효율성 향상으로 보안 비용 안정 유지
그는 이어 "지출이 계속 유지 수준이라는 점은 다소 오해의 소지가 있다. 대부분의 조직과 마찬가지로, 우리는 보다 광범위한 위협과 위험 노출을 다뤄야 하는 필요성을 지속적으로 가지고 있지만, 동시에 향상된 운영 효율성도 실현하고 있다"라고 말했다. 그래서 결국 예산은 중립을 유지하게 되었다는 설명이다. 효율성 향상이 없었다면, 지출은 매년 증가할 것이라고 그는 덧붙였다.

통제 프레임워크가 정책 및 요구를 정의
회사가 보안에 얼마를 지출해야 하는지를 결정하기 위해, 히트러스트는 자신이 구현해야 하는 기술적, 행정적 및 물리적 정책, 절차 그리고 포인트 제품을 정의하기 위한 통제 프레임워크를 채택했다.

톨레는 "우리는 또한 지속적인 모니터링과 관련하여 고객들에게 어떤 일을 하도록 조언을 하고, 우리의 [보안] 프로그램을 관리하기 위한 조치와 지표를 구현했다"라며, "이는 보안에 지출하는 어떤 결정에도 조직이 의도된 이익을 실현하고 있는지 검증하거나 필요에 따라 과정을 수정할 수 있도록 하는 피드백이 수반되면서 지배구조로 나아간다"라고 말했다.

수익이 체감하는 지점을 식별함
적절한 지출 수준을 파악하기 위해 기업들은 위험 감소와 관련하여 추가 지출이 한계 수익을 내는 지점을 파악할 필요가 있다. 톨레는 "이 수준은 신중하게 논증되고 방어할 수 없기 때문에 조직들이 자신들의 주의의무를 증명할 수 있는 지점"이라고 말했다.

어떤 보안 지출은 의무적임
그렇더라도, 전적으로 스스로 지출항목을 결정할 수 있는 사치를 부릴 만한 조직은 거의 없다고 톨레는 말한다. 대부분의 기업은 추가 지출 수준을 결정짓는 규제 요건, 고객 기대치 또는 파트너 요구에 직면하기 마련이다. 

톨레는 "결국에는 고객과 파트너 생태계의 기대치가 올라갈 것이다"라고 말했다. 

그는 이어 "일부 조직들은 보안과 프라이버시에 다른 조직들보다 더 높은 가치를 둘 수 있으며, 아마도 경쟁업체와의 차별화 전략으로 이것을 선택할 수도 있다"라며, 결과적으로, 그들은 보안에 더 많은 돈을 쓰는 것을 선택할 수도 있다고 설명했다. 

반복되는 위험 평가를 수행
기본적인 수준에서, 히트러스트는 일상적, 정기적, 반복적인 위험 평가에 기반하여 보안에 얼마를 지출해야 하는지에 대한 질문에의 대답을 내놓는다. 

톨레는 "즉 평가된 위험이 변하지 않는다면 지출을 조정할 필요가 없다. 우리가 용인할 수 있다고 생각했던 것보다 더 높은 수준에 노출된다고 결론 지으면, 우리는 그것에 대해 뭔가 조치를 취할 필요가 있다. 중요한 것은 해답이 고정적인 것이 아니라는 점이다"라고 말했다.

콜로라도 주정부가 보안 지출 증가를 정당화하는 방법
콜로라도 주는 2018년 1,270만 달러(전체 IT 지출의 약 4%)보다 많은 2,150만 달러(또는 전체 IT 지출의 약 6%)를 올해 보안에 지출하고 있다. 콜로라도 주지사실의 CISO인 데보라 블라이스에 따르면 이는 주 정부로서는 사상 최대 규모의 보안 예산 증가다. 

보안 성숙도를 측정하기 위한 프레임워크 마련
블라이스는 "얼마나 많은 돈이면 충분한지 그리고 지출의 적정 수준이 어떠해야 하는지를 결정하는 것은 매우 어렵다"라며, 콜로라도 주의 경우 20개의 중요 보안 통제 프레임워크를 채택했으며, 그 프레임워크에 대해 보안 성숙도를 측정한다고 전했다.

블라이스는 "지금 시행 중인 이러한 성숙도 평가는 필요한 추가 기금을 정당화하고 추가 통제와 하위 통제를 구현하기 위해 사용된다. 만약 자금조달이 하위통제를 완전히 이행하지 못하게 한다면, 우리는 그것을 예산 요청에 추가할 수도 있다. 진화하는 기관의 요구와 현재의 위협과 같은 다른 요소들도 우리의 예산 요구에 원인이 된다"라고 말했다.

현재의 위협으로 인한 지출 필요를 정당화함
예를 들어, 콜로라도 교통부가 2018년 2월에 겪은 보안 사건은 올해 예산안의 원인이 된 예산 요청에 크게 작용했다. 블라이스는 "적절한 자금 지원이 부족했기 때문에 보안 사건의 영향을 방지하거나 줄일 수 있는 필요한 보안 개선의 실행이 지연되고 있었다. 우리는 올해 확인된 보안 개선을 완료하기 위한 노력으로 비즈니스 사례를 구축하고 자금의 수준을 높이는 데 성공했다"라고 말했다. 

유사 조직들과 지출을 비교하기
콜로라도 주는 또한 콜로라도 주의 보안 투자가 다른 주와 어떻게 비교되는지 알아보기 위해 2년마다 발간되는 주 정부 최고 정보책임자 협회(NASCIO)의 연구 결과를 사용한다. 블라이스는 그 조사결과에 따르면 주 정부들이 IT 예산의 6~10%를 보안에 투자하는 것으로 나타났다고 밝혔다.
 
ciokr@idg.co.kr
 



2019.08.22

보안 예산은 얼마가 적절할까?

Bob Violino | CSO
한 기업이 보안에 얼마나 비용을 사용해야 할까? 간단히 대답하자면 좀더 중요한 질문이 따로 있다. 

회사가 영위하는 사업의 종류, 그 회사가 취급하는 개인 또는 민감한 데이터나 지적 재산의 유형, 회사가 직면하는 규제 요건, 그 회사의 IT 인프라 복잡성, 그것이 공격의 대상이 될 가능성, 그리고 다른 요소들과 같은 요인들이 작용하게 된다.

더 중요한 질문은 아마도 다음과 같을 것이다. "보안에 얼마를 지출해야 하는지를 결정하는 문제에 대해 기업은 어떻게 접근해야 하는가?" 기업들이 보안에 대한 적절한 지출 수준을 파악하기 위해 거쳐야 하는 과정이야말로 시스템과 데이터를 효과적으로 보호하는 데 매우 중요할 수 있기 때문이다.
 
ⓒ Image Credit : Getty Images Bank


보안 지출을 야기하는 많은 요인들
최근의 연구 보고서들은 조직이 보안에 얼마나 많은 비용을 지출하고 있는 지의 측면에서 약간의 맥락을 제공한다. 2018년 11월에 실시한 CIO의 2019년 CIO 현황 조사에서는 전 세계 683명의 IT 임원들에게 자사의 총 IT 예산 중 IT 보안이 차지하는 비율을 물었다. 평균은 15%였다. 전체 조직의 거의 4분의 1(23%)이 IT 예산의 20% 이상을 보안에 할애하고 있다.

중소기업이 IT 예산에서 평균적으로 대기업만큼의 비율을 보안에 사용하는 것으로 볼 때 기업의 규모는 유의미한 요인으로 보이지는 않는다. 업계로 보자면, 예산에서 최고 비중을 보안에 할애하는 업종은 전문 서비스, 금융 서비스, 첨단 기술 분야들이다.

2019년에 각자의 회사에서 IT 투자를 추진하는 데 있어 어떤 비즈니스 이니셔티브가 가장 중요할지를 묻는 질문에 IT 임원의 40%가 사이버 보안 보호 강화의 필요성을 언급했다. 이는 가장 일반적인 대응을 위한 운영 효율성 향상과 연계되었으며, 고객 경험 향상, 비즈니스 성장, 기존 비즈니스 프로세스 전환 및 수익성 향상보다 앞선 것으로 나타났다.

IDG 커뮤니케이션즈가 전 세계에서 664명의 보안에 중점을 둔 전문가들을 대상으로 실시한 또 다른 연구에 따르면 거의 3분의 2의 기업(60%)이 내년에 보안 예산을 평균 13% 늘릴 계획이라고 한다.

보안 지출의 우선순위를 결정한 요인으로는 모범 사례(74%), 준수 의무(69%), 조직에 발생한 보안 사건에 대한 대응(35%), 이사회로부터의 위임(33%), 다른 조직에 대해 발생한 보안 사건에 대한 대응(29%) 등이 있다.

그간의 경험에 따르면 조직은 IT 예산의 7~10%를 보안에 지출해야 한다고 사이버보안 제품을 제공하는 국제 데이터기업(IDC)의 프로그램 부사장인 프랭크 딕슨은 말한다.

딕슨은 "그러나 아키텍처가 충분히 복잡하거나 보호받는 자산이 특히 가치 있는 경우 IT 예산의 15%를 보안에 지출할 수도 있지만 여전히 원하는 수준의 확신을 얻을 수는 없다"라며, "마찬가지로 5%의 지출도 때로는 적절할 수 있다"라고 말했다.

보안 회사가 보안 비용을 결정하는 방법
위험 관리와 보안 서비스를 제공하는 회사인 히트러스트(HITRUST)의 표준 및 CISO를 담당하는 제이슨 톨레 부사장은 회사의 보안 예산이 수년 간 유지 수준이었다고 전했다. 톨레는 이와 관련해 회사의 자체 위험 노출과 히트러스트에 데이터를 위탁하는 파트너 및 고객의 위험 노출을 해결하기 위해 “보안과 프라이버시를 심각하게 다루고 충분히 엄격한 프로그램을 유지하겠다는 우리 리더십 팀의 지속적인 약속을 반영하는 것이다"라고 말했다. 

운영 효율성 향상으로 보안 비용 안정 유지
그는 이어 "지출이 계속 유지 수준이라는 점은 다소 오해의 소지가 있다. 대부분의 조직과 마찬가지로, 우리는 보다 광범위한 위협과 위험 노출을 다뤄야 하는 필요성을 지속적으로 가지고 있지만, 동시에 향상된 운영 효율성도 실현하고 있다"라고 말했다. 그래서 결국 예산은 중립을 유지하게 되었다는 설명이다. 효율성 향상이 없었다면, 지출은 매년 증가할 것이라고 그는 덧붙였다.

통제 프레임워크가 정책 및 요구를 정의
회사가 보안에 얼마를 지출해야 하는지를 결정하기 위해, 히트러스트는 자신이 구현해야 하는 기술적, 행정적 및 물리적 정책, 절차 그리고 포인트 제품을 정의하기 위한 통제 프레임워크를 채택했다.

톨레는 "우리는 또한 지속적인 모니터링과 관련하여 고객들에게 어떤 일을 하도록 조언을 하고, 우리의 [보안] 프로그램을 관리하기 위한 조치와 지표를 구현했다"라며, "이는 보안에 지출하는 어떤 결정에도 조직이 의도된 이익을 실현하고 있는지 검증하거나 필요에 따라 과정을 수정할 수 있도록 하는 피드백이 수반되면서 지배구조로 나아간다"라고 말했다.

수익이 체감하는 지점을 식별함
적절한 지출 수준을 파악하기 위해 기업들은 위험 감소와 관련하여 추가 지출이 한계 수익을 내는 지점을 파악할 필요가 있다. 톨레는 "이 수준은 신중하게 논증되고 방어할 수 없기 때문에 조직들이 자신들의 주의의무를 증명할 수 있는 지점"이라고 말했다.

어떤 보안 지출은 의무적임
그렇더라도, 전적으로 스스로 지출항목을 결정할 수 있는 사치를 부릴 만한 조직은 거의 없다고 톨레는 말한다. 대부분의 기업은 추가 지출 수준을 결정짓는 규제 요건, 고객 기대치 또는 파트너 요구에 직면하기 마련이다. 

톨레는 "결국에는 고객과 파트너 생태계의 기대치가 올라갈 것이다"라고 말했다. 

그는 이어 "일부 조직들은 보안과 프라이버시에 다른 조직들보다 더 높은 가치를 둘 수 있으며, 아마도 경쟁업체와의 차별화 전략으로 이것을 선택할 수도 있다"라며, 결과적으로, 그들은 보안에 더 많은 돈을 쓰는 것을 선택할 수도 있다고 설명했다. 

반복되는 위험 평가를 수행
기본적인 수준에서, 히트러스트는 일상적, 정기적, 반복적인 위험 평가에 기반하여 보안에 얼마를 지출해야 하는지에 대한 질문에의 대답을 내놓는다. 

톨레는 "즉 평가된 위험이 변하지 않는다면 지출을 조정할 필요가 없다. 우리가 용인할 수 있다고 생각했던 것보다 더 높은 수준에 노출된다고 결론 지으면, 우리는 그것에 대해 뭔가 조치를 취할 필요가 있다. 중요한 것은 해답이 고정적인 것이 아니라는 점이다"라고 말했다.

콜로라도 주정부가 보안 지출 증가를 정당화하는 방법
콜로라도 주는 2018년 1,270만 달러(전체 IT 지출의 약 4%)보다 많은 2,150만 달러(또는 전체 IT 지출의 약 6%)를 올해 보안에 지출하고 있다. 콜로라도 주지사실의 CISO인 데보라 블라이스에 따르면 이는 주 정부로서는 사상 최대 규모의 보안 예산 증가다. 

보안 성숙도를 측정하기 위한 프레임워크 마련
블라이스는 "얼마나 많은 돈이면 충분한지 그리고 지출의 적정 수준이 어떠해야 하는지를 결정하는 것은 매우 어렵다"라며, 콜로라도 주의 경우 20개의 중요 보안 통제 프레임워크를 채택했으며, 그 프레임워크에 대해 보안 성숙도를 측정한다고 전했다.

블라이스는 "지금 시행 중인 이러한 성숙도 평가는 필요한 추가 기금을 정당화하고 추가 통제와 하위 통제를 구현하기 위해 사용된다. 만약 자금조달이 하위통제를 완전히 이행하지 못하게 한다면, 우리는 그것을 예산 요청에 추가할 수도 있다. 진화하는 기관의 요구와 현재의 위협과 같은 다른 요소들도 우리의 예산 요구에 원인이 된다"라고 말했다.

현재의 위협으로 인한 지출 필요를 정당화함
예를 들어, 콜로라도 교통부가 2018년 2월에 겪은 보안 사건은 올해 예산안의 원인이 된 예산 요청에 크게 작용했다. 블라이스는 "적절한 자금 지원이 부족했기 때문에 보안 사건의 영향을 방지하거나 줄일 수 있는 필요한 보안 개선의 실행이 지연되고 있었다. 우리는 올해 확인된 보안 개선을 완료하기 위한 노력으로 비즈니스 사례를 구축하고 자금의 수준을 높이는 데 성공했다"라고 말했다. 

유사 조직들과 지출을 비교하기
콜로라도 주는 또한 콜로라도 주의 보안 투자가 다른 주와 어떻게 비교되는지 알아보기 위해 2년마다 발간되는 주 정부 최고 정보책임자 협회(NASCIO)의 연구 결과를 사용한다. 블라이스는 그 조사결과에 따르면 주 정부들이 IT 예산의 6~10%를 보안에 투자하는 것으로 나타났다고 밝혔다.
 
ciokr@idg.co.kr
 

X