2014.05.14

보안 예산 최적화, '4대 방안'

George V. Hulme | CSO
보안 시장에 좋은 소식과 나쁜 소식 하나씩 있다. 좋은 소식은 보안 예산이 전반적으로 증가하고 있다는 것이다. 그렇다면 나쁜 소식은 무엇일까? 공격 성공률도 함께 증가하고 있다.

이 때문에 올해 예산은 지난 해의 그것보다 51%나 증가한 평균 430만 달러로 2010년에 지출한 220만 달러와 비교해 약 두 배에 가까운 수치다.

이 모든 결과는 PwC가 최근에 실시한 국제 정보 보안 설문조사(Global Information Security Survey)로부터 얻은 결과다.

문제는 바로 그 이유다
보안 예산이 오르고 있지만 기업들이 여전히 바라는 결과를 얻지 못하는 이유는 무엇일까?
블랙스톤 그룹(The Blackstone Goup) CISO 제이 릭은 "많은 기관들이 자체 보안 상황에 상관 없이 최신 트렌드에 따라 제품 구매에 열을 올리고 있기 때문"이라고 말했다.

9,600명의 임원을 대상으로 진행한 제 11회 국제 정보 보안 설문조사에서도 사고당 1,000만 달러 이상의 손실을 기록한 많은 기관들이 2년 전에 비해 75%나 증가한 것으로 나타났다. 이렇게 해킹으로 인한 비용도 증가하고 있으며 데이터 해킹은 2012년과 비교해 2013년에 9%나 증가했다.

한 가지 확실한 것은 기관들이 악성코드 분석(51%), 네트워크에서 반출되는 트래픽 점검(41%), 악성 기기 스케일링(Scaling)(34%), 심도 깊은 패킷 검사(27%), 위협 모델 수립 (21%) 등 진화한 공격자들을 찾는데 도움이 되는 적절한 기술과 역량에는 투자하고 있지 않다는 점이다.

이 모든 것을 고려할 때, 이렇게 증가된 예산이 적절하게 사용되고 있다고 볼 수 있을까?

보안 예산 최적화 No.1 적절한 인력 배치
우선, 보안 인력이 적절히 배치되어 있는지 확인한다.

SANS 인스티튜트(SANS Institute)의 신규 보안 트렌드 담당 이사 존 페스케이터는 "인력이 과한지 부족한 지를 판단하기란 쉽지 않다"고 말했다.

페스케이터는 "10개의 방화벽이 있다면, 이것들을 관리하는데 몇 명의 정직원이 필요할까? 3명이 10개의 방화벽을 관리하고 있다면 방화벽 관리자가 정말 실력이 나쁘거나 툴에 투자해 한 명이 10개의 방화벽을 관리할 수 있도록 해야 한다"고 말했다.

인력 상황을 평가하는 방법으로 전체 IT 인력 가운데 보안 프로그램에 참여하는 정직원의 수를 백분율로 계산하는 방법이 있다.

또 다른 방법으로 자사의 보안 인력/일반 IT 인력 비율을 업계 내의 비율과 비교해 다른 기업 대비 자신의 보안 인력이 어느 정도인지 가늠해 볼 수 있다.

페스케이터는 "좋은 지표다. 아웃소싱 계획을 통해 방화벽 관리와 모니터링 등 얼마나 많은 정직원들이 준비되어 있는지 반드시 고려해야 한다"고 설명했다.

보안 전문가가 부족하면 기관이 안전하지 못한 프로젝트를 생산에 투입하거나 사고에 제대로 대응하지 못하거나 건강한 보안 프로그램을 적절히 유지할 수 없는 상황이 발생할 가능성이 있다. 이는 사람들이 하나의 비상사태에서 다른 비상사태로 옮겨 다니는 것을 의미한다.

그리고 보안 예산 지출의 경우, 최소한 향후 수개월 동안 기관이 자격을 갖춘 사람을 찾을 동안에도 사람에 투자하는 것이 현명하다.

최근 IC 인증 기관인 ISC2가 발표한 연구 보고서에 따르면, 지난해 전 세계적으로 약 225만 명의 정보 보안 전문가들이 활동했다. 이 수치는 2년 후 425만 명으로 증가할 것이다. 그리고 ISC2는 이 자리를 채우려면 보안 전문가가 47%나 부족할 것이라고 예상했다.

CSO 자체 조사인 "2013 CSO 현황"에 따르면, 자격을 갖춘 IT 보안 전문가에 대한 수요가 이미 최고의 보안 인재들을 끌어들일 만한 기관의 역량에 압박을 가하고 있는 것으로 나타났다.

자체 보안 자원을 증가할 가능성이 높은 대기업 가운데 42%는 인력 확충을 계획하고 있으며, 중견, 중소기업들은 각각 37%와 26%가 계획하고 있다. 대기업의 31%가 자격을 갖춘 IT 보안 인력을 찾고 유지하는 것이 쉽지 않다고 답했다.

보안 예산 최적화 No. 2 오래된 것을 버려라
보안 예산을 극대화할 수 있는 또 다른 방법은 특정 예산을 가능한 현재의 보안 수요와 애플리케이션에 맞추는 것이다.
451 그룹(451 Group)의 보안 애널리스트 자바드 말릭은 "많은 보안 소프트웨어가 있다"며, "최근에 실시한 설문조사에서 실제로 구식 IT 보안 제품을 처분할 준비가 된 응답자는 단 한 명도 없었다"고 말했다.

시간이 지나면 결국에는 이런 기업들이 새로운 보안 애플리케이션을 확보하겠지만 오래된 것들을 생산적으로 사용하지 않더라도 처분하지는 않을 것이다.

말릭은 "그들은 무엇인가가 영향을 받거나 애플리케이션에서 아무런 가치를 얻지 못하더라도 자체 프로세스에 너무 깊이 연관되어 있을까봐 두려워하고 있다. 결국 둥둥 떠다니면서 돈만 드는 보트를 갖게 될 것"이라고 말했다. 많은 기업이 처분할 수 있는 모든 보안 장비와 소프트웨어를 처분하지 않고 있다.

보안 예산 최적화 No. 3 눈에 띄는 것은 피하라
아카마이 테크놀로지(Akamai Technologies) CSO 앤디 엘리스는 "불행히도 기업들은 보안장비를 유지할 전문인력이 없음에도 불구하고 구매하거나 교육 예산조차 챙기지 않는 경우가 매우 빈번하다"고 말했다.

SIEM, 웹 애플리케이션 방화벽, 악성코드 포렌식스(Forensics) 분석 소프트웨어 등을 구매하기 전에 반드시 답을 구해야 하는 질문들이 있다.

- 이 시스템을 사용할 줄 아는 사람이 있는가?
- 해당 시스템의 설치, 사용, 유지에 적응할 수 있었는가?
- 시스템이 실제로 효과가 있었는가?

부정적인 답변이 나오면 구매 결정이 부적절했음을 의미하지만, 긍정의 답변이 반드시 예산이 현명하게 배치되고 있다는 것을 의미하지는 않는다. 엘리스는 "최소한 쉽게 포기하지는 않았지만, 이 모든 질문에 '예'라고 대답할 수 없다면 돈을 낭비한 것이다. 운영할 수 있는 사람이 없기 때문에 실제로 아무 것도 하지 않는 SIEM이 널렸다"고 말했다.

보안 예산 최적화 No. 4 최종전에 집중하라
블랙스톤의 릭은 지난 수년 동안 많은 기업이 방어 기술에 엄청난 예산을 지출했지만 사건 대응 부문에는 지출이 부족했다고 말했다.

릭은 "방어에 얼마를 쓰든, 얼마나 뛰어난 방어를 했든, 예산을 얼마나 현명하게 썼든 분명 공격을 당할 것이다. 그리고 대응 역량에 투자한 기업들은 그리 많지 않다. 결과적으로 피할 수 없는 일이 발생했을 때 대응할 수 있는 능력이 거의 없다"고 말했다.

대부분의 기업이 방어와 비교해 대응 부문에는 불균형적으로 낮은 금액을 지출하고 있지만, 대응 능력에 적절한 예산을 편성한다면 무엇보다도 최고의 투자가 될 것이다. editor@itworld.co.kr



2014.05.14

보안 예산 최적화, '4대 방안'

George V. Hulme | CSO
보안 시장에 좋은 소식과 나쁜 소식 하나씩 있다. 좋은 소식은 보안 예산이 전반적으로 증가하고 있다는 것이다. 그렇다면 나쁜 소식은 무엇일까? 공격 성공률도 함께 증가하고 있다.

이 때문에 올해 예산은 지난 해의 그것보다 51%나 증가한 평균 430만 달러로 2010년에 지출한 220만 달러와 비교해 약 두 배에 가까운 수치다.

이 모든 결과는 PwC가 최근에 실시한 국제 정보 보안 설문조사(Global Information Security Survey)로부터 얻은 결과다.

문제는 바로 그 이유다
보안 예산이 오르고 있지만 기업들이 여전히 바라는 결과를 얻지 못하는 이유는 무엇일까?
블랙스톤 그룹(The Blackstone Goup) CISO 제이 릭은 "많은 기관들이 자체 보안 상황에 상관 없이 최신 트렌드에 따라 제품 구매에 열을 올리고 있기 때문"이라고 말했다.

9,600명의 임원을 대상으로 진행한 제 11회 국제 정보 보안 설문조사에서도 사고당 1,000만 달러 이상의 손실을 기록한 많은 기관들이 2년 전에 비해 75%나 증가한 것으로 나타났다. 이렇게 해킹으로 인한 비용도 증가하고 있으며 데이터 해킹은 2012년과 비교해 2013년에 9%나 증가했다.

한 가지 확실한 것은 기관들이 악성코드 분석(51%), 네트워크에서 반출되는 트래픽 점검(41%), 악성 기기 스케일링(Scaling)(34%), 심도 깊은 패킷 검사(27%), 위협 모델 수립 (21%) 등 진화한 공격자들을 찾는데 도움이 되는 적절한 기술과 역량에는 투자하고 있지 않다는 점이다.

이 모든 것을 고려할 때, 이렇게 증가된 예산이 적절하게 사용되고 있다고 볼 수 있을까?

보안 예산 최적화 No.1 적절한 인력 배치
우선, 보안 인력이 적절히 배치되어 있는지 확인한다.

SANS 인스티튜트(SANS Institute)의 신규 보안 트렌드 담당 이사 존 페스케이터는 "인력이 과한지 부족한 지를 판단하기란 쉽지 않다"고 말했다.

페스케이터는 "10개의 방화벽이 있다면, 이것들을 관리하는데 몇 명의 정직원이 필요할까? 3명이 10개의 방화벽을 관리하고 있다면 방화벽 관리자가 정말 실력이 나쁘거나 툴에 투자해 한 명이 10개의 방화벽을 관리할 수 있도록 해야 한다"고 말했다.

인력 상황을 평가하는 방법으로 전체 IT 인력 가운데 보안 프로그램에 참여하는 정직원의 수를 백분율로 계산하는 방법이 있다.

또 다른 방법으로 자사의 보안 인력/일반 IT 인력 비율을 업계 내의 비율과 비교해 다른 기업 대비 자신의 보안 인력이 어느 정도인지 가늠해 볼 수 있다.

페스케이터는 "좋은 지표다. 아웃소싱 계획을 통해 방화벽 관리와 모니터링 등 얼마나 많은 정직원들이 준비되어 있는지 반드시 고려해야 한다"고 설명했다.

보안 전문가가 부족하면 기관이 안전하지 못한 프로젝트를 생산에 투입하거나 사고에 제대로 대응하지 못하거나 건강한 보안 프로그램을 적절히 유지할 수 없는 상황이 발생할 가능성이 있다. 이는 사람들이 하나의 비상사태에서 다른 비상사태로 옮겨 다니는 것을 의미한다.

그리고 보안 예산 지출의 경우, 최소한 향후 수개월 동안 기관이 자격을 갖춘 사람을 찾을 동안에도 사람에 투자하는 것이 현명하다.

최근 IC 인증 기관인 ISC2가 발표한 연구 보고서에 따르면, 지난해 전 세계적으로 약 225만 명의 정보 보안 전문가들이 활동했다. 이 수치는 2년 후 425만 명으로 증가할 것이다. 그리고 ISC2는 이 자리를 채우려면 보안 전문가가 47%나 부족할 것이라고 예상했다.

CSO 자체 조사인 "2013 CSO 현황"에 따르면, 자격을 갖춘 IT 보안 전문가에 대한 수요가 이미 최고의 보안 인재들을 끌어들일 만한 기관의 역량에 압박을 가하고 있는 것으로 나타났다.

자체 보안 자원을 증가할 가능성이 높은 대기업 가운데 42%는 인력 확충을 계획하고 있으며, 중견, 중소기업들은 각각 37%와 26%가 계획하고 있다. 대기업의 31%가 자격을 갖춘 IT 보안 인력을 찾고 유지하는 것이 쉽지 않다고 답했다.

보안 예산 최적화 No. 2 오래된 것을 버려라
보안 예산을 극대화할 수 있는 또 다른 방법은 특정 예산을 가능한 현재의 보안 수요와 애플리케이션에 맞추는 것이다.
451 그룹(451 Group)의 보안 애널리스트 자바드 말릭은 "많은 보안 소프트웨어가 있다"며, "최근에 실시한 설문조사에서 실제로 구식 IT 보안 제품을 처분할 준비가 된 응답자는 단 한 명도 없었다"고 말했다.

시간이 지나면 결국에는 이런 기업들이 새로운 보안 애플리케이션을 확보하겠지만 오래된 것들을 생산적으로 사용하지 않더라도 처분하지는 않을 것이다.

말릭은 "그들은 무엇인가가 영향을 받거나 애플리케이션에서 아무런 가치를 얻지 못하더라도 자체 프로세스에 너무 깊이 연관되어 있을까봐 두려워하고 있다. 결국 둥둥 떠다니면서 돈만 드는 보트를 갖게 될 것"이라고 말했다. 많은 기업이 처분할 수 있는 모든 보안 장비와 소프트웨어를 처분하지 않고 있다.

보안 예산 최적화 No. 3 눈에 띄는 것은 피하라
아카마이 테크놀로지(Akamai Technologies) CSO 앤디 엘리스는 "불행히도 기업들은 보안장비를 유지할 전문인력이 없음에도 불구하고 구매하거나 교육 예산조차 챙기지 않는 경우가 매우 빈번하다"고 말했다.

SIEM, 웹 애플리케이션 방화벽, 악성코드 포렌식스(Forensics) 분석 소프트웨어 등을 구매하기 전에 반드시 답을 구해야 하는 질문들이 있다.

- 이 시스템을 사용할 줄 아는 사람이 있는가?
- 해당 시스템의 설치, 사용, 유지에 적응할 수 있었는가?
- 시스템이 실제로 효과가 있었는가?

부정적인 답변이 나오면 구매 결정이 부적절했음을 의미하지만, 긍정의 답변이 반드시 예산이 현명하게 배치되고 있다는 것을 의미하지는 않는다. 엘리스는 "최소한 쉽게 포기하지는 않았지만, 이 모든 질문에 '예'라고 대답할 수 없다면 돈을 낭비한 것이다. 운영할 수 있는 사람이 없기 때문에 실제로 아무 것도 하지 않는 SIEM이 널렸다"고 말했다.

보안 예산 최적화 No. 4 최종전에 집중하라
블랙스톤의 릭은 지난 수년 동안 많은 기업이 방어 기술에 엄청난 예산을 지출했지만 사건 대응 부문에는 지출이 부족했다고 말했다.

릭은 "방어에 얼마를 쓰든, 얼마나 뛰어난 방어를 했든, 예산을 얼마나 현명하게 썼든 분명 공격을 당할 것이다. 그리고 대응 역량에 투자한 기업들은 그리 많지 않다. 결과적으로 피할 수 없는 일이 발생했을 때 대응할 수 있는 능력이 거의 없다"고 말했다.

대부분의 기업이 방어와 비교해 대응 부문에는 불균형적으로 낮은 금액을 지출하고 있지만, 대응 능력에 적절한 예산을 편성한다면 무엇보다도 최고의 투자가 될 것이다. editor@itworld.co.kr

X