Offcanvas

CSO / 보안 / 애플리케이션

보안 예산을 확보하는 11가지 요령

2018.12.26 Josh Fruhlinger  |  CSO
보안에 관한 조언이라면 이미 널리 알려진 것이 많다. 무엇보다 견고한 방화벽이 필수다. 그러나 이제는 이것만으로 충분치 않다. 내부 네트워크에 대한 총체적인 시야를 확보해야 한다. 안티바이러스도 중요하고, 종종 침입 테스트를 해 이상이 없음을 확인해야 한다.

© Getty Images Bank

문제는 이를 위해 큰돈이 든다는 것이다. 기업이 가장 꺼리는 바로 그 예산 이야기다. 돈이 없어서 이를 구매하지 못하는 것을 두고 화를 낼 필요는 없다. 대신 여기서는 다른 방식으로 접근해 보자. 기업이 정보 보안 자원을 선별적으로 분배하는 방식에 집중하는 것이다. 여러 보안 전문가에게 조언을 들었다. 제한적 자원을 어디에 사용할 것인지를 어떻게 결정하는지, 별로 또는 전혀 돈을 들이지 않고 취할 수 있는 조치가 무엇인지 확인했고 사이버 보안으로 전용할 수 있는 예산을 추가로 확보하는 몇 가지 요령도 정리했다.

1. 실질적 보호가 필요한 데이터가 무엇인지 파악한다 
서버에 있는 데이터가 모두 중요한 것은 아니다. 모든 데이터를 같은 수준으로 보호할 필요도 없다. IT 서비스 공급 기업인 SWYM 시스템스의 CEO이자 데브옵스 컨설턴트인 토드 밀러컴은 “중요하지 않은 데이터도 있다. 예를 들어 이용자 주문 번호나 내부 취급 관련 정보 같은 것이다. 물론 결제 정보, 계약 정보, 고객 개인 정보는 중요하게 취급돼야 한다. 이런 데이터는 별도의 데이터 스토어에 저장하고 시스템 관리자가 소중히 다뤄야 한다. 그러나 중요하지 않은 데이터까지 이렇게 할 필요는 없다”라고 말했다.

SAS의 사이버보안 솔루션 부사장인 스튜 브래들리는 "회사의 사업 목표를 유념하면서 보안 강화 조치를 시작하는 것이 좋다. 시작은 사업 목표를 지원하는 가장 중요한 자산이 무엇인지 파악하는 것이다. 예를 들어, 소매기업이라면 고객 결제 데이터와 개인 식별 정보가 매우 중요하다. 또한 매출을 높이려면 고객이 회사 웹사이트에서 언제나 안전하게 거래할 수 있도록 해야 하는 것이 중요하다”라고 말했다.

2. 작은 조치를 실천하라 
네트워크를 최신으로 유지하기 위해 해야 할 일은 산더미처럼 많다. 그러나 소프트웨어 기업인 소스클리어(SourceClear)의 CSO인 로버트 우드는 지나치게 두려워하지 말라고 조언한다. 그는 “가장 중요하고 또 효과가 있었던 한 방법은 전체 문제를 작고 감당할 수 있는 조각으로 나누는 것이다. 즉, 작고, 반복적이고, 테스트할 수 있는 개선에 집중하라. 시간이 가면서 이들이 누적돼 더 강력한 보안 체계를 구축할 수 있을 것이다. 한 번에 1~2가지 일에만 집중하는 것이 정말 중요하다. 10가지 일 사이에서 곡예를 한다면 이 업무 간의 전환에 많은 시간을 쓰고, 좀처럼 보안 상황도 진전되지 않을 것이다"라고 말했다.

3. 자동 파일럿을 도입하라 
IT 관련 직종이라면 누구든 지겨운 반복 작업 때문에 엄청난 시간이 소비된다는 것을 안다. 로그 관리와 애널리틱스 서비스 기업인 수모 로직(Sumo Logic)의 보안 및 컴플라이언스 부사장 조지 거초우는 “오늘날 보안 팀은 위험을 최소화하기 위해 처리해야 할 엄청난 양의 티켓과 경보에 몸살을 앓고 있다. 이 가운데 많은 부분이 단순 반복 작업이다. 암호화를 어떻게 하는가? 로깅은? 단독 로그인 인가? 멀티-팩터 인증 같은 것이다. 이는 시간이 오래 걸린다. 그래서 우리는 NDA 하의 아웃바운드 셀프 서비스 포탈로 전환하고 있다”라고 말했다. 

KPMG의 사이버 시큐리티 서비스의 미국 책임자인 토니 버포먼트는 훼손된 기기를 분석할 수 있는 자동화된 디지털 포렌식 툴을 도입할 것을 권했다. 그는 “이런 툴을 이용하면 더는 누군가를 현장에 보내거나 PC에 무언가를 설치할 필요가 없다. 포렌식 작업을 할 고급 전문가를 위해 귀중한 자원을 소비할 필요가 없다. 대신 디지털 툴이 신속하고 덜 비싼 사이버 대응을 제공한다”라고 말했다. 

4. 중앙화와 표준화 
보안 소프트웨어 기업인 콘트래스트 시큐리티(Contrast Security)의 CTO이자 공동설립자인 제프 윌리엄은 '복잡함'은 보안의 적이라고 단언했다. 그는 "전사적으로 표준화된 보안 자원, 프로세스, 툴을 사용해 복잡함을 줄일 수 있다. 최대한, 단순하고 검증되고 효과적인 제어 수단으로 보안 방어를 중앙화하는 것이 좋다. 프로젝트마다 다른 기법을 사용하면 평가와 보호를 일원화하는 것이 불가능하다”라고 말했다.  

5. 커뮤니티를 활용하라 
컨설팅 기업인 시터들 사이버 솔루션스(Citadel Cyber Solutions)의 사이버 보안 및 위험 컨설턴트인 케너스 S. 롭은 도움을 줄 수 있는 커뮤니티가 외부에 있음을 잊지 말라고 지적했다. 그는 “경험상 오픈 소스 툴로 시작했다. 대부분은 무료이고, 상사도 무료 툴을 가지고 뭐라 하지는 않을 것이다. 이후에 필요하면 유료 버전으로 업그레이드할 수 있다. 그래서 좋은 시작점이다. 아울러 지역 모임이나 인프라가드 모임에 가입하는 것이 좋다. 또한 적절한 조언을 제공할만한 사람을 링크드인에서 검색해 찾는 것도 좋다"라고 말했다.
 
6. 침입 테스팅을 게임화하라 
외부 팀을 고용해 전면적 가상 해킹을 할 형편이 안 된다고 해서 침입 테스팅을 포기할 필요는 없다. SMYM의 밀컴은 "보안 팀 인원이 적고 침입 테스팅 전문가가 없다면 재미 있는 사기 진작 훈련으로 이를 보완할 수 있다. 이를 통해 정규 관리자 액세스 없이 상대방의 코드와 시스템을 훼손하려는 시도를 검증할 수 있다"라고 말했다.

7. 최악의 상황에 대비하라 
최악의 시나리오를 계획하는 일은 하드웨어나 소프트웨어를 구매하는 것과 무관하며, 동시에 해킹 상황에서 진정으로 큰 차이를 만들어낸다. 로드 밸런싱과 사이버보안 서비스 기업인 래드웨어(Radware)의 보안 에반젤리스트인 론 윈워드는 “긴급 대응 계획을 마련해야 한다. 사람들에게 제공하는 첫 번째 조언은 보안 사건에 대비하라는 것이다. 래드웨어의 연례 글로벌 보안 보고서를 보면, 기업 3개 중 1개 꼴로 긴급 대응 계획이 없다. 보안 예산이 1달러도 없더라도 잠재적 사건에 대한 계획을 세우는 것은 가능하고, 이는 실제 상황에서 어떻게 대처할 것인가를 결정할 때 매우 유익할 것이다”라고 말했다.  

8. 외부에 위탁하라 
결국은 돈이 없다는 것이 아닌가? 그렇다면 보안 기능을 외부에 위탁하는 것이 장기적으로 돈을 절약하는 방법일 수 있다. 매니지드 보안 서비스 기업인 시큐어디자인(SecureDesign)의 사장이자 CEO인 래리 시치니는 “다른 서비스 기업과 마찬가지로 우리 회사는 다수의 특허 기술과 탁월한 IP, 지식을 바탕으로 서비스를 제공한다. 월 100달러에 불과한 상품도 있다. 이런 서비스를 이용하면 내부적으로 사람을 고용해 같은 업무를 맡길 때 지불해야 할 비용보다 훨씬 적다"라고 말했다.

이어 “우리는 일종의 낚시꾼이다. 밖으로 나가 고기를 잡고 싶을 때, 차고에서 직접 낚싯 바늘을 만드는 데 시간을 쓰는 대신 이글 클로우가 만드는 세계적 수준의 낚싯 바늘을 2.39달러면 살 수 있다. IT 인력은 낚싯 바늘을 직접 만들 수 있다는 데 큰 자신감이 있지만, 현실에서는 해야 할 다른 일이 훨씬 많다”라고 덧붙였다.

9. 점진적으로 지출하라 
매월 100달러 이상을 지출하고 있다고 하더라도 외부 위탁은 크고 예측할 수 없는 자본 지출을 정기적이고 반복적인 수수료로 대체할 수 있다. 래드웨어의 윈워드는 가능하다면 자본 지출 모형(Capital expenditure model, CapEx) 대신 운영 지출 모형(operating expenditure, OpEx)을 고려해야 한다고 지적했다. 

그는 “CapEx 대신 OpEx로 제품이나 서비스를 구매하는 것이 예산 상에서 더 쉬울 때가 있다. 어쩌면 OpEx를 통해 현장에 있는 기기에 지불을 하고 있을 수 있고, 무언가를 서비스로 구매했을 수도 있다. OpEx 모형은 큰 돈을 들이지 않고 테스트하는 방법이다. 업체에 이런 선택지가 있는지 확인해 볼 필요가 있다"라고 말했다.

10. 조직도를 파헤쳐라 
이동통신 기업인 센추리링크(CenturyLink)의 기업 영업 책임자인 저스틴 데이비스는 IT 이외 직원의 사고방식을 바꿔야 할 때가 있다고 지적한다. 그러면 IT 보안을 위한 투자 여력이 마법처럼 생겨날 수 있다는 것이다. 

그는 "'속성 소셜 엔지니어링 테스트'를 시행하는 것이 한 방법이다. 이는 적절한 훈련이 필요한 것이 시스템이 아니라 사람임을 입증할 수 있다. 사람을 적절히 훈련시키는 데 어려움이 있다면 이는 명백히 HR의 문제라고 주장할 수 있다. 초점을 다른 부서로 이동시키면 예산의 초점 역시 이동한다. 전반적 목표는 정보 보안을 강화하는 것이지만, 다른 부서 또한 책임이 있다는 점을 보여줄 필요가 있다”라고 말했다.

11. 더 많은 자금을 확보하라
데이비스는 사이버 보안을 위한 투자금을 확보하는 핵심은 문제를 전적으로 IT만의 문제가 아닌 것으로 바꾸는 것이라고 지적했다. 그는 “회사의 CRM이 해킹되면 무엇을 할 수 있는가, 장애에 따른 실제 손실은 얼마나 되는가를 사람들에게 질문해 보라. 그리고 나서 이를 정량화해 회사의 최고위층이 선택하기 쉽게 만들어야 한다. CEO와 동석해 다양한 공격과 위험에 대해 떠든다고 해서 이들이 얼마나 관심을 두겠는가? 대신 ‘이 시스템이 고장 나면 몇 시간 동안 ***달러의 비용이 든다’라고 말해보라. 아마도 매우 신속한 의사결정이 이뤄질 것이다"라고 말했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.