2012.11.14

인터뷰 | IT 보안의 총위험비용(TCOR)은 얼마일까?

Michael Fitzgerald | CSO
현재 몸 담은 기업의 TCOR(Total Cost of Risk)는 어느 정도인가? 잘 모르겠다면 위험 보험 대상과 비용을 판단해 위험을 평가하는 기업 내 리스크 매니저와 좀더 친밀해질 필요가 있다. CSO들이 운영 리스크를 이해하기란 쉽지 않지만 리스크 매니저들은 오랜 기간 TCOR을 이용해 위험을 평가해왔다.

오늘날과 같은 디지털 및 컴플라이언스의 시대에 CSO들은 위험 관리 프로세스와 평가 프로세스를 더 잘 이해해 통합해야 한다고 데이빗 브래드포드는 강조했다. 그는 위험 및 위험 관리 협회(Risk and Insurance Management Society, RIMS)의 위험 보험과 관련된 핵심 평가 지표를 제시한 RIMS 벤치마크 서베이를 주도한 인물로, RIMS의 연례 서베이 대행 업체인 어드바이젠(Advisen)의 조사 및 연구 부문 대표다. 이 벤치마크는 현재 기업이 위험 보험에 너무 많은 비용을 지출하고 있지는 않은지 판단하는데 널리 사용되고 있다.

그러나 위험 관리 원칙이 발전하면서, TCOR 계산법 또한 발전하고 있다. 이제는 생산성 손실과 같은 무형 손실 비용까지 포함하고 있다. CSO닷컴이 브래드포드와 이런 변화에 대해 이야기를 나눴다.

CSO: 기업의 총 위험 비용을 어떤 방법으로 산정하고 있는가?

브래드포드: '총 위험 비용'이라는 개념에는 다소 오해의 소지가 있다. 보다 정확히 표현하면 이는 리스크 매니저가 책임을 지고 있는 비용 총계이다.

TCOR 아이디어는 1940년대와 50년대부터 도입되기 시작했는데, RIMS 벤치마크 서베이를 위해 규정한 개념은 다음과 같다.

-보험 비용에

-손실 비용을 추가한 것이다. 이는 보험 약관의 공제 대상이 아니거나 기업이 부담해야 하는 위험을 대신하는 비용이다.

-또 위험 관리 부서의 관리 비용이 추가된다.

이와 같은 정의는 여전히 유용하지만, 지금은 전략적 위험, 운영 위험, 정보 보안 위험까지 고려해야 한다. 이는 상당한 비용일 수 있다. 또 다른 조직과의 비교 방법도 파악해야 한다.

올해 벤치마크에서 가장 큰 특징은 무엇인가?

보험 운영 대비 총위험비용은 지난 2~3년간 계속 하락세를 유지하다 이전 수준으로 다시 회귀했다.

보험 비용은 보험 산업 내부에서 보유하고 있는 자본과 관련이 있다. 자본은 공급과 상응한다. 자본이 많다면 공급도 많다. 보험 산업은 2004년 이후 공급이 넘쳐나고 있다.

이 기간, 자본 공급이 많았다. 그러나 보험 산업의 재무 실적이 좋지 않았기 때문에 요율 하락에 브레이크를 밟기 시작했다. 이런 이유로 위험 비용이 미미하게 상승한 것이다.


RIMS의 관점에서 리스크 매니저란 어떤 이들인가?

일반적으로 대기업들이 리스크 매니저를 두고 있다. 이들은 보험 대상인 위험의 유형을 조사한다. 그리고 보험 대상이 된다면 보험을 구입하게 된다. 이런 결정을 내리는 사람들이다. 헬스케어 관련 기업에서는 임상과 관련된 책임을, 은행에서는 금융과 관련된 책임을 진다.


반드시 CSO일 필요는 없는 것인가?

전통적으로는 그랬다. 그러나 현재 모든 것이 바뀌고 있다. 이제는 많은 기업들이 정보 보안을 전사적인 문제와 해결책이 필요한 것으로 판단하고 있다. 리스크 매니저가 CISO가 책임지고 있는 내부 부서의 일원이 되고 있는 것이다.

RIMS의 벤치마크는 어떻게 바뀌고 있는가?

우리는 보다 넓은 관점에서 위험을 조사하고 있다. 사람들이 위험에 대해 어떻게 생각하고 있는지, 실질 위험 비용을 구성하는 요소가 무엇인지 등이다. 또 경성 비용(hard cost) 외에 브랜드와 평판과 관련된 문제들을 살피고 있다. 리스크 매니저는 대개 무형 비용, 즉 연성 비용(soft cost)에 대해 질문을 받는다.

우리는 위험비용에 대한 전통적인 관점이 미래에는 반드시 유용하지 않을 수 있다는 인식을 창출해가고 있다.

변화를 견인하고 있는 요소는 무엇인가?

우리는 오랜 기간 이런 방식의 벤치마크를 정립해왔다. 또 관련 산업이 이런 총위험비용에 대한 정의에 만족한다고 가정했다. 하지만 이를 검증한 적은 없다. 그러다 몇 년 전, 리스크 매니저를 대상으로 부수적인 설문조사를 실시하면서, 이런 방식에 어떤 요소를 추가해야 하는지 물었다. 리스크 매니저들에게 기존과는 다른 위험 항목을 제시한 결과 IT 위험에 대해 이야기 한 응답자의 비중이 10%에 달했다 .

사이버보안과 관련된 보험을 구입하는 회사들이 얼마나 되는가?

사이버 사기와 해킹 보험 시장이 번창하고 있는 추세이다. 우리는 최근 이와 관련된 설문 조사를 마쳤다. 대기업의 약 40%가 이런 종류의 보험을 구입하는 것으로 판단하고 있다.

TCOR 매트릭스가 CSO 및 CISO에 중요한가?

그렇다고 생각한다. CSO의 경우는 확실히 그렇다. 위험에 대한 대책을 마련해야 하기 때문이다. 경성 비용에 추가해 브랜드와 평판 문제를 다루게 된다면 "위험 관리에 이런 비용을 지출하고 있는데, 이 경우 이런 이익이 있다"고 말할 수 있어야 할 것이다. ciokr@idg.co.kr



2012.11.14

인터뷰 | IT 보안의 총위험비용(TCOR)은 얼마일까?

Michael Fitzgerald | CSO
현재 몸 담은 기업의 TCOR(Total Cost of Risk)는 어느 정도인가? 잘 모르겠다면 위험 보험 대상과 비용을 판단해 위험을 평가하는 기업 내 리스크 매니저와 좀더 친밀해질 필요가 있다. CSO들이 운영 리스크를 이해하기란 쉽지 않지만 리스크 매니저들은 오랜 기간 TCOR을 이용해 위험을 평가해왔다.

오늘날과 같은 디지털 및 컴플라이언스의 시대에 CSO들은 위험 관리 프로세스와 평가 프로세스를 더 잘 이해해 통합해야 한다고 데이빗 브래드포드는 강조했다. 그는 위험 및 위험 관리 협회(Risk and Insurance Management Society, RIMS)의 위험 보험과 관련된 핵심 평가 지표를 제시한 RIMS 벤치마크 서베이를 주도한 인물로, RIMS의 연례 서베이 대행 업체인 어드바이젠(Advisen)의 조사 및 연구 부문 대표다. 이 벤치마크는 현재 기업이 위험 보험에 너무 많은 비용을 지출하고 있지는 않은지 판단하는데 널리 사용되고 있다.

그러나 위험 관리 원칙이 발전하면서, TCOR 계산법 또한 발전하고 있다. 이제는 생산성 손실과 같은 무형 손실 비용까지 포함하고 있다. CSO닷컴이 브래드포드와 이런 변화에 대해 이야기를 나눴다.

CSO: 기업의 총 위험 비용을 어떤 방법으로 산정하고 있는가?

브래드포드: '총 위험 비용'이라는 개념에는 다소 오해의 소지가 있다. 보다 정확히 표현하면 이는 리스크 매니저가 책임을 지고 있는 비용 총계이다.

TCOR 아이디어는 1940년대와 50년대부터 도입되기 시작했는데, RIMS 벤치마크 서베이를 위해 규정한 개념은 다음과 같다.

-보험 비용에

-손실 비용을 추가한 것이다. 이는 보험 약관의 공제 대상이 아니거나 기업이 부담해야 하는 위험을 대신하는 비용이다.

-또 위험 관리 부서의 관리 비용이 추가된다.

이와 같은 정의는 여전히 유용하지만, 지금은 전략적 위험, 운영 위험, 정보 보안 위험까지 고려해야 한다. 이는 상당한 비용일 수 있다. 또 다른 조직과의 비교 방법도 파악해야 한다.

올해 벤치마크에서 가장 큰 특징은 무엇인가?

보험 운영 대비 총위험비용은 지난 2~3년간 계속 하락세를 유지하다 이전 수준으로 다시 회귀했다.

보험 비용은 보험 산업 내부에서 보유하고 있는 자본과 관련이 있다. 자본은 공급과 상응한다. 자본이 많다면 공급도 많다. 보험 산업은 2004년 이후 공급이 넘쳐나고 있다.

이 기간, 자본 공급이 많았다. 그러나 보험 산업의 재무 실적이 좋지 않았기 때문에 요율 하락에 브레이크를 밟기 시작했다. 이런 이유로 위험 비용이 미미하게 상승한 것이다.


RIMS의 관점에서 리스크 매니저란 어떤 이들인가?

일반적으로 대기업들이 리스크 매니저를 두고 있다. 이들은 보험 대상인 위험의 유형을 조사한다. 그리고 보험 대상이 된다면 보험을 구입하게 된다. 이런 결정을 내리는 사람들이다. 헬스케어 관련 기업에서는 임상과 관련된 책임을, 은행에서는 금융과 관련된 책임을 진다.


반드시 CSO일 필요는 없는 것인가?

전통적으로는 그랬다. 그러나 현재 모든 것이 바뀌고 있다. 이제는 많은 기업들이 정보 보안을 전사적인 문제와 해결책이 필요한 것으로 판단하고 있다. 리스크 매니저가 CISO가 책임지고 있는 내부 부서의 일원이 되고 있는 것이다.

RIMS의 벤치마크는 어떻게 바뀌고 있는가?

우리는 보다 넓은 관점에서 위험을 조사하고 있다. 사람들이 위험에 대해 어떻게 생각하고 있는지, 실질 위험 비용을 구성하는 요소가 무엇인지 등이다. 또 경성 비용(hard cost) 외에 브랜드와 평판과 관련된 문제들을 살피고 있다. 리스크 매니저는 대개 무형 비용, 즉 연성 비용(soft cost)에 대해 질문을 받는다.

우리는 위험비용에 대한 전통적인 관점이 미래에는 반드시 유용하지 않을 수 있다는 인식을 창출해가고 있다.

변화를 견인하고 있는 요소는 무엇인가?

우리는 오랜 기간 이런 방식의 벤치마크를 정립해왔다. 또 관련 산업이 이런 총위험비용에 대한 정의에 만족한다고 가정했다. 하지만 이를 검증한 적은 없다. 그러다 몇 년 전, 리스크 매니저를 대상으로 부수적인 설문조사를 실시하면서, 이런 방식에 어떤 요소를 추가해야 하는지 물었다. 리스크 매니저들에게 기존과는 다른 위험 항목을 제시한 결과 IT 위험에 대해 이야기 한 응답자의 비중이 10%에 달했다 .

사이버보안과 관련된 보험을 구입하는 회사들이 얼마나 되는가?

사이버 사기와 해킹 보험 시장이 번창하고 있는 추세이다. 우리는 최근 이와 관련된 설문 조사를 마쳤다. 대기업의 약 40%가 이런 종류의 보험을 구입하는 것으로 판단하고 있다.

TCOR 매트릭스가 CSO 및 CISO에 중요한가?

그렇다고 생각한다. CSO의 경우는 확실히 그렇다. 위험에 대한 대책을 마련해야 하기 때문이다. 경성 비용에 추가해 브랜드와 평판 문제를 다루게 된다면 "위험 관리에 이런 비용을 지출하고 있는데, 이 경우 이런 이익이 있다"고 말할 수 있어야 할 것이다. ciokr@idg.co.kr

X