Offcanvas

CIO / 보안 / 비즈니스|경제

리스크 함수로 풀어본 '보안 투자를 늘려야 하는 이유'

2015.04.03 Paul Rubens  |  CIO

“범죄자들은 기회주의적이다. 이들의 목적은 돈이다. 그렇지만 정부 기관의 지원을 받는 해커들은 다르다. 이들은 쉽게 포기하지 않는다. 소니를 해킹한 이들도 그랬다. 돈 때문에 한 것이 아니라 기업 자체에 대한 악의를 가지고 있었고, 그 증거로 자신들이 훔친 데이터를 아직까지 팔지 않았다”고 루이스는 말했다.

만일 오늘날 해커들이 기업의 보안 조치에 구애 받지 않고 아무 기업이나 해킹이 가능하고, 팔 수 있는 데이터뿐 아니라 다른 많은 것들을 노리고 있다면 기업들의 해킹 확률은 훨씬 올라가게 된다.

어디 그뿐인가? 소니 사태를 통해 이제는 해킹 피해 액수가 예전보다 훨씬 크다는 걸 알게 됐다. 정부 기관의 지원을 받는 이 해커 집단들은 신용카드 정보나 사회보장번호 같은 정형화 된, 구조적 데이터만 노리지 않는다. 포네몬 인스티튜트의 2014 데이터 유출 피해액 연구에 따르면 이런 류의 정보가 유출될 경우 그 피해액은 이미 잘 알려져 있듯 정보 한 건당 201달러다.

그렇지만 오늘날 해커들은 기업에 망신을 주거나 복수를 하는 등 보다 정치적인 목적으로 움직이는 경우가 많기 때문에 이메일이나 기타 문서 등 비정형 데이터를 훔쳐 공개한다. 이러한 데이터 유출로 기업이 평판을 잃으며 발생하는 손해는 경제적인 피해를 넘어선다. 소니 해킹사태 이후 사람들의 비판 속에 소니의 중역들이 대거 사퇴하기도 했다. 게다가 중요 정보가 공개될 경우 소송에 휘말릴 가능성도 있다. 예를 들어 같은 노동에 대해 남성과 여성 직원들에게 차별적 임금을 지급한 것이 드러난다거나 하면 말이다.

“이렇듯 각종 소송에 휘말려 들어가는 비용이 이러한 데이터 유출 피해액에서 가장 큰 부분을 차지한다”고 루이스는 전했다.

‘리스크= 비용 x 확률’이다. 이제는 해킹 확률과 해킹 피해액이 둘 다 상승했으니, 리스크 역시 몇 곱절로 커진 셈이다.

보안 투자의 목적은 보안 위협을 관리해 적정 수준으로 낮추는 데 있다. 그렇지만 소니 해킹사태를 통해 우리는 이제 해킹 리스크가 우리가 생각했던 것보다 크다는 사실을 알게 됐다. 자연히 이 리스크를 ‘적정 수준’까지 낮추기 위해서는 예전보다 더 많은 금액을 IT보안에 투자해야 한다는 결론이 나온다.

포레스터 리서치의 보안 및 리스크 관리 애널리스트 릭 홀랜드는 “기업들이 보안 투자를 적극 늘려야 하는 건 맞다. 그렇지만 더 걱정인 건 설령 보안 예산을 5% 가량 늘린다고 해도 그 돈이 정말 제대로 쓰일 것인가 하는 점이다. 가장 큰 문제는 적절한, 꼭 맞는 보안 방식을 찾는 것”이라고 밝혔다.

만일 해커들이 정말로 모든 기업의 IT인프라를 뚫을 수 있다면, 전면 방어는 그다지 현명한 전략이 아닐 수 있다. 가트너의 리서치 담당 이사인 앤톤 슈바킨은 오히려 더욱 효과적인 침입 탐지 시스템을 도입해 침입한 해커가 데이터를 가지고 도망가지 못하도록 하는 것이 나은 방법일 수 있다고 말했다.

희망은 있다
불행 중 다행인 건 새로운 보안 기술들이 속속들이 등장하고 있고 이들 중에는 투자할 만한 가치가 있어 보이는 것들도 있다는 사실이다. “최첨단 테크놀로지들의 출현은 희망적이다. 그리고 이미 몇몇 깨어있는 기업들에서는 이들을 사용하고 있다”고 슈바킨은 밝혔다. 이어서 “애널리틱스를 사용해 방어를 공고히 할 수도 있고, 위협 지능(threat intelligence)과 기계 학습을 활용할 수도 있다. 아직 특정 제품을 도입하면 100% 안전하다고 말할 순 없지만, 그래도 어두운 터널 끝에 희망의 빛이 보이는 듯 하다”고 덧붙였다.

*Paul Rubens는 영국에서 활동하는 IT 저널리스트다. ciokr@idg.co.kr

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.