경제 논리 갖춰야 보안도 챙긴다··· CISO들의 경기 침체 조언

사이버 보안이 경기 침체와 동떨어져 있다고 생각한다면 오산이다. 낭비를 줄이고 위험 관리를 간소화해야 할 시점이다.

78억 달러 규모의 산업 자동화 회사인 로크웰 오토메이션의 글로벌 부사장 겸 CISO 니콜 다든 포드는 팬데믹이 시작된 이후 자원을 알뜰하게 사용하는 데 익숙한 인물이다. 그녀는 사이버 보안이 경기 침체의 영향을 덜 받는 경향을 가지긴 하지만, 상황에 맞춰 더 적은 자원으로 더 많은 일을 할 준비를 해야 한다고 강조했다. 

다든은 경기 침체의 시기에 보안 낭비를 정기적으로 평가 및 제거하고, 리소스를 최대화하고, 중요한 비즈니스 리소스 전반에 걸쳐 위험을 완화하는 동시에 디지털 혁신을 지원하라고 조언했다. 그녀는 “디지털 혁신이 있는 곳에 보안 혁신이 있다. 이 둘은 함께 진행되어야 한다”라고 말했다. 
 

(비용 및 인력) 감축을 예상해야 한다
경기 침체의 지표가 사방에서 나타나고 있다. 세계경제포럼(WEF)에 따르면 경제학자 중 62%가 2023년 전세계적 불황의 가능성이 어느 정도 있다(45%) 또는 지극히 높다(18%)고 예측했다. 국제통화기금(IMF)은 성장 지표를 감안했을 때 전세계 경제의 3분의 1이 불황에 접어들 것으로 예측하면서도 발생한 불황이 오래 가지 않을 것임을 시사했다. 

미국 노동통계국에 따르면 2022년 말과 2023년 초에 진행된 다수의 대량 정리해고에도 불구하고 미국 취업 시장은 견조한 상태를 유지하고 있다. 그와 같은 동향은 전세계에 걸쳐 영국, 캐나다, 독일 등의 국가에서도 나타난다. 그러나 추가 금리 인상으로 인해 주식 시장이 불안하고 향후 채용이 동결되는 경향이 유지되고 있다.  

불황을 예측하기란 우크라이나 전쟁 등 세계를 뒤흔든 사건들로 인해 특히 더 어렵다. 전통적인 예측 변수의 적절성이 떨어지고 있기 때문이다. 그러나 CISO들의 지출에 영향을 미치는 경기 하강을 예상하고 대비할 수 있는 방법이 있다. 인텔에서 20년 넘게 재직한 정보 보안 및 연속성 전문가이자 산업 고문 말콤 하킨스는 포럼과 동료와의 토론을 통해 인사이트를 얻을 수 있다고 말했다.

하킨스는 “지난 6~7개월동안 여러 동료들과 많은 대화를 나눴다. 그들 다수는 예산 삭감과 직원 감축을 겪었고 새로운 구매가 연기됐다고 전했다. 즉, 더 적은 것으로 더 많은 것을 하라는 지시를 받고 있는 셈이다. 과거와의 다른 과제에 직면하고 있다”라고 말했다.

보안 투자 효율성을 개선
하킨스는 불황 여부와 관계없이 CISO들은 정보 보안과 위험 관리를 항상 경제적 효율성으로 접근해야 한다고 강조했다. 그는 “재무 담당자로 시작한 나는 항상 더 적은 것으로 더 많은 것을 하기 위해 노력한다. 이 보안 투자로 수익을 거둔다는 확신을 느껴야 하기 때문이다. 그래서 정기적으로 평가를 실시한다. 효율성 또는 효과성 이득을 증명할 수 없다면 지출을 취소하거나 다시 지출하지 않는다”라고 말했다.

하킨스는 CISO들에게 회사가 매출, 순수익, 이윤 폭, 시장 점유율에 대한 목표를 수립하는 것과 동일한 방식으로 자신들의 설계 목적을 다시 살펴보라고 조언했다. 예를 들어, 보안 조직이 가장 큰 영향을 주는 취약성을 완화하는 데 집중한다면 소속 기업에 중대한 영향을 전혀 미치지 않는 잠재적인 사건에 대비하는 시간과 노력을 적어도 30% 아끼게 된다.

일례로, 하킨스는 인텔 재직 시절의 사례를 소개했다. 당시 그의 설계 목표는 “화재, 홍수, 사이버 공격 등이 비즈니스 연속성에 중대한 영향을 미치지 않도록 하는 것”이었다. 그의 설계 덕분에 2010년 맥아피(MacAfee) 업데이트가 전세계적인 윈도우 XP 붕괴를 야기했을 때에도 인텔은 업무를 완수할 수 있었다. 

보안 도구의 중복을 줄일 것
안타깝게도 대부분의 보안 그룹이 아직도 기본적인 시스템 파악 및 평가에 어려움을 겪고 있다. 더 적은 것으로 더 많은 것을 할 것이 요구되면서 자산 파악의 중요성이 더욱 커졌다. 어디에 노력을 집중할지 아는 것은 보안 도구 및 서비스 낭비를 파악하여 줄이는 데 도움이 된다. 하킨스는 “심층 방어(Defense-in-depth)가 심층 비용(expense-in-depth)이 된 형국이다”라고 표현했다.

다든 포드는 보안 도구의 중복을 줄이는 것이 쉬운 혁신 분야라고 말했다. 예를 들면, 클라우드에서의 긴축 경영 덕분에 그녀의 팀은 더 적은 선불 투자로 더 많은 보안을 제공할 수 있으며 이는 더 큰 조직의 클라우드로의 디지털 트랜스포메이션을 뒷받침한다. 

그녀는 클라우드 네이티브로 시작하지 않았지만 클라우드에 맞게 개조된 구형 플랫폼이 클라우드용으로 네이티브 구축된 도구보다 효과가 덜하다고 느낀다. 그녀는 또한 불리한 조건에 묶일 수 있는 장기 업체 계약 체결을 하지 말 것을 당부했다.

알 고우스의 사례가 이에 해당한다. 클라우드 기반 담보 대출 처리 플랫폼 스냅독스(SnapDocs)의 CISO로 채용되었을 때 그는 대형 보안 플랫폼 제공업체와의 비싼 다년 계약을 물려받았다. “계약된 보안 플랫폼의 효과성을 평가해 보니 팀이 활용할 수 있는 기능이 10%에 불과했다. 이에 우리는 대안을 찾아 나섰다. 지금은 특히 적용 범위와 비용 절약 부분에 주의하면서 계약 만료일 전에 시험 플랫폼을 운영 중이다”라고 말했다.

스냅독스는 클라우드 네이티브 회사다. 그의 팀은 클라우드 네이티브 보안 도구가 회사의 사업 모델에 더욱 효과적이라는 사실도 알게 되었다. 그는 오늘날 다수의 기성 대형 플랫폼과 마찬가지로 그들이 교체하고자 하는 플랫폼도 클라우드 네이티브로 시작하지 않았지만 클라우드에 맞게 개조되었다고 설명했다. 

사실 오늘날의 복잡한 비즈니스 수요를 효과적으로 충족하지 않는 보안 도구가 워낙 많다. 이에 고우스는 엘론 벤처스(Elron Ventures)가 결성하고 에어비앤비(Airbnb), 캐리비안 크루즈(Caribbean Cruises), 하이밥(HiBob) 등 주요 회사 CISO들이 후원하는 CISO 투자 연합체 사이버퓨쳐(CyberFuture)를 통해 보안 혁신을 파악하고 자금을 대는 일에 적극 관여하고 있다.

CFO의 목표와 정렬
스냅독스의 고우스는 “사이버퓨쳐에서의 주요 논의 중 하나는 보안 비용의 효율적인 사용과 부가가치가 무엇인가 하는 것이다. 현재의 거시 경제적 상황을 차치하고라도 CISO들은 신중하게 담당 조직의 목표와 소속 회사의 목표를 일치시켜야 한다. 그러면 투자 논의가 쉬워진다. 보안 프로그램을 통해 회사 목표를 지원한다면 상황은 그에 따라 정리될 것이기 때문이다”라고 말했다.

그는 위험 및 규정 준수 요구에 효과적으로 대응하는 한편 보안 개선사항과 효율성을 입증함으로써 CFO와 같은 편이 되라고 주문했다. 하킨스와 마찬가지로 고우스도 도구 및 서비스의 효과성에 대하여 지속적인 비용 절약 및 낭비 축소를 목적으로 정기적인 평가(최소한 1년에 한 번)를 실시해야 한다고 강조했다.

이미 갖고 있는 것으로 더 많이 하기
AI 기반 신용 분석 회사 파가야 테크놀로지스(Pagaya Technologies) VP 글로벌 CISO 야니브 톨레다노는 기존 도구를 통합, 자동화, 조직할 수 있는데도 새로운 도구에 불필요하게 지출하는 것을 경계했다. 그는 이런 시기에는 이미 갖춰진 통제 장치로 목표를 달성할 수 있는 한, 이를 성숙시키는 것이 중요하다고 덧붙였다.

“예산이 제한되는 불황의 시기에 해답은 새로운 솔루션에 돈을 더 쓰기에 앞서 이미 갖고 있는 도구를 가장 효율적인 방식으로 통합하고 조직하는 것이다”라고 그는 말했다.

그는 대부분 인력의 변화도 예상하라고 덧붙였다. 톨레다노는 힘든 시기에 최고의 인재가 떠나지 않도록 그들에게 흥미를 유지할 끝내주는 프로젝트를 제공한다고 말했다. 그가 사용한 방법은 인재를 보안 연구 프로젝트에 배정하여 비용 절약 조치에 직접 참여시키는 것이다. 해당 프로젝트는 몇몇 보안 스타트업을 선택해 효율성 및 효과성 개선에 중점을 둔 향후 실행 방식을 탐구하는 것이었다.

그는 “보안 전문가들은 업무에 대한 기대감을 유지하도록 계속 진화해야 한다. 갖고 있는 것으로 더 많이 하는 것을 넘어 혁신에 창의적인 방식으로 활기를 불어넣고 있다. 경기가 나쁜 와중에도 혁신은 중단할 수 없다”라고 강조했다. ciokr@idg.co.kr