Offcanvas

CSO / 리더십|조직관리 / 비즈니스|경제

블로그ㅣ사이버 보안이 ‘비즈니스와 정렬’된다는 의미는?

2022.05.30 Pete Lindstrom  |  CSO
보안이 비즈니스 목표 달성에 어떻게 도움을 주는지 보여주는 것은 2단계 프로세스로 이뤄진다. 첫째, 비즈니스 언어로 말해야 하고, 둘째, 가치 창출을 입증하는 비용-편익 분석을 수행해야 한다. 

사이버 보안 리더들 사이에서 흔하게 하는 말이 있다. ‘비즈니스와 정렬하는 법을 배워야 한다(We have to learn to align with the business)’라는 것이다. 안타깝게도, 사이버 보안 부분의 리더들은 많은 시간을 비즈니스가 ‘사이버 보안과 정렬’되도록 하는 데 쓰고, 그렇게 되지 않을 때 좌절감을 느끼는 듯하다. 
 
ⓒGetty Images Bank

‘그렇게 되지 않는’ 이유는 비즈니스 부문처럼 말하려고 하지 않거나 또는 그렇게 말할 수 없기 때문이다. 현실은 사이버 보안이 비용 센터(Cost Center), 즉 소위 말해서 돈만 축내는 곳이라는 점이다. 게다가 그 가치를 인지시키기가 매우 어려울 수 있는 비용 센터이기도 하다. 

사이버 보안을 비즈니스에 정렬하는 2단계 
기본적인 수준에서 사이버 보안을 비즈니스와 정렬하는 것은 2단계 프로세스로 이뤄진다. 비즈니스 언어를 이해하는 게 첫 번째다. 모든 기업의 공통어는 재무다. 이는 사이버 보안 리더들의 가장 큰 과제가 될 수 있다. 대부분의 산업에는 자체적인 비용 효율성 측정 방법이 있다. 예를 들면 소매업의 단위 면적당 매출액, 의료업의 환자당 치료 비용 등이다. 사이버 보안에서도 다른 비즈니스 부문 또는 사업부처럼 행동해야 한다. 

두 번째는 이익이 아닌 가치 방식으로 편익-비용 분석과 ROI를 결정하는 방법 및 측정 기준을 개발하는 것이다. 활동기준원가계산(ABC) 등을 사용하여 비용을 계산하고, 손익 분기점 분석을 활용하여 투자를 평가하는 것으로 시작할 수 있다. 이는 지출 금액을 결정하고 투자가 ‘그럴 만한 가치가 있는지’ 정성적으로 판단하는 것만큼이나 간단할 수 있다. 

아울러 이 지점에서 (감소시키고자 하는) 위험의 하한선에 도달하게 된다. 예를 들어 특정 솔루션에 미화 100만 달러를 지출하는 것이 ‘그럴 만한 가치가 있다면’ 최소한 해당 금액만큼 위험을 줄일 수 있으리라 예상한다. 필자가 이러한 하한선이 (기업의) 사이버 보안 지출 총량에 적용된다고 말하면 우려하는 사람들도 있다(정말 관심이 있다면 경제학 핸드북에서 ‘지불의사(Willingness-to-Pay; WTP)’ 개념을 찾아보라). 일단 기본적인 재무 지식이 있으면 상황은 정말 흥미로워진다. 제어당 비용, 세션당 비용, 가치 대비 손실 비율 등의 재무 지수를 볼 수 있어서다. 

어떤 컨퍼런스에서 한 CISO가 “보안을 위해 필요한 모든 비용을 지출할 것”이라고 말하는 걸 들은 적 있다. 말도 안 되고 무책임한 말이다. 물론 어떤 의미로 그렇게 말했는지는 알지만 이런 방식의 사고는 매우 해로울 수 있고, 비즈니스와의 정렬에 반대된다. 그렇다. 사이버 보안의 재무적 영향을 파악하는 일은 매우 까다로울 수 있다.  

* Pete Lindstrom은 스파이어 시큐리티(Spire Security)의 사이버 전략 전문가이자 경제학자다. 사이버 보안 프로그램의 효과와 효율성 향상을 전문으로 한다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.