[데이터넷] 엔드포인트 보호를 위해 기존의 백신을 EPP로 업그레이드하고, EDR을 신규도입했다면, 엔드포인트 보호를 위한 총 예산은 EPP와 EDR 라이선스를 합한 것일까? 이 프로젝트를 수행하는데 투입된 인력과 시간, 그리고 지속적인 패치 업데이트와 EDR 운영을 위한 보안요원의 인건비 등은 엔드포인트 보호 프로젝트 예산일가, 보안조직 전체의 예산일까?

가트너의 ‘사이버 보안 보호의 실제 비용 측정(Measure the Real Cost of Cybersecurity Protection)’ 보고서에서는 보안과 비용의 균형을 맞추기 위한 사이버 보안 비용의 측정 방법을 제시하며 “사이버 보안은 일회성 비용이 아니기 때문에 프로젝트 기반 예산으로는 충분하지 않다. 허용 가능한 수준의 보안을 유지하려면 연간 지속적이고 예측 가능하며 안정적인 수준의 예산이 마련돼야 한다”고 강조했다.

이사회 1%만이 보안 영향 추적

가트너 조사에 따르면 기업 이사회의 88%가 사이버 보안을 비즈니스 리스크로 간주하고 있지만, 단 1% 만이 양적·질적 지표를 통해 비즈니스 의사 결정에 미치는 영향을 공식적으로 추적하고 있다. 또 36% 만이 비즈니스 단위(BU)가 이해할 수 있도록 보안 예산에 필요한 수준의 투명성을 제공하고 있었다. 이는 기업이 비즈니스 리스크 관리를 위해 매년 보안 투자를 늘리고 있다고 발표하지만, 실제 투입된 예산 대비 효과를 제대로 측정하지 못하고 있으며, 도입한 보안 솔루션이 보호수준계약(PLA)을 충족하는지, 자사 비즈니스 상황에 맞는 수준이나 범위인지 알지 못한다는 뜻이다.

보고서에서는 보안 예산을 효과적으로 집해하기 위해 보호 수준을 정하고 보안 프로젝트의 감가상각과 자산 업데이트와 교체, 직원·외부 서비스 비용, 교육과 훈련 비용 등이 파악돼야 한다고 서명했다. 비즈니스 운영 단위 또는 기능별로 PLA를 정해야 하는데, PLA는 현재 구축된 보안 시스템은 물론, 미래에 구축될 시스템도 고려하고, 현실적인 수준에서, 핵심 비즈니스 성장을 도울 수 있는 방법으로 진행해야 한다.

보안 인력을 많이 투입하고, 모든 보안 서비스에 높은 PLA를 요구하는 것이 언제나 옳은 것은 아니며, ‘적정한’ 수준을 찾는 것이 중요하다. 왜냐하면 보안 예산을 집행하는 CFO를 설득할 수 있어야 하기 때문이다. 보안 솔루션 도입을 위한 라이선스와 유지보수 비용뿐 아니라 시스템의 패치 적용을 위한 인력과 시간, 직원 교육을 위한 비용, 외부 업체 서비스 이용시 필요한 비용도 고려해야 한다.

가트너는 “중요한 사이버 침해 사고가 발생했을 때, 이를 막기 위한 최선의 보안 투자와 조치를 취해왔다는 사실을 알리고 이사회와 관계당국을 설득해야 한다. 이를 위해서는 최적의 보안 수준을 결정하고 이를 유지하기 위해 모든 비용을 정확하게 계산해야 한다”며 “보안 투자의 실제 가치인 ‘보호’를 기반으로 의사결정을 내려야 한다”고 강조했다.

김선애 기자 다른기사 보기