Home > 전체기사

어쩌면 보안 담당자들이 가장 간과하는 스킬, 예산 확보 능력

  |  입력 : 2021-08-23 19:11
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
모든 사람이 다양하게 태어나고, 다양하게 자라서, 다양한 실력과 전문성을 갖추기는 하지만 결국 그 모든 것이 돈으로 귀결되는 게 현실이다. 가장 뛰어난 화이트 해커라도 회사가 예산을 주지 않으면 보안 사고에 대응할 수가 없다. 늘 예산에 허덕이는 보안 전문가들, 어쩌면 예산 확보 능력에 좀 더 집중해야 하지 않을까?

[보안뉴스 문가용 기자] 어느 영역이나 마찬가지이지만 보안 전문가들 역시 자신들의 전문성을 갈고 닦는 데 많은 시간을 보낸다. 데이터 분석일 수도 있고, 보안 엔지니어링이나 멀웨어 분석일 수도 있으며, 프로그래밍일 수도 있다. 그런데 어떤 분야의 보안 전문가든 자꾸 간과하고 있는 ‘전문 분야’가 있는데, 바로 ‘예산 확보 능력’이다. 이는 위험 가능성과 확률을 구분지어 설명할 수 있는 능력과 연결되어 있다고 보안 교육 기관인 (ISC)2는 설명한다.

[이미지 = utoimage]


위험 가능성과 확률을 구분지어 설명할 수 있는 능력은 보안 전문가들에게 꼭 필요한 것이다. 왜냐면 사업이라는 분야에서 결정권을 가진 사람들이 ‘이익’과 ‘손실’에 대해 이야기를 하며 반드시 짚고 넘어가는 게 위험 가능성과 확률이기 때문이다. 즉 보안 담당자들 손에 새로운 무기를 쥐어주거나 새로운 프로젝트를 시작할 수 있게 해 줄 장본인들이 이런 식의 ‘언어 구사’에 익숙해져 있다는 것이다. 그리고 보통은, 이들을 설득하는 과정 없이 보안 담당자에게 돌아가는 자원이 저절로 풍부해지는 일은 없다.

확률이나 가능성과 같은 이야기를 가장 설득력 있게 하는 방법은 정량 분석과 정상 분석 결과를 들이미는 것이다. CISSP CBK(CISSP Common Body of Knowledge)에 의하면 먼저 분명히 알아두어야 할 건 확률은 숫자를 동반한 개념이고(즉 정량 분석과 관련이 있음), 가능성은 위험의 성분적 분석 혹은 질적 분석의 결과를 동반한 개념(즉 정성 분석과 관련이 있음)이라는 것이다. (ISC)2는 “사전에 따라 이 두 가지 구분을 모호하게 하는 경우도 있는데, 예산 확보를 잘 하고 싶은 보안 전문가라면 가능성과 확률의 차이를 분명히 알고 시작해야 한다”고 강조한다.

(ISC)2에 따르면 “아무래도 많은 사람들이 숫자가 있는 정량 분석 쪽을 더 선호하고 더 확실히 이해한다”고 한다. “예를 들어 뉴욕과 샌프란시스코에 건물을 지었을 때 지진으로부터 피해를 입을 가능성은 얼마나 될까를 평가할 때 정성 분석 기법을 활용하면 두 지역이 같은 것으로 나옵니다. 왜냐하면 샌프란시스코는 지진이 자주 일어나는 지역이지만 그만큼 건물 승인 기준이 엄격하고, 뉴욕은 지진이 안 일어나는 지역이고 그만큼 건물 승인이 허술하기 때문입니다. 그래서 ‘정성적으로는’ 두 지역에 건물을 지었을 때의 위험성은 같다는 게 결론인데, 사실 좀 허술하긴 하죠.”

그래서 중요한 사업을 이끌어가는 사람일수록 정량적 평가를 선호한다는 게 (ISC)2의 설명이다. 정성 분석에도 숫자가 안 나오는 건 아닌데, 수가 의미하는 바가 지나치게 추상적일 때가 많고, 따라서 해석이 분분해질 수 있으며, 신뢰도가 낮을 수밖에 없다는 것이다. “그에 반해 정량 분석에 등장하는 숫자들은 훨씬 더 분명하며 의미도 확고하고 단단합니다. 그래서 영어로 ‘hard number’라고 하는 것이죠.”

위에서 언급된 CISSP CBK에 의하면 정량 분석의 간단한 공식은 다음과 같다.
연간 기대 손실(ALE) = 단일 기대 손실(SLE) x 연간 발생 빈도(ARO)

(ISC)2는 이 복잡해 보이는 공식에 대해 다음과 같이 풀어 설명한다. “전화기 분실 사건에 이 공식을 대입해 보죠. 분실된 전화기 한 대가 약 600달러 정도라고 합시다. 그리고 해마다 100명이 전화기를 잃거나 부숩니다. 그러면 연간 기대 손실은 600 x 100으로 계산함으로써 약 6만 달러라고 추정할 수 있습니다. 위 공식은 그런 의미를 가지고 있습니다. 게다가 이 간단한 계산식으로 많은 기업들의 BYOD 전략이 왜 그리 보편화 되었는지도 알 수 있죠. 회사에서 지급해 준 모바일 장비를 잃어버리는 사건이 너무나 많았고, 이것만 BYOD로 대체해도 적잖은 돈을 직접적으로 아낄 수 있다는 것이죠.”

참고로 기업들은 BYOD 전략을 본격적으로 도입하기 전에 - 보안 전문가들로부터 BYOD가 위험하기 짝이 없다는 경고가 수도 없이 나왔었기 때문에 약간의 거부감이 존재하긴 했었다 - 보험을 통해 연간 기대 손실을 낮춰보려고도 했었다. 하지만 비싼 보험에 가입하면 할수록 직원들은 회사 장비를 소홀하게 다뤘고 따라서 분실 비율(ARO)은 더 높아졌다. SLE를 낮춰도 마찬가지였다. 결국 어떻게 해도 ALE를 낮출 수 없었고, 그래서 BYOD는 보안 업계로부터의 온갖 경고에도 불구하고 기업들의 인기 전략으로 채택됐다.

간단한 예이지만 ‘지진 빈번 발생 지역인 샌프란시스코와 역사적으로 큰 지진이 한 번도 일어나지 않은 뉴욕에 각각 지어진 신규 건물이 지진으로부터 파괴될 위험성은 같다’는 결론을 내리는 정성 평가와, 간단한 공식 하나로 BYOD 전략을 채택했을 때의 장점을 여러 가지 측면에서 쉽게 이해할 수 있게 해 주는 정량 평가의 차이가 극명하게 나타남을 누구나 쉽게 느낄 수 있다. (ISC)2가 제공하는 CISSP CBK가 정량 평가에 좀 더 초점을 맞추고 있는 이유가 바로 그것이다. “설득은 이해시키는 것에서부터 시작됩니다. 그런 목적이라면 분명한 숫자가 더 위력을 발휘하죠. 다만 정성 평가를 곁들였을 때, 이 숫자의 파괴력은 높아집니다.”

그렇다면 이 둘을 어떻게 곁들여 써야 할까? (ISC)2는 이렇게 설명한다. “먼저 위의 전화기 사례로 다시 돌아갑시다. 보안 전문가인 당신은 회사로부터 예산을 받아 새로운 MDM 플랫폼을 도입하려고 합니다. 정성 평가를 통해 직원들의 장비 분실 위험성이 꽤나 높으며, 이 때 괜찮은 MDM이 없다면 기업 데이터가 유출되고 따라서 브랜드 가치가 하락할 가능성이 높다는 걸 설명할 수 있습니다. 이렇게 큰 그림을 그려 놓은 상태에서, 정량 평가를 통해 얻어낸 구체적이고 분명한 숫자들을 보충할 수 있습니다. 그렇게 해서 조금 모호했던 ‘가능성’이 분명한 ‘확률’로 변모할 수 있죠.”

(ISC)2는 두 가지 방법을 다 사용하는 게 효과적이라는 걸 강조하며 “사람마다 이해하는 언어가 다르기 때문”이라고 설명한다. “확실히 예산 담당자라면 숫자가 분명한 확률 쪽을 이야기 하는 게 효과적일 겁니다. 숫자를 다뤄온 사람이라서 그 부분이 더 이해하기 쉽거든요. 하지만 그렇지 않은 사람이라면 큰 그림을 그려내는 설명만으로도 충분히 설득될 수 있습니다. 이런 사람들은 처음부터 여러 가지 숫자를 보여주면 어지러워 합니다. 전체적인 이해가 갖춰진 뒤에 나오는 숫자라면 부담이 적습니다. 그런 의미에서 보안 담당자는 이 두 가지 평가를 다 수행해 적절하게 섞어서 사용할 줄 알아야 합니다. 그것이 예산 확보 능력이죠.”

3줄 요약
1. 보안 담당자들이 간과하는 중요한 스킬은 ‘예산 확보.’
2. 정성 평가와 정량 평가 통해 위험 가능성과 확률을 설득력 있게 표현할 수 있는 능력.
3. 숫자가 편한 사람에게는 정량 평가 결과를, 이야기가 편한 사람에게는 정성 평가 결과를 제시.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)