세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
2018년 보안 예산안, 어떻게 짜야할지 고민된다면?
  |  입력 : 2017-09-18 16:59
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
예전과 달라진 정보 보안의 역할, 예산도 상응하게 바뀌어야
집중할 리스크 선별 등 기업 리더가 새겨야 할 3가지 조언


[보안뉴스 오다인 기자] 아이들의 여름방학이 끝나고 나뭇잎의 색깔이 바뀌었다. 하루는 더 짧아졌다. IT 분야 리더들이 내년 예산안을 생각할 시기가 온 것이다. 2018년 예산을 기획할 때 최고정보책임자(CIO)는 조직 내에서 정보 보안의 역할이 어떻게 바뀌고 있는지, 그 변화를 어떻게 하면 가장 잘 지원할 수 있는지 핵심적으로 고려해야 한다.

[이미지=iclickart]


IT 및 비즈니스 리더들은 정보 보안에 보다 전략적으로 접근할 필요가 있다. 지금까진 투자 우선순위에서 정보 보안이 밀렸던 게 사실이다.

새 디지털 제품과 서비스를 지원하기 위해 비즈니스 모델이 변화함에 따라 정보 보안은 점차 ‘디지털 비즈니스 조력자’의 역할을 맡고 있다. 기업 리더들이 새로운 성장이나 경쟁 우위를 추구할 때 정보 기술의 위험을 영리하게 관리할 방법을 찾아야 한다는 의미다. 이는 조직이 보안을 실현하는 방식부터 보안 부서의 기술과 도구 효과성을 바꾸고 나아가 보안 리더들이 투자 우선순위를 매기는 방식도 바꿔놓을 것이다.

보안 부서는 곧 보안 운영부터 이사회에 자문을 하는 일까지 더 넓은 범위의 활동을 이끌거나 지원하게 될 것으로 보인다. 보안 부서는 향후 시간과 에너지를 두고 경쟁하는 이해관계자들이 더 많이 생길 것이므로 예전보다 빡빡한 마감 일정에 직면하게 될 것이다. 설상가상으로 숙련된 보안 전문가가 세계적으로 부족하다는 사실은 신규 인력을 더 어렵고 비싼 값에 데려와야 한다는 사실을 의미한다. 이러한 요소들은 기업이 가장 시급한 우선순위를 매기는 데 있어 정보 보안을 뒤로 밀리게 한다. 다시 말해, 보안에 대한 투자를 결정하는 데 있어서 보다 엄격한 잣대를 들이미는 것이다.

왜 보안에 대한 투자는 사업적인 필요에서 이뤄지지 않을까
사무실 귀퉁이에 있던 정보 보안이 이제 더 전략적인 역할을 맡게 됨에 따라 혹자는 CISO가 포트폴리오 우선순위에 접근하는 방식 역시 변화했을 거라고 생각할지도 모른다. 그러나 꼭 그런 것만은 아니다. 수십 명의 IT 보안 리더들과 이야기해본 결과, 우리는 보안 투자 결정을 내리는 접근법이 대개 주관적이라는 사실을 발견했다. 그들은 체계적인 프로세스나 사업적 가치 체계에 따르기보다 너무 자주 개인적인 전문성과 신용에 근거해서 결정했다.

결과적으로 기업들은 줄여야 할 리스크를 잘못 판단하고 이에 투자하는 경향이 있었다. 아니면 다른 기능으로 이미 수행되고 있는 부분에 재투자하는 과오를 저질렀다. 기업의 전략을 잘못 배치하는 건 혁신을 지체시키고 제한하는 일일뿐더러 보안 리더들이 비즈니스 실현 시 반드시 확보해야 할 이해관계자와의 관계 구축을 제약하는 일이기도 하다.

보안에 잘 투자하는 방법
바로 이것이 IT와 보안 리더들이 자신의 접근법을 다시 생각해야 하는 이유다. 이에 우리는 아래와 같이 조언 몇 가지를 제시한다. 이 조언들을 참고하면 IT 리더들이 보안 포트폴리오를 더 사업 중심적이면서 프로세스 주도적으로 만들 수 있을 것이다. IT와 무관한 이해관계자들에게도 더 투명한 보안 포트폴리오를 제시할 수 있을 것이다.

1) 제대로 된 리스크에 집중하라
정보 보안이 이전보다 전략적인 역할을 맡게 되면서 IT 리더들은 보안 포트폴리오를 단지 리스크 감소 차원에서가 아니라 디지털 비즈니스 실현을 고려해서 제작하게 됐다. 여기서 사이버 리스크는 기술적인 지장이나 경쟁에서 지는 등의 위험과 비교해서 낮다는 점을 명심해야 한다. 예컨대, 하향식 보안 거버넌스 모델로 인해 애자일 팀이 제때 코드를 만들어내는 것을 막고 있어서 회사의 자금 출혈이 커지고 있는 상황이라면 어떤 제어에 투자해야 할까 고민하는 건 합리적이지 않다.

기업의 전략적 목표와 새로운 보안 투자를 일치시키려면 IT 및 비즈니스 고참 리더들의 도움을 받아서 보안 부서에 맥락을 부여하는 것부터 시작할 수 있다. 이유를 주는 것이다. 내년에 가장 집중해야 할 5개에서 6개 비즈니스 역량과 목표를 추리기 위해 브레인스토밍을 해라. 그런 다음 상대적인 중요도에 따라 순위를 매겨라. CEO의 경영 목표와 밀접한 상관성이 있어야 한다는 점도 잊지 말자. 보안 리더들이 비공식적인 지출 대상을 정할 때도 이렇게 추린 우선순위를 사용할 수 있다. 각각에 대해 똑같이 자금을 분배하는 것 대신에 가장 큰 전략적 기회가 있는 부문에 더 많이 투자하는 것이 좋다.

2) 더 체계적인 결정 프레임워크를 개발하라. 단, 지나치게 생각하진 마라
IT 리더들이 보안 투자를 결정할 때 더 엄격한 잣대를 들이댄다는 건 명확하다. 그러나 말보다 행동이 더 어려운 법. 주관성을 줄이려는 차원에서 어떤 사람들은 투자 결정을 프로젝트의 투자수익률(ROI)이나 순현재가치 같은 단 하나의 달러가치법(dollar-value metric)으로 축소하려고 한다. 즉, 지나치게 단순화하려고 한다. 그러나 정보 리스크의 양을 측정하는 어려움 때문에 달러가치법 같은 셈법은 실현되기 어렵고 다른 이해관계자들의 냉소를 맞닥뜨릴 위험이 크다.

이런 방법 대신에 IT 리더들은 지나치게 복잡하지 않으면서도 방법론적으로 엄격한 투자 제안들을 조사할 수 있어야 하고, 그런 프레임워크를 적용해야 한다. 효과적인 방법 중 하나는 고가치 투자와 포괄적인 프로세스를 위한 2단계 분류 메커니즘이다.

*1단계: 고/중/저 가치 카테고리에 새로운 투자 제안을 분류하기 위해 3개에서 4개의 사업 중심적 기준을 사용해라. 그런 기준의 예로 전략적 분배, 총 비용, 긴급성 등이 있다. 고가치 제안은 추가적인 검토 없이 포트폴리오에 포함될 수 있으며 저가치 제안은 한 켠에 밀어놓을 수 있다.

*2단계: 중가치 제안에 대해 보다 포괄적으로 검토하라. 중가치에 해당하는 프로젝트들을 가능한 한 많은 부분에 대해 양적 점수를 매겨서 비용, 장점, 위험 기준으로 평가해라.

3) 이해관계자에게 투자를 예측할 수 있는 기회를 줘라
선도적인 IT 보안 리더들이 강조하는 것 중 하나는 이해관계자에게 피드백을 요청하기 위해 특정한 접점을 형식화하고 예측성을 제공하는 것이다. 이는 보안 투자 결정의 신뢰도를 높이는 데 핵심이다. 같이 투자할 기회가 생긴 비즈니스 파트너는 결정으로 인한 결과물을 사들이는 경향이 있는 반면, 충분히 상담하지 않았다고 느낀 비즈니스 파트너는 해당 프로세스에서 벗어나려고 한다. 기존의 거버넌스나 운영 위원회는 기업의 전략 변경 차원에서 보안 포트폴리오의 목표를 정의하고, 지출 대상을 정교하게 추리고, 프로젝트 점수 기준을 검토하고, 보안 자원의 우선순위를 다시 매기는 데 외부의 이해관계자와 협업할 수 있는 이상적인 장소다.

마지막 포인트가 암시하듯, 경험 많은 IT 리더들은 포트폴리오의 우선순위를 매기는 것이 지속적인 과정이라는 걸 이해하고 있다. 지속적으로 파트너십에 투자하는 것은 보안 포트폴리오가 기업의 다른 부분과 맞물려 진행된다는 걸 명확히 하면서 디지털 트랜스포메이션을 실현하는 데도 도움을 줄 것이다.

글 : 앤드루 혼(Andrew Horne)
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
애플이 아이폰X에 얼굴인식 방식인 페이스ID를 새롭게 도입한다고 해서 관심이 모아지고 있습니다. 이를 계기로 스마트폰에 탑재되는 생체인식기술 간 보안성 및 편리성 대결도 벌어지고 있는데요. 이를 모두 고려할 때 스마트폰에 탑재되는데 있어 가장 효과적인 생체인식기술은 무엇이라고 보시나요?
지문인식
홍채인식
얼굴인식
화자인식(목소리로 누구인지 식별)
다중인식(지문+홍채, 지문+얼굴 등)
기타(댓글로)