인력 모자란 중소기업의 복구 비용, 대기업 비용보다 높아
사람 고용하고 훈련시키는 비용 포함해도 결과에 큰 차이 없어
[보안뉴스 문가용] 실력 있는 IT 보안 전문가들의 부족 문제가 언급된 것이 어제 오늘 일이 아니다. 사람이 적어서 안 생겨도 될 문제가 발생한다는 기사가 이 매체 저 매체에서 수두룩하게 쏟아진다. 보안 업계에 조금만 들어와도 관계자들에게 흔히 듣는 이야기다. 여기에 더해 카스퍼스키가 이번 주 보안 인력이 부족하기 때문에 발생하는 금전적인 손해에 대해서 보고했다.
카스퍼스키는 중소기업부터 대기업까지, 다양한 회사의 대표급 임원 5천 명을 대상으로 이번 연구를 진행했다. 그리고 충분한 보안 인력을 갖추고 있는 기업의 경우와 그렇지 않은 경우를 비교했다. 그 결과 부족한 인원으로 보안을 꾸려가는 기업의 평균 복구 비용은 1백 2십만 달러에서 1백 47만 달러로 나왔다. 반면 넉넉히 보안 인력을 갖춘 기업의 경우 1십만 달러에서 5십만 달러로 충분했다.
외부 용역이 아닌, 정식으로 고용된 내부 직원은 정보 유출 사고 이후의 복구 프로세스를 좀 더 잘 알고 있으며, 사고가 일어날 때마다 더 ‘내 일처럼’ 학습한다. “그렇게 학습한 걸 평소에는 의식적이든 무의식적이든 계속해서 회사의 보안 상태에 접목하여 생각해보게 되죠. 그러니 사건이 터졌을 때 대응과 복구 모두 지름길로 가게 되는 겁니다.” 북미 카스퍼스키의 부회장인 마이클 카나반(Michael Canavan)의 설명이다. “정보가 곧 돈이라는 겁니다. 보안에 대해 더 많이 알고 있는 만큼 돈이 덜 들고, 모르는 만큼 돈이 더 드는 것이죠.”
이 지점에서 의문이 생길 수 있다. “그러나 고용비용까지 계산에 넣으면 어떻게 될까?” 카스퍼스키의 보고서에 따르면 이번 복구 비용 계산에 고용비용까지도 포함시켰다고 한다. “중소기업의 평균 인건비는 1만 4천 달러였고 대기업은 12만 6천 달러였습니다. 정보 유출 등으로 발생하는 피해액에 비해서는 아무 것도 아닌 금액이죠.”
인텔의 엔드포인트 보안부문 총책임이자 부회장인 캔디스 월리(Candace Worley)는 “유출 사고가 발생했을 때 기업이 입는 손실이 1백 5십만 달러라고 해도 꽤나 높다고들 하는데요, 사실 이건 낮은 편입니다. 유출 사고 당 평균 피해액은 4백만 달러거든요. 포네몬 조사에 의하면요.” 즉, 한 기업이 한 해에 한 번만 유출 사고를 겪는다고 쳐도, 차라리 몸값 높고 실력 좋은 사람 여럿 고용하는 편이 훨씬 이득이라는 소리다.
“게다가 무형의 손실도 있죠. 브랜드 신뢰도가 하락한다거나, 주가가 떨어진다거나, 경쟁사에게 추월당한다거나 하는 등 계산이 불가능한 손실까지 치면 사람 쓰는 데에 인색할 필요가 전혀 없습니다.”
시스코의 수석 책임자인 테자스 바시(Tejas Vashi)는 “보안 인력을 사용하는 편이 훨씬 현명하다는 건 대부분 기업들이 알고 있을 것”이라고 설명한다. “다만 사람을 구하기가 너무 어렵다는 게 현실이죠. 돈 쓰기 싫어서 사람을 안 쓰는 게 아닙니다. 신입을 키워내기엔 시간이 너무나 많이 걸리고요.”
바시는 “결국 회사의 보안을 단단히 한다는 건 인재를 공격적으로 등용한다는 말로 이어진다”고 말한다. “그와 더불어 현재 확보하고 있는 인력, 즉 내부 직원들의 끊임없는 능력개발도 필수고요. 이 역시 공격적으로 해야 합니다.” 또한 현대의 IT 보안 지형도를 헨리 포드의 명언에 빗대어 설명했다. “기껏 훈련시켰더니 회사를 떠나버리는 직원이, 차라리 발전도 없이 자리만 차지하고 있는 근속자보다 낫습니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
사람 고용하고 훈련시키는 비용 포함해도 결과에 큰 차이 없어
[보안뉴스 문가용] 실력 있는 IT 보안 전문가들의 부족 문제가 언급된 것이 어제 오늘 일이 아니다. 사람이 적어서 안 생겨도 될 문제가 발생한다는 기사가 이 매체 저 매체에서 수두룩하게 쏟아진다. 보안 업계에 조금만 들어와도 관계자들에게 흔히 듣는 이야기다. 여기에 더해 카스퍼스키가 이번 주 보안 인력이 부족하기 때문에 발생하는 금전적인 손해에 대해서 보고했다.
카스퍼스키는 중소기업부터 대기업까지, 다양한 회사의 대표급 임원 5천 명을 대상으로 이번 연구를 진행했다. 그리고 충분한 보안 인력을 갖추고 있는 기업의 경우와 그렇지 않은 경우를 비교했다. 그 결과 부족한 인원으로 보안을 꾸려가는 기업의 평균 복구 비용은 1백 2십만 달러에서 1백 47만 달러로 나왔다. 반면 넉넉히 보안 인력을 갖춘 기업의 경우 1십만 달러에서 5십만 달러로 충분했다.
외부 용역이 아닌, 정식으로 고용된 내부 직원은 정보 유출 사고 이후의 복구 프로세스를 좀 더 잘 알고 있으며, 사고가 일어날 때마다 더 ‘내 일처럼’ 학습한다. “그렇게 학습한 걸 평소에는 의식적이든 무의식적이든 계속해서 회사의 보안 상태에 접목하여 생각해보게 되죠. 그러니 사건이 터졌을 때 대응과 복구 모두 지름길로 가게 되는 겁니다.” 북미 카스퍼스키의 부회장인 마이클 카나반(Michael Canavan)의 설명이다. “정보가 곧 돈이라는 겁니다. 보안에 대해 더 많이 알고 있는 만큼 돈이 덜 들고, 모르는 만큼 돈이 더 드는 것이죠.”
이 지점에서 의문이 생길 수 있다. “그러나 고용비용까지 계산에 넣으면 어떻게 될까?” 카스퍼스키의 보고서에 따르면 이번 복구 비용 계산에 고용비용까지도 포함시켰다고 한다. “중소기업의 평균 인건비는 1만 4천 달러였고 대기업은 12만 6천 달러였습니다. 정보 유출 등으로 발생하는 피해액에 비해서는 아무 것도 아닌 금액이죠.”
인텔의 엔드포인트 보안부문 총책임이자 부회장인 캔디스 월리(Candace Worley)는 “유출 사고가 발생했을 때 기업이 입는 손실이 1백 5십만 달러라고 해도 꽤나 높다고들 하는데요, 사실 이건 낮은 편입니다. 유출 사고 당 평균 피해액은 4백만 달러거든요. 포네몬 조사에 의하면요.” 즉, 한 기업이 한 해에 한 번만 유출 사고를 겪는다고 쳐도, 차라리 몸값 높고 실력 좋은 사람 여럿 고용하는 편이 훨씬 이득이라는 소리다.
“게다가 무형의 손실도 있죠. 브랜드 신뢰도가 하락한다거나, 주가가 떨어진다거나, 경쟁사에게 추월당한다거나 하는 등 계산이 불가능한 손실까지 치면 사람 쓰는 데에 인색할 필요가 전혀 없습니다.”
시스코의 수석 책임자인 테자스 바시(Tejas Vashi)는 “보안 인력을 사용하는 편이 훨씬 현명하다는 건 대부분 기업들이 알고 있을 것”이라고 설명한다. “다만 사람을 구하기가 너무 어렵다는 게 현실이죠. 돈 쓰기 싫어서 사람을 안 쓰는 게 아닙니다. 신입을 키워내기엔 시간이 너무나 많이 걸리고요.”
바시는 “결국 회사의 보안을 단단히 한다는 건 인재를 공격적으로 등용한다는 말로 이어진다”고 말한다. “그와 더불어 현재 확보하고 있는 인력, 즉 내부 직원들의 끊임없는 능력개발도 필수고요. 이 역시 공격적으로 해야 합니다.” 또한 현대의 IT 보안 지형도를 헨리 포드의 명언에 빗대어 설명했다. “기껏 훈련시켰더니 회사를 떠나버리는 직원이, 차라리 발전도 없이 자리만 차지하고 있는 근속자보다 낫습니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
