보안예산 수립시 경영진을 설득하기 위한 좋은 방법은 어떤 것이 있을까요?
[보안뉴스 원병철 기자] 가장 먼저 귀사와 가장 유사한 경쟁사의 상황을 살펴보고 경쟁사에 비해 부족한 보안 측면을 제시하는 게 필요할 것 같습니다. 설득력이 있으려면 당연히 부족한 보안 취약사항이 주변 기업에서 보안사고로 연결된 사례를 보여드리는 게 가장 좋을 것 같습니다.
[여동균 이글루시큐리티 보안관제 팀장(ydk0034@naver.com)]
.jpg)
ⓒ iclickart
일반적으로 최근 발생하는 보안사고를 사례로 들면 설득에 도움이 되실 것 같습니다. 특히 최근에는 랜섬웨어가 성행하면서 랜섬웨어 감염시 상당한 금전적 손해가 발생합니다. 문제는 이러한 금전적 손해를 감수하고도 암호화 된 데이터를 복호화하지 못해 가지고 있는 데이터를 모두 날렸을 경우 발생하는 손해입니다. 이러한 랜섬웨어는 특정 대상이 아닌 불특정 대상에게 스팸메일의 형태로 발송되기 때문에 누구나 해당 메일을 수신할 수 있으며, 랜섬웨어가 아닌 타 공격으로 인한 정보 및 기밀 유출로 인해 생기는 피해를 예로 들면 보다 설득에 힘을 얻을 것으로 생각됩니다.
[한국산업기술보호협회 중소기업기술지킴센터]
보안에 투자하지 않을 때 예상되는 손실 피해를 정량적으로 산출해 제시하는 것이 필요합니다. 매년 발생하는 작은 사고들로 인해 조직 내 발생하는 손실도 지속적으로 측정 관리하고, 최근 새로운 보안 위협들로 인해 발생될 수 있는 손실 피해를 정량적으로 관리해 예산 수립시뿐만 아니라 주기적으로 보고하는 것이 필요합니다. 보안투자로 인해 기대되는 효과를 정량적 측면뿐만 아니라 정성적인 측면에서도 보고할 필요도 있습니다. 뿐만 아니라 타 기업의 사례 등을 통해 보안사고 발생으로 나타난 손실을 보고할 필요가 있습니다.
[유진호 상명대학교 교수(jyhyoo@smu.ac.kr)]
무엇보다도 예산이 수반되는 문제는 경영진의 의사결정을 받아야 하므로 경영진의 설득이 최우선이라고 할 수 있습니다. 그러나 경영진의 결정을 이끌어 내기 위해서는 경영진이 먼저 보안에 대한 개념과 필요성을 충분히 이해하고 공감하며 관심을 유도하는 것입니다. 관심이 있는 곳에 예산 편성에 인색할리 없기 때문입니다.
이를 위해서는 두말할 나위 없이 전문가초청 보안교육을 적극 활용하기를 권장합니다. 보안부서에서 C Level을 교육한다는 것은 불가능할 지라도 외부강사 교육시 반드시 사장님 이하 경영진을 참석시켜 관심을 유도할 수 있을 것입니다. 또한, 각종 매체에서 항상 보도되고 있는 정보유출사고, 산업스파이 발생 등의 기사를 꾸준히 모니터링해 수시로 보고하고, 특별히 유사 경쟁기업 또는 업종에서 발생한 유출사고 사례 등을 보고하면서 당사의 보안 취약점내지는 취약한 보안환경을 역설적으로 보고하는 방법도 있을 수 있습니다.
또 다른 방법으로는 법적요구사항에 대하여 적절히 대응하기 위해 보안예산 투입의 불가피한 사유를 찾아 보고하는 것입니다. 이럴 경우 법적요구사항 불비시 법인 및 대표자의 처벌(양벌규정) 등을 상세히 보고할 필요성(예를 들면 개인정보보호 시스템 불비하여 유출시 사업주의 처벌 등)이 있습니다.
또한, 현업 보안책임자가 실제 실무에서 겪었던 사례로써, 고가의 보안장비 시스템을 도입하는데 경영자는 계속해서 투자예산대비 경제성과 생산성 데이터를 요구하고 비용으로만 인식하고 있어 결재가 곤란하자, 가장 강력한 경쟁사 A사에서도 보안을 위해서 불가피하게 도입을 이미 완료한 사항이라고 경쟁사 사례를 사실대로 설명해 예산을 받아낸 사례도 적지 않게 있긴 합니다.
[신현구 중부대학교 교수(peter@pnspartners.com)]
보안예산의 범위는 어디까지인가요? 전담보안부서에서 사용하는 예산 전체가 보안예산이라고 할 수 있을까요? 만약 전담부서가 없을 경우 일반관제, 모니터링 시스템 등 IT 예산도 포함할 수 있나요?
KISA에서 발표한 ‘정보보호 공시 가이드라인’을 보면 보안예산은 전담하는 조직이 투자한 금액과 비 전담조직의 명백한 정보보호 투자액을 더한 금액을 예산이라고 가이드하고 있습니다.
전담부서가 없는 경우에는 정보보호 제품 투자와 호스팅이나 IDC 서비스를 이용 시 서비스 해주는 업체의 정보보호 투자 비율을 당사의 보안예산에 포함시킬 수 있습니다. IT 장비 예산중에 정보보호 기능이 일부 내재된 제품은 인정하지 않습니다.
[김기남 잡코리아 매니저(cadetkim@naver.com)]
일반적으로는 보안 분야 예산은 IT 예산과 따로 수립하는 것으로 알고 있습니다. 전담부서가 없을 경우에는 각 기업마다 상이한 것으로 알고 있어 확정 지어서 답변을 드리기는 어려울 것 같습니다. 기업에 적합한 예산을 수립하시면 될 것 같습니다.
보안예산은 조직 내 정보보호, 개인정보보호, 산업기밀보호 등을 위해 구입한 솔루션 비용뿐만 아니라 보안관제 및 모니터링, 컨설팅 서비스 비용, 유지보수 서비스 비용 등은 물론 담당인력의 인건비 등도 포함된다고 할 수 있습니다. 따라서 전담부서뿐만 아니라 타 부서에서 사용하는 예산중에도 정보보호 예산이 포함될 수 있습니다.
[유진호 상명대학교 교수(jyhyoo@smu.ac.kr)]
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] 가장 먼저 귀사와 가장 유사한 경쟁사의 상황을 살펴보고 경쟁사에 비해 부족한 보안 측면을 제시하는 게 필요할 것 같습니다. 설득력이 있으려면 당연히 부족한 보안 취약사항이 주변 기업에서 보안사고로 연결된 사례를 보여드리는 게 가장 좋을 것 같습니다.
[여동균 이글루시큐리티 보안관제 팀장(ydk0034@naver.com)]
ⓒ iclickart
일반적으로 최근 발생하는 보안사고를 사례로 들면 설득에 도움이 되실 것 같습니다. 특히 최근에는 랜섬웨어가 성행하면서 랜섬웨어 감염시 상당한 금전적 손해가 발생합니다. 문제는 이러한 금전적 손해를 감수하고도 암호화 된 데이터를 복호화하지 못해 가지고 있는 데이터를 모두 날렸을 경우 발생하는 손해입니다. 이러한 랜섬웨어는 특정 대상이 아닌 불특정 대상에게 스팸메일의 형태로 발송되기 때문에 누구나 해당 메일을 수신할 수 있으며, 랜섬웨어가 아닌 타 공격으로 인한 정보 및 기밀 유출로 인해 생기는 피해를 예로 들면 보다 설득에 힘을 얻을 것으로 생각됩니다.
[한국산업기술보호협회 중소기업기술지킴센터]
보안에 투자하지 않을 때 예상되는 손실 피해를 정량적으로 산출해 제시하는 것이 필요합니다. 매년 발생하는 작은 사고들로 인해 조직 내 발생하는 손실도 지속적으로 측정 관리하고, 최근 새로운 보안 위협들로 인해 발생될 수 있는 손실 피해를 정량적으로 관리해 예산 수립시뿐만 아니라 주기적으로 보고하는 것이 필요합니다. 보안투자로 인해 기대되는 효과를 정량적 측면뿐만 아니라 정성적인 측면에서도 보고할 필요도 있습니다. 뿐만 아니라 타 기업의 사례 등을 통해 보안사고 발생으로 나타난 손실을 보고할 필요가 있습니다.
[유진호 상명대학교 교수(jyhyoo@smu.ac.kr)]
무엇보다도 예산이 수반되는 문제는 경영진의 의사결정을 받아야 하므로 경영진의 설득이 최우선이라고 할 수 있습니다. 그러나 경영진의 결정을 이끌어 내기 위해서는 경영진이 먼저 보안에 대한 개념과 필요성을 충분히 이해하고 공감하며 관심을 유도하는 것입니다. 관심이 있는 곳에 예산 편성에 인색할리 없기 때문입니다.
이를 위해서는 두말할 나위 없이 전문가초청 보안교육을 적극 활용하기를 권장합니다. 보안부서에서 C Level을 교육한다는 것은 불가능할 지라도 외부강사 교육시 반드시 사장님 이하 경영진을 참석시켜 관심을 유도할 수 있을 것입니다. 또한, 각종 매체에서 항상 보도되고 있는 정보유출사고, 산업스파이 발생 등의 기사를 꾸준히 모니터링해 수시로 보고하고, 특별히 유사 경쟁기업 또는 업종에서 발생한 유출사고 사례 등을 보고하면서 당사의 보안 취약점내지는 취약한 보안환경을 역설적으로 보고하는 방법도 있을 수 있습니다.
또 다른 방법으로는 법적요구사항에 대하여 적절히 대응하기 위해 보안예산 투입의 불가피한 사유를 찾아 보고하는 것입니다. 이럴 경우 법적요구사항 불비시 법인 및 대표자의 처벌(양벌규정) 등을 상세히 보고할 필요성(예를 들면 개인정보보호 시스템 불비하여 유출시 사업주의 처벌 등)이 있습니다.
또한, 현업 보안책임자가 실제 실무에서 겪었던 사례로써, 고가의 보안장비 시스템을 도입하는데 경영자는 계속해서 투자예산대비 경제성과 생산성 데이터를 요구하고 비용으로만 인식하고 있어 결재가 곤란하자, 가장 강력한 경쟁사 A사에서도 보안을 위해서 불가피하게 도입을 이미 완료한 사항이라고 경쟁사 사례를 사실대로 설명해 예산을 받아낸 사례도 적지 않게 있긴 합니다.
[신현구 중부대학교 교수(peter@pnspartners.com)]
보안예산의 범위는 어디까지인가요? 전담보안부서에서 사용하는 예산 전체가 보안예산이라고 할 수 있을까요? 만약 전담부서가 없을 경우 일반관제, 모니터링 시스템 등 IT 예산도 포함할 수 있나요?
KISA에서 발표한 ‘정보보호 공시 가이드라인’을 보면 보안예산은 전담하는 조직이 투자한 금액과 비 전담조직의 명백한 정보보호 투자액을 더한 금액을 예산이라고 가이드하고 있습니다.
전담부서가 없는 경우에는 정보보호 제품 투자와 호스팅이나 IDC 서비스를 이용 시 서비스 해주는 업체의 정보보호 투자 비율을 당사의 보안예산에 포함시킬 수 있습니다. IT 장비 예산중에 정보보호 기능이 일부 내재된 제품은 인정하지 않습니다.
[김기남 잡코리아 매니저(cadetkim@naver.com)]
일반적으로는 보안 분야 예산은 IT 예산과 따로 수립하는 것으로 알고 있습니다. 전담부서가 없을 경우에는 각 기업마다 상이한 것으로 알고 있어 확정 지어서 답변을 드리기는 어려울 것 같습니다. 기업에 적합한 예산을 수립하시면 될 것 같습니다.
보안예산은 조직 내 정보보호, 개인정보보호, 산업기밀보호 등을 위해 구입한 솔루션 비용뿐만 아니라 보안관제 및 모니터링, 컨설팅 서비스 비용, 유지보수 서비스 비용 등은 물론 담당인력의 인건비 등도 포함된다고 할 수 있습니다. 따라서 전담부서뿐만 아니라 타 부서에서 사용하는 예산중에도 정보보호 예산이 포함될 수 있습니다.
[유진호 상명대학교 교수(jyhyoo@smu.ac.kr)]
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
_m.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
