보안에 대한 투자가 기업의 이익 증대에 어떻게 기여할 수 있는가?
보안 프로그램에 따른 손실 여부 따져 보안 예산 요구 가이드라인 삼아야

[보안뉴스= 신현구 한국기업보안협의회 회장] 보안의 중요성에 대한 인식은 매우 높아졌으나 보안에 대한 투자는 인식수준 만큼에 미치지 못하고 있다. 보안 투자는 기업의 정보환경에 많은 변화를 가져오지만 투자효과에 대한 세부적 분석이 명확하지 못하고, 그 효과를 측정하기 어려운 게 사실이다. 학계의 많은 선행 연구가 기업과 조직에 적합한 보안 투자를 위한 선행 과제로 비용 분석은 하고 있으나, 효과 분석은 계량화하기 어려운 기준들이 있어 다양한 대안들이 부족한 현실이다.


[이미지=utoimage]

보안 투자는 보안인력, 하드웨어, 소프트웨어, 물리보안 및 보안외부 서비스 등을 총망라한 지출을 말하는데, 대부분의 기업에서 보안 투자의 적절성을 놓고 고민하고 있고, 거기에 투자하는 보안 비용이 기업에 얼마나 효과적으로 기여하는지를 갖고 예산부서와 상당한 충돌을 빚고 있다.

여기에 보안책임자들은 자기 회사에 어떤 보안 투자가 가장 먼저 필요하고, 도입 이후에 임직원의 저항이나 수용할 만한 자세는 되어 있는지, 보안 제품을 도입했을 때 당초 예상했던 보안의 위험성을 낮출 수 있는지 등도 역시 예산 투입 문제만큼이나 고민거리가 아닐 수 없다. 최근 국내외 학계에서도 보안 투자의 효과분석과 연구활동이 활발히 이루어지고 있으나, 산업현장의 현실을 감안한 연구는 다소 부족한 게 사실이다.

어느 회사나 경제성을 고려하지 않고 투자가 가능한 넉넉한 경영환경이라면 좋겠지만 현실은 보안 투자에 인색한 게 사실이고, 오히려 보안 투자를 비용으로 여기는 경영진이 대부분이다. 이는 보안 투자가 기업의 자산이나 자원이 다른 곳에 쓰였더라면 더 좋았을 수 있는 것을 보안에 투입하는 것이기 때문에 그 투자가 경제적이어야 하고 정당화되어야 설득력이 있다.

보안 투자는 기업마다 일률적으로 정량화 할 수는 없지만 법에서 정해지는 것이 아니기 때문에 그 규모가 완전히 정당화되기가 쉽지 않다. 어떤 기업은 자산의 가치를 기준으로, 다른 기업은 위험평가 기준으로, 또 다른 기업은 투자비용 대비 투자효과를 기준으로, 심지어는 경영자의 직관이나 경쟁사 또는 시대적 흐름에 발맞추기 위해서 투자의 규모를 정하기도 하는 현실이다. 어떤 기준으로든 구축한 보안기능은 기업 자본의 적절한 배분을 위해 최대한도로 자신들의 기여가 다른 기능 못지않음을 증명해야 함은 자명한 사실이다.


▲한국기업보안협의회 신현구 회장[사진=보안뉴스]
보안 지출 정당화의 가장 단순한 한 가지 방법은 보안관리 체계가 없었다면 발생했을 손실의 분량을 계량화하거나, 아니면 보안 지출을 통해 예상한 만큼의 손실이 발생하지 않았다는 것을 입증하는 것이다. 그리고 이 손실 발생 예방 가능액이 보안관리 체계의 투자비보다 더 크다는 것을 보여주는 것이다. 과도하게 이론적으로 보이지만, 이는 위험관리 전문가들이 기업이 얼마만큼의 위험을 감수하고 얼마만큼의 보호를 받을 것인지를 결정할 때 자주 사용된다.

가령 고려하고 있는 보안 투자(대응책)가 있을 경우 투자하기 이전에의 총 손실비용이 계산되어야 한다. 보안 프로그램이 있는 경우와 없는 경우의 손실 예상은 보안 예산 요구를 승인하는 좋은 가이드라인으로 사용될 수 있다. 제대로 수행된 보안 임무나 적절한 보안 투자는 분명히 기업의 재정에도 기여한다고 모두가 객관적으로 인정할 수 있도록 해야 한다. 이것이 보안최고책임자(CSO)의 가장 큰 역할 중에 하나다.
[글_ 신현구 한국기업보안협의회 회장/중부대학교 경찰경호학부 교수]

필자 소개_ 신현구 한국기업보안협의회 회장은 경기대학교에서 보안관리학 박사학위를 취득했으며, 창립멤버로 참여한 한국산업기술보호협회 기술보호전략실장과 산업보안 컨설팅 업체 피앤에스파트너스 대표를 역임한 후, 현재는 중부대학교 경찰경호학부 교수로 재직하고 있다. 지난해에는 기술보호 유공자로 중소벤처기업부장관상을 수상한 바 있다.

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>