무조건 허리띠 졸라맬 게 아니라 주어진 예산을 적재적소에
보안예산에 영향을 끼치는 다양한 변수들을 분석해보니...
[보안뉴스 주소형] 모든 분야에 있어 ‘예산(budget)’은 매우 중요하다. 특히 효과적인 예산 활용은 해당 사업의 성패를 결정짓는다. 무조건 허리띠를 졸라맬 것이 아니라 주어진 예산을 적재적소에 사용하는 것이 필요하다. 보안도 마찬가지다. 이에 미국의 대표적인 민간 연구·개발기관인 랜드코퍼레이션(RAND Corp)이 최근 주니퍼 네트웍스(Juniper Networks)의 후원을 받아 대대적인 리서치를 수행했다. 리스크를 낮추면서 보안예산을 똑똑하게 쓰는 법을 찾기 위해 전수조사에 나선 것이다.
랜드코퍼레이션 연구원들은 총 1,000개가 넘는 기업의 CISO를 인터뷰했다. 예산의 쓰임처를 조사하고 투자 패턴을 분석하여 그에 따른 성과도출률까지 집계했다. 그렇게 약 10년간 각 기업의 보안예산에 영향을 미치는 27개의 변수들을 찾아냈다. 여기에는 각 조직의 특성, 보안 프로그램 결정권, 투자 등이 포함되어 있다.
랜드코퍼레이션 연구원들에 따르면 향후 10년을 내다볼 수 있는 예산 배정이 중요한 것으로 조사됐다. 현재 예산의 약 38%만 미래에 투자하면 전체 비용을 상당히 절감시킬 수 있다고 연구원들은 설명했다.
“보안업계는 보안이라는 분야가 한 사업에 어떻게까지 직결될 수 있는 문제인지를 이해시키기 위해 노력하고 있다”고 주니퍼 네트웍스의 세리 라이언(sherry Ryan) CISO는 말했다. “기업들이 공격자들을 앞서기 위해서는 위협 외에 리스크를 관리하는 방향의 투자와 인식이 필요하다.”
예를 들어 한 개의 리스크를 방어하기 위해서는 해당 리스크에 대한 일대일 전이(transference) 분석을 위한 예산이 필요하다. 하지만 현재는 3분의 1정도의 예산만이 투입되고 있어 리스크가 낮춰지지 않는다고 보고서는 설명했다.
이렇듯 리서치를 통해 보안예산에 영향을 끼치는 다양한 변수들을 분석해본 결과, 기업에서 다시 한번 생각해볼 부분 3가지를 짚어낼 수 있었다.
1. 고가의 소프트웨어 취약점 연구 및 방어 비중
소프트웨어 취약점을 연구하는 방어하는데 드는 비용이 많이 든다는 점이다. 이건 어쩔 수 없는 사실이다. 이렇듯 고가의 소프트웨어에 너무 많은 비용을 투자하고 있다는 것. 단순한 사이버보안 모델을 연구하는 데 그렇게 많은 양의 소프트웨어 취약점이 연구 및 투입될 필요가 없다는 것. 지금보다 절반만 줄여도 비용의 25%가 절감될 것이라고 보고서는 분석했다.
“보안제품 안에 들어가는 코드를 생성할 때 보다 효율적인 매커니즘을 사용할 필요가 있다.”
2. 짧아지는 반감기(Half Life) 패턴
보안담당자들과 진화하는 공격자들의 관계가 주로 톰과 제리에 비유되는데 공격자를 잡아내는 수많은 감지기술들의 유효성이 반감기에 접어들었다고 보고서는 밝혔다. 특히, 시그니처 감지(Signiture Detection)과 샌드박싱(Sandboxing) 기술들을 통한 감지의 유효성은 10년간 65% 낮아졌다고 설명했다. 이는 공격자들이 이러한 감지기술들을 우회할 수 있어졌기 때문인데, 그렇게 짧아지는 유효성 때문에 보안예산은 10년간 16.2% 상승했다.
보고서는 이렇게 짧아지는 패턴을 주의하라고 당부했다. 서로 쫓고 쫓기는 관계이다 보니 감지하고 감지되는 기술에 대한 유효성이 점점 짧아진다는 것. 여기에는 네트워크 접근 통제, 방화벽 정책 강화, 네트워크 분리, 패치 관리 등이 모두 포함되어 있다고 설명했다.
“새로운 방어벽을 하나 설치하면 끝이 아니라 그에 따른 공격자들의 패턴 변화에 관심을 갖고 면밀히 관찰해야 한다. 오히려 해커들을 자극시켜 더 많은 비용 지출로 이어질 수도 있기 때문이다.”
3. 사람에 대한 투자
사람에 대한 투자가 이루어져야 한다. 기술개발도 물론 중요하지만 이제는 사람에 과감히 투자를 해야 한다는 점이다. 몇 년째 보안업계의 인재난에 대한 지적은 계속되어 왔지만 실질적인 투자는 정작 이루어지지 않고 있다.
보고서에 따르면 똑똑한 보안관리자로 인해 1년 동안 19%의 예산이 절감될 수 있으며, 보안모델을 10년 동안 가동하는 것보다 28%의 예산을 줄이는 효과도 있다. 이렇듯 하드웨어에 대한 가치는 점점 떨어지고, 대신 훌륭한 보안전문가가 갈수록 빛을 발할 것이라고 보고서는 강조하고 있다.
“사이버보안 인재 양성 및 확충이야말로 잠재되어 있는 사고를 예방할 수 있는 최선의 방법이다. 시장을 주도하고 발전된 전략 등을 수립하는 데도 사람이 가장 중요한 역할을 수행하고 있다는 점을 명심해야 한다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 주소형 기자(sochu@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
.jpg)
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
