2016년 보안 예산, IDC는 “737억 달러” 가트너는 “810억 달러”
보안 예산이 모자라는 게 아니라 집행 방식을 검토해야
[보안뉴스 문가용 기자] 보안 담당자들이 꼽는 보안 저해의 가장 큰 요소는 사이버 범죄자들이나 국가의 느려빠진 정책 개정이 아니다. 보안을 미루는 상급자나 오를 생각이 없는 예산이다. 그나마 회사 상급자들 혹은 C 레벨 임원급들은 보안에 대한 중요성을 빠르게 알아가고 있어 점점 보안 담당자들의 뒤를 봐주는 편이지만, 예산 문제만큼은 마음대로 되지 않는다.
하지만 최근 조사에 의하면 예산이라는 거대한 벽도 조금씩 무너져가는 추세라고 한다. 2016년, 세계의 여러 조직들이 사이버 보안에만 총 737억 달러를 지출할 예정이기 때문이다. 이는 2020년까지 1,010억 달러에 이를 전망이며, 연간 성장률은 8.3%에 이를 것이다. 이는 최근 세계적인 시장 분석 기관인 IDC가 발표한 내용이다. 이는 IT 전체 분야에 대한 전망 보다 2배 이상 높은 수치다.
이런 예측을 가능한 건 다양한 보안 서비스에 대한 투자가 늘고 있기 때문이다. 올해의 사이버 보안 투자의 45%는 보안 관리 서비스 및 컨설팅, 보안 도입, 기타 관련 부수 서비스에 할당된 것으로, 보안 관리 서비스만 하더라도 올 한 해 매출이 130억 달러에 이를 것으로 전망된다.
민간 기업이나 공공 기업 및 기관은 소프트웨어 제품에 어마어마한 예산을 쏟아 부을 것으로 보인다. 특히 엔드포인트 보호 툴, 취약점 관리 제품, 아이덴티티 및 접근 관리 소프트웨어가 집중 조명을 받고 있는 상태다. 이 제품군에 속하는 소프트웨어만 전체 소프트웨어 예산의 75%를 차지하고 있다. 반면 하드웨어는 올해 140억 달러의 매출을 올릴 것으로 보이며, 특히 통합 위협 관리 시스템과 사용자 행동 분석 시스템과 관련된 제품들의 성적이 좋을 것으로 기대된다.
전체적으로 보안에 대한 투자 및 예산이 늘어나는 건 ‘공포’ 때문인 것으로 보인다고 IDC는 분석한다. IDC의 부회장인 션 파이크(Sean Pike)는 “기업들이 ‘혹시 다음 보안 사고 피해자가 우리면 어떻게 하지?’하는 전전긍긍함 속에 하루하루를 보내고 있다”며 “이 염려 때문에 보안 강화 장치들을 사고 예산을 높이는 것”이라고 설명한다.
하지만 IDC의 이번 ‘희망적’인 예측은 가트너의 2016년 전망과 비교하면 오히려 낮은 편이다. 가트너는 전 세계 사이버 보안 투자가 올해에만 810억 달러에 다다를 것이라고 전망했는데, 이는 IDC의 예측보다 약 10% 높은 수치다.
그러면 이 많은 보안 투자 및 예산은 실제로 어디로 흘러가고 있을까? IDC에 따르면 대부분 조직들은 IT 아웃소싱과 컨설팅이 가장 높은 비율을 차지한다고 설명한다. 보안을 전문으로 하는 제3의 업체에 보안을 맡겨버리고 있는 추세라는 것. 하지만 가트너는 2020년까지로 기간을 늘리면 정보 손실 방지 기술과 보안 평가 제품, IT 아웃소싱이 가장 크게 성장할 것으로 보고 있다.
IDC나 가트너나 보안을 외부 전문가에게 맡겨지는 현상이 한동안 계속될 것이라고 전망하고 있는데, 이는 많은 업계 전문가들도 동의하는 바다. 현재도 지속되고 있는 보안 인력 문제가 빠른 시일 안에 해결될 것으로 보이지 않기 때문이다.
그렇다면 ‘보안 더 잘 할 수 있는데, 예산이 모자라서 안 된다’는 문제는 해결 될 수 있을까? 지금도 전체적으로는 예산이 늘어나고 있는데, 계속 해킹 사고가 끊임없이 발생하는 건 어떻게 설명할 수 있을까? 웹 보안 전문업체인 하이테크브리지(High-Tech Bridge)의 CEO인 일리야 콜로첸코(Ilia Kolochenko)는 “예산이 잘못 사용되고 있다는 증거”라고 주장한다.
“뭔가 잘못된 거라고밖에는 볼 수가 없습니다. 아무리 예산이 늘어나고 있다고는 하지만, 지금은 솔직히 밑 빠진 독에 물 붓기 형국 아닙니까? 예산이 무한정 늘어날 수도 없는 거고, 도대체 얼마만큼 늘려야 해킹에서 완전히 자유할 수 있을까요? 예산이 문제의 근본이 아니라는 겁니다. 아니면 지금 예산 집행에 대해서 심각하게 검토해봐야 해요.”
결국 돈을 더 쓴다고 보안이 더 강력해지리라는 보장이 없다는 것이다. “보통 다른 회사나 조직, 친한 업체 등이 사석에서 ‘이런 제품 써봤는데 좋더라’라는 말을 듣거나 광고를 듣고 보안 제품을 사는 경우가 많습니다. 그런데 보안이란 건 기본적으로 ‘맞춤형 서비스’여야 합니다. 저 조직에서 잘 통한 솔루션이 우리 조직에서 잘 통하라는 법이 없어요. 네트워크 환경, 사용자 구성, 사업 방향이 전부 다르니까요.”
센티넬원(SentinelOne)의 보안 책임자인 예레미야 그로스만(Jeremiah Grossman) 역시 “돈이 늘어난다는 게 희망적이고 좋은 소식은 아니다”라는 입장이다. “그 많은 돈이 생긴다고 해서 전체 정보보안 상태가 더 좋아질까요? 아마 보안 업계에서 어느 정도 일해 본 사람이면, 코웃음 칠 걸요? 아니, 오히려 돈 더 줬는데 왜 보안이 더 나아지지 않았냐는 압박과 비판이 이 다음에 몰아칠 지도 몰라요. 오히려 부담인 거죠.”
그로스만은 여러 보안 장려책을 마련하는 게 올바른 예산 사용법이라는 입장이다. 기술에만 투자하는 건 한계가 있기 마련이라는 것이다. “예를 들면 사이버 보험 제도를 더 구체적으로 확장시킨다든지, 보안 업체들이 제품 보증을 해주도록 한다든지, 소프트웨어 법적 책임 정책을 수립한다든지 하는 겁니다. 또한 사용자 인식 교육에 대한 투자도 늘려야 합니다. 지금 문제는 예산 자체가 아니라, 그 집행 방향에 있습니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
보안 예산이 모자라는 게 아니라 집행 방식을 검토해야
[보안뉴스 문가용 기자] 보안 담당자들이 꼽는 보안 저해의 가장 큰 요소는 사이버 범죄자들이나 국가의 느려빠진 정책 개정이 아니다. 보안을 미루는 상급자나 오를 생각이 없는 예산이다. 그나마 회사 상급자들 혹은 C 레벨 임원급들은 보안에 대한 중요성을 빠르게 알아가고 있어 점점 보안 담당자들의 뒤를 봐주는 편이지만, 예산 문제만큼은 마음대로 되지 않는다.
하지만 최근 조사에 의하면 예산이라는 거대한 벽도 조금씩 무너져가는 추세라고 한다. 2016년, 세계의 여러 조직들이 사이버 보안에만 총 737억 달러를 지출할 예정이기 때문이다. 이는 2020년까지 1,010억 달러에 이를 전망이며, 연간 성장률은 8.3%에 이를 것이다. 이는 최근 세계적인 시장 분석 기관인 IDC가 발표한 내용이다. 이는 IT 전체 분야에 대한 전망 보다 2배 이상 높은 수치다.
이런 예측을 가능한 건 다양한 보안 서비스에 대한 투자가 늘고 있기 때문이다. 올해의 사이버 보안 투자의 45%는 보안 관리 서비스 및 컨설팅, 보안 도입, 기타 관련 부수 서비스에 할당된 것으로, 보안 관리 서비스만 하더라도 올 한 해 매출이 130억 달러에 이를 것으로 전망된다.
민간 기업이나 공공 기업 및 기관은 소프트웨어 제품에 어마어마한 예산을 쏟아 부을 것으로 보인다. 특히 엔드포인트 보호 툴, 취약점 관리 제품, 아이덴티티 및 접근 관리 소프트웨어가 집중 조명을 받고 있는 상태다. 이 제품군에 속하는 소프트웨어만 전체 소프트웨어 예산의 75%를 차지하고 있다. 반면 하드웨어는 올해 140억 달러의 매출을 올릴 것으로 보이며, 특히 통합 위협 관리 시스템과 사용자 행동 분석 시스템과 관련된 제품들의 성적이 좋을 것으로 기대된다.
전체적으로 보안에 대한 투자 및 예산이 늘어나는 건 ‘공포’ 때문인 것으로 보인다고 IDC는 분석한다. IDC의 부회장인 션 파이크(Sean Pike)는 “기업들이 ‘혹시 다음 보안 사고 피해자가 우리면 어떻게 하지?’하는 전전긍긍함 속에 하루하루를 보내고 있다”며 “이 염려 때문에 보안 강화 장치들을 사고 예산을 높이는 것”이라고 설명한다.
하지만 IDC의 이번 ‘희망적’인 예측은 가트너의 2016년 전망과 비교하면 오히려 낮은 편이다. 가트너는 전 세계 사이버 보안 투자가 올해에만 810억 달러에 다다를 것이라고 전망했는데, 이는 IDC의 예측보다 약 10% 높은 수치다.
그러면 이 많은 보안 투자 및 예산은 실제로 어디로 흘러가고 있을까? IDC에 따르면 대부분 조직들은 IT 아웃소싱과 컨설팅이 가장 높은 비율을 차지한다고 설명한다. 보안을 전문으로 하는 제3의 업체에 보안을 맡겨버리고 있는 추세라는 것. 하지만 가트너는 2020년까지로 기간을 늘리면 정보 손실 방지 기술과 보안 평가 제품, IT 아웃소싱이 가장 크게 성장할 것으로 보고 있다.
IDC나 가트너나 보안을 외부 전문가에게 맡겨지는 현상이 한동안 계속될 것이라고 전망하고 있는데, 이는 많은 업계 전문가들도 동의하는 바다. 현재도 지속되고 있는 보안 인력 문제가 빠른 시일 안에 해결될 것으로 보이지 않기 때문이다.
그렇다면 ‘보안 더 잘 할 수 있는데, 예산이 모자라서 안 된다’는 문제는 해결 될 수 있을까? 지금도 전체적으로는 예산이 늘어나고 있는데, 계속 해킹 사고가 끊임없이 발생하는 건 어떻게 설명할 수 있을까? 웹 보안 전문업체인 하이테크브리지(High-Tech Bridge)의 CEO인 일리야 콜로첸코(Ilia Kolochenko)는 “예산이 잘못 사용되고 있다는 증거”라고 주장한다.
“뭔가 잘못된 거라고밖에는 볼 수가 없습니다. 아무리 예산이 늘어나고 있다고는 하지만, 지금은 솔직히 밑 빠진 독에 물 붓기 형국 아닙니까? 예산이 무한정 늘어날 수도 없는 거고, 도대체 얼마만큼 늘려야 해킹에서 완전히 자유할 수 있을까요? 예산이 문제의 근본이 아니라는 겁니다. 아니면 지금 예산 집행에 대해서 심각하게 검토해봐야 해요.”
결국 돈을 더 쓴다고 보안이 더 강력해지리라는 보장이 없다는 것이다. “보통 다른 회사나 조직, 친한 업체 등이 사석에서 ‘이런 제품 써봤는데 좋더라’라는 말을 듣거나 광고를 듣고 보안 제품을 사는 경우가 많습니다. 그런데 보안이란 건 기본적으로 ‘맞춤형 서비스’여야 합니다. 저 조직에서 잘 통한 솔루션이 우리 조직에서 잘 통하라는 법이 없어요. 네트워크 환경, 사용자 구성, 사업 방향이 전부 다르니까요.”
센티넬원(SentinelOne)의 보안 책임자인 예레미야 그로스만(Jeremiah Grossman) 역시 “돈이 늘어난다는 게 희망적이고 좋은 소식은 아니다”라는 입장이다. “그 많은 돈이 생긴다고 해서 전체 정보보안 상태가 더 좋아질까요? 아마 보안 업계에서 어느 정도 일해 본 사람이면, 코웃음 칠 걸요? 아니, 오히려 돈 더 줬는데 왜 보안이 더 나아지지 않았냐는 압박과 비판이 이 다음에 몰아칠 지도 몰라요. 오히려 부담인 거죠.”
그로스만은 여러 보안 장려책을 마련하는 게 올바른 예산 사용법이라는 입장이다. 기술에만 투자하는 건 한계가 있기 마련이라는 것이다. “예를 들면 사이버 보험 제도를 더 구체적으로 확장시킨다든지, 보안 업체들이 제품 보증을 해주도록 한다든지, 소프트웨어 법적 책임 정책을 수립한다든지 하는 겁니다. 또한 사용자 인식 교육에 대한 투자도 늘려야 합니다. 지금 문제는 예산 자체가 아니라, 그 집행 방향에 있습니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
