.gif)
보안은 예산 확보 특히 힘들어... 단순 솔루션 구매로는 실패만
총체적인 전략 구성해 설득해야... 데이터는 돈과 똑같이 보호
[보안뉴스 문가용 기자] 기업마다 ‘예산 철’이라는 게 다르긴 하지만, 연초에도 예산과 관련된 고민을 하는 담당자들이 적지 않다. 특히 예산 할당이 결정이 되기 전, 회사를 설득해야 하는 입장이라면 고민이 더 깊어진다. 정보보안은 특히나 예산 인상 결정을 받아내는 게 어려운 분야다. 정보보안 산업은 점점 자라나고 있고, 성장가도를 밟고 있다고 하는데 왜 그 말은 먼 나라 이야기처럼만 들릴까? 산업 전체 성장도 좋지만, 당장 올해의 넉넉한 보안 살림을 고민해야 하는 사람들을 위한 ‘예산 확보 팁 7’을 준비했다.
1. 특정 위협에 대해 말하지 말고 데이터 보호를 언급하라
보안 전문업체인 바로니스(Varonis)의 부회장인 데이비드 깁슨(David Gibson)은 “보안 제품 대부분 한정된 위협을 막는 것에 특화되어 있지 조직의 전체적인 ‘보안 전략 구성’에 도움을 주지 않는다”며 “기업들 역시 이러한 제품 몇 개 구입하는 걸 투자라고 생각하는 것에 익숙해져 있다”고 설명한다.
“보안에 대한 예산을 투자하기 꺼려하는 게 다 이런 경향 때문입니다. 솔루션 값이 비싸서 돈은 많이 드는데, 총체적인 전략을 보강해주는 게 아니라 성공률이 높지 않단 말이죠. 이런 부정적인 경험이 있는데, 누가 돈을 더 쓰고 싶겠어요.” 그러니 요즘 유행하는 위협이 뭔데, 그걸 잘 막는 솔루션으로 이런 게 있다고 설명해봐야 다들 심드렁할 수밖에 없다는 것이다.
“하지만 데이터 보호 자체에 대해서는 모두 귀를 기울입니다. 데이터가 중요하지 않은 사람이나 업체는 하나도 없거든요.” 그러므로 사업적으로 어떤 데이터가 중요하며, 현재 어떤 식으로 보호가 되고 있고, 어디에 저장되어 있는지 알려주고, 이런 전체적인 구조를 보호하려면 어떤 조치를 취해야 하고 어디에 돈이 더 필요하다는 식으로 ‘총체적’ 접근을 해야 한다.
리서치 전문업체인 포레스터(Forrester)의 수석 분석가인 하이디 셰이(Heidi Shey) 역시 이에 동의한다. “게다가 그런 전략이 예산 확보 차원만이 아니라 실제적인 방어에 있어서도 반드시 필요합니다. 현재 시대의 사이버 공격은 워낙 복합적인 것이라 방어 역시 그렇게 변해야 합니다.”
2. 인원 보강도 구체적으로
셰이는 “사실 거의 모든 일이 그렇지만 정보보안 역시 예산의 가장 큰 부분은 인력 충원에 할당된다”고 말한다. “기술의 발전으로 점점 사람의 노동력에 대한 필요가 줄어들 거라고 하는데, 아직은 새로운 기술이 등장해도 이를 이해하고 관리해 필요한 결과물을 뽑아낼 운영자, 즉 사람이 필요한 게 현실입니다.”
그러므로 예산 확보를 위해 결정권자와 만나 이야기를 할 때 인원 보강 이야기도 거의 반드시 등장하기 마련이다. “그런데 이 부분에서 대부분 ‘일손이 부족하고, 사람이 필요하다’는 것만 자꾸만 반복해요. 설득이 될 리가 없죠. 정확히 어떤 부분에 사람이 모자라거나 더 필요한지를 알려야 합니다. 더불어, 현재 인력으로 할 수 있는 일이 어디까지인지도 명확히 해야겠죠.”
바로니스의 깁슨은 “그러나 세계 시장 전체적으로 봤을 때 인력이 모자라는 상황이라 기업이 예산을 투자하고자 해도 사람을 구하지 못할 가능성도 높다”며 “이에 대한 대비책을 미리 마련하는 것도 현명한 일”이라고 말한다. “지금의 인력만으로 더 많은 일을 하기 위한 ‘Plan B’도 계획해야 할 것입니다.”
3. 기업이 목말라 하는 문제와 연결시켜라
기업가들에게는 기업가들 나름의 호기심 영역이 있다. 개인적인 취향이 아니라, 사업을 운영하다보면 자연스럽게 발달하는 것으로, 대부분 기업의 수익 향상이나 미래 발전적인 것과 연관이 있다. 보안을 가지고 이 부분을 찔러줘야 이들이 반응을 한다. 깁슨은 여기에 더해 “게다가 보안의 기술적인 내용을 가지고 아무리 말해봐야 임원진들은 이해하지 못한다”며 “그러니 그들이 궁금해하는 사업적인 내용을 가지고, 그들의 언어로 이야기해야 한다”고 충고한다.
보안 전문업체 아티보(Attivo)의 CMO인 캐롤린 크랜덜(Carolyn Crandall)도 이 ‘언어’ 부분에 동의한다. “결국 듣는 사람의 언어를 활용해 믿음직스러우면서 설득력이 강한 내용을 구성해, 보안을 잘 이해하지 못하는 사람들을 납득시켜야 한다는 게 문제의 핵심입니다.”
깁슨은 이에 예를 하나 든다. “네트워크 침입 탐지 시스템으로부터 오는 경보에 대해 설명할 때, 평소의 네트워크의 모습이나 패턴에 대해 말로 설명한다는 건 무척이나 어렵습니다. 잠재적인 위협이 어떤 모습을 가지고 있는지 예를 들어도 소용이 없죠. 그저 ‘어쩌다 운 나쁘면 일어날 수 있는 일’ 정도로만 이해할 뿐입니다. 이걸 차라리 ‘5천 명의 환자를 돌봐야 하는데, 하루에 고작 5~10명밖에 보지 못하는 상황’ 등에 빗대면 조금 더 이해하기가 쉽습니다.”
4. 데이터가 어디에 있는지 정확히 파악하라
데이터를 보호한다는 측면에서 설득을 시작하라고 위에서 강조했는데, 이렇게 논지를 전개하려면 데이터에 대한 뒷조사부터 끝내야 한다. 이는 데이터의 물리적인 위치를 파악하는 데서부터 시작된다. 데이터라 함은 고객정보, 회사 기밀, 지적재산, 직원 정보 등 다양한 것들을 아우르니 이를 일일이 파악해야 한다.
그런 다음에는 누가 어떤 방법으로 이런 데이터들에 접근할 수 있는지, 누가 현재 가장 활발히 이런 정보들을 활용하고 있는지, 왜 그런지도 파악해야 한다. 데이터의 활용 현황에 대해서 상세히 파악하고 있지 못하다면 데이터를 보호하겠다는 당신의 주장은 공허하게 들릴 뿐이다. “데이터도 결국 업체의 자산이라고 봐야 합니다. 더 솔직히 말하면 ‘돈’과 다름이 없죠. 돈을 지키는 것과 데이터를 지키는 걸 동급으로 봐야 합니다. 그런 차원에서 데이터 보호를 꾀해보세요.”
데이터에 대해 잘 파악하고 있다면 다음과 같은 질문에 답을 할 수 있어야 한다. “민감한 정보가 저장된 곳을 아는가? 기업 내 저장된 정보의 유형은 무엇인가? 직원이 실수든 고의든 1만개 파일을 갑자기 지웠다면 그걸 알아채는 데 걸리는 시간은 어느 정도인가? 데이터를 누군가 조작하거나 편집했다면, 그걸 알아채는 데 걸리는 시간은 어느 정도인가? 데이터에 접근하는 자의 수상한 행위를 파악할 수 있는가?
5. 벤치마킹도 고려할 것
물론 상세한 정보야 파악할 수 없겠지만 기업들은 흔히 다른 회사의 예산안을 참고해 자기들 예산안을 만든다. 예를 들면 ‘A 기업은 보안에 얼마를 투자하더라’라는 정보를 입수하면 그것에 우리 회사의 해당 항목을 비교해보고 어느 정도 맞추는 식이다. 이런 ‘예산 전문가’들의 습성을 안다면, 의외로 얘기가 잘 풀릴 수 있다. 즉, 우리가 그 정보를 가져다주면 된다는 것이다.
셰이는 여기에 경고를 하나 추가한다. “다른 회사의 정보를 가져다준다고 해서 우리 예산 집행자가 그걸 그대로 따라갈 리가 없습니다. 그리고 이는 ‘추가 정보’ 중 하나일 뿐이지, 여전히 정보보안 담당자가 예산 결정권자와 해결해야 할 문제의 본질은 ‘정보를 지키는 데 필요한 예산을 설득시킨다’이다. 어떻게 정보를 보호할 것이며, 무엇이 필요한지 언젠가는 반드시 직접 말해야 한다.
6. 공포 마케팅은 지양하라
임직원들에게 겁을 줘 예산을 확보하려는 시도가 많이 있는데, 이 역시 그리 좋은 방법은 아니라고 셰이는 말한다. 특히 대형 유출사고나 금전 손실의 예를 들면서 ‘그런 사고를 당하지 않으려면 우리도 조심해야 한다’는 논리를 많이 펴는데, 이는 사실 매우 나쁜 방법이라고도 볼 수 있을 정도다.
크랜덜 역시 이에 동의한다. “보통 CEO나 그에 준하는 사람들을 보안 사고 시례로 겁준다는 건 불가능에 가깝습니다. 왜냐하면 그런 예들이 정말 극단적인 것이라는 걸 알기 때문입니다. 아니면, 그런 사고들이 어차피 일어날 것이라면 보안 강화 안 해도 그만 아니겠냐고 말하기도 해 오히려 역효과가 나기도 합니다. 또한 그런 사고에 대비해 뭔가를 사다가 구축해놓은 CEO라고 해도, 그런 공격이 실제 발생하지 않았을 때 CISO를 허풍쟁이로 보기 시작합니다.”
그렇다고는 해도 보안 사고에 대해 아무 것도 걱정하지 말라는 소리는 아니다. 보안 전문가뿐 아니라 기업을 경영한다는 사람이라면 정보보안의 위협에 대해 잘 알고 있어야 한다. 자기 회사가 겪을 수 있는 여러 사고에 대해 염려하고, 그것을 보강하기 위해 필요한 자산을 투자하는 건 경영자의 기본 덕목이다. 그런 사람들에게 말을 할 때 어느 회사가 보안 사고로 망했다거나 파산 직전에 놓여있다는 식의 ‘근거 제시’는 긍정적인 효과를 주지 않는다.
7. 보안은 사업을 활성화시키는 요소다
사업의 성공을 보안이 좌지우지 한다거나 보안이 성공을 보장한다는 식으로 접근해보라. 안전을 불완전하거나 불성실하게 꾀하면 회사가 마음 놓고 사업을 벌일 수 없다는 걸 강조하라. 게다가 안전은 곧바로 신뢰문제로 이어지기 때문에, 이를 소홀히 해서는 소비자들의 외면을 받기 십상이다.
“보안은 필연적으로 네트워크 구조나 프로세스를 단순화시킬 수밖에 없습니다. 복잡하면 해커가 들어올 여지가 더 많고, 숨을 곳도 더 많아지기 때문이죠. 이는 업무 진행의 활성화를 뜻하기도 합니다. 그러면 회사가 바라는 생산성도 올라가고요. 정보보안 잘 하는 곳이 일도 잘 합니다. 하지만 일단 이 설명을 다 마치고 납득시키면 이야기 진행이 부드럽게 흘러갈 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]
총체적인 전략 구성해 설득해야... 데이터는 돈과 똑같이 보호
[보안뉴스 문가용 기자] 기업마다 ‘예산 철’이라는 게 다르긴 하지만, 연초에도 예산과 관련된 고민을 하는 담당자들이 적지 않다. 특히 예산 할당이 결정이 되기 전, 회사를 설득해야 하는 입장이라면 고민이 더 깊어진다. 정보보안은 특히나 예산 인상 결정을 받아내는 게 어려운 분야다. 정보보안 산업은 점점 자라나고 있고, 성장가도를 밟고 있다고 하는데 왜 그 말은 먼 나라 이야기처럼만 들릴까? 산업 전체 성장도 좋지만, 당장 올해의 넉넉한 보안 살림을 고민해야 하는 사람들을 위한 ‘예산 확보 팁 7’을 준비했다.
1. 특정 위협에 대해 말하지 말고 데이터 보호를 언급하라
보안 전문업체인 바로니스(Varonis)의 부회장인 데이비드 깁슨(David Gibson)은 “보안 제품 대부분 한정된 위협을 막는 것에 특화되어 있지 조직의 전체적인 ‘보안 전략 구성’에 도움을 주지 않는다”며 “기업들 역시 이러한 제품 몇 개 구입하는 걸 투자라고 생각하는 것에 익숙해져 있다”고 설명한다.
“보안에 대한 예산을 투자하기 꺼려하는 게 다 이런 경향 때문입니다. 솔루션 값이 비싸서 돈은 많이 드는데, 총체적인 전략을 보강해주는 게 아니라 성공률이 높지 않단 말이죠. 이런 부정적인 경험이 있는데, 누가 돈을 더 쓰고 싶겠어요.” 그러니 요즘 유행하는 위협이 뭔데, 그걸 잘 막는 솔루션으로 이런 게 있다고 설명해봐야 다들 심드렁할 수밖에 없다는 것이다.
“하지만 데이터 보호 자체에 대해서는 모두 귀를 기울입니다. 데이터가 중요하지 않은 사람이나 업체는 하나도 없거든요.” 그러므로 사업적으로 어떤 데이터가 중요하며, 현재 어떤 식으로 보호가 되고 있고, 어디에 저장되어 있는지 알려주고, 이런 전체적인 구조를 보호하려면 어떤 조치를 취해야 하고 어디에 돈이 더 필요하다는 식으로 ‘총체적’ 접근을 해야 한다.
리서치 전문업체인 포레스터(Forrester)의 수석 분석가인 하이디 셰이(Heidi Shey) 역시 이에 동의한다. “게다가 그런 전략이 예산 확보 차원만이 아니라 실제적인 방어에 있어서도 반드시 필요합니다. 현재 시대의 사이버 공격은 워낙 복합적인 것이라 방어 역시 그렇게 변해야 합니다.”
2. 인원 보강도 구체적으로
셰이는 “사실 거의 모든 일이 그렇지만 정보보안 역시 예산의 가장 큰 부분은 인력 충원에 할당된다”고 말한다. “기술의 발전으로 점점 사람의 노동력에 대한 필요가 줄어들 거라고 하는데, 아직은 새로운 기술이 등장해도 이를 이해하고 관리해 필요한 결과물을 뽑아낼 운영자, 즉 사람이 필요한 게 현실입니다.”
그러므로 예산 확보를 위해 결정권자와 만나 이야기를 할 때 인원 보강 이야기도 거의 반드시 등장하기 마련이다. “그런데 이 부분에서 대부분 ‘일손이 부족하고, 사람이 필요하다’는 것만 자꾸만 반복해요. 설득이 될 리가 없죠. 정확히 어떤 부분에 사람이 모자라거나 더 필요한지를 알려야 합니다. 더불어, 현재 인력으로 할 수 있는 일이 어디까지인지도 명확히 해야겠죠.”
바로니스의 깁슨은 “그러나 세계 시장 전체적으로 봤을 때 인력이 모자라는 상황이라 기업이 예산을 투자하고자 해도 사람을 구하지 못할 가능성도 높다”며 “이에 대한 대비책을 미리 마련하는 것도 현명한 일”이라고 말한다. “지금의 인력만으로 더 많은 일을 하기 위한 ‘Plan B’도 계획해야 할 것입니다.”
3. 기업이 목말라 하는 문제와 연결시켜라
기업가들에게는 기업가들 나름의 호기심 영역이 있다. 개인적인 취향이 아니라, 사업을 운영하다보면 자연스럽게 발달하는 것으로, 대부분 기업의 수익 향상이나 미래 발전적인 것과 연관이 있다. 보안을 가지고 이 부분을 찔러줘야 이들이 반응을 한다. 깁슨은 여기에 더해 “게다가 보안의 기술적인 내용을 가지고 아무리 말해봐야 임원진들은 이해하지 못한다”며 “그러니 그들이 궁금해하는 사업적인 내용을 가지고, 그들의 언어로 이야기해야 한다”고 충고한다.
보안 전문업체 아티보(Attivo)의 CMO인 캐롤린 크랜덜(Carolyn Crandall)도 이 ‘언어’ 부분에 동의한다. “결국 듣는 사람의 언어를 활용해 믿음직스러우면서 설득력이 강한 내용을 구성해, 보안을 잘 이해하지 못하는 사람들을 납득시켜야 한다는 게 문제의 핵심입니다.”
깁슨은 이에 예를 하나 든다. “네트워크 침입 탐지 시스템으로부터 오는 경보에 대해 설명할 때, 평소의 네트워크의 모습이나 패턴에 대해 말로 설명한다는 건 무척이나 어렵습니다. 잠재적인 위협이 어떤 모습을 가지고 있는지 예를 들어도 소용이 없죠. 그저 ‘어쩌다 운 나쁘면 일어날 수 있는 일’ 정도로만 이해할 뿐입니다. 이걸 차라리 ‘5천 명의 환자를 돌봐야 하는데, 하루에 고작 5~10명밖에 보지 못하는 상황’ 등에 빗대면 조금 더 이해하기가 쉽습니다.”
4. 데이터가 어디에 있는지 정확히 파악하라
데이터를 보호한다는 측면에서 설득을 시작하라고 위에서 강조했는데, 이렇게 논지를 전개하려면 데이터에 대한 뒷조사부터 끝내야 한다. 이는 데이터의 물리적인 위치를 파악하는 데서부터 시작된다. 데이터라 함은 고객정보, 회사 기밀, 지적재산, 직원 정보 등 다양한 것들을 아우르니 이를 일일이 파악해야 한다.
그런 다음에는 누가 어떤 방법으로 이런 데이터들에 접근할 수 있는지, 누가 현재 가장 활발히 이런 정보들을 활용하고 있는지, 왜 그런지도 파악해야 한다. 데이터의 활용 현황에 대해서 상세히 파악하고 있지 못하다면 데이터를 보호하겠다는 당신의 주장은 공허하게 들릴 뿐이다. “데이터도 결국 업체의 자산이라고 봐야 합니다. 더 솔직히 말하면 ‘돈’과 다름이 없죠. 돈을 지키는 것과 데이터를 지키는 걸 동급으로 봐야 합니다. 그런 차원에서 데이터 보호를 꾀해보세요.”
데이터에 대해 잘 파악하고 있다면 다음과 같은 질문에 답을 할 수 있어야 한다. “민감한 정보가 저장된 곳을 아는가? 기업 내 저장된 정보의 유형은 무엇인가? 직원이 실수든 고의든 1만개 파일을 갑자기 지웠다면 그걸 알아채는 데 걸리는 시간은 어느 정도인가? 데이터를 누군가 조작하거나 편집했다면, 그걸 알아채는 데 걸리는 시간은 어느 정도인가? 데이터에 접근하는 자의 수상한 행위를 파악할 수 있는가?
5. 벤치마킹도 고려할 것
물론 상세한 정보야 파악할 수 없겠지만 기업들은 흔히 다른 회사의 예산안을 참고해 자기들 예산안을 만든다. 예를 들면 ‘A 기업은 보안에 얼마를 투자하더라’라는 정보를 입수하면 그것에 우리 회사의 해당 항목을 비교해보고 어느 정도 맞추는 식이다. 이런 ‘예산 전문가’들의 습성을 안다면, 의외로 얘기가 잘 풀릴 수 있다. 즉, 우리가 그 정보를 가져다주면 된다는 것이다.
셰이는 여기에 경고를 하나 추가한다. “다른 회사의 정보를 가져다준다고 해서 우리 예산 집행자가 그걸 그대로 따라갈 리가 없습니다. 그리고 이는 ‘추가 정보’ 중 하나일 뿐이지, 여전히 정보보안 담당자가 예산 결정권자와 해결해야 할 문제의 본질은 ‘정보를 지키는 데 필요한 예산을 설득시킨다’이다. 어떻게 정보를 보호할 것이며, 무엇이 필요한지 언젠가는 반드시 직접 말해야 한다.
6. 공포 마케팅은 지양하라
임직원들에게 겁을 줘 예산을 확보하려는 시도가 많이 있는데, 이 역시 그리 좋은 방법은 아니라고 셰이는 말한다. 특히 대형 유출사고나 금전 손실의 예를 들면서 ‘그런 사고를 당하지 않으려면 우리도 조심해야 한다’는 논리를 많이 펴는데, 이는 사실 매우 나쁜 방법이라고도 볼 수 있을 정도다.
크랜덜 역시 이에 동의한다. “보통 CEO나 그에 준하는 사람들을 보안 사고 시례로 겁준다는 건 불가능에 가깝습니다. 왜냐하면 그런 예들이 정말 극단적인 것이라는 걸 알기 때문입니다. 아니면, 그런 사고들이 어차피 일어날 것이라면 보안 강화 안 해도 그만 아니겠냐고 말하기도 해 오히려 역효과가 나기도 합니다. 또한 그런 사고에 대비해 뭔가를 사다가 구축해놓은 CEO라고 해도, 그런 공격이 실제 발생하지 않았을 때 CISO를 허풍쟁이로 보기 시작합니다.”
그렇다고는 해도 보안 사고에 대해 아무 것도 걱정하지 말라는 소리는 아니다. 보안 전문가뿐 아니라 기업을 경영한다는 사람이라면 정보보안의 위협에 대해 잘 알고 있어야 한다. 자기 회사가 겪을 수 있는 여러 사고에 대해 염려하고, 그것을 보강하기 위해 필요한 자산을 투자하는 건 경영자의 기본 덕목이다. 그런 사람들에게 말을 할 때 어느 회사가 보안 사고로 망했다거나 파산 직전에 놓여있다는 식의 ‘근거 제시’는 긍정적인 효과를 주지 않는다.
7. 보안은 사업을 활성화시키는 요소다
사업의 성공을 보안이 좌지우지 한다거나 보안이 성공을 보장한다는 식으로 접근해보라. 안전을 불완전하거나 불성실하게 꾀하면 회사가 마음 놓고 사업을 벌일 수 없다는 걸 강조하라. 게다가 안전은 곧바로 신뢰문제로 이어지기 때문에, 이를 소홀히 해서는 소비자들의 외면을 받기 십상이다.
“보안은 필연적으로 네트워크 구조나 프로세스를 단순화시킬 수밖에 없습니다. 복잡하면 해커가 들어올 여지가 더 많고, 숨을 곳도 더 많아지기 때문이죠. 이는 업무 진행의 활성화를 뜻하기도 합니다. 그러면 회사가 바라는 생산성도 올라가고요. 정보보안 잘 하는 곳이 일도 잘 합니다. 하지만 일단 이 설명을 다 마치고 납득시키면 이야기 진행이 부드럽게 흘러갈 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
 TH.jpg)
 TH.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
