2020.07.23

보안을 해치지 않으면서 예산을 절감하는 5가지 팁

Terena Bell | CSO
정보 보안 분야는 코로나19가 발생하기 전에도 인력과 예산이 부족했는데, 최근의 경기 침체로 압박이 더 심해졌다. 리서치 업체인 펄스(Pulse)의 7월 4일 보고서를 보면, 보안 예산의 23%가 동결됐고 49%가 삭감됐다.
 
© Getty Images Bank

그렇지 않아도 빠듯한 예산을 더 삭감해야 할 때 CISO는 어디서부터 시작해야 할까? 더 구체적으로는 경기 침체가 끝났을 때 삭감된 예산이 고착화되지 않도록 하는 방법은 없을까? 다양한 컨설턴트와 업체, CISO에게 취합한 최선의 방법을 소개한다.
 

1. 기술의 중복을 파악하라

사람과 프로세스, 기술이라는 주요 요소 가운데 기술, 즉 이미 가지고 있는 소프트웨어에 주목해야 한다. 전직 FBI 특수 요원이고, 뉴욕지사 사이버 부서를 이끌었던 레오 태데오는 혁신이 효율성을 개선하는 분야를 검토하라고 조언했다. 즉, 많은 IT업체가 끊임없이 신기능을 내놓고 있으므로 기존에는 존재하지 않았던 '기술 중복'이 발생할 수 있다는 것이다.

예를 들어 엔드포인트 보호 스위트를 보자. 태데오는 “엔드포인트 보호 스위트가 강력한 안티바이러스 보호 기능을 제공하는 경우가 있다. 이때 기존 바이러스 보호 기능에 별도 비용이 발생하고 있다면 이는 비용 절감이 가능한 분야가 된다”라고 말했다.

따라서 다른 부서와 함께 사용하는 기술을 점검할 필요가 있다. 섀도우 IT를 파악하기는 언제나 쉽지 않은 일이므로, 알려진 시스템, 특히 폭넓게 쓰이는 것부터 시작하는 것이 좋다. 태데오는 “윈도우 10 등에서는 단순히 보안 기능을 켜는 것만으로 위험을 완화할 방법이 있을 수 있다”라고 말했다.

중복된 툴을 발견할 때마다 제거하는 것은 아마 훗날 예산이 정상화되었을 때에도 계속해야 할 비용 절감 대책이다. 제로 트러스트 컨설팅 업체인 앱게이트 페더럴(AppGate Federal)의 대표 그레그 터힐은 “CSO는 팬데믹과 무관하게 언제나 더 효과적이고 효율적이고 안전한 기회를 찾아야 한다”라고 말했다.
 

2. 기존 계약을 재협상하라

애널리틱스 플랫폼 업체인 스모 로직(Sumo Logic)의 CSO 조지 거초우는 보안 부서가 사용하는 툴의 경우 IT 사업자와 재약정해 가격을 낮춰 비용 절감을 꾀하라고 조언했다. 그는 “현재 모든 IT 업체가 자사 고객 기반을 보호하기 위해 절실히 노력하고 있다. 특히 단일 솔루션은 종합 솔루션과 경쟁하기 위해 가격을 낮출 수밖에 없는 상황이다”라고 말했다. 종합 솔루션은 라이선스 할인을 제공할 가능성이 크기 때문이다.

서비스나우(ServiceNow)의 보안 사업 총괄인 제프 하우스먼의 조언처럼 영구 라이선싱으로부터 구독 모델로 전환해 예산 유연성을 확보하는 방법도 있다. 단, 거초우에 따르면, 데이터 이용에 과금하는 플랫폼은 데이터 유형과 검색 빈도에 따라 과금하는 쪽으로 개선할 필요가 있다.

서비스 공급업체인 바이오닉(Bionic)의 CEO 마크 올란도도 이에 동의했다. 그는 “데이터 용량 등 변하는 수치를 기준으로 하는 모든 기술 라이선스를 축소하는 것이 좋다. 이용할 수 없거나 실효성 없는 데이터를 줄여 라이선스 비용을 절감할 수 있다. 아니라면 최소한 계약 통합과 동시에 라이선스를 정리해 중복 지출을 막고 비용을 줄이는 것도 방법이다.”라고 말했다.

물론 솔루션 업체가 협상할 의지가 없을 수도 있다. 하우스먼과 거초우는 이런 경우라면 오픈 소스로의 전환도 검토할 필요가 있다고 권했다.
 

3. 인력 비용을 낮추는 기술을 이용하라

예산을 줄이는 데 유용한 새로운 기술의 등장은 반가운 일이다. 하우스먼은 “지금은 보안 업무 가운데 지루한 일을 자동화할 수 있는 좋은 시기다”라고 말했다. 보안 팀의 시간을 지나치게 허비하는 온갖 수작업이 그 대상이다. CEO가 이런 솔루션에 대한 작은 지출을 꺼리지 않는다면 그동안 눈독을 들였던 자동화 툴을 구매할 기회일 수 있다. 하우스먼은 “업무 자동화와 공정 오케스트레이션을 통해 쉽게 비용을 절감할 수 있다”라고 말했다.

하우스먼은 CISO에게 80/20 규칙을 적용하라고 권고한다. ‘파레토 원리’라고도 알려진 것으로, 80%의 성과가 단 20%의 노력으로부터 나온다는 내용이다. 그는 “보안 팀이 시간을 가장 많이 소비하는 5가지 활동은 무엇인가? 이 활동이 기업 및 부서의 목표에 합치해야 한다.

이 조언은 제로 트러스트를 구현할 때 특히 유용하다. 토힐에 따르면 예를 들어 ‘소프트웨어 정의’ 혁신을 통해 보안 전략을 강화하면서 동시에 운영 비용을 줄일 수 있다. 가상 사설 네트워크(VPN), 네트워크 액세스 컨트롤(NAC) 시스템 등 낡고 인력 집약적 기술을 퇴출할 수 있기 때문이다. 특히 지난 5월 기준 사이버 보안팀의 36%가 새 예산 항목으로 VPN을 꼽았다는 점을 고려하면 이는 매우 흥미로운 조언이다.

현재, 최고 임원 입장에서는 어떤 유형의 지출이든 줄이는 것이 중요하다. 그러나 창의적 리더라면 현재 공석인 보안 직무에 대한 인력 자원 자금을 활용해 부서 업무를 줄이는 소프트웨어에 투자하는 것이 좋은 방법이다. 일부 툴은 가격이 비싸지만 신규 채용에 따른 급여와 수당을 생각하면 전체 비용은 비슷할 수도 있다. 또한 이는 훗날 예산이 정상화됐을 때 원하는 기술을 구매하는 좋은 선례가 될 수도 있다.
 

4. 해고에 유의하라

불행한 일이지만 예산을 줄이는 가장 쉬운 방법은 해고다. 6월 기준 미국의 실직 데이터를 보면 3,000만 명 이상이 코로나19 대유행 기간 중 일자리를 잃었다. 사이버 보안 분야만 보면, 펄스의 6월 설문조사에서, 48%의 데이터 보안팀이 코로나19로 인해 4월 또는 5월 중 인력 수를 줄였고, 40%는 11월 전에 사람들을 내보낼 계획이 있다고 답했다.

바이오닉의 올란도는 “유능한 팀원을 잃는 것은 팀 사기에 오랫동안 영향을 주고, 미래의 구인 활동에도 지장이 된다. 따라서 위기가 지난 후 역량을 유지하려면 감원은 최후의 선택이어야 한다”라고 말했다.

코로나19로 인한 경제 위기는 언젠가 끝이 날 것이다. 직원이 초과 근무를 하면서 건강 문제, 양육 문제, 해고에 대한 불안에 직면하면 기업에 대한 충성심을 기대하기 어렵다. 토힐이 지적한 바와 같이, 인력, 교육, 라이선스 비용은 보안 예산의 대부분을 차지한다. 지금 회사를 싫어하게 된 직원은 코로나19가 끝나면 퇴사할 확률이 높고, 따라서 이들을 대체하는 데 따른 인력 및 교육 비용도 늘어날 것이다. 목표는 미래의 보안을 해치지 않으면서 현재 예산을 삭감할 방법을 찾는 것임을 잊지 말아야 한다.
 

5. 무엇보다 목표를 기억하라

하우스먼의 발언으로 돌아가 보자. 보안 리더는 목표에 집중하는 것이 언제나 중요하다. 올란도는 현재의 예산 삭감이든 어떤 예산 삭감이든 전략은 같다고 지적했다. 그는 “보안팀 정관을 상세히 분석하고, 없어지더라도 목표를 달성할 수 있는 것이 무엇인지 확인할 필요가 있다"라고 말했다. 결국, 무엇을 삭감하고 무엇을 삭감하면 안 되는지 결정되는 지점도 바로 여기다. editor@itworld.co.kr


2020.07.23

보안을 해치지 않으면서 예산을 절감하는 5가지 팁

Terena Bell | CSO
정보 보안 분야는 코로나19가 발생하기 전에도 인력과 예산이 부족했는데, 최근의 경기 침체로 압박이 더 심해졌다. 리서치 업체인 펄스(Pulse)의 7월 4일 보고서를 보면, 보안 예산의 23%가 동결됐고 49%가 삭감됐다.
 
© Getty Images Bank

그렇지 않아도 빠듯한 예산을 더 삭감해야 할 때 CISO는 어디서부터 시작해야 할까? 더 구체적으로는 경기 침체가 끝났을 때 삭감된 예산이 고착화되지 않도록 하는 방법은 없을까? 다양한 컨설턴트와 업체, CISO에게 취합한 최선의 방법을 소개한다.
 

1. 기술의 중복을 파악하라

사람과 프로세스, 기술이라는 주요 요소 가운데 기술, 즉 이미 가지고 있는 소프트웨어에 주목해야 한다. 전직 FBI 특수 요원이고, 뉴욕지사 사이버 부서를 이끌었던 레오 태데오는 혁신이 효율성을 개선하는 분야를 검토하라고 조언했다. 즉, 많은 IT업체가 끊임없이 신기능을 내놓고 있으므로 기존에는 존재하지 않았던 '기술 중복'이 발생할 수 있다는 것이다.

예를 들어 엔드포인트 보호 스위트를 보자. 태데오는 “엔드포인트 보호 스위트가 강력한 안티바이러스 보호 기능을 제공하는 경우가 있다. 이때 기존 바이러스 보호 기능에 별도 비용이 발생하고 있다면 이는 비용 절감이 가능한 분야가 된다”라고 말했다.

따라서 다른 부서와 함께 사용하는 기술을 점검할 필요가 있다. 섀도우 IT를 파악하기는 언제나 쉽지 않은 일이므로, 알려진 시스템, 특히 폭넓게 쓰이는 것부터 시작하는 것이 좋다. 태데오는 “윈도우 10 등에서는 단순히 보안 기능을 켜는 것만으로 위험을 완화할 방법이 있을 수 있다”라고 말했다.

중복된 툴을 발견할 때마다 제거하는 것은 아마 훗날 예산이 정상화되었을 때에도 계속해야 할 비용 절감 대책이다. 제로 트러스트 컨설팅 업체인 앱게이트 페더럴(AppGate Federal)의 대표 그레그 터힐은 “CSO는 팬데믹과 무관하게 언제나 더 효과적이고 효율적이고 안전한 기회를 찾아야 한다”라고 말했다.
 

2. 기존 계약을 재협상하라

애널리틱스 플랫폼 업체인 스모 로직(Sumo Logic)의 CSO 조지 거초우는 보안 부서가 사용하는 툴의 경우 IT 사업자와 재약정해 가격을 낮춰 비용 절감을 꾀하라고 조언했다. 그는 “현재 모든 IT 업체가 자사 고객 기반을 보호하기 위해 절실히 노력하고 있다. 특히 단일 솔루션은 종합 솔루션과 경쟁하기 위해 가격을 낮출 수밖에 없는 상황이다”라고 말했다. 종합 솔루션은 라이선스 할인을 제공할 가능성이 크기 때문이다.

서비스나우(ServiceNow)의 보안 사업 총괄인 제프 하우스먼의 조언처럼 영구 라이선싱으로부터 구독 모델로 전환해 예산 유연성을 확보하는 방법도 있다. 단, 거초우에 따르면, 데이터 이용에 과금하는 플랫폼은 데이터 유형과 검색 빈도에 따라 과금하는 쪽으로 개선할 필요가 있다.

서비스 공급업체인 바이오닉(Bionic)의 CEO 마크 올란도도 이에 동의했다. 그는 “데이터 용량 등 변하는 수치를 기준으로 하는 모든 기술 라이선스를 축소하는 것이 좋다. 이용할 수 없거나 실효성 없는 데이터를 줄여 라이선스 비용을 절감할 수 있다. 아니라면 최소한 계약 통합과 동시에 라이선스를 정리해 중복 지출을 막고 비용을 줄이는 것도 방법이다.”라고 말했다.

물론 솔루션 업체가 협상할 의지가 없을 수도 있다. 하우스먼과 거초우는 이런 경우라면 오픈 소스로의 전환도 검토할 필요가 있다고 권했다.
 

3. 인력 비용을 낮추는 기술을 이용하라

예산을 줄이는 데 유용한 새로운 기술의 등장은 반가운 일이다. 하우스먼은 “지금은 보안 업무 가운데 지루한 일을 자동화할 수 있는 좋은 시기다”라고 말했다. 보안 팀의 시간을 지나치게 허비하는 온갖 수작업이 그 대상이다. CEO가 이런 솔루션에 대한 작은 지출을 꺼리지 않는다면 그동안 눈독을 들였던 자동화 툴을 구매할 기회일 수 있다. 하우스먼은 “업무 자동화와 공정 오케스트레이션을 통해 쉽게 비용을 절감할 수 있다”라고 말했다.

하우스먼은 CISO에게 80/20 규칙을 적용하라고 권고한다. ‘파레토 원리’라고도 알려진 것으로, 80%의 성과가 단 20%의 노력으로부터 나온다는 내용이다. 그는 “보안 팀이 시간을 가장 많이 소비하는 5가지 활동은 무엇인가? 이 활동이 기업 및 부서의 목표에 합치해야 한다.

이 조언은 제로 트러스트를 구현할 때 특히 유용하다. 토힐에 따르면 예를 들어 ‘소프트웨어 정의’ 혁신을 통해 보안 전략을 강화하면서 동시에 운영 비용을 줄일 수 있다. 가상 사설 네트워크(VPN), 네트워크 액세스 컨트롤(NAC) 시스템 등 낡고 인력 집약적 기술을 퇴출할 수 있기 때문이다. 특히 지난 5월 기준 사이버 보안팀의 36%가 새 예산 항목으로 VPN을 꼽았다는 점을 고려하면 이는 매우 흥미로운 조언이다.

현재, 최고 임원 입장에서는 어떤 유형의 지출이든 줄이는 것이 중요하다. 그러나 창의적 리더라면 현재 공석인 보안 직무에 대한 인력 자원 자금을 활용해 부서 업무를 줄이는 소프트웨어에 투자하는 것이 좋은 방법이다. 일부 툴은 가격이 비싸지만 신규 채용에 따른 급여와 수당을 생각하면 전체 비용은 비슷할 수도 있다. 또한 이는 훗날 예산이 정상화됐을 때 원하는 기술을 구매하는 좋은 선례가 될 수도 있다.
 

4. 해고에 유의하라

불행한 일이지만 예산을 줄이는 가장 쉬운 방법은 해고다. 6월 기준 미국의 실직 데이터를 보면 3,000만 명 이상이 코로나19 대유행 기간 중 일자리를 잃었다. 사이버 보안 분야만 보면, 펄스의 6월 설문조사에서, 48%의 데이터 보안팀이 코로나19로 인해 4월 또는 5월 중 인력 수를 줄였고, 40%는 11월 전에 사람들을 내보낼 계획이 있다고 답했다.

바이오닉의 올란도는 “유능한 팀원을 잃는 것은 팀 사기에 오랫동안 영향을 주고, 미래의 구인 활동에도 지장이 된다. 따라서 위기가 지난 후 역량을 유지하려면 감원은 최후의 선택이어야 한다”라고 말했다.

코로나19로 인한 경제 위기는 언젠가 끝이 날 것이다. 직원이 초과 근무를 하면서 건강 문제, 양육 문제, 해고에 대한 불안에 직면하면 기업에 대한 충성심을 기대하기 어렵다. 토힐이 지적한 바와 같이, 인력, 교육, 라이선스 비용은 보안 예산의 대부분을 차지한다. 지금 회사를 싫어하게 된 직원은 코로나19가 끝나면 퇴사할 확률이 높고, 따라서 이들을 대체하는 데 따른 인력 및 교육 비용도 늘어날 것이다. 목표는 미래의 보안을 해치지 않으면서 현재 예산을 삭감할 방법을 찾는 것임을 잊지 말아야 한다.
 

5. 무엇보다 목표를 기억하라

하우스먼의 발언으로 돌아가 보자. 보안 리더는 목표에 집중하는 것이 언제나 중요하다. 올란도는 현재의 예산 삭감이든 어떤 예산 삭감이든 전략은 같다고 지적했다. 그는 “보안팀 정관을 상세히 분석하고, 없어지더라도 목표를 달성할 수 있는 것이 무엇인지 확인할 필요가 있다"라고 말했다. 결국, 무엇을 삭감하고 무엇을 삭감하면 안 되는지 결정되는 지점도 바로 여기다. editor@itworld.co.kr


X