보안

기고 | 보안 투자 ROI를 측정하려면?

Brian Contos | CSO 2013.09.13
IT에서 일어나는 일은 대부분 수치화된다. 이 서비스를 온라인으로 제공했을 때 얼마나 많은 비용을 절약할 수 있는지, 혹은 스마트폰 애플리케이션을 선보이면 얼마나 많은 신규 고객을 확보할 것인지 등등이 그렇다.

그러나 보안은 그렇게 양적인 문제가 아닌 경우가 많다. 사실 말 그대로 보안은 질적인 문제이며, 종종 ROSI(return on security investment) 대 위험의 관점에서 주관적으로 측정해야 하는 상황이 발생한다.

ROSI나 질적인 보안 측정은 물론 가치가 있다. 하지만 보안 솔루션이 효과적으로 작동하고 있는지 알고 싶은 것도 물론이다. 예산을 정당화하고, 보안 예산을 사업 우선순위와 부합시키고, 이 모든 것들을 위험 개선에 초점을 맞출 때 어떻게 ROSI와 ROI를 활용할 수 있는지 이 두 접근방식을 대비해본다.

질적 측정: ROSI
위험을 줄이면서도 금전적으로 측정 가능한 아주 구체적인 보안 투자들이 있는데, 여기에 대해서는 뒤쪽 섹션에서 알아보겠다. 그러나 조직의 보안 상태를 결정하는데 양적이면서 중요한 수많은 주관적인 측정치들 역시 존재한다.

손을 씻는 상황을 생각해보자 – 아이들이 학교에서 집에 왔을 때 바로 손을 씻는 것이 아마도 좋을 것이다. 나도 그것이 좋은 생각이라는 것을 알고, 아이들도 안다. 그럼에도 아이들은 우선 TV를 켜고 리모컨에 온갖 더러운 물질을 묻혀놓는다. 집에 와서 우선 손을 씻는 일이 의료비를 줄이고, 아파서 학교 결석하는 상황을 줄이는데 도움이 줄 수 있다는 점은 알고 있다고 하더라도, 이를 금전적인 문제와 결부시키는 것은 쉽지 않다.- 보안 문제로 돌아가서, ROSI로 볼 수 있는 몇 가지 사례는 다음과 같다:

- 향상된 악성 활동 방지 능력
- 사건 교정 위협 창에 향상된 사건 감지
- 좀 더 정확한 보안 데이터에 기반한 강화된 의사 결정
- 회계감사관들을 달래기 위한 보고서 작성 시 능률 향상
- C2 커뮤니케이션에 관련된 자산 침투 감소

이 모든 ROSI 예시들 모두 관련성이 크다. 이들은 직관적으로 이치에 맞고, 대부분 많은 보안 전문가들이 그들이 하는 일과 그 일을 하기 위해 왜 자금과 자원이 필요한 지를 입증하는데 사용하는 철학과도 일치한다.

그러나 조직에 따라서, 실제 금전 가치를 이런 총알들에 할당하는 것이 극도로 어려울 수 있다. 또한 만약 조직이 CSO의 바램만큼 보안 의식이 강하지 않고, 그들이 컴퓨터 보안을 여전히 플로피 디스크 잠금 정도로만 치부한다면, 그들에게 어느 정도 유형의 금전적 측정치를 제시해야 할 필요가 있을 것이다.

양적 측정: ROI
ROSI를 설명하는 예시들은, 이른바 <(투자로부터 얻은 이득 – 투자의 비용)/투자 비용 = 투자수익률(ROI)> 같은 간결한 ROI 투자공식에 잘 들어맞지 않을 것이다.

하지만 보안이 수익 창출이나 비용 절감 측면에서 이해하는 일이 많지는 않지만, 안될 것도 없다. 점점 더 많은 조직들이 보안팀에 그들의 사업적 우선 순위에 부합하고 ROI 측정치 등을 제출하라고 요청하고 있다. 여기에 그런 작업을 어떻게 할 수 있는지에 대한 몇 가지 사례를 소개한다.

ROI 예시 1
여러 개발업체의 제품들을 통합하는 API들과 보안 스위트의 이점을 활용해 다음과 같은 이익을 얻을 수 있다:

- 좀 더 적은 보안 솔루션과 개발업체 사용
- 기술 직원들의 벤더 제품 훈련 최소화
- 작업 중복 감소
- 더 적은 수의 벤더로부터 구매함으로써 구매 협상력 증대

예시의 이 모든 조항들은 금전적 측면에서 직접적으로 측정 가능한 것들이다. 예를 들어 보안을 지금보다 더 강력하게 만들기 위해 보안 개발업체 7곳에서 4곳으로 업체 수를 줄이고, 통합 스위트와 개발업체 협력관계를 활용함으로써 연 100만 달러를 절감할 수 있을 것이다.

훈련 비용에서 10만 달러를 줄이고, 두 가지 다른 제품들을 관리하기 위해 동일한 작업을 수행하던 인력들은, 한 가지 제품으로 줄이면서 다른 일을 맡을 수 있게 될 것이다. 그리고 물론 단일 벤더에 더 많은 비용을 지불할수록, 받는 할인의 폭도 더 커진다.

ROI 예시 2
보안 제어(security control)를 이미 보유한 솔루션으로 강화하는 것은 훌륭한 ROI 조치다. 종종 벤더들로부터 최근 발생한 가장 위험한 위협을 막기 위해 최신 제어 기능을 구입하라는 압력이 들어오기도 한다.

하지만 많은 조직들은 이미 도구를 구비하고 있기 때문에, 단지 이들을 향상시키기만 하면 된다. 마치 기존 차량 엔진에 수퍼 차저를 얹어 느리지 않으면서도 보트를 견인할 수 있는 상황으로 생각할 수 있다. 몇 가지 예는 다음과 같다:

- 500만 달러짜리 SIEM 솔루션을 빅 데이터 보안 분석 솔루션에 연결함으로써 사용 연한을 3년 연장하기
- 직원들이 방문하는 악성 사이트의 수를 줄이고, 재-이미지 될 필요가 있는 시스템의 수를 줄이기 위해 외곽 제어와 통합된 스레드 피드 서비스를 사용하기
- SSL 해독 툴을 통해 네트워크를 통과하는 암호화된 트래픽을 실제로 보기 위해 기존 IPS와 네트워크-기반 안티-악성코드 솔루션에 권한주기

이 예시에서는 기존 인프라를 없애고 교체하지 않음으로써 절감되는 비용과 그를 통해 얻는 가치가 측정 가능하며, 앞의 예시에서처럼 이들 역시 위험 경감에도 기여하게 된다.

대부분의 조직들은 자신들에게 방화벽, IPS, 안티-맬웨어 솔루션이 필요한지 결정하려 하지 않는다. 그들이 진정으로 필요로 하는 것은 그들이 가지고 있는 것을 향상시킬 수 있는 솔루션이고, 그럼으로써 ROSI와 ROI를 개선시키는 것이다.

보안이 위험을 줄이라는 요청만 간단히 받는가, 아니면 사업적 우선순위와 부합하고 ROI를 입증하라는 요청까지 받는가?

* Brian Contos는 블루코드 ATP 그룹 CISO이자 부사장이다. ciokr@idg.co.kr
 Tags ROI 보안

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.