사이버 보안 리더 사이에서 흔하게 하는 말이 있다. ‘비즈니스와 정렬하는 법을 배워야 한다(We have to learn to align with the business)’라는 것이다. 안타깝게도, 사이버 보안 부분의 리더는 많은 시간을 비즈니스가 ‘사이버 보안과 정렬’되도록 하는 데 쓰고, 그렇게 되지 않을 때 좌절감을 느끼는 듯하다. ‘그렇게 되지 않는’ 이유는 비즈니스 부문처럼 말하려고 하지 않거나 또는 그렇게 말할 수 없기 때문이다. 현실은 사이버 보안이 비용 센터(Cost Center), 즉 소위 말해서 돈만 축내는 곳이라는 점이다. 게다가 그 가치를 인지시키기가 매우 어렵다.
 

사이버 보안을 비즈니스에 정렬하는 2단계 

기본적인 수준에서 사이버 보안을 비즈니스와 정렬하는 것은 2단계 프로세스로 이뤄진다. 비즈니스 언어를 이해하는 게 첫 번째다. 모든 기업의 공통어는 재무다. 이는 사이버 보안 리더의 가장 큰 과제가 될 수 있다. 대부분 산업에는 자체적인 비용 효율성 측정 방법이 있다. 예를 들면 소매업의 단위 면적당 매출액, 의료업의 환자당 치료 비용 등이다. 사이버 보안에서도 다른 비즈니스 부문 또는 사업부처럼 행동해야 한다. 

두 번째는 이익이 아닌 가치 방식으로 편익-비용 분석과 ROI를 결정하는 방법 및 측정 기준을 개발하는 것이다. 활동기준원가계산(ABC) 등을 사용해 비용을 계산하고, 손익 분기점 분석을 활용해 투자를 평가하는 것으로 시작할 수 있다. 이는 지출 금액을 결정하고 투자가 ‘그럴 만한 가치가 있는지’ 정성적으로 판단하는 것만큼이나 명확하다.

아울러 이 지점에서 (감소시키고자 하는) 위험의 하한선에 도달하게 된다. 예를 들어 특정 솔루션에 미화 100만 달러를 지출하는 것이 ‘그럴 만한 가치가 있다면’ 최소한 해당 금액만큼 위험을 줄일 수 있으리라 예상한다. 필자가 이러한 하한선이 (기업의) 사이버 보안 지출 총량에 적용된다고 말하면 우려하는 사람들도 있다(정말 관심이 있다면 경제학 핸드북에서 ‘지불의사(Willingness-to-Pay; WTP)’ 개념을 찾아보라). 일단 기본적인 재무 지식이 있으면 상황은 정말 흥미로워진다. 제어당 비용, 세션당 비용, 가치 대비 손실 비율 등의 재무 지수를 볼 수 있어서다. 

어떤 컨퍼런스에서 한 CISO가 “보안을 위해 필요한 모든 비용을 지출할 것”이라고 말하는 걸 들은 적 있다. 말도 안 되고 무책임한 말이다. 물론 어떤 의미로 그렇게 말했는지는 알지만 이런 방식의 사고는 매우 위험할 수 있고, '비즈니스와의 정렬'에 역행한다. 그렇다. 사이버 보안의 재무적 영향을 파악하는 일은 매우 까다로울 수 있다.

* Pete Lindstrom은 스파이어 시큐리티(Spire Security)의 사이버 전략 전문가이자 경제학자다. 사이버 보안 프로그램의 효과와 효율성 향상을 전문으로 한다. ciokr@idg.co.kr