2019.04.09
비용 절감 효과를 제공하는 최고의 보안 기술은…액센츄어와 포네몬
Dan Swinhoe | CSO
액센츄어와 포네몬 인스티튜트의 새로운 보고서는 사이버보안 기술이 조직에 어떤 가치를 제공하는지 평가했다. 과연 어떤 보안 기술이 최고의 가치를 창출하고 비용을 절감하는 데 도움이 됐을까. 액센추어와 포네몬의 사이버 범죄 비용 연구는 어떤 기술이 가장 많은 비용 절감 효과를 제공하는지 평가했다. 355개 기업 2,600여 명의 리더들을 인터뷰한 것을 기반으로 비용 절감 금액에 해당 기술에 투자한 금액을 공제한 수치를 공개했다. editor@itworld.co.kr
나날이 증가하는 보안 비용
IDC는 전세계 보안 솔루션 지출액이 2019년에는 1,031억 달러에 이를 것으로 예측했다. 카스퍼스키에 따르면, 기업당 평균 보안 예산은 연간 900만 달러였다. IBM과 포네몬이 조사한 바에 따르면, 평균 데이터 유출 비용은 388만 달러였다.
보안예산은 커지고 있지만, 보안 사고는 점점 더 눈에 띄게 되고, 사이버보안은 이사회 차원의 문제가 됐다. 따라서 CSO는 예산과 투자에 대한 주장을 이전보다 훨씬 정당화할 수 있게 됐다.
액센추어 UKI의 전무이사인 닉 테일러는 "보안 전문가는 임무 완수가 불가능한 상황에 이르렀다. 그들은 운명의 예언자이거나 언제든 희생양이 될 수 있다. 또한 새로운 기술 투자에 돈을 다 써버릴 수 있다"고 경고했다.
과연 어떤 보안 기술이 최고의 가치를 창출하고 비용을 절감하는 데 도움이 됐을까. 액센추어와 포네몬의 사이버 범죄 비용 연구는 어떤 기술이 가장 많은 비용 절감 효과를 제공하는지 평가했다. 355개 기업 2,600여 명의 리더들을 인터뷰한 것을 기반으로 비용 절감 금액에 해당 기술에 투자한 금액을 공제한 수치를 공개했다.
IDC는 전세계 보안 솔루션 지출액이 2019년에는 1,031억 달러에 이를 것으로 예측했다. 카스퍼스키에 따르면, 기업당 평균 보안 예산은 연간 900만 달러였다. IBM과 포네몬이 조사한 바에 따르면, 평균 데이터 유출 비용은 388만 달러였다.
보안예산은 커지고 있지만, 보안 사고는 점점 더 눈에 띄게 되고, 사이버보안은 이사회 차원의 문제가 됐다. 따라서 CSO는 예산과 투자에 대한 주장을 이전보다 훨씬 정당화할 수 있게 됐다.
액센추어 UKI의 전무이사인 닉 테일러는 "보안 전문가는 임무 완수가 불가능한 상황에 이르렀다. 그들은 운명의 예언자이거나 언제든 희생양이 될 수 있다. 또한 새로운 기술 투자에 돈을 다 써버릴 수 있다"고 경고했다.
과연 어떤 보안 기술이 최고의 가치를 창출하고 비용을 절감하는 데 도움이 됐을까. 액센추어와 포네몬의 사이버 범죄 비용 연구는 어떤 기술이 가장 많은 비용 절감 효과를 제공하는지 평가했다. 355개 기업 2,600여 명의 리더들을 인터뷰한 것을 기반으로 비용 절감 금액에 해당 기술에 투자한 금액을 공제한 수치를 공개했다.
1
1. 위협 인텔리전스(threat intelligence), 가장 높은 가치 제공
이 보고서는 이번 조사에 참여한 기업 가운데 67%가 사용하는 보안 인텔리전스 및 위협 공유가 평균 226만 달러의 비용 절감 효과를 제공했다고 전했다. 보안 인텔리전스(Security intelligence)는 탐색 및 조사 활동에 유용하며 위협에 대한 이해를 돕기 때문에 기업은 예상되는 공격에 대비해 리소스를 좀더 효과적으로 사용할 수 있었다.
위협 정보 피드와 네트워크 공유는 포함한 이 기술에는 이미 유출된 데이터뿐만 아니라 조직과 관련한 데이터를 제공하거나 요청하는 사람들을 지켜볼 수 있는 다크 웹 모니터링(dark web monitoring)도 있다.
테일러는 "보안 전문가는 홀로 보안을 운영하는 것보다 파트너와 협력하는 것이 훨씬 더 많은 효과를 볼 수 있으며, 공격자가 내부에 머무르는 데 훨씬 더 어려운 환경임을 인식하고 있다"고 말했다.
이 보고서는 이번 조사에 참여한 기업 가운데 67%가 사용하는 보안 인텔리전스 및 위협 공유가 평균 226만 달러의 비용 절감 효과를 제공했다고 전했다. 보안 인텔리전스(Security intelligence)는 탐색 및 조사 활동에 유용하며 위협에 대한 이해를 돕기 때문에 기업은 예상되는 공격에 대비해 리소스를 좀더 효과적으로 사용할 수 있었다.
위협 정보 피드와 네트워크 공유는 포함한 이 기술에는 이미 유출된 데이터뿐만 아니라 조직과 관련한 데이터를 제공하거나 요청하는 사람들을 지켜볼 수 있는 다크 웹 모니터링(dark web monitoring)도 있다.
테일러는 "보안 전문가는 홀로 보안을 운영하는 것보다 파트너와 협력하는 것이 훨씬 더 많은 효과를 볼 수 있으며, 공격자가 내부에 머무르는 데 훨씬 더 어려운 환경임을 인식하고 있다"고 말했다.
2
2. 자동화와 분석, 높은 비용 절감 효과
자동화, 인공지능, 머신러닝 및 행동 분석은 인텔리전스 기반 기술보다 널리 퍼지진 않았지만 높은 수준의 가치를 제공한다. 자동화와 머신러닝은 기업 가운데 1/3만 사용하고 있지만 200만 달러 이상의 비용 절감 효과를 달성했다.
테일러는 "시장에 상용화 기술이 적지만 상당한 기업고객이 AI와 머신러닝을 통해 점점 더 많이 자동화하고 더많은 사이버 분석과 행동 분석을 하고 있음을 알게됐다. 비용 지출은 거의 없으면서 비용 절감은 상당히 극적이다"고 말했다. 분석 측면에서 사용자 행동 분석과 같은 기술을 적용한 기업의 수는 적다. 이 기술을 적용한 기업은 1/3에 불과하지만 172만 달러의 비용을 절감할 수 있었다.
자동화, 인공지능, 머신러닝 및 행동 분석은 인텔리전스 기반 기술보다 널리 퍼지진 않았지만 높은 수준의 가치를 제공한다. 자동화와 머신러닝은 기업 가운데 1/3만 사용하고 있지만 200만 달러 이상의 비용 절감 효과를 달성했다.
테일러는 "시장에 상용화 기술이 적지만 상당한 기업고객이 AI와 머신러닝을 통해 점점 더 많이 자동화하고 더많은 사이버 분석과 행동 분석을 하고 있음을 알게됐다. 비용 지출은 거의 없으면서 비용 절감은 상당히 극적이다"고 말했다. 분석 측면에서 사용자 행동 분석과 같은 기술을 적용한 기업의 수는 적다. 이 기술을 적용한 기업은 1/3에 불과하지만 172만 달러의 비용을 절감할 수 있었다.
3
3. 진화하는 기본 보안, ID 및 액세스 관리
여전히 많은 가치를 창출하고 있는 오래된 기술은 바로 IAM(Identity and Access Management)이다. 조직의 60% 이상에서 사용되고 있으며, 조직 당 183만 달러의 비용을 절감하고 있다.
테일러는 "특히 액세스 권한 관리와 관련해 IAM은 해야 할 일이 많다. 계약업체, 공급업체, 임직원 등 자사에 들어오는 사람들의 수가 많을수록 액세스 권한을 제공하는 것에 대해 훨씬 더 신중해야 한다는 걸 의미한다.
기업이 클라우드로 전환하고 기본적인 비밀번호에서 벗어나는 상황에서 ID 및 인증과 관련된 기술은 내부적으로나 공급업체, 협력업체들을 위해 점점 더 중요한 부분이 되고 있다.
여전히 많은 가치를 창출하고 있는 오래된 기술은 바로 IAM(Identity and Access Management)이다. 조직의 60% 이상에서 사용되고 있으며, 조직 당 183만 달러의 비용을 절감하고 있다.
테일러는 "특히 액세스 권한 관리와 관련해 IAM은 해야 할 일이 많다. 계약업체, 공급업체, 임직원 등 자사에 들어오는 사람들의 수가 많을수록 액세스 권한을 제공하는 것에 대해 훨씬 더 신중해야 한다는 걸 의미한다.
기업이 클라우드로 전환하고 기본적인 비밀번호에서 벗어나는 상황에서 ID 및 인증과 관련된 기술은 내부적으로나 공급업체, 협력업체들을 위해 점점 더 중요한 부분이 되고 있다.
4
4. 기본 보안 및 경계 제어의 비용 절감
기본적인 보안 기술은 많은 가치를 이끌어내지는 못하지만 무시할 수는 없다. DLP(Data Loss Prevention), 경계 제어(perimeter controls), 정책 관리(policy management)와 같이 오래되고 제대로 정립된 많은 보안 기술이 비용 절감의 효과가 컸다. 지출 비용과 비교했을 때 최소 20만 달러 미만의 효과를 제공했다. 테일러는 "이런 기본적인 보안은 우리가 20년 동안 해 온 것들이다. 이들은 보안의 빵이자 버터 같은 것이지만 지출 비용을 절반 이하로 줄여야 한다"고 말했다.
그러나 이런 보안 기술이 많은 가치를 창출하지 못하거나 비용을 많이 절감하지 못한다고 해서 가치가 없다는 걸 의미하지는 않는다.
테일러는 "기업의 경계는 너무 복잡하다. 보안을 유지하는 것은 갈수록 어려워지고 있으며 동적이고 빠른 변화를 이해하는 것 또한 점점 더 어려워지고 있다. 이런 복잡성으로 인해 언제나 변화하는 것을 보호하는 방법을 찾는 투자는 효과가 낮아질 수 밖에 없다"고 말했다.
기본적인 보안 기술은 많은 가치를 이끌어내지는 못하지만 무시할 수는 없다. DLP(Data Loss Prevention), 경계 제어(perimeter controls), 정책 관리(policy management)와 같이 오래되고 제대로 정립된 많은 보안 기술이 비용 절감의 효과가 컸다. 지출 비용과 비교했을 때 최소 20만 달러 미만의 효과를 제공했다. 테일러는 "이런 기본적인 보안은 우리가 20년 동안 해 온 것들이다. 이들은 보안의 빵이자 버터 같은 것이지만 지출 비용을 절반 이하로 줄여야 한다"고 말했다.
그러나 이런 보안 기술이 많은 가치를 창출하지 못하거나 비용을 많이 절감하지 못한다고 해서 가치가 없다는 걸 의미하지는 않는다.
테일러는 "기업의 경계는 너무 복잡하다. 보안을 유지하는 것은 갈수록 어려워지고 있으며 동적이고 빠른 변화를 이해하는 것 또한 점점 더 어려워지고 있다. 이런 복잡성으로 인해 언제나 변화하는 것을 보호하는 방법을 찾는 투자는 효과가 낮아질 수 밖에 없다"고 말했다.
5
5. 보안 기술 및 투자 가치를 입증
테일러는 "사이버보안 투자가 기업에 제공하는 가치를 좀 더 효과적으로 전달하기 위해 CSO는 올바른 메트릭스를 제공하고 이를 비즈니스 리스크 측면으로 봐야 한다"고 강조했다. 테일러는 "이사회는 데이터 기반의 투자 의사 결정력을 기대한다. X의 리스크 완화가 얼마만큼의 이익을 창출하는 지 이해하길 바란다. 그리고 그들은 비즈니스 사례를 원한다"고 말했다.
자사에 공급망, 제조 공장, 전자상거래 플랫폼, 고객관리시스템 등이 있다면, 공급망 일부에서 공격하는 이가 누구인지, 그들이 자사의 일부 데이터를 갖고 간다면 얼마나 많은 비용이 드는 지를 말해줘야 한다.
테일러는 "사이버보안 투자가 기업에 제공하는 가치를 좀 더 효과적으로 전달하기 위해 CSO는 올바른 메트릭스를 제공하고 이를 비즈니스 리스크 측면으로 봐야 한다"고 강조했다. 테일러는 "이사회는 데이터 기반의 투자 의사 결정력을 기대한다. X의 리스크 완화가 얼마만큼의 이익을 창출하는 지 이해하길 바란다. 그리고 그들은 비즈니스 사례를 원한다"고 말했다.
자사에 공급망, 제조 공장, 전자상거래 플랫폼, 고객관리시스템 등이 있다면, 공급망 일부에서 공격하는 이가 누구인지, 그들이 자사의 일부 데이터를 갖고 간다면 얼마나 많은 비용이 드는 지를 말해줘야 한다.
6
6. 데이터를 기반으로 자산을 이해
테일러는 대부분의 기업이 미성숙 자산 재고를 보유하고 있으며, 보유한 데이터와 가장 중요한 데이터를 파악하고 해당 기술과 솔루션에서 나오는 정보를 중점에 둬야 한다고 강조했다. 테일러는 "이사회는 100개의 운영 기술 매트릭스를 원하지 않는다. 시간에 따른 추세를 파악하고 투자 우선 순위를 조정할 수 있는 5가지만을 원한다. 이 5가지는 모두 비즈니스 사례와 관련이 있다. 만약 해킹이 발생한다면 일어날 수 있는 일과 자사의 비즈니스에서 잃을 수 있는 X, 그리고 리스크를 없앨 수 있는 투자 Y에 대한 것들이다.
피싱 시도와 관련해 공격 숫자를 제공하는 것이 아니라 성공 여부와 관계없이 해당 추세가 증가하는지 축소하는 지, 그리고 성공률의 변화 여부를 설명해야 한다. 설명 자료는 사실 기반의 데이터 중심으로 만들어야 한다.
테일러는 대부분의 기업이 미성숙 자산 재고를 보유하고 있으며, 보유한 데이터와 가장 중요한 데이터를 파악하고 해당 기술과 솔루션에서 나오는 정보를 중점에 둬야 한다고 강조했다. 테일러는 "이사회는 100개의 운영 기술 매트릭스를 원하지 않는다. 시간에 따른 추세를 파악하고 투자 우선 순위를 조정할 수 있는 5가지만을 원한다. 이 5가지는 모두 비즈니스 사례와 관련이 있다. 만약 해킹이 발생한다면 일어날 수 있는 일과 자사의 비즈니스에서 잃을 수 있는 X, 그리고 리스크를 없앨 수 있는 투자 Y에 대한 것들이다.
피싱 시도와 관련해 공격 숫자를 제공하는 것이 아니라 성공 여부와 관계없이 해당 추세가 증가하는지 축소하는 지, 그리고 성공률의 변화 여부를 설명해야 한다. 설명 자료는 사실 기반의 데이터 중심으로 만들어야 한다.
7
7. 해킹 당한다는 것, 기업에게는 좋지 않다, 하지만…
불행하게도 보안의 가치를 보여주는 가장 좋은 방법 가운데 하나는 과소 투자의 결말을 경험하는 것이다. 한 마디로 해킹 당하는 것이다. 테일러는 "해킹 사고는 더 많은 투자를 유발한다. 기업 고객 가운데 하나는 해킹 사고를 겪고 난 이후 CSO는 이전에 비해 4배나 많은 투자를 할 수 있었다"고 말했다. 해킹 사고가 공개되어 재무 및 주가에 영향을 미쳤기 때문이다.
테일러는 "사전 예방적 관리보다 소방을 장려하고 있다. 사전 예방은 실제로 대응 조치보다 회사에 훨씬 더 유익하다. 하지만 불행하게도 대응 정책은 투자 동기를 만들어내고 보안에 대한 투자 자금을 창출한다"고 말했다.
이사회는 경쟁 업체에 일어난 일은 자사에도 일어날 수 있다는 사실을 이해하기 시작했다. 따라서 경쟁업체가 겪고 있는 피해 사례를 투자가 필요한 예시로 사용할 수 있다.
불행하게도 보안의 가치를 보여주는 가장 좋은 방법 가운데 하나는 과소 투자의 결말을 경험하는 것이다. 한 마디로 해킹 당하는 것이다. 테일러는 "해킹 사고는 더 많은 투자를 유발한다. 기업 고객 가운데 하나는 해킹 사고를 겪고 난 이후 CSO는 이전에 비해 4배나 많은 투자를 할 수 있었다"고 말했다. 해킹 사고가 공개되어 재무 및 주가에 영향을 미쳤기 때문이다.
테일러는 "사전 예방적 관리보다 소방을 장려하고 있다. 사전 예방은 실제로 대응 조치보다 회사에 훨씬 더 유익하다. 하지만 불행하게도 대응 정책은 투자 동기를 만들어내고 보안에 대한 투자 자금을 창출한다"고 말했다.
이사회는 경쟁 업체에 일어난 일은 자사에도 일어날 수 있다는 사실을 이해하기 시작했다. 따라서 경쟁업체가 겪고 있는 피해 사례를 투자가 필요한 예시로 사용할 수 있다.
8
