[IT 2009] ② 경제위기에도 보안 프로젝트는 계속된다

썬 마이크로시스템즈의 부사장이자 최고 정보보안 책임자인 레슬리 램버트는 3주간의 인도출장에서 돌아왔다. 몇 가지 기념품, 그리고 2009년을 책임질 전혀 새로운 IT 보안 우선순위 한 세트와 함께.

인도는 썬의 관리형 서비스 공급업체 250곳 가운데 29개의 본거지인데,경기불황으로 인해 이들 공급업체는 데이터센터를 설립하기가 더 어려워졌고 그래서 전세계의 다른 공급업체로부터 받은 서비스를 조달하고 있다.

램버스는 "중점을 옮기려고 한다"라면서, 2009년에는 서버 보안, 메트릭스, 애플리케이션 보안 및 웹 보안 같은 프로젝트가 새로운 데이터 보호 대책과 한층 강화한 사용자 접속 및 신원관리 시스템에 자리를 내주고 뒷자리로 물러날 것이라고 설명했다. 램버스는 "요즘은 그런 것들이 대세"라면서도, 만일 경제가 탄탄해지는 상황이라면 모든 프로젝트가 제대로 진행될 수 있을 것이지만 문제는 경제위기라고 덧붙였다.

사실 보안은 컴퓨터월드의 포어캐스트 코너의 설문 응답자들이 최고로 꼽은 안티 바이러스, 암호화 그리고 신원관리와 함께 모든 회사의 최고 우선순위다. 그러나 경제적 불확실성이 대부분의 IT 예산에 그늘을 드리우면서 관리자는 가장 중요한 프로젝트를 고르고 골라야 하는 입장에 서게 됐다.

미국 테니스 협회(USTA)가 가장 좋은 예다. 이 조직은 유에스 오픈 테니스 대회에서 지난 여름 2주만에 총수입의 85%을 창출했고, 대회 덕에 승승장구 하는 가운데, IT 직원들은 엉망이 된 보안에 손을 쓰지 못했다. 그래서 CIO 래리 본판테가 협회의 웹사이트를 사용하는 800개의 미디어 회원사가 끌고 들어오는  맬웨어로부터 네트워크를 보호할 수 있도록 USTA는 네트워크 접속 제어 시스템을 개선시켜야 할 필요가 있을 것 같다는 결정을 했을 때, 예산이 고정되었음에도 프로젝트가 승인을 얻었다.

본판테는 “팬이든, 고객이든 테니스 게임이든, 수익에 영향을 미칠 수 있는 것이라면 뭐든지 비즈니스 적으로 주요한 것으로 간주된다”고 말하면서도 “모든 프로젝트에 대한 자금을 확보하기 전에 확실한 투자수익률이 있는지 분명히 하기 위해 엄격한 검증을 거친다. 이 점에서 보안 프로젝트도 다르지 않다”고 강조했다.

법률회사 넥슨 프뤼에 LLC는 2009년 자사의 인트라넷을 정비한다는 계획이다. 무엇보다도 인트라넷의 개선을 통해 시스템이 보안수준에 따라 재무자료와 보고자료에 대한 사용자 접속을 허가할 수 있게 된다. 경제상황이 힘들지만 이 프로젝트는 진행될 예정이지만, 속도는 원래의 계획보다 더뎌질 것이다. 테크놀러지 디렉터의 존 E.C. 데이비스는 “전반적인 조직 효율성과 생산성을 증대한다는 것은 기술 인프라와 핵심 애플리케이션에 쓰는 비용을 증가시킨다는 의미다”라고 풀이했다.

경계는 늦추지 말아야 한다

가트너 분석가인 존 페스카토레는 보통 불경기에도 끝까지 살아 남는 프로젝트는 “나쁜 놈은 멀리 두기”를 취지로 하는 프로젝트들이라고 말했다. 그러나 “착한 놈은 들여보내도록” 하는 프로젝트의 경우 그 경비는 종종 경영활동 주기에 따라 제한된다.

페스카토레는 “새로운 서비스와 제품을 발굴할 수 있는 새로운 비즈니스 프로젝트가 있다면 신원 및 접속 관리에 쓰는 보안비용도 많이 소요된다”면서 “그러나 2009년에는 바로 그 점이 타격을 입으리라 예상되는 부분이고 이 때문에 보안누설 가능성을 증가시킬 수 있다고 말했다.

최악의 시나리오: 신원 및 접속 관리 시스템이 제대로 정비되어 있지 않으면 회사는 직원들에게 허용하던 가정용 PC, 노트북 또는 기업용 아이폰 사용을 중단할 수 있다. 그러나 페스카토레는 경제 때문에 그럴 것 같지는 않다고 말한다.

페스카토레는 아마 대부분 정부와 금융부문에 할애하던 “특혜를 취소하는 회사도 있을 것”이라고 말한다. 그러나 “대부분의 회사는 아마 ‘가정용 PC를 사용한다면 회사에서 사줄 필요는 없으니 그 돈이 절약되겠다’라고 여길 수 있다” 라고 예상했다. 심지어 구글 애플리케이션처럼 직원 개인용 소프트웨어를 사용하도록 고려하는 기업도 있을 수 있다는 것이다.

페스카토레는 “실제로 비용 압박을 받고 있는 기업에서는 보안 위험을 감수하고라도 이런 저가의 소비자 대안을 사용하고 싶은 유혹을 느낄 수 있다”고 덧붙였다.

금융 대붕괴의 불똥은 올해 금융 비리를 다루기 위한 규제에 더 크게 튈 수 있고 이것이 고스란히 리포팅 툴에 소요되는 경비를 야기시킬 수 있다. 새로운 규제는 모든 상장법인의 경우와는 반대로 금융 회사에만 영향을 미칠 수 있으면서도, “정부에 직접 보고하는 새로운 위험을 야기시킬 수 있다”고 페스카토레는 지적한다.

규제 준수

한편, 많은 업계의 기업들은 사적이고 민감한 정보를 보호하는 법적이고 규제적인 명령을 준수하고자 고심할 것이다.  

예컨대 공익 사업자는 감시 제어 및 데이터 취득(SCADA) 시스템 및 프로세스를 감시하는 산업관리 툴을 확보토록 요청하는 여러 규제기관의 명령을 받는다. 금융서비스 부문에서 상대적으로 덩치가 작은 은행은 연방금융기관감시위원회(FDIC) 및 바젤II 표준을 충족하기 위해 이중 인증을 채택하는 추세다. 또한 소매업체는 결제-카드 업계요건을 충족시켜야 한다.

아세로 월드와이드의 정보보증 수석이사 제프 번스타인은 “이들 조직에게 정보보안은 협상의 대상이 아니다”라고 말하면서 “하드웨어와 소프트웨어 같은 IT 구매건의 경우에는 그런 일이 있을 수 있지만, 내외부의 요건을 충족시킨다는 것은 타협의 대상이 될 수 없다”고 덧붙였다.

업계 관측통들은 일부 IT 보안 프로젝트의 지연은 특히 골치덩어리의 신종 봇넷이 가장 안전한 기업에 영향을 미치는 상황에서 위험한 기업행위로 이어질 수 있다고 우려한다. 페스카토레는 “본인이 맬웨어를 고려하지 않는다면, 그에 대한 어떤 조치에 드는 비용도 발생시키지 않을 것이다”라고 말한다.

프록터앤갬블는 IT보안에 대대적으로 투자했지만, 가트너의 사례연구에 따르면, 2007년 자사 PC의 4%가 봇넷의 공격을 받았다. 이 문제를 해결하고자 피엔지는 3.000대의 PC 대부분을 리이미징해야 했다. 값비싼 작업이었다.

그러나 침해에 대한 대처가 예방보다 더 돈이 많이 든다고 페스카토레는 말한다. 10만 명의 고객 정보는 브랜드 네임 손해를 제외하고 해결하는데 보통 1,000만 달러에서 1,500만 달러의 비용이 든다. 그러나 데이터 누설 예방에는 300만 달러에서 500만 달러의 비용이 든다.

전 부문에 걸친 해고 사태가 예고된 가운데 더 많은 기업이 일부 보안 기능의 아웃소싱을 고려할 것이라고 가트너는 내다봤다. 또한 기업은 소프트웨어, 관리 및 유지보수 비용의 절감 그리고 사내 전력 및 냉각 비용의 감소를 위해 “서버로써의 보안”에 눈을 돌릴 것이라고도 예상하고 있다.

페스카토레는 “5년에 걸쳐 더 많은 비용을 치러야 할지도 모르지만 2009년엔 좀 덜 들 것이다”라고 예상했다.

위기는 곧 기회

마지막으로 가트너의 존 페스카토레는 "이런 힘든 시기는 지금껏 해오던 방식을 바꿀 수 있는 기회가 된다. 비단 운에 맡기고 해보는 것이 아니라 모든 것을 변화시키고 보안에 쓰고 있는 비용을 줄이도록 노력할 수 있는 기회 말이다"라고 조언했다. editor@idg.co.kr