2021년 전 세계 기업의 보안 및 위험 관리 지출 추정치
1,500
억 달러
자료 제목 :
기업의 정보 보안 및 위험 관리 기술 관련 투자 비용
Information Security & Risk Management End User Spending by Segment
자료 출처 :
Gartner
원본자료 다운로드
발행 날짜 :
2021년 05월 17일
보안

글로벌 칼럼 | 예산 전쟁에서 승리한 보안팀을 위한 조언

Matt Asay | InfoWorld 2022.06.30
최근 발표된 모건 스탠리 자료에 따르면, CIO는 경기 침체 여부와 상관없이 보안 예산을 삭감 불가능한 항목으로 여기는 것으로 조사됐다. 보안 업계에선 반가운 소식이다. 물론 보안 업데이트를 하지 않는다면 아무리 예산을 많이 확보해도 보안성은 높아지지 않을 것이다. 실제로 AWS의 부사장인 맷 윌슨은 “보안 및 안정성이 중요한 시스템에 소프트웨어를 설치할 경우, 이용자는 꾸준히 보안 업데이트하고 유지보수 서비스를 신경써야 한다”라고 지적한 바 있다
 
ⓒ Getty Images Bank

보안 업데이트가 실시간으로 되지 않은 오픈소스 소프트웨어는 해커가 자주 노리는 공격 대상이다. 사실 오픈소스는 본질적으로 보안성이 높은 기술이지만 워낙 오랫동안 해커의 공격 대상이 되면서, 오픈소스의 문제점에 보안을 많이 거론한다. 당연히 기업은 오픈소스 보안에 지속적으로 비용을 투자할 수밖에 없다. 

돈만으로는 해결할 수 없는 보안

CIO는 과거와 달리 보안 기술 투자에 적극적이다. 가트너는 2021년 기준 전 세계 기업이 보안 제품 구매에 1,500억 달러 이상을 지출했다고 추정했다. 이는 상당한 규모인데, 2022년을 포함해 앞으로도 이 예산 규모는 줄어들지 않을 것으로 예상된다. 

‘경기 침체가 올 경우 어떤 기술에 우선적으로 투자할 것인가’라는 질문에 CIO는 첫 번째는 클라우드 컴퓨팅, 두 번째는 보안을 언급했다. 이는 놀라운 발전인데, 과거에 기업은 보안 사고를 당한 이후에야 보안 기술에 투자하곤 했기 때문이다. 

그러면 보안 기술 중에서도 구체적으로 어떤 종류에 투자하고 있을까? 리서치 업계 자료를 보면, 기업의 자금은 주로 신원 및 접근 관리, 메시지 보안, 그리고 네트워크 보안 분야에 집중돼있다. 가령 IDC는 관리형 보안 서비스와 자동화된 애플리케이션 테스트 기술에 기업 예산 상당수가 투입됐다고 발표했다. 

자동화 기술 투자가 증가하고 있는 것은 바람직해 보인다. 마이크로서비스를 비롯해 최신 기술 트렌드를 보면, 기술을 새로 도입하면 할수록 보안성을 확보하는 것은 점점 까다로워지고 있다. 필자는 2020년에도 이 문제를 지적한 바 있다. 개발팀이 인프라나 보안 등 모든 것을 다 확인하면서 서비스를 만들 수 없기에, 마이크로서비스이든 단일 애플리케이션이든 상관없이 보안성은 확보하기 어려운 과제가 되고 있다. 그런 면에서 자동화 기술은 특정 소프트웨어에 필요한 테스트나 보안 요소를 미리 확인할 수 있다는 점에서 도움을 줄 것이다. 

자동화 기술은 오픈소스 소프트웨어 사용이 증가하면서 더 중요한 요소로 자리 잡았다. 오픈소스 소프트웨어는 보안과 관련해 우수한 프로세스를 제공한다. 그러나 보안 패치를 업데이트하지 않은 채 계속 두면 상용 소프트웨어를 이용하는 것보다 못하며, 혜택을 제대로 누리지 못한다. 혹시 누가 “오픈소스는 안전하지 않고 위험하다”고 이야기를 하면 “보안 위험 요소는 오픈소스를 사용해서 생기는 것이 아니다. 무책임하게 사용해서 발생한다”라는 말을 잘 기억해두자. 

사람은 결국 보안 프로세스의 일부다

조금 더 근본적인 문제를 이야기해보자. 보안 전문 업체 이반티(Ivanti)의 크리스 괴틀은 “해커는 공격 대상보다 항상 더 빠르게 보안 취약점을 만들어낸다”라고 표현한 적 있다. 여기 ‘빠르게’란 의미는 정확히 무엇일까? RAND 리서치의 자료에 따르면, 해커는 이미 알려진 취약점을 기반으로 공격을 준비하고 실행하기까지 22일이 걸리는데, 피해 기업은 7년 동안 공격받은 취약점을 고치지 않고 계속 유지하는 경우가 있다고 한다. 코드를 유지 보수하지 않은 채로 사용하거나(아주 흔한 일이다), 고칠 수 있는 취약점이 있음에도 보안 업데이트를 하지 않았기에 이런 일이 발생한다. 

보안 소프트웨어 예산을 확보하는 일에는 다들 관심이 많지만, 보안에 대한 경각심을 키우는 노력은 언제나 뒤로 밀려난다. 기업의 보안 전략은 언제나 소수만 관심을 보인다. 오픈 소프트웨어 보안 재단(Open Software Security Foundation)은 다른 분야의 교육도 중요하지만, 오픈소스 기술만큼은 반드시 보안 교육이 이뤄져야 한다고 강조한 바 있다

최근 일부 대기업에서 핵심 오픈소스 인프라를 보호하기 위해 1억 5,000만 달러의 비용을 투자하겠다고 밝혔다. 이는 훌륭한 결정이지만, 사실 충분하지 않다. 보안은 항상 사람과 프로세스, 이 두가지 모두에 영향을 받는다. 둘 다 자동화를 통해 지원할 수 있다. 그러나 소프트웨어 보안 담당직원이 오픈소스를 어떻게 바라봐야 하는지 교육받지 못했다면, 아무리 많은 돈을 들여도 높은 보안성을 확보하지 못할 것이다.  

보안성을 높이려면 어떤 부분을 우선적으로 유지 보수할지 전사적인 합의가 있어야 하고, 그에 따른 교육도 필요하다. 엔터프라이즈 스트레티지 그룹(Enterprise Strategy Group)의 수석 애널리스트인 더그 케이힐은 “보안 패치는 넘쳐나고 있다. 기업 규모가 크고 내부 부서가 다양할 수록, 모든 시스템을 항상 최신 상태로 유지하는 것은 현실적으로 어렵다”라고 설명한다. 패치가 필요한 시스템이 넘쳐나고 있는 상황이기에 현명한 기업이라면 가장 핵심적인 애플리케이션이 무엇인지 파악하고 어떤 것을 먼저 지원할지 정해야 한다. 

가끔 패치로 시스템에 문제가 발생하기도 한다. 호환성 문제로 기능이 작동하지 않거나 서비스를 일시 중단할 수 있다. 하지만 이 문제도 해결하려면 결국 교육이 제공되고 프로세스를 구축해야 한다. 보안 예산을 많이 확보했다고 자랑하기 전에, 적절한 영역에 지출하고 있는지를 확인해보자. 특히 이 기사에서 나온 9가지 사항을 점검하면 도움을 받을 수 있을 것이다. 
editor@itworld.co.kr
 Tags CIO 보안예산

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.