가트너의 연례 설문조사에 따르면, 총 IT 지출 가운데 IT 보안 지출은 2008년 최고 수준을 기록했다. 전체 IT 예산을 삭감하던 시기에 가트너 고객 중 일부는 보안 예산을 소폭 늘렸으나 전반적으로 IT 예산 중 보안이 차지하는 비율은 2008년 6%에서 2009년 5%로 총 20% 줄었다. 2008~2009년 직원 1인당 보안 지출도 636달러에서 525달러로 감소해 비슷한 하락세를 보였다.
2009년 정보 보안 직원들이 일부 해고되기도 했다. 직원 1인당 보안 지출은 2007년 510달러에서 꾸준히 늘어나 2010년과 2011년에 591달러를 기록했으며, 이는 2008년을 제외했을 때 가장 높은 수준이었다. 설문 조사 응답자들은 정보보안 담당 FTE(Full-Time Equivalent) 수가 2008년 이후 매년 감소했다고 밝혔으며 직원 수는 2008년 최고점을 기록한 이후 계속 줄어드는 추세다. 직원 수의 분명한 감소 추세는 보안 활동 수준이 약화됐다기보다 보안 프로세스가 지속적으로 조작화됐음을 보여주는 것이다.
◇보안 투자 필요하지만 재무 위기가 우선순위 바꿔=올해 가트너-포브스 임원 설문조사에서는 거버넌스, 위험 및 규제준수(GRC) 관련 비즈니스 이슈가 매출 및 수익과 직접적으로 연관된 이슈보다 낮은 순위를 차지했다. 하지만 동시에 위험 관리 투자가 늘어날 것으로 전망했다. 응답자들은 추후 경기 침체 심화 가능성을 언급하지 않았지만, 당분간 보안 예산이 안전하더라도 경제 침체가 심화될 경우 심각한 압박을 받을 수 있다는 점에 대해서는 동의했다.
경제 여건이 어떠하든 기본적인 수준의 보안 투자는 사치가 아니다. 패치 작업을 하지 않은 시스템은 인터넷에 연결되자마자 수 분 내에 악성 코드에 의해 손상될 수 있으며, 보안을 갖추지 않은 네트워크 경계는 순식간에 해커들의 공격 대상이 될 수 있다. 멀웨어와 해커들은 잘 알려진 위협이며, 운영 기준선(operational baselines)에 통합돼 상대적으로 간단한 형태로 제어가 가능하다. 가상사설망(VPN)이 제공하는 인증 및 암호화와 같은 보안 메커니즘은 기밀과 관련된 내부 시스템에 원격으로 접근하기 위한 보편적 의무사항이다.
일부 보안 수준은 의무적인 것으로 간주돼야 하지만, 정보 보안 장애를 100% 예측 및 계량화하는 것이 불가능하기 때문에 보안 전문가들은 예측하지 못한 위험이나 과소평가된 위험에 대비해 추가적 노력을 한다. 안전 요소는 어떤 종류의 설계 과정에도 포함된다. 만약 관리자들이 그럴 여유가 있다면 사용자가 영향을 받지 않는 선에서 대부분은 과보호 쪽으로 기울게 된다. 정확하게 파악된 작업과 스트레스를 다루는 구조적 엔지니어들과 달리 보안 전문가는 인간 위협에 맞서야 하고 해커의 공격 노력을 미리 아는 것은 불가능하다. 적당한 보안 지출 수준은 누가 지불 하는가, 사고 발생 시 누가 해고되는 지에 따라 결정된다. 보안 사고에 대해 명시적으로 책임을 지는 최고정보보안책임자(CISO)는 사업조직에서 자체 정보 보안 위험을 수용하기 바라는 CISO보다 분명 보안 지출에 더 적극적일 것이다.
IT 보안 위험 책임자가 누구든 매출이 예산을 더 이상 뒷받침해주지 못한다면, 예산을 삭감해야 한다. 보안 지출과 같이 분명하고 즉각적으로 매출에 기여를 하지 못하는 예산 항목은 철저한 조사를 받아야 한다.
◇보안 관리자가 집중해야 할 핵심 요소=예산 위기가 시작되면 보안 관리자들은 네 가지 전술에 집중해야 한다.
우선 기준선 보호를 유지한다. 안정적으로 사업을 운영하기 위해 필요한 최소 보안 수준을 확실하게 파악해야 한다. 네트워크 방화벽 유지보수, 이메일 게이트웨이 보안, 취약성 관리, 데스크톱 멀웨어 차단 서비스 가입과 같은 기술 및 프로세스는 필수적인 것으로 간주해야 한다.
두번째 품위 있는 절충을 한다. 직원과 제공업체에 지급할 현금이 부족하다면, 기업 운영의 영속을 위한 절충이 필요하다. 조직의 여러 분야가 타격을 받는 상황이라면 보안 관리자들의 절충도 피할 수 없다. 절충을 위한 협력은 대부분 개선 작업 연기나 원래 계획된 경비의 삭감 형태를 취하게 된다. 일부 선택적 프로젝트나 실험적 프로젝트는 별 문제 없이 연기할 수 있다. 과거 투자에 대한 심리적 편견을 인식하고, 선호하는 프로젝트와 관련해 진행 중이던 작업을 중단할 경우를 대비 한다. 이미 지출된 돈(매몰 비용)은 우선 순위 조정 결정에 영향을 미쳐서는 안 된다. 재무적 지급불능 상황이 가까워진다면, 현 보안 지출도 어쩔 수 없이 일부 삭감해야 한다.
세번째 분명한 의사결정을 요구한다. 보안 지출은 정확하게 파악된 비즈니스 니즈를 기준으로 할 때만 최적화될 수 있다. IT 자산 소유권을 해당 사업 관리자에 할당하고, 해당 관리자가 명시적으로 보안 위험을 수용토록 한 기업들은 IT 보안과 관련된 최적의 의사결정을 내리기 가장 적합하다. 반면 책임을 사업부서 관리자에게 전환하지 않은 기업들은 일단 예산 부족으로 혼란한 상황이 시작되면 과감한 변화를 가져오기 어렵다. IT 보안 책임자가 누구든 보안 예산 삭감 결정과 개선 작업 축소 또는 연기 결정은 반드시 문서화해야 한다. 관련 관리자가 서명한 의사 결정 문서에는 비즈니스 타당성, 마련될 보완 통제 장치, 잔여 위험의 예상 형태 및 수준(모니터링 및 정기적 위험 재평가), 서비스 재개나 개선 계획 가속화의 선행 조건이 명시돼야 한다.
마지막으로는 계약상 법적 및 윤리적 의무를 충족한다. 기업들에 있어 파산을 피하는 것은 최우선 순위다. 보안 사고가 발생한다면 그 역시 안타까운 일이지만, 완전히 사업이 실패하는 것만큼 심각하진 않다. 매출이 줄면 일부 조직은 외부 요건과 기대를 충족하지 못한다. 보안 전문가들은 비즈니스 생존과 관계없이 충족시켜야 할 의무가 있으며, 국제공인정보시스템보안전문가(CISSP)·국제공인정보보안관리자(CISM) 등 프로그램에서는 서면윤리규약 준수 동의가 요구된다. 서비스 제공업체나 정부가 더 이상 보안 의무를 준수하지 못하면, 유료 고객들과 납세자들은 당연히 해당업체나 정부가 사업 운영권을 상실했다고 생각할 것이다. 이같은 처지의 기업들은 의무 변경을 협상하거나 운영을 중단한다고 발표해야 한다. 아무도 모르게 조용히 보안 노력을 법적 및 계약 약정 수준 이하로 낮추는 것은 용인될 수 없다.
보안 관리자들은 늘어나는 사이버 범죄와 강화되는 규제준수 부담에 대처하기 위해 보안 지출을 유지하거나 늘릴 수 있다. 재택근무 지원을 위한 원격 접근 등 경우에 보안 기술은 비용 절감 노력에 직접적 역할을 한다. 그러나 보안이 비즈니스에 주는 혜택을 증명해 보일 수 없거나 특정 보안 통제 수준에 대한 비즈니스 니즈를 완전히 파악하지 못하는 보안 관리자들은 보안에 배정된 예산이 줄어들 것을 예상해야 한다. 직감적으로 보안 활동 축소 결정을 한 많은 조직들은 안타깝게도 나중에 해당 결정을 후회하게 되지만 이런 사실이 해고된 보안 관리자들에게 위안이 되지는 못한다.
대부분의 임원들은 경쟁, 범죄 및 직원 위험이 금융 위기 기간 동안 늘어난다는 것을 잘 알고 있다. 비즈니스 성공을 위해서는 보안이 튼튼해야 하며, 보안은 사치품이 아니라 필수품이다. 금융 위기가 경제 전반으로 확산 되면, 경험 많고 영향력 있는 보안 관리자들이 중요한 역할을 하게 될 것이며, 점점 늘어나는 위험에 맞서 개인 기밀 정보와 독점 정보를 비용 효율적으로 보호할 것이다.
제이 헤이서 가트너 리서치 부사장 jay.heiser@gartner.com
2012년도 가트너-포브스 임원 설문조사에서 높은 투자 우선 순위에 오른 위기 관리
정보 기술
판매
생산 강화
파트너쉽, 동맹, 가치 사슬
위기 관리
R&D(연구 개발)
마케팅
기업 관리 방식
인재 및 문화 개발
자본 설비
법과 준수
고용
임원 보상
해외 진출
경영 서비스
지적 재산권
재산 및 시설
(자료:가트너 2012년 7월)