보안 소프트웨어 및 서비스 지출이 인력 예산보다 빠르게 증가하는 추세다. 기업 보안 구축자가 아닌 ‘수량 조사사(quantity surveyor)’의 역할을 맡는 CISO가 늘어난다는 의미다.
가트너(Gartner) 전망에 따르면 오는 2025년 보안 서비스 지출은 15.8% 증가해 861억 달러에 이른다. 사이버보안 업계의 글로벌 인재 부족이 지속되면서 기업의 보안 서비스 투자가 증가했으며, 기업의 인프라 보안 접근 방식이 재편되는 양상이다.
특히 CISO는 채용 및 유지가 어려운 보안 전문가를 확보하고자 관리형 보안 서비스에 주목했다. 채용 동결과 승진 축소가 보편화되고 있지만, 보안 소프트웨어 및 서비스에 대한 지출은 향후 몇 년간 증가할 전망이다.
IDC는 2023~28년 관리형 보안 서비스의 글로벌 연평균 성장률(CAGR)이 12.2%에 달한다고 예측했다.
IDC의 보안 서비스 담당 리서치 부사장 크레이그 로빈슨은 CSO와의 인터뷰에서 “특히 코로나19 팬데믹 이후 인프라가 하이브리드화하고 클라우드 의존도가 높아지면서 보안 서비스를 아웃소싱하는 기업이 늘었다”라고 밝혔다.
로빈슨은 “더 많은 IT 기능을 클라우드로 이전하면서 공격 표면이 증가했기 때문에 기존 도구는 불충분해졌다. 기업이 많은 경고에 직면한 나머지 관리형 탐지 및 대응(MDR) 같은 아웃소싱 기술이 합리적인 선택으로 떠올랐다”라고 설명했다.
한편 파운드리(Foundry)의 ‘2024 보안 우선순위’ 연구에 따르면, 향후 12개월 동안 CISO가 관리형 서비스 업체에 아웃소싱할 주요 IT 보안 기능은 위협 탐지 및 대응(24%), 보안 인식 교육(23%), 보안 운영(23%)이었다. 위협 인텔리전스(22%), 취약점 평가(22%), 백업 및 복구(22%)가 그 뒤를 이었다.
Foundry / CSO
또한 향후 12개월 내에 관리형 보안 서비스 업체나 기타 서드파티 업체에 보안 기능을 아웃소싱하겠다고 답한 응답자가 82%에 달했다.
로빈슨은 확장 탐지 및 대응(XDR), 보안 정보 및 이벤트 관리(SIEM)와 같은 보안 기술의 아웃소싱이 기업에게 높은 투자 가치를 제공한다고 언급했다. 그는 관리형 보안 서비스의 다른 주요 영역으로 거버넌스, 위험 관리 및 규정 준수(GRC), 방화벽, 관리형 디지털 신원을 꼽았다. 또한 관리형 보안 서비스를 활용하면 24시간 보안 체계를 훨씬 쉽게 구축할 수 있다고 말했다.
로빈슨은 “CISO는 점점 더 복잡해지는 인프라를 보호하면서도 내부 운영 비용을 줄여야 하는 상황에 직면했다. 자동화를 확대하고 관리형 보안 서비스를 활용해 사내 인재를 더욱 효율적으로 운용할 수 있다”라고 설명했다.
진화하는 위협 환경에 대응
포레스터(Forrester)의 수석 애널리스트 마델레인 반 데어 하우트는 “더 정교해지고 빠르게 진화하는 위협 환경에 직면한 많은 CISO에게 보안 서비스 아웃소싱은 핵심 전략이 됐다”라고 말했다.
또한 규정 준수, 보안 전략 수립 및 실행, 이사회 기대치 관리 등 업무 압박이 늘어나는 상황에서, 거시 경제 상황으로 인한 예산 압박과 인재 부족은 CISO의 상황을 더 복잡하게 만든다. 많은 CISO가 외부 보안 서비스 업체로 눈을 돌리는 이유다.
아웃소싱의 장점
포레스터의 최근 보안 설문조사에 따르면 최고 경영진 또는 고위 의사결정권자의 36%가 인재 부담을 줄이기 위해 아웃소싱을 활용하고 있다. 35%는 외부 파트너가 제공하는 전문 기술과 향상된 보호 품질 때문에 이용한다고 답했다. 또한 구현 속도(31%)와 규제 요구사항(30%)도 중요한 요인이었다.
반 데어 하우트는 “아웃소싱은 프로젝트의 각 단계에서 필요한 인재와 기술을 유동적으로 조정할 수 있다는 장점이 있다. 사내에서 달성하기에는 어렵고 비용이 많이 드는 부분이다”라고 설명했다.
또한 24시간 연중무휴 서비스에 더 접근하기 쉽고 비용 효율적이라는 장점도 있다. 이는 CISO가 복잡성을 줄이고 비용을 관리하는 데 도움이 된다. 이미 많은 IT 기능이 아웃소싱되기 때문에 이를 보안 서비스로 확장한다는 선택이 합리적일 수 있다. 미션 크리티컬 서비스를 서드파티에게 맡기는 데 따른 기업의 반발도 줄어드는 추세다.
포레스터의 최신 사이버보안 벤치마크 조사에 따르면, 기업의 사이버보안 예산은 소프트웨어 35.9%, 인력 28.3%, 아웃소싱 18.1%, 하드웨어 17.7%로 나뉘었다.
아웃소싱 지출(순수 아웃소싱/오프쇼어링, 관리형 보안 서비스, 사이버보안 컨설팅, 관리형 탐지 및 대응 서비스 등)은 예산의 8%에서 34% 사이를 차지했으며, 소규모 기업이 대기업에 비해 지출 비중이 더 높았다.
dl-ciokorea@foundryco.com
Read More from This Article: 지속되는 전문가 부족… CISO는 보안 아웃소싱 모색 중
Source: News