CISO(최고정보보안책임자)들은 기업을 보호하기 위한 충분한 예산을 확보하는 데 지속적으로 어려움을 겪고 있으며, 한정된 자원을 최대한 활용하면서도 비즈니스 리스크를 최소화해야 하는 상황에 놓여 있다.
사이버보안 예산을 최대한 효과적으로 활용하거나, 향후 더 많은 투자를 유치하기 위해 보안 운영의 가치를 증명하려면 사이버보안 ROI(투자 대비 효과)를 극대화하는 것이 필수적이다. 다음은 사이버보안 ROI를 높이는 7가지 방법이다.
1. 사이버 위협이 초래할 재무적 영향을 분석하자
사이버보안 ROI를 단순히 비용 절감, 효율성 향상, 또는 매출 증대의 관점에서만 측정해서는 안 된다고 기술 연구 및 컨설팅 기업 ISG의 디렉터 조이스 하크니스는 설명했다.
하크니스는 “사이버보안의 핵심 목적은 기업과 개인이 기술을 보다 안전하게 활용할 수 있도록 하는 것이다”라며 “정확한 측정 지표를 통해 조직은 정보에 기반한 결정을 내리고, 트렌드를 분석하며, 경쟁사와 비교해 전략을 조정할 수 있다. 이를 통해 더 나은 결과를 도출할 수 있다”라고 밝혔다.
하크니스는 경영진이 보다 직관적으로 이해할 수 있도록 사이버 리스크를 재무적 관점에서 정량화하는 ‘사이버 리스크 정량화(CRQ)’ 접근 방식을 적용할 것을 조언했다.
하크니스는 “CRQ는 사이버보안 투자를 명확하고 비즈니스 친화적인 비기술적 지표로 평가하려는 경영진의 관심을 끈다”라며 “빠르게 변화하는 사이버보안 환경에서 CRQ를 활용하면 전략을 보다 정교하게 조정할 수 있으며, 한정된 자원을 효율적으로 배분해 최적의 비즈니스 성과를 낼 수 있다”라고 밝혔다.
또한, CRQ 접근 방식은 보안 이니셔티브의 효과를 강화하는 동시에 ROI를 높이는 데도 기여한다고 하크니스는 덧붙였다.
2. 시나리오 기반 위험 평가를 실시하자
ROI를 개선하는 효과적인 방법 중 하나지만, 여전히 충분히 활용되지 않는 접근 방식이 있다. 바로 정량적 시나리오 기반 위험 평가다. 경영 컨설팅 기업 보스턴컨설팅그룹(BCG)의 파트너 겸 매니징 디렉터 오르 클리어는 이를 적극적으로 고려해야 한다고 말했다.
클리어는 “정량적 시나리오 기반 위험 평가 방식은 조직 내 여러 수준에서 수행할 수 있으며, 이를 통해 기업 전체가 사이버보안 이니셔티브 포트폴리오를 최적화할 수 있다”라며 “즉, 투자한 모든 비용이 실제로 측정 가능한 위험 감소에 기여하도록 보장하는 역할을 한다”라고 밝혔다.
BCG의 매니징 디렉터 겸 시니어 파트너 바네사 라이언은 시나리오 기반 위험 평가가 세 가지 방식으로 효과를 발휘한다고 설명했다.
라이언은 “첫째, 리스크의 재무적 영향을 파악하고 정량화하여 어떤 이니셔티브가 가장 큰 가치를 제공하는지 명확히 한다”라며 “둘째, 사이버보안 이니셔티브를 단순한 규제 준수가 아니라 실제 비즈니스 성과와 연계함으로써 보다 실질적인 의사결정을 내릴 수 있도록 한다”라고 설명했다.
또한 라이언은 “핵심 자산에 대한 상세한 평가와 기업 전반의 전략을 결합하면, 특정 리스크와 시스템적 리스크를 모두 고려하는 균형 잡힌 접근 방식을 구축할 수 있다”라고 강조했다.
3. 업계 파트너와 보안 자원을 공유하자
보안 기술 기업 XYPRO의 CISO 스티브 처치안은 자신이 속한 업계 내에서 위협 인텔리전스 공유 네트워크를 활용해 특정 산업을 겨냥한 신종 위협에 선제적으로 대응하는 것이 효과적이라고 조언했다.
처치안은 “기업들이 보안 정보를 공유하고 협력하면, 개별적으로 대응할 때보다 훨씬 비용 효율적으로 리스크를 완화할 수 있다. 예를 들어, 금융 서비스 기업들이 위협 정보를 공유함으로써 전체 업계의 방어력을 강화하는 것이 좋은 사례다”라고 전했다.
보안 정보와 자원을 공유하면 해당 산업을 겨냥한 특정 위협과 공격 기법에 대한 조기 경고 시스템을 구축할 수 있다고 처치안은 설명했다.
처치안은 “이러한 협력적 접근 방식을 활용하면, 산업 내 모든 기업이 공격을 받기 전에 방어를 준비할 수 있다”라며 “중복된 노력을 줄이고, 정보 수집 비용을 여러 기업이 분담할 수 있어 전체적인 비용 절감 효과도 크다”라고 설명했다.
처치안은 이를 위해 해당 산업 내 정보 공유 그룹(ISAC, Information Sharing and Analysis Center) 가입을 고려하거나 신뢰할 수 있는 기업들과 개별적으로 컨소시엄을 구성할 것을 추천했다.
처치안은 “공유된 인텔리전스를 SIEM(보안 정보 및 이벤트 관리)이나 위협 탐지 시스템에 통합해 자동화된 경보 및 대응 체계를 구축하는 것이 중요하다”라고 밝혔다.
4. 반복적인 보안 업무는 AI에 맡기자
액센츄어 보안 부문의 매니징 디렉터 니킬 사르노트는 생성형AI를 활용해 반복적이고 운영적인 보안 업무를 자동화하면 사이버보안 ROI를 크게 향상시킬 수 있다고 설명했다.
사르노트는 “신규 요청 접수 및 분류 자동화, 취약점 코드 검토, 규제 준수 모니터링 등 다양한 작업에서 생성형AI를 활용하면 속도, 일관성, 확장성을 모두 확보할 수 있다”라고 밝혔다.
최근 개념 증명(Proof of Concept) 실험과 내부·외부 인건비 분석을 기반으로, 사르노트는 조직의 사이버보안 투자 수준에 따라 최대 30~50%의 지속적인 비용 절감 효과를 기대할 수 있으며, 동시에 보안 활동의 범위와 깊이를 획기적으로 확장할 수 있다고 설명했다.
사르노트는 생성형AI를 활용하면 반복적이고 시간이 많이 소요되는 업무를 보안 전문가들이 보다 정확하게 처리할 수 있다고 언급했다. 기존의 AI·머신러닝 기법은 정형 데이터가 필요하다는 한계가 있었지만, 생성형AI는 다양한 사이버보안 데이터를 통합하고 이전에는 사람이 직접 검토해야 했던 비정형 데이터까지 효과적으로 처리할 수 있다. 이를 통해 보안 전문가들은 전략적 사이버 리스크 관리나 위협 모델링과 같은 더 가치 있는 업무에 집중할 수 있다. 그는 “궁극적으로 더 스마트한 확장, 효율성 향상, 그리고 수작업에 의한 피로 감소가 핵심”이라고 강조했다.
생성형AI 도입은 대량의 업무를 처리하는 기존의 수동 워크플로를 자동화하는 것부터 시작해야 한다고 사르노트는 조언했다. 그는 “먼저, 조직의 맥락을 가장 잘 반영할 수 있도록 검색 증강 생성(RAG) 모델을 활용하는 것이 중요하다”라고 설명하며, “이후 보안 및 프라이버시 리스크 분석과 같은 더 복잡한 작업으로 확장하면서 신뢰도를 높여 나가야 한다”라고 말했다.
성공적인 생성형AI 도입을 위해서는 기존 도구와 워크플로에 원활하게 통합하는 것이 필수적이며, 이를 위해 강력한 인간-AI 협업 모델을 구축해야 한다고 사르노트는 강조했다. 다만, 기술 도입에 있어 신중한 접근이 필요하다. 그는 “생성형AI의 잠재력은 매우 크지만, 보안 전문가들 사이에서 아직 초기 도입 단계이며 충분한 이해와 검증이 필요한 상황”이라고 언급했다.
5. 핀옵스 엔지니어를 팀에 합류시켜라
감사·리스크·컴플라이언스 소프트웨어 기업 오딧보드의 CISO 리처드 마커스는 보안 비용이 가장 많이 소요되는 영역에서 핀옵스(FinOps) 엔지니어가 비용 최적화를 위한 기회를 찾아낼 수 있다고 설명했다.
마커스는 “핀옵스 엔지니어는 라이선스 최적화, 벤더 협상, 그리고 솔루션 포트폴리오의 합리화 및 중복 제거에 능숙한 전문가”라고 강조했다.
핀옵스 엔지니어는 조직의 보호 요구 사항에 맞춰 가장 비용 효율적인 서비스와 리소스 유형으로 전환함으로써 절감할 수 있는 비용을 식별할 수 있다. 마커스는 대부분의 보안 비용이 인프라 규모를 기반으로 산정된다고 분석했다.
마커스는 “인프라 규모를 적절하게 조정하면 단순히 인프라 비용을 줄이는 것뿐만 아니라, 방화벽(WAF), 침입 탐지 시스템(IDS) 등 인프라 보호를 위해 필요한 보안 솔루션 비용까지 함께 절감할 수 있다”라고 설명했다. 또한, 핀옵스 엔지니어는 벤더가 제공하는 다양한 솔루션을 최대한 활용할 수 있도록 보장하는 역할도 수행한다고 덧붙였다.
6. 자동화에 투자하자
자동화는 보안 강화와 비용 절감이라는 두 가지 측면에서 사이버보안 ROI를 개선하는 검증된 방법이다. SASE 및 SD-WAN 기술 기업 버사 네트웍스(Versa Networks)의 디렉터이자 보안 책임자인 존 테일러는 IT 운영, 특히 보안 영역에서 AI와 머신러닝을 활용해 자동화를 구현하는 AI옵스(AIOps)의 중요성을 강조했다.
테일러는 ” AI옵스를 활용하면 보안 운영의 효율성을 획기적으로 높일 수 있다. 특히 중요한 사고를 우선적으로 처리하고 가장 관련성이 높은 원인을 신속하게 분석해 조사 과정을 단축할 수 있다”라고 설명했다.
그는 “기반 인프라 및 워크플로에 AI옵스를 통합하면 사고 대응 시간을 기존 몇 시간 또는 며칠에서 단 몇 초 또는 몇 분으로 줄일 수 있다”라고 전했다.
7. 보안에 대한 접근 방식을 선제적으로 바꾸자
가트너가 제안한 ‘지속적 위협 노출 관리(CTEM, Continuous Threat Exposure Management)’는 보안 위협을 사전 예방하고 대응하는 전략적 접근 방식이다. 관리형 탐지 및 대응(MDR) 기업 이센타이어(eSentire)의 최고 사이버 회복력 책임자 겸 필드 CTO 티아 홉킨스는 “CTEM은 지속적으로 보안 위협을 식별하고 우선순위를 정하며, 이에 대한 노출을 완화하는 방식으로 운영된다”라고 전했다.
홉킨스는 “CTEM은 데이터 기반 인사이트와 지속적인 검증을 활용해 리스크를 최적화하고 보안 투자 효과를 극대화하는 역할을 한다”라고 밝혔다.
CTEM은 기업의 보안 투자를 측정 가능한 결과와 연계하며, 조직 전반의 위협 노출도를 지속적으로 평가하고 대응한다. 홉킨스는 “CTEM을 효과적으로 실행하면 부서 간 커뮤니케이션을 개선하고, 조직이 가장 중요한 리스크에 자원을 집중할 수 있도록 돕는다”라고 강조했다.
CTEM을 도입하는 과정은 총 다섯 단계로 구성된다. 스코핑(Scoping), 탐색(Discovery), 우선순위 결정(Prioritization), 검증(Validation), 실행(Mobilization)이다.
홉킨스는 “먼저, 스코핑 단계에서 목표를 설정하고 보호해야 할 자산, 위협 요소, 비즈니스 환경을 정의해야 한다”라고 조언했다. 이후 탐색 단계를 거쳐 조직 내 노출된 취약점과 공격 경로를 분석하고, 데이터 기반 지표를 활용해 가장 중요한 리스크를 우선적으로 해결해야 한다. 다음으로 검증 단계에서는 보안 통제의 효과를 확인하고, 중요한 공격 경로가 차단되었는지 점검해야 한다.
홉킨스는 “마지막으로 실행 단계에서는 분석 결과를 실제 워크플로에 반영하고, 프로세스를 자동화하며, 지속적으로 진화하는 위협에 맞춰 조직의 보안 태세를 개선해야 한다”라고 설명했다.
[email protected]
Read More from This Article: 최소 비용으로 최대 보안을!··· 사이버 보안 ROI을 높이는 7가지 전략
Source: News