"기업 보안 리스크 관리 비용 10년 뒤 38%↑"

컴퓨팅입력 :2015/08/06 17:32

향후 10년간 기업들의 사이버 보안 리스크 관리 비용이 38% 증가할 것이라는 연구 보고서가 공개됐다.

6일 주니퍼네트웍스는 미국 민간연구소 '랜드연구소(RAND Corporation)'와 공동으로 진행한 기업 사이버보안 관련 연구로 작성된 '방어자의 딜레마, 사이버 보안을 위한 과정 수립' 보고서를 통해 이같은 전망을 제시했다.

랜드연구소는 리서치와 분석을 통해 정책 및 의사결정 향상을 위한 자문을 제공하는 비영리 연구조직이다. 주니퍼는 이 연구소 경제 및 사이버보안 전문가들이 매출 1억달러 규모 기업들의 최고정보보안책임자(CISO) 18명을 상대로 진행한 심층 인터뷰를 통해 기업의 사이버보안 방법과 비용간 상관관계를 파악했다고 설명했다.

보고서에 따르면 CISO들은 기업 보안 리스크를 비용 효율적으로 관리하는 방법을 결정하는 데 어려움을 겪고 있다. 보고서는 많은 기업들이 사이버보안 솔루션에 쓰는 비용을 늘리고 있는데도 보호에 대한 확신을 하지 못하고 있다는 점을 큰 문제로 꼽았다. 이는 보안툴과 리소스 비용, 보안 침해에 따른 잠재 비용을 종합 예측할만한 계산이 없기 때문이라는 게 주니퍼 측의 해석이다.

주니퍼는 CISO에게 사이버보안 리스크 관리를 위한 비용에 가장 큰 영향을 미치는 변수들을 총체적으로 이해하고 조직 보호를 위한 의사 결정을 내리는데 참고할 수 있는 수단이 필요하다면서, 랜드연구소와의 연구 결과로 사이버위협으로 인한 비용의 영향 요인과 연결고리 파악을 돕는 '휴리스틱모델'을 개발했다고 밝혔다.

주니퍼네트웍스와 미국 랜드연구소가 주요기업 CISO 18명을 심층인터뷰 방식으로 진행한 연구 결과 도출된 휴리스틱모델을 활용해 기업들의 주요 4대 분야별 보안투자 방향을 이익대비 퍼센티지로 산출해 주는 웹사이트 인터랙티브비전.

주니퍼와 랜드연구소는 휴리스틱모델을 바탕으로 기업들이 보안 투자를 위해 필수 고려해야 할 요소로 ▲툴의 효과는 지속적인 대응공격을 개발하는 공격자들의 활동에 따라 가치가 하락하거나 효과가 반감된다는 점 ▲사물인터넷(IoT) 활성화는 보안비용 전반에 영향을 줄 수 있는데 아직 그 영향이 긍정적일지 부정적일지 불분명하다는 점 ▲보안 관리 프로세스 자동화 지원 기술과 담당자 추가 고용 및 교육 등 인적자원 투자를 10년 지속시 사이버 보안 비용을 28% 절감할 수 있다는 점 ▲기업 규모와 보유 데이터의 민감도에 따른 차이 ▲소프트웨어(SW) 취약점을 반으로 줄일 경우 기업 전체 사이버 보안 비용이 25% 감소한다는 점, 5가지를 제시했다.

보고서는 랜드연구소 보안전문가 마틴 리비키, 릴리안 엘본, 티모시 웹이 지난 2013년 10월부터 2014년 8월까지 당면 위협과 향후 환경에 대해 CISO와 진행한 심층 인터뷰를 바탕으로 작성됐다. 주니퍼의 후원을 받아 랜드연구소가 진행한 연구의 첫번째 보고서 '사이버 범죄 도구 및 데이터 유출 시장, 해커들의 수입원'의 후속 결과물이다. 첫번째 보고서는 공격자의 경제적 추진 요인과 이들이 활동을 확대하기 위해 구축한 정교한 지하 암시장을 다루고 있다.

셰리 라이언 주니퍼네트웍스 CISO는 "보안 업계는 보안 리스크가 실제 비즈니스 비용에 영향을 미치는 변수들을 파악하기 위해 노력해 왔다"며 "조직이 공격자들에게 반격하기 위해서는 위협에 대한 리스크 관리에 관심과 투자를 집중할 필요가 있다"고 말했다.

관련기사

주니퍼는 랜드연구소의 이코노믹 모델에 대한 실질적인 활용을 위해 웹기반 해석모델 '인터랙티브버전(Interactive version)'을 공개했다. 기업이 잠재적 비용을 줄이기 위해 제어 가능한 주요 영역에서 시간과 자원을 어떻게 투자해야 하는지에 대한 전반적인 지침을 제공한다.

인터랙티브버전은 공식사이트(☞링크)에 접속해 회사의 직원수, 기업정보의 가치, 보안관련활동의 업무성실도, 매출 등을 직접 입력해 결과를 보여 준다. 결과는 기업투자 관점에서 우선순위가 높은 보안비용 항목 4가지를 이익(profit)대비 퍼센티지로 표시해 준다. 4가지 보안비용 항목은 사이버공격으로 인한 기업 브랜드 가치와 경제적 손실, 보안업무 담당자와 직원을 위한 교육 및 훈련 등에 따른 직접 비용, 보안툴 및 솔루션 구매와 사용에 따른 직접비용, BYOD와 스마트기기 사용 제한으로 인한 간접 비용으로 구분됐다.