많은 조직에서 사이버 보안 예산 확보는 큰 과제로 여겨집니다. "예산이 부족하다"라는 현실적인 벽을 넘기 위해서는 CISO등 보안 담당자의 적극적인 학습과 전략적인 접근이 필요합니다. 최근 사이버 공격은 더욱 정교해지고 있지만, 고가의 보안 솔루션을 도입하기 어렵거나 이를 운영할 전문 인력이 부족한 상황이 많습니다. 이런 한계를 극복하고 제한된 예산 내에서도 보안을 강화할 수 있는 8가지 실질적인 방법을 소개합니다.
1. 리스크 기반 보안 전략
먼저 해야 할 일은 리스크 평가입니다. 조직에서 가장 취약한 부분과 먼저 보호해야 할 데이터를 식별하고, 이를 기반으로 보안 대책의 우선순위를 정하는 것입니다. 이를 리스크 기반 보안이라 하며, 보안 예산을 효과적으로 배분하는 데 도움이 됩니다. 경영진에게 평가 결과를 공유하고 데이터를 바탕으로 최소한의 예산을 확보하도록 설득해야 합니다. 예산이 부족한 경우, 리스크를 허용할 범위를 다시 설정하는 것도 필요합니다.
2. 보안 의식 제고
사이버 사고의 많은 부분은 사용자 실수에서 비롯됩니다. 정기적인 보안 교육은 직원들의 보안 의식을 높이고, 피싱 이메일을 판별하거나 소셜 엔지니어링 공격을 예방할 수 있는 역량을 키우는 데 효과적입니다. 비용이 들더라도 ROI 관점에서 정기적인 보안 교육은 큰 가치를 제공합니다. 4분기에 한 번씩 교육하며, 재해 복구나 사이버 전쟁 같은 주제를 포함하는 것도 추천됩니다.
3. 보안 운영 자동화
보안 작업을 자동화하면 위협 탐지, 사고 대응, 패치 관리 등에서 담당자의 부담을 줄일 수 있습니다. 자동화는 방어 속도와 정확성을 높이고 랜섬웨어 같은 금전적 손실을 줄이는 데도 효과적입니다. 최근에는 보안과 네트워크 운영을 통합한 NetSecOps 개념이 확산하고 있으며, 이를 도입하면 운영 효율성을 높이고 비용을 절감할 수 있습니다.
4. 아웃소싱 활용
특정 보안 기능을 전문 기업에 아웃소싱하는 것도 하나의 방법입니다. Managed Security Service Provider(MSSP)를 통해 시스템 모니터링, 위협 탐지, 사고 대응 등 다양한 서비스를 받을 수 있습니다. 특히 전문 인력이 부족한 기업에서는 비용 대비 효율적인 선택이 될 수 있습니다.
5. 정기적인 패치와 업데이트
취약점 패치와 시스템 업데이트를 통해 공격자가 침입할 수 있는 경로를 최소화할 수 있습니다. 고가의 보안 솔루션 없이도 정기적인 패치 적용만으로도 보안 위험을 크게 줄일 수 있습니다. Microsoft Endpoint Configuration Manager와 같은 무료 관리 도구도 활용할 수 있습니다.
6. 정보 공유와 활용
기업 간 보안 정보 공유는 낮은 비용으로도 효과적인 보안 대책을 수립할 수 있는 방법입니다. 미국 MITRE의 ATT & CK 지식 베이스나 금융기관 보안 네트워크 FS-ISAC처럼 공개된 자료를 적극 활용하면, 다른 기업의 노하우를 참고해 최적의 보안 전략을 수립할 수 있습니다.
7. ROI 측정과 경영진 설득
보안 예산을 꾸준히 확보하려면 경영진에게 보안 대책의 효과를 명확히 보여줘야 합니다. 예를 들어, "공격 시도가 몇 건 감소했다", "시스템 중단 시간이 단축되었다"와 같은 수치를 통해 보안 ROI를 가시화하면 예산 확보에 유리합니다.
8. 오픈소스 도구 사용 시 주의점
오픈소스 보안 도구는 비용 부담이 적어 매력적인 선택일 수 있지만, 취약점에 대한 주의가 필요합니다. 예를 들어, 2021년에 발견된 Apache Log4j의 Log4Shell 취약점은 널리 사용되는 오픈소스 소프트웨어가 보안 위협이 될 수 있음을 보여줬습니다. 오픈소스를 사용할 때는 지속적으로 취약점을 모니터링하고 대응해야 합니다.
보안 예산이 부족하다는 현실은 모든 조직이 겪는 공통적인 문제입니다. 제한된 자원 안에서 효과적인 보안을 구현하려면, 리스크 평가, 자동화 도구 활용, 정보 공유 등 다양한 방안을 전략적으로 활용해야 합니다. 지혜와 노력을 모으면 적은 비용으로도 보안 수준을 크게 강화할 수 있습니다.
*참고 자료 : @TechTarget1211
마크애니 박춘식 고문은 10년 넘도록 매주 '보안 이야기'를 연재하고 있는 보안 전문가이다. Tokyo Institute of Technology에서 박사 학위를 취득하고, 국가 보안 기술연구소 소장을 거쳐, 서울여자대학교 교수를 역임했고 아주대학교 사이버보안학과 교수로 재직했다.
많은 조직에서 사이버 보안 예산 확보는 큰 과제로 여겨집니다. "예산이 부족하다"라는 현실적인 벽을 넘기 위해서는 CISO등 보안 담당자의 적극적인 학습과 전략적인 접근이 필요합니다. 최근 사이버 공격은 더욱 정교해지고 있지만, 고가의 보안 솔루션을 도입하기 어렵거나 이를 운영할 전문 인력이 부족한 상황이 많습니다. 이런 한계를 극복하고 제한된 예산 내에서도 보안을 강화할 수 있는 8가지 실질적인 방법을 소개합니다.
먼저 해야 할 일은 리스크 평가입니다. 조직에서 가장 취약한 부분과 먼저 보호해야 할 데이터를 식별하고, 이를 기반으로 보안 대책의 우선순위를 정하는 것입니다. 이를 리스크 기반 보안이라 하며, 보안 예산을 효과적으로 배분하는 데 도움이 됩니다. 경영진에게 평가 결과를 공유하고 데이터를 바탕으로 최소한의 예산을 확보하도록 설득해야 합니다. 예산이 부족한 경우, 리스크를 허용할 범위를 다시 설정하는 것도 필요합니다.
사이버 사고의 많은 부분은 사용자 실수에서 비롯됩니다. 정기적인 보안 교육은 직원들의 보안 의식을 높이고, 피싱 이메일을 판별하거나 소셜 엔지니어링 공격을 예방할 수 있는 역량을 키우는 데 효과적입니다. 비용이 들더라도 ROI 관점에서 정기적인 보안 교육은 큰 가치를 제공합니다. 4분기에 한 번씩 교육하며, 재해 복구나 사이버 전쟁 같은 주제를 포함하는 것도 추천됩니다.
보안 작업을 자동화하면 위협 탐지, 사고 대응, 패치 관리 등에서 담당자의 부담을 줄일 수 있습니다. 자동화는 방어 속도와 정확성을 높이고 랜섬웨어 같은 금전적 손실을 줄이는 데도 효과적입니다. 최근에는 보안과 네트워크 운영을 통합한 NetSecOps 개념이 확산하고 있으며, 이를 도입하면 운영 효율성을 높이고 비용을 절감할 수 있습니다.
특정 보안 기능을 전문 기업에 아웃소싱하는 것도 하나의 방법입니다. Managed Security Service Provider(MSSP)를 통해 시스템 모니터링, 위협 탐지, 사고 대응 등 다양한 서비스를 받을 수 있습니다. 특히 전문 인력이 부족한 기업에서는 비용 대비 효율적인 선택이 될 수 있습니다.
취약점 패치와 시스템 업데이트를 통해 공격자가 침입할 수 있는 경로를 최소화할 수 있습니다. 고가의 보안 솔루션 없이도 정기적인 패치 적용만으로도 보안 위험을 크게 줄일 수 있습니다. Microsoft Endpoint Configuration Manager와 같은 무료 관리 도구도 활용할 수 있습니다.
기업 간 보안 정보 공유는 낮은 비용으로도 효과적인 보안 대책을 수립할 수 있는 방법입니다. 미국 MITRE의 ATT & CK 지식 베이스나 금융기관 보안 네트워크 FS-ISAC처럼 공개된 자료를 적극 활용하면, 다른 기업의 노하우를 참고해 최적의 보안 전략을 수립할 수 있습니다.
보안 예산을 꾸준히 확보하려면 경영진에게 보안 대책의 효과를 명확히 보여줘야 합니다. 예를 들어, "공격 시도가 몇 건 감소했다", "시스템 중단 시간이 단축되었다"와 같은 수치를 통해 보안 ROI를 가시화하면 예산 확보에 유리합니다.
오픈소스 보안 도구는 비용 부담이 적어 매력적인 선택일 수 있지만, 취약점에 대한 주의가 필요합니다. 예를 들어, 2021년에 발견된 Apache Log4j의 Log4Shell 취약점은 널리 사용되는 오픈소스 소프트웨어가 보안 위협이 될 수 있음을 보여줬습니다. 오픈소스를 사용할 때는 지속적으로 취약점을 모니터링하고 대응해야 합니다.
보안 예산이 부족하다는 현실은 모든 조직이 겪는 공통적인 문제입니다. 제한된 자원 안에서 효과적인 보안을 구현하려면, 리스크 평가, 자동화 도구 활용, 정보 공유 등 다양한 방안을 전략적으로 활용해야 합니다. 지혜와 노력을 모으면 적은 비용으로도 보안 수준을 크게 강화할 수 있습니다.
*참고 자료 : @TechTarget1211
마크애니 박춘식 고문은 10년 넘도록 매주 '보안 이야기'를 연재하고 있는 보안 전문가이다. Tokyo Institute of Technology에서 박사 학위를 취득하고, 국가 보안 기술연구소 소장을 거쳐, 서울여자대학교 교수를 역임했고 아주대학교 사이버보안학과 교수로 재직했다.