더 많은 지출, 더 많은 침해: 사이버 보안 ROI에 대한 불편한 진실

Marks and Spencer는 작년에 수억 파운드의 수익을 예상했습니다. 하지만 연말 보고에서는 그 중 극히 일부만 공개했습니다.  

M&랜섬웨어 공격으로 인해 6주 동안 온라인 판매가 중단되고 몇 달 동안 물류가 중단되어 수익이 증발했습니다. 복구 작업이 진행되는 동안 비즈니스는 실시간으로 피를 흘렸습니다.

이 숫자는 최근 The Segment 팟캐스트의 한 에피소드에서 일루미오의 CEO이자 창립자인 앤드류 루빈과 이야기를 나누면서 더욱 명확해졌습니다. 이는 업계에서 수년 동안 논의되어 온 내용을 구체적이고 부인할 수 없는 수치로 보여주는 것으로, 10년 연속으로 기업들은 매년 사이버 보안에 더 많은 비용을 지출하고 있습니다.  

더 많은 도구를 구입하고 더 많은 예산을 할당했습니다. 그리고 투자보다 더 빠르게 성장한 유일한 숫자는 침해 건수, 침해 규모, 피해로 인한 총 경제적 비용입니다.

이는 모든 회의실에서 어려운 질문을 만들어내야 하는 패턴입니다. 하지만 대부분의 이사회는 적어도 아직은 그런 질문을 하지 않습니다.

앤드류에 따르면 사이버 보안 투자 모델은 깨졌습니다. 사이버에 더 많은 비용을 지출하는 것은 침해 문제를 더 비싸게 만들 뿐입니다.  

보안 리더가 사이버 보안의 ROI 문제를 기꺼이 인정할 때까지 이 악순환은 계속될 것입니다. 보안 지출과 성과 간의 격차는 계속 벌어지고 있으며, 근본적으로 다른 모델이 필요합니다.

ROI: 사이버 업계가 조용히 무시해 온 데이터

앤드류는 자칭 수학과 데이터에 대한 신봉자이며, 그 근거는 명확합니다.

Gartner에 따르면 2024년 전 세계 정보 보안 지출은 1,930억 달러에 달할 것으로 예상됩니다. 2026년에는 2,400억 달러에 달할 것으로 예상됩니다. IDC는 2028년까지 전 세계 보안 지출이 3,770억 달러에 이를 것으로 예상합니다.

동시에 IBM 데이터 침해 비용 보고서에 따르면 지난 10년 동안 평균 침해 비용이 전년 대비 증가한 것으로 나타났습니다.  

사이버 보안 지출은 계속 증가하고 있습니다. 한편, 보고된 침해 건수는 계속 증가하고 있습니다. 사이버 사고가 전 세계 경제에 미치는 경제적 영향은 연간 수조 달러에 달합니다.

Andrew는 이것이 업계가 하는 모든 일이 잘못되었다는 것을 의미하지는 않는다고 주의를 기울였습니다. 일부 통제는 효과가 있으며, 일부 투자는 실제로 더 악화될 수 있는 사고의 빈도나 심각성을 감소시키고 있습니다.  

하지만 보안 리더가 이사회에 발표하는 자리에서 이사회 멤버가 수치를 보여주며 10년 동안 투자를 가속화했음에도 불구하고 침해 곡선이 꺾이지 않는 이유를 묻는다면 "투자가 없었다면 더 나빴을 것"이라는 대답보다 더 나은 대답이 필요합니다.

2026년에는 규제 당국, 보험사, 투자자들이 그 어느 때보다 보안 결과에 세심한 주의를 기울이고 있는 만큼 시간이 촉박합니다.

기존 보안 투자 모델이 구조적으로 무너진 이유

Andrew는 지출 대비 결과의 격차에 대한 세 가지 가능한 대응 방법을 파악했습니다:

• 그는 전체 모델을 버리고 다시 시작했는데, 이는 아마도 과잉 반응이라고 인정했습니다.
• 과거에 효과가 있었던 기능이 여전히 필요하지만 더 이상 충분하지 않다는 점을 인식하여 새로운 기능을 추가합니다.
• 모델 자체를 변경하여 더 이상 관련성이 없는 접근 방식을 폐기하고 그 자리에 새로운 접근 방식을 구축합니다.

그의 견해와 저의 견해는 아마도 두 번째와 세 번째 옵션의 조합이 정답일 것입니다.

하지만 이 두 가지를 현명하게 수행하려면 먼저 현재 모델이 작동하지 않는 이유를 솔직하게 파악해야 합니다. 직접적으로 언급하기 어려운 세 가지 구조적 문제가 있습니다.

문제 1: 업계는 성과가 아닌 활동을 측정해 왔습니다.

지난 10년 동안 대부분의 보안 프로그램은 입력값을 기준으로 평가되었습니다:  

• 배포된 도구 수
• 생성되는 알림 수
• 패치된 취약점 수
• 완료한 교육 세션 수

활동 메트릭입니다. 보안 기능이 무엇을 하고 있는지는 알려주지만 조직이 더 안전한지는 알려주지 않습니다.

이러한 현상이 지속되는 이유는 부분적으로는 관성 때문이고, 부분적으로는 결과 지표를 정의하기 어렵고 방어하기 어렵기 때문입니다.  

공격자가 다른 표적을 선택했기 때문에 침해가 발생한 것이 아니라 귀사의 프로그램 때문이 아니라는 것을 어떻게 증명할 수 있을까요? 거의 불가능합니다. 따라서 업계에서는 실제로 중요한 것이 아니라 측정할 수 있는 것만 측정하는 것이 기본이었습니다.

그 결과, 활동을 보여주는 데는 능숙하지만 영향력을 보여주는 데는 훨씬 덜 연습한 보안 리더 세대가 탄생했습니다. 활동 메트릭에 따라 예산이 할당되면 더 많은 활동을 할 수 있지만 반드시 더 나은 결과를 얻을 수 있는 것은 아닙니다.

문제 2: 예방을 중심으로 구축된 모델

Andrew는 지난 50년 동안의 사이버 보안 모델은 위협을 차단하는 데 중점을 두었다고 말합니다. 지금까지 판매된 거의 모든 보안 제품의 암묵적인 약속은 "이 제품을 배포하면 나쁜 일은 일어나지 않을 것입니다."라는 것입니다.

이 모델은 침해 누락으로 인한 비용이 낮고 정교한 공격의 빈도가 관리 가능한 수준일 때 어느 정도 의미가 있었습니다.  

오늘날 보안 침해를 놓치는 데 드는 비용이 급격히 증가했습니다. M&S 예시가 가장 명확한 예시입니다. 유출은 사건이었지만, 몇 달 동안 오프라인 상태가 지속된 것은 재앙이었습니다.  

모든 것을 차단하는 것을 중심으로 구축된 보안 모델은 무언가가 통과할 때를 대비한 계획이 없습니다. 통계적으로 침해가 불가피한 위협 환경에서는 회복탄력성을 위한 계획이 나중에 고려되어서는 안 됩니다.

문제 3: 도구의 확산으로 인해 커버리지 없는 복잡성 발생

현재 대기업은 평균적으로 50~100개의 보안 도구를 운영하고 있습니다. 이러한 각 도구는 특정 격차를 해소하기 위해 구입한 것입니다.  

하지만 그 격차는 계속 커지고 있습니다.

도구가 통합되지 않고, 도구가 생성하는 신호를 상호 연관시킬 수 없으며, 도구를 운영하는 팀이 생성되는 모든 알림에 대해 조치를 취할 수 있는 역량을 갖추지 못하면 도구가 많다고 해서 더 나은 커버리지가 보장되는 것은 아닙니다.  

도구의 확산은 많은 경우 포괄적인 커버리지라는 착각을 불러일으켰습니다. 실제로는 보안 환경을 관리하기가 더 어려워졌습니다.  

공격자들은 도구 사이의 빈틈을 찾아내는 데 적응했습니다. 방어자들은 도구 확산을 관리하느라 너무 바빠서 눈치채지 못했습니다.

실제 환경에서 보안 성과를 정량화하는 방법

보안 가치 입증과 관련하여 Andrew가 CISO로부터 가장 자주 받는 질문은 업계에서 가장 어려운 질문인 '일어나지도 않은 일을 어떻게 정량화할 수 있는가'입니다.  

침해가 발생했을 것이라는 것을 증명할 수 없기 때문에 예방된 침해를 지적할 수 없습니다. 그렇다면 보안 투자에 대한 신뢰할 수 있는 정량적 사례를 구축하려면 어떻게 해야 할까요?

Andrew의 해답은 예방을 정량화하려는 시도를 중단하고 복원력을 정량화하기 시작하는 것입니다. 이를 위한 실행 가능한 단계는 다음과 같습니다.

인시던트의 유무가 아닌 인시던트의 비용 측정

대부분의 조직에서 보안 사고가 발생하면 침해 심각도에 이르지 않더라도 데이터는 바로 그곳에 있습니다.  

• 시스템이 얼마나 오래 다운되었나요?  
• 직접적인 복구 비용은 얼마였나요?  
• 다운타임으로 인해 비즈니스에 어떤 영향이 있었나요?  
• 규제 노출은 어떻게 되나요?  

이러한 수치는 실제적이고 측정 가능하며 앞으로 예측할 수 있습니다.  

세분화 도구로 인시던트의 폭발 반경이 60% 감소한다면 이는 예상 손실이 정량화할 수 있는 수준으로 줄어든 것입니다. 탐지 및 대응 역량으로 인해 격리 시간이 48시간에서 4일로 단축된다면 이는 비즈니스에 미치는 영향을 정량화할 수 있는 수치입니다.

외부 벤치마크를 사용하여 대화를 고정하기

Andrew는 이사회가 이해할 수 있는 공개적이고 정량화된 사례로 M&S를 예로 들었습니다.  

동료 조직이 수개월 동안 오프라인 상태여서 수억 달러의 손실을 입었다면, 그것이 바로 여러분의 벤치마크가 됩니다. 몇 달을 몇 시간으로 단축할 수 있는 아키텍처를 보여 주면 이사회에서 기각할 수 없는 비즈니스 사례를 확보할 수 있습니다.  

이러한 예제의 라이브러리를 구축하세요. 이사회는 추상적인 리스크 프레임워크보다 구체적이고 관련성 있는 선례에 훨씬 더 많이 반응합니다.

예상 손실 감소를 중심으로 ROI에 대한 논의 재구성

이사회는 이미 보험 언어를 이해하고 있기 때문에 보험 언어가 유용합니다.  

모든 조직은 침해 확률, 침해 빈도 및 평균 침해 비용을 기반으로 추산한 사이버 사고로 인한 연간 예상 손실을 안고 있습니다. 보안 투자는 비용 대비 예상되는 연간 손실을 얼마나 줄일 수 있는지를 기준으로 평가해야 합니다.  

이는 부정적인 것을 증명하려고 하는 것보다 더 방어 가능한 프레임이며, 예상 손실에 대해 실제로 어떤 컨트롤이 바늘을 움직이는지에 대한 대화를 유도합니다.  

이러한 대화를 통해 보안 예산의 가장 큰 항목 중 일부가 가장 효과적인 항목이 아니라는 사실을 알게 되는 경우가 많습니다.

이전 모델에서 시계가 부족합니다.

10년간의 지출 증가는 10년간의 결과 악화를 낳았습니다.  

언젠가는 보안 프로그램에 자금을 지원하는 사람들이 모델 자체가 문제인지 묻게 될 것입니다. 그리고 그 순간은 대부분의 보안 리더가 준비하는 것보다 더 빠르게 다가오고 있습니다.

이 순간을 끌려가는 것이 아니라 주도적으로 헤쳐나가고자 하는 CISO는 세 가지를 해야 합니다:

• 현재 모델이 제공할 수 있는 것과 제공할 수 없는 것에 대해 솔직해져야 합니다.
• 측정 프레임워크를 활동에서 성과로, 예방 지표에서 복원력 지표로 전환하세요.
• 도구 수와 취약점 폐쇄율이 아니라 예상 손실 감소와 입증 가능한 복원력을 중심으로 이사회 논의를 재구성하세요.

어느 것 하나 쉬운 일은 아니지만, 모델이 실패한 이유를 사후에 설명하는 것보다는 훨씬 쉽습니다.

기업은 언제든지 M&S의 순간을 기대해야 합니다. 이미 보안에 대한 논의를 바꾼 CISO가 대응을 주도하게 될 것입니다.

더 세그먼트의 전체 에피소드를 들어보세요 : 제로 트러스트 리더십 팟캐스트 Apple 팟캐스트, Spotify또는 당사 웹사이트.