미래 보호: 사이버 보안 준비 태세 보고서
7장: 제한된 예산
올바른 보안 솔루션과 최고의 인재에 투자하는 것은 사이버 보안 문제에 대처하기 위한 당연한 전략처럼 보일 수 있습니다. 하지만 사이버 보안 자금 부족은 많은 기업에게 여전히 문제로 남아 있습니다. 그렇다면 좋은 소식은? 경영진이 보안 문제에 대해 더 많이 인식할수록 사이버 보안에 대한 투자 지원을 늘릴 것이라는 점입니다. 보안에 대한 올바른 접근 방식을 채택한다면, 투자를 통해 큰 효과를 얻을 수 있습니다.
많은 조직이 이미 보안에 많은 투자를 하고 있습니다. 조직에서는 전체 IT 예산의 상당 부분을 새로운 보안 솔루션 구매와 직원 채용에 지출합니다. 연구 결과에 따르면, 지난 해 조직의 53%가 전체 IT 예산의 11~20%를 사이버 보안에 지출한 것으로 나타났습니다. 또 다른 28%의 조직은 예산의 5분의 1인 20% 이상을 지출했습니다.
방어해야 할 더 크고 복잡한 네트워크를 가진 대규모 조직이 중소 규모 조직보다 사이버 보안에 더 많은 IT 예산을 지출해야 할 것처럼 보일 수 있습니다. 하지만 대규모 조직과 그 외 모든 조직 간의 지출 차이가 아주 크지는 않습니다. 본 설문조사에서는 대규모 조직의 3분의 1 이상(35%)이 전체 IT 예산의 5분의 1 이상을 보안 솔루션 및 인력에 지출한 것으로 밝혀졌습니다. 그러나 중소 규모 조직도 IT 예산에서 비슷한 비중을 지출한 곳이 26%에 달했습니다.
업계에 따라서는 지출 규모가 달랐습니다. Cloudflare의 설문조사에 따르면 의료, 운송, 금융 서비스 조직에서 사이버 보안에 가장 많은 지출을 하고 있습니다. 그러나 이러한 업계의 기업이라고 해서 최소한 자체적인 추정에 따르면 반드시 더 잘 준비되어 있는 것은 아닙니다. 설문조사에서는 의료 분야 응답자의 16%만이 보안 위협에 대처할 준비가 충분하다고 답했습니다.
향후 사이버 보안 예산은 증가해야 합니다. 설문조사 응답자의 3분의 2(67%)는 향후 12개월 내에 예산이 증가할 것으로 예상하고 있습니다. 이 응답자들은 11%에서 20% 사이의 상당한 예산 증가가 있을 ��것으로 봅니다. 응답자의 또 다른 5분의 1(22%)은 사이버 보안에 대한 현재 지출 수준을 유지할 것으로 보고 있습니다.
이미 더 많은 비용을 지출하는 분야의 기업은 앞으로도 계속 지출을 늘릴 것입니다. 금융 서비스, 의료, 운송 회사의 설문 응답자들은 모두 지출 증가를 예상합니다. 한편, 인플레이션이나 다른 경제 추세에 영향을 받을 수 있는 소매 및 제조업과 같은 업계의 응답자들은 사이버 보안 예산의 감소를 예상합니다.
일부 기업의 예산이 증가하는 이유는 무엇일까요? 사이버 보안 사고의 빈도와 심각성이 증가하는 속도가 주요 원인입니다. 리더십 팀은 조직의 위험 프로필 및 위험 감수 수준에 따라 사이버 보안 예산을 항상 평가해야 합니다. 모든 위험에 대해 반드시 대규모 투자가 필요한 것은 아닙니다. 그러나 점점 더 많은 조직들이 대규모 공격에 직면하여 규제 벌금, 소송, 복구 노력, 그리고 손상된 평판으로 인한 사업 손실을 포함한 막대한 재정적 손실을 겪고 있습니다. 많은 리더십 팀에서 허용 가능한 수준의 위험을 넘어서는 사건이 발생하고 있기 때문에 리더는 투자를 강화해야 한다는 것을 깨닫게 되는 것입니다.
물론 모든 투자가 똑같은 이점을 가져다주는 것은 아닙니다. 예를 들어, 사이버 보안 예산을 최대한 활용하려면 조직은 적절한 보호를 제공하지 못하면서 도입 및 관리 비용만 높은 포인트 솔루션의 함정에 빠지지 않도록 조심해야 합니다.
팀에서 기존 보안 전략을 재고하지 않는다면 아무리 큰 투자를 하더라도 충분한 효과를 누리지 못할 수 있습니다. Cloudflare 최고 보안 책임자인 Grant Bourzikas가 기고했듯, “대형 글로벌 은행의 CISO로 재직할 당시, 우리는 보안에 10억 달러의 예산을 책정하고, 관련 직원만 1,500명이었습니다. 하지만 이 정도 리소스로도 보안을 강화하고 진화하는 위협으로부터 비즈니스를 보호하기에 충분하지 않았습니다.”
가용한 예산 규모와 상관없이, 보안 리더는 가장 큰 효과를 낼 수 있는 접근 방식에 투자해야 합니다. 대부분의 조직에서는 단일 통합 보안 플랫폼을 구현하는 것이 최선의 방법입니다. 보안을 통합하면 수많은 포인트 솔루션의 복잡성과 지속적인 인력 부족 문제를 피하면서 광범위한 보안 위협에 대처할 수 있습니다. 조직에서는 준비 태세를 강화하는 동시에 운영 효율성도 개선할 수 있습니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
4,000여 명의 사이버 보안 전문가가 참여한 설문조사 결과
보안 사고, 준비 태세, 결과에 대한 새로운 조사 결과
조직의 미래를 보호하고 더 나은 성과를 달성하기 위한 CISO의 고려 사항