CISO Perspectives: 사이버 보안 예산의 적정선은?
Phil Venables
VP, TI Security & CISO, Google Cloud
Hear monthly from our Cloud CISO in your inbox
Get the latest on security from Cloud CISO Phil Venables.
Subscribe* 해당 블로그의 원문은 2024년 7월 16일 Google Cloud 블로그(영문)에 게재되었습니다.
2024년 7월 첫 번째 CISO 관점(CISO Perspectives)의 주요 내용을 정리해 보았습니다.
"오늘은 보안 팀에게 매우 중요하고 복잡한 주제인 예산에 대해 다루어 보려 합니다. 이 주제는 필자의 개인 블로그에서 다루었던 내용으로 CISO 관점 뉴스레터에서는 처음으로 소개합니다. 모든 CISO 관점 뉴스레터는 구글 클라우드 블로그에도 게시됩니다. 구독하면 뉴스레터로 편히 받아 볼 수 있습니다."
- 펠 베너블스, 구글 클라우드 부사장 및 CISO
공급 + 수요 + 위험 = 보안 예산에 대한 사고방식
필 베너블스, 구글 클라우드 부사장 및 CISO
필자는 기술에 보안을 녹이는 것이 조직의 보안 투자 수익을 높이는 데 도움이 된다고 믿습니다. 예산을 다룰 때 CISO, CIO, CTO는 조직의 비전과 전략을 고려해 긴밀하게 협력해야 합니다.
모두가 탄력적이고 안전하고 동시에 민첩한 IT 플랫폼을 원합니다. 이런 플랫폼은 비즈니스 성과 달성을 뒷받침합니다. 관련해 최고의 보안 전략을 선택하고 이를 실행에 옮기기 위해 적절한 방법을 사용하는 것은 CISO의 중요한 역할입니다. CISO는 보유하고 있는 리소스와 필요 예산에 대한 이해를 토대로 인프라 보안 투자의 중요성에 대한 조직의 공감을 끌어내야 합니다.
보안 제어가 성공적으로 작동하도록 하는 데 있어 예산은 중요한 성공 기반입니다. 그럼에도 예산 자체에 대한 논의는 거의 이루어지지 않는 것이 현실입니다. CISO는 적절한 규모의 보안 예산 확보를 위해 CIO, CTO와 협력해야 하며, 이들과 어떻게 예산을 활용할지에 대한 내용을 공유해야 합니다. IT 투자 관련 조직의 비전에 대한 CISO, CIO, CTO의 이해가 같아야 하며, 비전 달성을 위해 서로 책임을 함께 해야 한다는 것도 알아야 합니다.
필자의 개인 블로그에 올린 예산 관련 글에서 일부를 발췌해 보겠습니다. "예산 책정은 단순히 돈을 배분하는 것이 아니라 위험을 줄이고 조직의 목표를 달성하기 위한 전략적 계획입니다. 이 계획은 보안 팀, 연계 팀, 사업 부서 간에 협력을 통해 만들어야 합니다. 보안 예산은 항상 별도로 확보되는 것이 아니며, 다른 프로젝트나 활동의 하나로 포함될 수도 있습니다."
더 많은 돈을 투입하는 것은 분명히 목표 달성에 도움이 될 수 있지만, 예산만 늘리는 식의 접근은 한계가 있습니다.
예산과 위험 관리가 서로 다른 영역에 있는 것처럼 보일 수 있습니다. 예산과 위험 관리는 수요 공급 측면에서 바라보아야 합니다. 여기서 수요란 보안 팀의 시간과 프로젝트에 영향을 미치는 모든 요구 사항을 말합니다. 예를 들어 기업 제품의 위험 검토 및 완화, 신규 프로젝트, 취약성 관리, 인시던트 대응, 인수 및 매각, 새로운 벤더 또는 기술 도입 등을 수요라 볼 수 있습니다.
다음으로 공급은 보안 팀이 활동을 수행하는 데 필요한 인력, 서비스, 제품 같은 자원을 의미합니다. 이상적으로는 수요와 공급의 균형을 맞추는 것이 중요합니다. 하지만 실제 상황에서는 수요가 공급보다 빠르게 증가하는 경향이 있습니다. 이는 사업 성장, IT 기술과 환경의 변화, 공급망의 복잡성 가중, 새로운 위협의 등장 등 여러 요인에 의해 발생합니다. 이러한 불균형을 해소하기 위해 보안과 비즈니스 리더는 수요를 줄이고 공급을 늘리는 방법을 고려해야 합니다.
CISO들은 예산 확보에만 집중하는 경우가 너무 많습니다. 더 많은 예산은 공급을 늘리는 데 효과적이지만, 이 방법에도 제한 사항이 있습니다. 중요한 것은 기업이 보안 예산 외에도 재정적으로 다른 제약 조건도 가지고 있다는 점입니다. 간단히 설명하자면 더 많은 예산은 장점이 있지만, 기업의 전체적인 재정 상황도 고려해야 한다는 것입니다. 다행히 예산 외에도 수요를 줄이고 공급을 늘리는 방법들이 있습니다.
우리는 보안에 대한 접근 방식과 안전한 제품 개발 방식을 전반적으로 바꿀 수 있는 큰 기회가 있습니다. 이는 보안 예산에 대한 접근 방식을 재고하는 것까지 포함합니다.
CISO는 이사회 및 경영 위험 위원회와 협력해 조직이 위험을 재정의하도록 돕습니다. 구글 클라우드는 이러한 대화를 시작하고 성숙하게 만드는 방법에 대한 많은 지침을 가지고 있습니다. CISO는 이사회와 경영 팀과 협력을 통해 위험을 재정의하고, 이를 통해 중요 비즈니스 자산과 서비스 보호에 더 집중하고, 불필요한 부담을 덜어낼 수 있습니다. 또한, CISO는 사용하지 않는 서비스 및 제품 중단, 취약한 벤더 제거, 구식 기술 업그레이드 또는 중단 등에 대한 방안을 제안하여 위험을 줄일 수 있습니다.
리소스 효율성을 높이는 것은 공급망에서 더 많은 것을 얻을 수 있는 매우 효과적인 방법입니다. 온프레미스 시스템을 사용하는 기업은 보안이 강화된 클라우드 시스템으로 이전하여 리소스 효율성을 높일 수 있습니다. 이외에도 직원 교육 개선, 최신 도구 도입, 자동화 도구 활용 등을 통해서도 리소스 효율성을 높일 수 있습니다.
또한, 리더들은 공급 부족 상황(supply-side deficit)을 수용하는 전략을 택할 수 있습니다. 이 전략은 고유한 위험을 내포하고 있습니다. 따라서 이 전략을 택할 경우 위험을 계산하고 관리하는 방법이 필요합니다. 경영진은 이러한 전략에 동의해야 하며, 누적된 위험(risk debt)을 줄이기 위한 노력이 지속해서 이어져야 합니다. 일부 조직은 이러한 전략으로 성공적인 성과를 거두었습니다.
클라우드 개발 분야는 생성형 AI로 큰 변화를 맞이하고 있습니다. 생성형 AI는 기업들이 기술과 보안에 대한 기존 접근 방식을 재고하도록 만들고 있습니다. 이는 보안 및 안전한 제품 개발 방식을 혁신할 기회인 동시에 보안 예산 배분 방식에도 영향을 미칠 수 있습니다.
구글 클라우드 전문가들의 더 많은 리더십 지침을 보려면, CISO 인사이트 허브를 참조하거나 CISO 오피스로 문의 바랍니다.
Google Cloud의 보안 관련 최신 소식
- 더 나은 위협 인텔리전스를 원하나요? APT 공격 그룹처럼 생각하는 법을 배워보세요: 정부와 대기업의 APT 공격 그룹의 주요 표적이 되지만, 누구도 공격에서 예외가 될 수는 없습니다. APT 공격 그룹을 대비하는 계획이 공격에 대한 회복력을 높일 수 있는지 알아보세요. 더 알아보기
- PQC 마이그레이션 방법: 구글의 버그 헌터들이 전통적인 암호 시스템을 PQC 암호화로 마이그레이션 할 때의 실질적인 고려 사항을 소개합니다. 더 알아보기
- 생성형 AI 오용, 전술과 통찰력의 분류: Google DeepMind, Jigsaw, Google.org의 새로운 연구는 2023년 1월부터 2024년 3월까지 보고된 수백 건의 사건을 분석하고 기존 학술 문헌을 참조해 생성형 AI 오용 전술을 분류하여 안내합니다. 더 알아보기
- IAM 산을 오르기, 구글 클라우드 환경의 아이덴티티에 대한 심층 가이드: 처음에는 완만한 언덕처럼 보이지만, IAM은 빠르게 가파르게 변합니다. 탄탄한 기초를 유지하기 위한 IAM 용어와 개념에 대한 가이드를 제공합니다. 더 알아보기
- EU AI 법안 탐색, 구글 클라우드의 적극적인 접근 방식: 유럽 연합의 AI 법안은 AI 시스템의 잠재적인 위험과 영향 수준에 따라 의무를 설정하는 법적 프레임워크입니다. 새로운 법안에 대한 구글 클라우드의 적극적인 접근을 확인해 보세요. 더 알아보기
- 클라우드 스토리지를 위한 확장된 민감 데이터 보호 발표: 구글 클라우드의 민감 데이터 보호 발견 서비스가 이제 BigQuery, BigLake, Cloud SQL에 추가되어 Cloud Storage를 지원합니다. 더 알아보기
위협 인텔리전스 소식
- 대담해지고 진화하는 위협, NATO가 직면한 사이버 위협 현황: 이 사이버 위협 활동의 스냅샷에서는 NATO가 직면한 악의적인 사이버 활동을 살펴봅니다. 이는 국가 지원 해커, 핵티비스트, 그리고 이전에는 상상할 수 없거나 가능성이 적다고 여겨졌던 행동을 기꺼이 하는 범죄자들에 의해 수행됩니다. 더 알아보기
- 핵티비즘 동향에 대한 방어자의 경계가 필요한 이유: 맨디언트는 2022년 초부터 핵티비스트 전술과 기법을 사용하는 위협 행위자들의 위험한 활동이 다시 활성화되고 강화되는 것을 관찰했습니다. 맨디언트의 핵티비즘 위협 환경 분석 내용은 위협 행위자들이 끼치는 위험에 대한 이해와 함께 위험을 평가하는 도구에 대한 설명까지 포함하고 있습니다. 더 알아보기
최신 팟캐스트
- 갈림길에 선 SOC: 딜로이트와 구글 클라우드가 수행한 새로운 연구는 대부분의 SOC에 두 가지 미래가 있음을 시사합니다. 변혁에 집중하거나 최적화에 집중할 수 있습니다. 클라우드 시큐리티 팟캐스트 호스트인 Anton Chuvakin과 Tim Peacock는 딜로이트의 Mitchell Rudoll과 Alex Glowacki와 함께 이 연구 결과에 대해 논의합니다. 팟캐스트 듣기
- 스트레스 속의 팀워크, 방어자들이 탐험 행동에서 얻는 이점: 사이버 보안 사고 대응은 탐험 행동으로 알려진 사고방식과 훈련에서 이점을 얻을 수 있습니다. Anton과 Tim이 구글의 Robin Shostack 및 Jibran llyas와 함께 현대 사이버 보안 팀워크의 중요성을 탐구합니다. 팟캐스트 듣기
- 방어자의 이점, AI 솔루션을 안전하게 사용하는 맨디언트의 접근 방식: 조직에서 AI 워크로드를 구현하려면 안전하게 수행하고 싶을 것입니다. 맨디언트 컨설턴트인 Trisha Alexander, Muhammed Muneer, Pat McCoy가 호스트 Luke McNamara와 함께 맨디언트가 최근 출시한 서비스를 소개합니다. 팟캐스트 듣기
이상으로 2024년 7월 첫 번째 클라우드 CISO 관점 뉴스레터의 주요 내용을 알아보았습니다. 2주 후에 최신 뉴스레터로 다시 찾아뵙겠습니다.