주니퍼 네트웍스는 리서치와 분석을 통해 정책 및 의사결정 향상을 위한 자문을 제공하는 미국의 비영리 민간 연구소인 랜드연구소(RAND Corporation)와 공동으로, 날로 복잡해지는 사이버 보안 위협에 대응하는 과정에서 기업들이 직면한 경제적 비용, 트레이드 오프, 새로운 요구에 대한 최신 연구 결과를 공개했다.
 
랜드연구소의 경제 및 사이버보안 전문가들이 작성한 보고서에 따르면, 최고정보보안책임자(CISO)들은 비즈니스 관련 보안 리스크를 가장 효과적이고 비용효율적으로 관리하는 방법을 결정하는데 있어 큰 어려움을 겪고 있는 실정이다. 이번 연구에서 밝혀진 가장 심각한 문제는 많은 기업들이 사이버보안 솔루션에 점점 더 많은 비용을 소비하고 있음에도 불구하고, 정작 이러한 투자를 통해 인프라스트럭처를 안전하게 보호할 수 있다는 확신이 없다는 점이다.
 
주니퍼 네트웍스는 이러한 상황이 야기된 원인을 보안 툴과 리소스에 대한 비용, 그리고 보안 침해로 인해 일어나는 잠재적 비용을 종합적으로 고려한 명확한 계산이 없기 때문이라고 판단한다. 다시 말해 보안 침해에 따른 잠재적 비용에 대한 정확한 확신 및 예측이 불가능한 것이다.
 
따라서 CISO들은 사이버보안 리스크 관리를 위한 비용에 가장 큰 영향을 미치는 변수들을 총체적으로 이해하고 조직 보호를 위한 의사 결정을 내리는데 참고할 수 있는 수단을 필요로 한다.
 
이러한 요구를 반영하여, 랜드연구소는 “방어자의 딜레마: 사이버 보안을 위한 과정 수립 (The Defender’s Dilemma: Charting a Course Toward Cybersecurity)”보고서에서, 사이버 위협으로 인한 비용에 영향을 주는 주요 요인과 결정의 연결고리를 파악하는 데 도움을 주는 최초의 휴리스틱 모델(heuristic model)을 개발했다.
 
RAND의 모델은 향후 10년 동안 모든 기업의 사이버 보안 리스크 관리 비용이 38% 증가할 것으로 전망함에 따라 주니퍼는 이제 기업들이 보안 비용 관리와 리스크 관리를 별개로 관리하여야 할 시점이라고 확신한다. 전략적 마케팅이나 영업 목표 수립과 달성을 위해 여러 가지 모델들을 사용하는 것과 마찬가지로, 이제는 보안팀에도 보안 리스크 관리의 경제성과 영향을 미치는 다양한 변수를 이해하고, 보다 효율적인 인프라 보호를 위한 투자 방안을 파악할 수 있는 수단이 필요하다.   
  
주니퍼 네트웍스는 이번 RAND 모델에 의해 확인된 사항으로 기업들이 현명한 보안 투자를 위해 반드시 고려해야 하는 5가지 요소들을 아래와 같이 정리했다.

 
◇많은 보안 툴에는 툴 반감기가 있으며, 그 가치가 하락 할 위험이 있음=공격자들은 샌드박싱(sandboxing), 안티바이러스 기술 등과 같은 새로운 감지 시스템을 피하기 위해 끊임없이 대응공격(countermeasure)을 개발하고 있다. 이러한 공격자의 패턴으로 인해 기업이 유사한 수준의 보안을 유지하기 위해 보안에 투자해야 하는 비용이 증가하게 된다. RAND 모델에 따르면 시간이 지나면서 이러한 대응공격을 처리하는 기술의 효과가 향후 10년 동안 65% 감소할 것으로 예상된다. 따라서 기업은 신규 보안 솔루션 도입시에 공격자의 대응공격에 취약하지 않으며 자동화를 통한 보안 관리 향상과 회사 네트워크 전반에 정책 실행이 가능한지 여부를 면밀히 살펴보아야 할 것이다.
 
◇기로에 선 사물인터넷(IoT)=랜드연구소에 따르면, IoT는 전반적으로 보안 비용적인 측면에 영향을 미칠 것이지만 그 영향이 긍정적일지 혹은 부정적일지는 아직 명확하지 않다. 만약 기업이 스마트하고 정교하게 보안 기술 및 기기를 관리하여 IoT의 보안 시사점을 적절히 처리할 수 있다면 장기적으로 비용 절감 효과를 얻을 수 있을 것이다. 반면에 보안 통제를 효과적으로 적용하는데 어려움을 겪을 경우, RAND의 모델은 IoT가 도입되면서 사이버 공격으로 인해 기업이 입게 될 손실이 10년 동안 30% 증가할 것으로 예측했다. 
 
◇인적 자원에 투자하는 것이 장기적인 비용 절감을 가져옴=기업은 보안 관리 및 프로세스 자동화 지원 기술, 보안 담당자 추가 고용 및 교육 등 인적 자원에 대한 투자를 통해 막대한 이점을 얻을 수 있다. RAND 모델에 따르면 성실성이 낮은 조직에 비해 성실성이 높은 기업, 즉 보안 프로그램을 관리하는 데 있어 가장 효과적인 조직을 갖춘 기업은, 본 모델이 작동하는 첫 해에 사이버 보안 비용을 19%, 10년 차에는 28% 절감할 수 있다. 
 
◇보안 솔루션에 왕도는 없다=많은 기업들이 보안 투자에 있어 기업의 규모, 기존 정보의 유형, 보안 담당자의 성실성에 차별화된 최적의 경제적 전략을 사용하지 않을 것으로 예상된다. 특히, 랜드연구소의 이번 조사 결과에 따르면, 중소기업은 기본적인 도구와 정책을 통해 이득을 얻을 수 있는 반면, 최신 공격의 대상이 되기 쉬운 대형 조직이나 엄청난 양의 지적재산을 보유하고 있는 조직은 정책과 도구에 포괄적인 투자가 요구된다.
 
◇소프트웨어 취약점을 제거하면 비용을 크게 절감할 수 있음=RAND 모델에 따르면, 비용에 막대한 영향을 주는 부분 중 하나는 기업이 사용하는 소프트웨어와 애플리케이션에서 악용 가능한 취약성 빈도이다. 소프트웨어 취약성 빈도가 반으로 줄면 기업의 전체적인 사이버 보안 비용이 25% 감소하는 것으로 나타났다.
 
주니퍼 네트웍스는 랜드연구소의 이코노믹 모델에 대한 실질적인 활용을 위해 양방향 해석 모델인 인터랙티브 버전을 발표했다. 이 새로운 툴은 기업이 잠재적 비용을 줄이기 위해 제어 가능한 주요 영역에서 시간과 자원을 어떻게 투자해야 하는지에 대한 전반적인 지침을 제공한다.
 
“방어자의 딜레마: 사이버 보안을 위한 과정 수립”은 랜드연구소 보안 전문가인 마틴 리비키(Martin Libicki), 릴리안 앨본(Lillian Ablon), 티모시 웹(Timothy Webb)이 2013년 10월부터 2014년 8월까지 현재 및 향후 위협 환경에 대해 CISO와 진행한 심층 인터뷰를 바탕으로 한다.
 
이 연구는 주니퍼의 후원을 받아 랜드연구소가 진행한 2부작 시리즈의 첫 번째 보고서 “사이버 범죄 도구 및 데이터 유출 시장: 해커들의 수입원(Markets for Cybercrime Tools and Stolen Data: Hackers’ Bazaar)”를 바탕으로 하며, 이 보고서는 공격자의 경제적 추진 요인과 이들이 활동을 확장하기 위해 구축한 정교한 지하 암시장을 다룬다.
 
셰리 라이언 주니퍼 네트웍스 최고정보보안책임자는 “보안 업계는 보안 리스크가 실제 비즈니스 비용에 영향을 미치는 변수들을 파악하기 위해 노력해 왔다. 주니퍼 네트웍스와 랜드연구소의 공동 연구가 이러한 오랜 과제에 새로운 관점과 통찰력을 제공할 것으로 기대된다. 확실한 것은 조직이 공격자들에게 반격하기 위해서는 위협에 대한 리스크 관리에 관심과 투자를 집중할 필요가 있다는 점이다”라고 말했다.

이번 보고서는 데일리시큐 자료실에서 다운로드 가능하다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com