2022년 기업의 사이버보안 지출은 2021년과 비슷한 수준을 유지할 것으로 예상된다. CISO의 2022년 예산은 대부분 2021년보다 늘거나 비슷했으며, 예산이 줄어든 경우는 극히 일부인 것으로 조사됐다.
CSO의 ‘2021년 보안 우선순위 조사’에 따르면, 보안 책임자 가운데 44%가 향후 12개월간 예산 증가를 예상하는 것으로 나타났다. 54%는 예산이 2021년과 같을 것으로 예측했다. 이는 지난 2021년 예산 증가 및 유지를 경험한 비율보다 높았다. 반면 예산 감소를 예상한 비율은 2%로, 2021년 예산 감소를 경험한 6%와 비교하면 소폭 감소했다.
다른 조사 결과도 비슷했다. PwC ‘2022년 글로벌 디지털 트러스트 인사이트’ 보고서에 따르면, 응답 기업 가운데 69%는 사이버보안 관련 지출이 증가할 것으로 전망했다. 26%는 관련 지출이 10% 이상 급증할 것으로 내다봤다. 가트너는 2022년 정보 보안 및 위험 관리 지출 총액이 2020년 1,370억 달러, 2021년 1,550달러에서 증가한 1,720억 달러로 추산했다.
안정적인 예산에도 불구하고 CISO의 지출은 더욱 신중해질 전망이다. 수많은 기업 책임자와 보안 경영진이 보안에 대한 투자가 그만큼의 가치를 제공하는지, 운영을 성숙하게 만드는지, 궁극적으로 기업의 보안 태세를 개선하는지를 계속 증명해야 한다고 입을 모았다.
PwC 사이버 및 개인정보보호 혁신 연구소장 조 노세라는 “기업은 사이버 위험이 매일 늘어난다는 사실을 인지하기 때문에 사이버보안에도 계속 투자한다. 기업 경영진은 해킹으로 신문 1면을 장식하는 사태를 방지하기 위해 얼마든지 자금을 지출할 의향이 있지만, 필요 이상으로는 돈을 쓰려고 하지 않는다. 경영진은 항상 적절한 곳에 투자하기를 원한다”라고 말했다.
꼭 필요한 곳에 투자하기 위해서 CISO는 적정 보호 수준을 인지해야 하며, CEO와 협력해야 한다. 노세라는 “사이버보안 투자는 단순히 최신 제품을 갖추는 것을 의미하지 않는다. 최근에는 기업이 가장 취약한 부분을 먼저 파악한 후 공격 발생 가능성과 손실의 심각성에 따라 투자 우선순위를 정하는 방향으로 변하고 있다”라고 덧붙였다.
예산을 움직이는 사이버보안 지출 동향
증가한 사이버보안 예산은 사이버보안에 대한 기업 경영진과 이사회의 높아진 관심을 반영한다. EPAM 시스템즈 CISO 샘 레만은 “사이버 공격 규모의 증가는 많은 기업이 보안 지출을 늘리게 된 여러 요인 가운데 하나다. 경영진도 침해 사고의 피해가 심각하며, 사이버 공격자가 돈을 쉽게 벌 수 있는 방법이 사이버 공격이라는 점을 인지하고 있다”라고 설명했다.
기업 경영진은 투자한 보안 기술이 다양한 위협에서 기업을 적절히 방어하는지를 알고자 한다. 보호와 유연성을 모두 확보하고자 하는 것이다. 기업 경영진은 100% 완벽한 방어는 없지만, 철저한 방어책을 마련하면 피해를 입기 전에 탐지, 대응, 복구 시간을 벌 수 있다는 것을 이해한다. 동시에 사용자와 비즈니스 파트너, 규제 당국도 보안을 최우선으로 여기기 때문에 보안 책임자는 결과를 내야 한다는 압박감을 기업 내외부에서 느낀다.
KLC 컨설팅 CEO 카일 라이는 2021년 5월 미국 사이버보안 개선에 관한 행정 명령과 개인정보보호를 강화하는 입법 조치를 사이버보안 예산에 영향을 미치는 요인으로 꼽았다. 라이는 “규제와 입법 조치는 요건을 준수해야 하는 많은 기업, 특히 연방 정부 혹은 국방부의 협력 기업에 중요한 부분이다”라고 강조했다.
CSO의 ‘2021년 보안 우선순위 조사’ 결과도 이런 관측을 뒷받침한다. 조사에 따르면, 보안 지출과 관련한 결정적인 요소로 ‘모범 관행’을 꼽은 응답자와 ‘준법, 규정, 명령’을 꼽은 응답자가 각각 49%로 가장 많았다. 그 외에는 근무 환경 변화에 따라 등장할 수 있는 위험을 해결해야 할 필요성(41%), 클라우드 마이그레이션 등 디지털 트랜스포메이션으로 발생한 위험 해결(38%), 소속 기업에서 발생한 보안 사고 대응(35%), 다른 기업에서 발생한 보안 사고 대응(25%) 순이었다.
이런 결과는 앞으로 살펴볼 CISO의 지출 예상 분야와 연결된다.
보안 관련 지출 우선순위
CSO 설문조사에 따르면, 지출이 예상되는 사이버보안 분야는 다양하다. 응답자 20%는 사내 인프라 및 하드웨어, 19%는 숙련 직원, 16%는 사내 툴 및 소프트웨어에 우선적으로 투자한다고 답했다. 모두 기업 보안의 근간이 되는 부분이다. CISO가 그 다음 우선하는 분야는 클라우드 기반 보안 솔루션(10%), 컨설팅 서비스(7%), 클라우드 기반 보안 권고 서비스(7%), 보안 인식 교육(7%), 도급 평가 서비스(6%), 외부 사고 대응 서비스(5%) 순이다.
가트너는 2022년에는 보안 서비스에 770억 달러가량이 투입될 것으로 예상했는데, 이는 정보 보안 및 위험 관리 관련 지출 가운데 최대 규모다. 인프라 보호에는 300억 달러, 네트워크 보안 장비에 190억 달러, ID 및 접근 관리에 170억 달러가 사용될 것으로 예상되며, 그 밖에 애플리케이션 보안(66억 달러), 통합 위험 관리(64억 달러), 데이터 보안(40억 달러), 소프트웨어(27억 달러), 클라우드 보안(14억 달러) 분야도 사이버보안 예산이 많이 할당됐다.
가트너의 신흥 기술 및 트렌드 담당 선임 애널리스트 션 에프팅크는 사이버보안 예산이 할당된 분야를 4가지로 분류했다. 첫 번째는 위치와 관계없는 보안을 지원하는 분야로, ID를 실질적인 경계선으로 간주하고 제작된 사이버보안 프로그램이 대표적이다.
두 번째는 기업의 보안 역량을 강화하는 분야다. 최근 사이버보안 경력을 보유한 이사회 임원이 늘면서 보안을 철저하게 검토하는 분위기가 생겼다. 이들 임원은 효율성이 높아지는 것은 물론 실증할 수 있을 정도로 보안 기능이 성숙하는 모습을 보고 싶어한다. 이런 기대치를 충족하려면 보안 제품의 복잡성을 줄이는 것이 관건이다.
세 번째는 진화하는 기술 분야다. 기업은 확대되는 클라우드 환경 보호에 필요한 기술뿐 아니라 침해 및 공격 시뮬레이션 툴처럼 새롭게 등장해 현재 성숙 단계에 접어든 보안 기술에 지출을 늘리고 있다.
마지막 분야는 외주다. 외주 지출은 보안 운영 활동의 효율을 높이고 내부 직원 배치의 어려움에 대처하는 데 도움이 되기 때문이다.
다른 보안 책임자의 관측도 비슷하다. 많은 CISO가 접근 및 ID 관리 소프트웨어, RBAC(Role-based Access Control)와 같은 인증 기술, 사용자 행동 분석, 제로 트러스트 아키텍처를 지원하는 마이크로 세그멘테이션에 투자하고 있다고 밝혔다. CISO는 방대한 규모의 보안 데이터를 보다 효과적이고 효율적으로 다루기 위해 클라우드 아키텍처와 자동화 및 분석에도 비용을 지출하고 있으며, MSSP(Managed Security Services Providers)와 연계해 내부 직원의 노력을 강화하고 있다.
노세라는 “ID 및 접근 관리, 서드파티 위험 관리, 실시간 지능화, 제로 트러스트 등은 모두 보안 투자의 주요 분야”라고 말했다.
투자 금액과 보안은 비례하지 않는다
PwC의 ‘제24차 연례 글로벌 CEO 설문조사’에서 ‘사이버 위협’이 코로나19 팬데믹 다음으로 사업 전망에 위험이 되는 요소로 꼽혔다. 북미와 서유럽 지역 CEO는 사이버 위협을 1위로 꼽았다. 그럼에도 많은 전문가는 CEO가 CISO에게 비용을 마음대로 쓸 권한을 부여하는 것을 꺼려 한다고 지적한다. CISO의 2022년도 자체 보안 예산이 이런 사실을 반영한다.
보안 업계에는 ‘돈을 쓴다고 반드시 보안이 확보되지는 않는다’라는 말이 자주 회자된다. CISO가 작년과 동일하거나 약간 늘어난 예산으로 계속해서 효율과 효과를 높여야 함을 추측할 수 있다. 이를 위해 CISO는 초기 개발 과정부터 보안을 고려하고, 기업 전반에 보안이 자리잡을 수 있도록 해야 한다. 에프팅크는 “무엇보다 사고 방식의 전환이 필요하다. 보안은 미리 준비해 적용해야 하는 것이지 나중에 덧붙이는 것이 아니다. 인식 체계의 변환이 일어나야 한다”라고 강조했다.
나아가 전사적으로 통합된 시스템을 구축해 사이버보안을 단순히 CISO 혹은 IT팀만의 책임이 아닌, 모든 직원의 책임으로 만들어야 한다는 지적도 있다. 노세라는 “궁극적으로 전사적 사이버보안 활동은 기업 내부, 이해관계자, 소비자에게 신뢰를 구축해 차별화된 경쟁력이 될 수 있다. 현재 기업이 시스템 강화에 사용하는 비용은 미래 사업 모델에 대한 투자 비용으로 생각해야 한다”고 덧붙였다.
'투자레터' 카테고리의 다른 글
글로벌 디지털 결제 시장은 2026년까지 연평균 15% 성장 (0) | 2021.12.27 |
---|---|
12가지 차트로 본 2022년 미국 증시 (0) | 2021.12.25 |
전세계 936개 유니콘 기업 인포그래픽 (0) | 2021.12.21 |
블랙락 2022년 글로벌 경제 전망 (0) | 2021.12.17 |
2022년 Vanguard 세계 경제 전망 (0) | 2021.12.17 |