보안의 가치는 무엇인가?

By Steven J. Ross, CISA, CISSP, MBCP

ISACA Journal Volume 2, 2011

제목으로 쓰인 질문은 “그래, 확실히 보안은 매우 가치 있어”라고 대답할 한가한 질문이 아니다. 오히려, 정보 자원의 보호에 금전적 가치를 부여하는 것은 정보 보안에 관심이 있는 사람들에게는 하나의 도전이다. 정보 보호의 필요성을 인식하고 있는 모든 조직에서는 자연적, 기술적 그리고 사람에 의한 사고에 대비하여 정보와 정보를 관리하는 시스템을 보호하는데 비용을 지불한다. 조직은 보안을 위해 투자한 돈으로 무엇을 얻는 것인가? 이것은 정보를 보호하기 위한 장비, 소프트웨어 그리고 서비스에 필요한 지출에 대한 원금회수를 다루는 보안 투자 수익 (ROSI: return on security investment) ¹ 그 이상이다. 상기 질문은 ‘안전한(secure) 회사가 불안전한(insecure) 회사보다 얼마나 더 많은 가치가 있는가’하는 문제이다.

안전 및 불안전

“안전” 및 “불안전” 용어는 해석하기 나름이다. 진정 무엇이 조직을 불안하게 만드는가? 사기? 데이터 유출? 개인정보보호 위반? 이런 것들이 없다면 조직은 안전한 것인가? 절대적 조건을 배제한다면, 우리는 어떤 업종은 다른 업종보다 더 높은 수준을 필요로 하고 갖춰야 하며, 그리고 그러한 업종에 속한 조직들은 그들이 달성한 보안 수준이 서로 다르다고 말할 수 있다. 이 말도 확실하다; 어떤 조직은 암호화를 더 잘 이용하거나 더욱 효과적인 사업 연속성 계획을 가지고 있고, 반면에 다른 조직은 보다 좋은 접근 통제를 갖추고 있을 것이다. 그러나, 어떻게 정의하거나 해석하든지, 개개의 조직은 서로 차이는 있으나 어느 정도까지는 안전하다. 그런 경우에, 보다 높은 안전이 회사나 정부 기관에게 그들의 동료에 비해서나 혹은 어떤 절대적인 척도에 반해서 얼마나 많은 가치를 부여하는가?

그것이 대부분 조직의 경영자가 보안을 바라보는 방식인가? 나는 걱정하지 않는다. 많은 사례에서, 최악의 경우, 보안은 회피하기에 가장 좋은 귀찮고 성가신 것으로 간주된다. 보다 긍정적으로, 보안은 법규 혹은 인지된 위험에 대한 대응이기도 하다. 내 경험에서, 보안은 대부분 경쟁 우위로 간주되지 않고, 그리고 나는 보안에 재무적 가치를 부여한 사례를 전혀 알지 못한다. 경영자도 보안을 그렇게 생각하지 않는데, 그 이유는 주로 보안 전문가들이 보안용 비즈니스 케이스를 만들지 않기 때문이다.

비즈니스케이스를 만들기 위해서, 나는 간단한 사고 실험을 제시한다. 년간 수익이 10억(통화단위는 상관없다, 10억이 매우 큰 숫자라는 것으로 알려져 있는 한)인 회사가 있다. 그 회사는 6십억의 시장 자본을 가지고 있다. 잠재적인 바이어는 재무제표와 내부 통제에 대하여 매우 주의깊게 검토한 뒤에 결정하기를, 그 회사에 6 에서 9 십억 사이에서 제안한다. 그 회사의 재무제표는 정확하다는 가정하에서, 보안이 부적절하다고(inadequate) 드러나면, 그 기업은 9십억에서 얼마나 떨어질 것인가?

임계치 조건

한가지 시각은 보안이 그러한 매각을 위한 임계 조건이라는 것이다. 보안이 일련의 기본적 기대치들을 충족시키지 못하면, 어떠한 구매도 일어나지 않을 것이다. 불안전(insecurity)은 사업의 안정성과 오랜 동안 사업을 유지할 능력에 대해 의구심을 초래할 것이다, 기초적인 보안 조차 갖추지 않는 것은 경영자가 잠재 위험에 대해 문외한이라는 것을 가리킨다. 그러면, 기초적 보안 혹은 일련의 통제 베이스라인은 무엇인가? 적당한 주의를 기울였을 때, 사람은 적어도 표준에 의해 지원되는 보안 정책, 접근 통제, 개인정보보호 그리고 일부 양식 특히 전자 데이터의 복구능력을 발견하기를 기대할 것이다.

이것이 적당함(adequacy)의 정의인가? 시마이너(C-)가 합격점이나, 그것은 전혀 주제에 대한 숙련을 의미하지 않는다. 그 가상 회사에 대한 잠재적인 바이어는 필요한 보안이 존재한다고 받아들이지만, 더 낮은 금액으로 매입하기 위하여 회사의 보안 등급을 이용한다. 예전에 나는 그가 팔려고 하는 회사의 보안이 내가 검토하기에는 부분적으로 개선할 부분은 있지만 적절하다는 말 한마디면 수백만을 벌 수 있는 남자와 테이블을 마주하고 앉았었다. 그는 그 순간 보안에게 분명한 가치를 부여할 수 있었다.

충분한 보안

보안의 가치를 측정하는 또 다른 방법은 충분성(sufficiency)의 개념에 바탕을 둔다. 충분성이란 말은 의사결정의 근거가 되는 어떠한 독립적인 측정기준에 대해서 논란 거리이다. 그러한 측정기준들은 규제 산업들에 존재하며, 이따금 다른 산업에서도 암묵적으로 따른다. 적합한(appropriate) 보안이라 함은 적당함(adequacy) 을 능가한다는 것을 깨닫는 것이 중요하다; 적당한 수준은 필수적이지만 충분한 정도는 아니다. 그래서, 예를 들면, 직무 분리를 강화하기 위해 필요한 통제는 재무 시스템에 대해서는 받아들일 수 있는 정도로 고려할 수 있지만, 십억 이상의 거래나 기밀 및 독점적 제조법을 거래하는 접근을 위해서는 (직무분리만으로) 충분하지 않다. 그러므로, 단순히 적당한 보안으로는 그 구매를 6십억에 성사시킬 수 있다면, 충분한(sufficient) 보안은 가격을 더 높일 수 있다. 얼마나 더 높이는가는 협상 하기 나름이지만, 가치를 입증한다는 조건에 있어서 충분함은 밑돈(역자 주-협상을 시작할 때의 최초 금액) 자체를 올린다.

개념, 혹은 어쩌면 단순 용어로써의 충분성(Sufficiency )은 위험을 안고 있다. 보안이 어떤 수준에서 충분하다면, 그 위험에도 불구하고, 충분한 것을 초과하는 것에 대해서는 인센티브가 없다. 일반적인 상황에서는 필요한 만큼(just enough)의 보안에만 가치를 부여하는 것에 근거한다. 그것은 보안이 극단적 수준에 비해서만 부족하지만 그럼에도 불구하고 한순간에 모든 가치를 날릴 수 있다는 예측가능한 상황을 증명할 수 있는 가능성을 무시한다. 그러므로, 나는 충분한 보안(sufficient security)에 대한 어떠한 정의도 위험 관리 프로세스를 포함시킬 것을 제안한다.

지적 재산

조직의 지적 재산에 대한 가치는 조직의 정보 보안의 가치에 영향을 받는다. “지적 재산에 대한 공식적인 가치 부여는 거의 대부분 공정한 시장 가치의 표준을 따를 것이다. 이것이 가치 부여 활동에 있어서 필요한 분석 및 모든 가정들이 따르고 있는 가치의 표준이다. 매우 중요한 측면에서 그것은 지적 재산을 이용해서 얻어지는 (부가적인) 이익의 추정 결과와 다르다.” ² 그래서, 시장에서 지적 재산이 (사고 실험과 매우 흡사하게) 그 값어치에 따라 정량적 가격을 부여하면, 그 가격을 유지시키는 것은 전적으로 정보 보안에 달려 있다.

지적 재산의 가치 산정을 위한 테크닉에는 비용 접근방법과 그것을 개발하는데 든 지출의 합산 방법이 들어있다. 그러므로, 지적 재산을 보존하는데 드는 비용은 아무리 적어도 보안이 조직에 가져다 준 부가가치의 일부이다. 시장 접근 방법은 팔았을 때 받을 수 있는 것에 기초해 지적 재산에 대한 가치를 부여한다.

이것은 실질적으로 재무상태표상에 “영업권 및 무형자산”으로 나타난다. ³ 비록 보안이 전체 지적 재산 가치의 일부(수수료 차원)로만 간주되지만, 보안 자체에 금전적 수치를 부여하는 것도 가능할 것이다.

매출액 비율

끝으로, 보안의 가치는 그것으로부터 파생되는 수입에 의해 결정될 수 있다. 영리 회사에서, 이것은 판매 수입을 의미하는데, 그것은 보안에 대한 사례들로 묶여서 보여질 수 있다. 이것은 단지 이론에 불과하지 않다. 예전에 나는 동일한 서비스에 대해 높게 평가받는 2명의 제조업자들 중에서 한 명을 선택하여야 하는 고객을 도와주었다. 그들은 효과성, 응답성, 재무 안정성 그리고 수수료 면에서 비슷하였다. 나는 그들을 보안 차원에서 평가할 것을 요청받았다; 어느 한 회사는 특히 복구성에 있어서 확실히 우수하였다. 그 회사는 매우 유리한 계약을 맺었고, 회계에 보탬이 되었다.

보안에 대한 모든 영업 가치를 생각하는 것은 어리석을 것이나, 한가지 요소로 조차 무시하는 것 역시 어리석은 것이다. 다시 말하지만, 금액은 협상에 의해 결정된다. 일종의 사고 실험으로, 사람은 보안이 없거나 또는 최소한 시장 기준으로 충분하지 않다면 전체 매출의 10 퍼센트가 손해난다고 말할 수 있다. 따라서, 보안이 년간 수입에서 1억을 차지하고, 합병 가격에 최소 6억을 가산시킨다.

보안 가치에 관한 이 담론의 목적은 그것이 조직에서 단순한 비용이라는 생각에 도전하는 것이다. 보안 전문가는 이익 센터에서 하는 것과 동일한 조건에서 자신들의 활동에 대한 논리적 근거를 확립하기 위하여 자신들의 기여 가치를 금전적인 조건으로 주장해야 한다. 이것이 조직을 위한 보안의 적합 수준을 관리하기 위한 토대를 제공할 뿐만 아니라, 충분한 보안을 갖추지 않아서 얼마나 많은 가치를 잃어버리는가를 보여줄 수 있을 것이다.

Endnotes

¹ See Ross, Steven; “ROSI Scenarios,” Information Systems Control Journal, vol. 3, 2002. When I began writing on the subject, there was not much literature about it. Today, an Internet search on “return on security investment” brings 8,900,000 references.
² Drews, David; “Intellectual Property Valuation Techniques,” IPMetrics, www.ipmetrics.net/IPVT.pdf
³ Ibid., p. 4–6. This is terminology from the US Financial Accounting Standard 142, of the same name.

Steven J. Ross, CISA, CISSP, MBCP
is executive principal of Risk Masters Inc. He can be reached at stross@riskmastersinc.com.