2025년 08월 28일

침해 후 보안 예산, 꼭 늘려야 할까?

Tech

Share

by

사이버 침해 후 보안 예산 증액, 정말 답일까? 기업들의 변화하는 시각

오랫동안 사이버 보안 업계에서는 침해 사고가 발생해야 비로소 보안 예산을 늘리는 것이 당연하게 여겨졌습니다. 하지만 최근 이러한 통념에 균열이 생기고 있습니다. IBM의 최신 데이터 침해 비용 보고서는 침해 이후 보안 투자를 늘리겠다는 기업의 비율이 감소하고 있음을 보여줍니다. 이는 단순한 예산 축소를 넘어, 기업들이 보안 투자에 대한 새로운 시각을 갖기 시작했다는 것을 의미할 수 있습니다.

침해 후 투자 감소, 피로감인가, 효율성 추구인가?

클라우드 보안 기업 업윈드의 최고경영자 아미람 샤차르는 기업들이 침해 대응에 지쳐가고 있다고 분석합니다. 과거에는 침해 사고가 이사회의 경각심을 불러일으켜 예산 확대를 이끌었지만, 이제는 사후 대응보다는 선제적 보안 프로그램에 대한 투자가 더 효과적이라고 판단하는 것입니다. 런타임 계층까지 클라우드 워크로드를 지속적으로 보호하는 것이 침해 가능성을 낮추고 더 큰 효과를 가져다준다는 주장입니다.

ROI 중심의 보안 투자, 성숙한 의사결정 체계로의 전환

기술 기업 마켓프루븐에이아이의 창업자 애런 퍼킨스는 보안 예산 증액이 항상 위험 완화로 이어지는 것은 아니라는 인식이 확산되고 있다고 설명합니다. 침해를 경험한 기업은 단순히 보안 계층을 추가하는 것이 아니라, 기존 투자를 최적화하고 계산된 위험 관리에 집중하고 있습니다. 이는 '어떤 비용이 들더라도 보안'이라는 사고방식에서 벗어나 ROI 중심의 성숙한 의사결정 체계로 나아가는 과정입니다.

침해는 불가피한 운영 비용? 현실적인 문제 직시의 필요성

세인트루이스 의약과학대학 정보총괄책임자 잭 루이스는 많은 기업이 침해를 불가피한 운영 비용으로 받아들이는 현실에 대해 우려를 표합니다. 공격은 점점 더 빠르고 지능화되고 있으며, 방어 체계를 최신화하지 않으면 다음 공격은 시간문제라는 것입니다. 기업은 현실적인 문제에 직시하고, 지속적인 보안 투자를 통해 방어 체계를 강화해야 합니다.

이사회의 책임, 투자 결정의 중요성

보안 탐지 및 대응 서비스 기업 엑스펠의 자문 보안총책임자 제이슨 레브홀츠는 침해 이후 예산을 늘리는 것은 이사회가 지금까지 보안에 충분히 투자하지 않았다는 사실을 인정하는 셈이라고 지적합니다. 최근 몇 년간 보안에 대한 이사회의 관심이 높아진 점을 고려할 때, 침해 이후 예산 증액 여부는 이사회의 투자 책임 문제로도 이어질 수 있습니다.

위험 전가 전략, 사이버 보험의 역할과 한계

보안 리더 중 일부는 위험을 완화하는 대신 사이버 보험을 통해 전가하는 전략을 택하고 있습니다. 재보험사 포티튜드리의 보안총책임자 엘리엇 프랭클린은 침해 이후 지출 축소가 양분된 사고방식을 보여준다고 분석합니다. 일부는 사이버 보험으로 충격을 흡수하려 하고, 다른 일부는 이미 NIST CSF 같은 프레임워크를 도입해 회복탄력성을 확보했기 때문에 침해를 새로운 투자가 아닌 교훈과 미세 조정의 계기로 삼는다는 것입니다.

IT 복잡성 문제, 단순화와 최적화의 중요성

데이터 복구 전문 기업 크래시플랜의 보안총책임자 토드 소르센은 일부 기업은 침해 원인이 보안 투자 부족보다는 IT 환경의 과도한 복잡성에 있다고 판단할 수 있다고 말합니다. 중복된 시스템, 통합 실패, 활용되지 않는 솔루션 등 IT 복잡성은 보안 미비만큼이나 위험한 요소입니다. 침해 이후 일부 기업은 환경 단순화, 적절한 도구 선정, 최적화 및 통합에 더 집중하게 됩니다.

프로세스 문제, 도구 구매가 아닌 근본적인 해결책 모색

AI 보안 기업 벡트라 AI의 제품 전략 부사장 마크 보이차샤크는 침해 이후 보안 지출 감소는 보안 전문가의 사고방식 전환을 시사한다고 주장합니다. 많은 보안 리더는 침해를 이제 더 이상 도구 구매 신호가 아니라, 프로세스 붕괴나 거버넌스 문제, 혹은 미활용된 역량의 경고로 보고 있습니다. 이에 따라 새로운 예산 확보보다는 기존 기술과 파트너 활용도 제고에 초점을 맞추고 있습니다.

침해 후 보안 강화 외면, 무모한 결정이라는 비판

IT 서비스 기업 노스도어의 최고사업책임자 AJ 톰슨은 침해를 겪은 기업이 보안 강화를 꺼리는 현실에 대해 강한 우려를 표합니다. 기업이 침해당했다는 것은 이미 취약점이 존재했다는 뜻인데, 보안 강화를 하지 않는다는 것은 극히 무모한 결정이라는 것입니다. 근본적인 보안 강화 노력은 반드시 필요합니다.

생성형 AI 보안 투자 미흡, 새로운 위협에 대한 대비 필요

침해 후 보안 예산을 늘리겠다고 밝힌 기업 중 절반 이하만이 생성형 AI 기반 보안 솔루션이나 서비스를 중점 투자 대상으로 삼고 있다는 점은 우려스러운 부분입니다. 업윈드의 샤차르는 생성형 AI가 위협 지형을 재편하고 있는 상황에서 이에 기반한 보안 투자 비중이 낮다는 점은 놀랍다고 지적합니다. 데이터 유출, 적대적 조작, 모델 무단 접근 등 기존 보안 체계로 대응이 어려운 AI 워크로드 위험을 막기 위해 새로운 도구가 필요합니다.

맺음말

사이버 침해 후 보안 예산 증액에 대한 기업들의 변화하는 시각은 단순히 예산을 줄이는 것이 아니라, 더욱 효과적이고 효율적인 보안 투자를 모색하는 과정이라고 볼 수 있습니다. ROI 중심의 의사결정, IT 환경의 단순화, 프로세스 개선, 그리고 새로운 위협에 대한 대비까지, 기업들은 더욱 성숙한 보안 전략을 구축해야 할 것입니다.

이것도 좋아하실 수 있습니다...