Investing in Security—Do Not Rely on FUD

Volume 6, 2003
By Rahul Tongia, Ph.D., and Kanika Jain

역사 전반에 걸쳐서, 두려움, 불확실성 그리고 의심 (Fear, Uncertainty and Doubt: FUD)은 사람들로 하여금 비즈니스를 하려는 새로운 생각, 활동 혹은 메소드(methods)를 맹신하도록 하는 강력한 도구로 작용하여 왔다. 오늘날 정보화 시대에 있어서, 우리는 우리들이 - 정보기술 및 보안 전문가들 – 정보 보안에 관하여 사람들의 인식 제고나 (보안) 지출을 늘이기 위하여 FUD에 의지하지 않는다는 것을 분명히 해야 한다. 그리고 더 나아가, 정보 보안 경제학이라는 새로이 부각되는 분야가 길잡이가 되어야 한다. 불행하게도, 정보 보안에 있어서 (과장이 아닌) 너무 많은 오보와 오해가 있다.

여러 기업 및 분석가들이 쓴 많은 보고서는 보안에 대한 경제적 불가피성을 강력히 주장하지만, 그런 경우에도 구체적 사항을 논의하지 못하고 있다. 즉석에서 웹 검색을 해봐도 ROI 같은 계산을 통해서 보안 투자의 필요성을 정량화하려는 회사 및 분석가들에 의한 수십 개의 웹 사이트나 문서 등을 찾아 볼 수 있다. 그러한 계산 결과가 의미가 있도록 하기 위해서는 특정 회사나 직접적인 사례에 관하여 깊은 지식을 필요로 한다. 대부분의 발표 내용에는 많은 가정들이 불분명한 체로 남아있다. 예를 들면, 최근의 어떤 논문에서, 저자는 가상의 비행기 표 판매 회사를 이용한 보안 ROI에 대한 사례를 발표하였다. 그러한 계산은 주로 몇 일간의 작업 중단과 업무 중단 확률(가능성)을 곱한 그 회사에 미치는 영향 정도에 근거한 것이다. 그리고 몇 일간의 순매출이 아닌 총매출을 근거로 결론을 내렸다. 틀림없이 회사는 하루 영업을 안 했다고 해서 반드시 그만큼의 현금 순수입이 줄어드는 것은 아니다. 비행기표 판매 회사의 경우에 있어서, 하루에 백만 달러의 비행기표 판매 금액을 손해볼 수 있지만, 그들이 비행기들의 모든 좌석에 대해 환불해야 하는 것은 아닐 것이다. 필연적으로 재화나 서비스를 재판매하는 인터넷 상의 많은 회사들에 있어서, 특별히 경쟁적으로 판매 이익을 낮추는 정도를 감안하면 총수입 금액과 순수입 금액의 차이가 상당할 수 있다. 불행하게도, 일부 제조업체나 분석가들은 그런 급조된 계산에 근거하여 보안 투자를 요구한다.

개선된 위험 분석

이것은 보안이 재무적 영향을 끼치는 않는 위협이라고 말하는 것은 아니다. 그렇지만, 단순한 ROI 보다 더 나은 계산 방식으로 상세한 비용/효과 분석이 있을 수 있다. 이것은 즉각적으로 주목받는 투자뿐만이 아니라, 고용, 훈련, 외부 사용자와의 상호작용의 변화, 등등의 무형의 비용과 이익까지도 확대하여 고려한다. 이로써 회사들은 바이러스 백신 같은 더욱 시급하고 비용 대비 효과적인 투자를 찾을 필요성이 있다. 사람은 위험에 관한 근본적인 믿음을 상기해야 한다: 위험들은 감소될 수는 없고, 오직 이전되거나 관리될 뿐이다. 만약 의학이 모든 간질환을 막을 수 있는 신비한 알약을 개발하였더라도, 죽음에 대한 사람의 위험은 낮아지지 않는다 – 다른 원인에 의한 죽을 위험이 따라서 높아질 수 있는 것이다. 그렇지만, 다른 위험은 또 다른 태도를(혹은 대책을) 취해야 할 것이다. 마찬가지로, 어떤 솔루션을 강조하는 회사들은 종종 보다 긴급한 요구를 무시한다.

분석가들에 의해 도움을 받는 수많은 조직들은 기술이 자신들의 문제점들을 해결하기 위한 만병통치약을 제공할 것이라고 생각하고 있는 것 같다. 기업들은 전부는 아니지만 보안 침해의 상당한 부분이 (고의적이거나 잘못된 구성(misconfiguration)에 기인하는 것이 아닌가 하는) 외부가 아닌 내부인 때문에 발생한다는 증거를 무시해 가면서 방화벽, 침입탐지 그리고 다른 하드웨어/소프트웨어를 유난히 찾는다. 보안은 하드웨어 또는 소프트웨어에 관한 것이라기 보다는 올바른 운영 절차와 실무 관행에 관한 것이 더 많다. 그러한 건전한 운영 절차 및 실무 관행은 중대한 데이터를 분리시키는 것과 그러한 (중대한) 데이터를 특별한 방법으로 취급하는 것으로 확대된다. 많은 사용자들의 경우, 다른 누군가가 데이터를 봐서라기 보다는 자기 자신이 데이터를 찾지 못해서 생기는 손실이 더 클 수 있다. 이 경우에 있어서 필요한 요구는 예를 든다면 원격지 백업장치로 데이터를 주기적으로 그리고 체계적으로 백업을 받는 것이다. 마찬가지로, 많은 회사들은 침입탐지시스템(IDS)을 갖춰야만 한다고 생각한다. 그렇지만, 많은 전문가들은 특별히 IDS의 높은 체크 비율과 생산되는 다량의 데이터를 고려하여 IDS의 가치에 의문을 갖고 있다.

물론, 하드웨어에 많은 투자를 해야 하는 불행하지만 합리적인 이유가 있다: 자기 방어, 가끔은 그 구조의 다양한 부분들을 다루는 것처럼 다른 이름으로 불리기도 한다. 침해 (사고)가 발생한 경우에, IDS가 있다는 것이 회사로 하여금 어느 정도는 책임을 면하게 할 수는 있다. 법규와 같은 외적 요인들이 많은 보안 투자와 비즈니스 의사결정을 좌우하고 있는 것 같다. 특히 경쟁 회사들과의 보다 많은 상호 작용과 아웃소싱(outsourcing)에 보다 많이 의존하고 있을 경우, 계약 및 의무에 대한 세심한 주의가 점차 중요해질 것이다.

보안 보험

점차적으로, 보안이 비즈니스를 하는 비용으로 간주되고 있다. 자기 방어보다 더욱 좋은 인센티브 메커니즘이라면 그것은 보안 보험 같은 것이 될 수도 있다. 회사가 취하는 보안 대책이 점점 많아지면, 보험 비용은 점점 낮아질 것이다. 물론, 보험은 몇 가지 약점을 갖고 있다. 그 중 어떤 것은 특히 보안 분야에서만 나타난다. 단적으로 말해, 보험은 네트워크 상의 피해를 책임질 준비가 거의 되어있지 않다. 어떤 기업이나 대학이 네트워크의 혜택만 보는데 그치지 않고 네트워크를 보다 안전하게 만든다면, (네트워크에) 연결된 모든 사람들(인터넷 세계란 이 모든 사람들을 위한 것이다)도 그 혜택을 누리게 된다. 그런데 네트워크 사고가 일어나면 이 사람들은 불행하게도 최소한의 간접 보상마저도 받지 못하는 형편이다. 더구나, 보험은 데이터 및 위험의 집합 혹은 합동에 의존하는데, 이마저도 보험의 대상이 안될 수도 있다. 또한, 정보 공유에 따른 염려도 - 민감한 정보가 새나가거나 잘못 보도되는 것 - 일부 작용하기 때문에 (공유하는) 정보 자체가 부실하다.

투자를 최적화하고자 하는 선행 과정인 보안 측정은 과학 못지 않은 인위적 조작(art) 상태에 있다. (역자주: 발표되고 있는 과학 논문들 중에 데이터 조작이 가장 팽배해 있음에 비유) 투자를 정당화하기 위하여, “CIO는 증명은 원하나, 아직 그 과학을 개선시킬 데이터를 제공하는 사람이 되기를 원치는 않는다.” ¹⁾ (역자주: 내부 CIO조차도 조작된 데이터를 쓰기를 원하고 있음을 의미) 컴퓨터 보안 협회(CSI)/미국 연방 연구소의 조사처럼 보다 널리 인용되고 있는 조사들도 그 범위는 제한적이다. 이들 조사도 다음과 같은 제3의 뉴스 제목을 멈추게 하지 못한다: “CSI에 따르면, 미국의 사이버 범죄 (피해)가 겨우 2억2백만 달러를 하향하고 있다.” 최근의 CSI 보고서를 읽은 사람은 누구나 이러한 수치가 오직 제한된 응답자에 근거한 것이라는 것을 알 것이며, 또한 그러한 CSI 연구가 포괄적이고, 대표적이고 혹은 과학적이라는 것을 의미하지 않는다.

보안이란 “도 아니면 모”가 아니다. 보안은 그의 효과뿐만 아니라, 보안이 미치는 곳과 미치지 못하는 곳이 있다. 카네기 멜론 대학에 있는 CERT 조정 센터의 분석 같은 수많은 연구가 보여주듯이 다른 네트워크나 시스템은 서로 다르게 작동한다.²⁾ 규모가 큰 회사들은 정보 보안에 많은 자원을 투입할 수 있지만, 수많은 중소 회사들은 점점 취약해지고 있다. 다시 앞으로 돌아가면, 이런 작은 회사들은 보안에 대해서 그리 염려할 필요가 없다는 것을 우리는 인식해야 한다- 그들의 핵심 역량은 특정 재화나 서비스를 제공하는데 있지, IT 최강 기업이 되는 것은 아니다. 보안을 다루는 이런 어려움은 IT 제품 및 소프트웨어의 근본적 설계와 관련이 있다. 분석가, 학자 그리고 실무자들을 위한 한가지 목표는 보안의 경제적 영향뿐만 아니라 보안 수준을 측정하기 위한 엄격하면서 수용가능한 방법론을 공급하는 것이다.

Endnotes

1 Berinato, S.; "Finally, a Real Return on Security Spending," CIO Magazine, 15 February 2003
2 Moitra, S. D. and S. L. Konda; The Survivability of Network Systems: An Empirical Analysis, Pittsburgh, Software Engineering Institute/Computer Emergency Response Team Technical Report, Pennsylvania, USA, 2000

Rahul Tongia, Ph.D.
is a faculty member at Carnegie Mellon University (CMU), in the School of Computer Science and the Department of Engineering and Public Policy. His research is on infrastructure development, focusing on interdisciplinary issues of technology, policy, economics and security. He has dozens of presentations and publications relating to IT and other technology. He is presently developing material for a new program in networking and security at CMU.

Kanika Jain
is an IS/IT professional with interests in IT auditing and control, security and risk management.

원문을 보시려면 링크를 여십시오.

의견쓰기


번호	제목	글쓴이	날짜	조회	추천

	번역에 대한 변 (1)	신인철	07-03-24	8305	17

8	웹(Web) 2.0 에 대한 비평	신인철	08-04-01	3757	15

7	Key Findings of 2008 IT Governance Global Survey (2008 IT 거버넌스 글로벌 현황 주요 설문 조사 결과) (1)	신인철	08-03-06	28132	83

6	IT 거버넌스의 4가지 규칙 - By Erik Guldentops	신인철	07-12-30	5592	32

5	보안에 대한 투자 – FUD를 믿지 마라. By Rahul Tongia & Kanika Jain	신인철	07-10-06	4093	5

4	벤포드 법칙으로 데이터 신빙성 진단하기 by Bassam Hasan, Ph.D	신인철	07-08-30	18517	22

3	IT 거버넌스의 10가지 원칙 by Peter Weill and Jeanne W. Ross	신인철	07-04-16	4815	12

2	번역에 대한 변 (1)	신인철	07-03-24	8305	17

1	미래는 예측할 수 없는가? 저널 기고자 Steven J. Ross, CISA	신인철	07-03-23	3575	3

1 2 3

Investing in Security—Do Not Rely on FUD

Volume 6, 2003By Rahul Tongia, Ph.D., and Kanika Jain

보안 보험

Volume 6, 2003
By Rahul Tongia, Ph.D., and Kanika Jain