?? ??? ??? CISO? ??? ??? ?? ??. ??? ??? ???? ??, ??? ??, ??? ????? ?? ??? ? ??? ???? ? ??? ? ? ??. Credit: Dusan Petkovic / Shutterstock 수년 전, 보안 기업 트랜스미트시큐리티(Transmit Security)에서 현재 CISO 고문으로 활동 중인 는 보안 책임자라면 누구나 피하고 싶은 상황을 맞닥뜨렸다. 갑작스러운 예산 삭감이 단행됐고, 이를 미룰 수 있는 선택지는 없었다. 마디는 “당시에는 내부 문제, 기술 부채, 시장 압박, 지정학적 요인이 한꺼번에 겹친 통제 불가능한 상황이었다”고 회상했다. 그는 재정 압박으로 인해 고통스러운 결정을 신속하게 내려야만 했다. 마디는 “삭감 속도가 매우 빨랐기 때문에 이 과정이 완벽할 수 없다는 점, 그리고 필연적으로 보안 공백이 생길 수밖에 없다는 점을 인지하고 있었다”라고 CSO온라인에 전했다. 이 경험은 그가 재정 제약 상황을 바라보는 방식을 근본적으로 바꾸는 계기가 됐다. 그는 이제 유사한 상황에 처한 CISO들에게 명확한 우선순위를 정하고, 무엇을 줄이고 무엇을 반드시 지켜야 할지를 신중하고 의도적으로 결정하라고 조언한다. 마디는 “모든 영역에서 조금씩 삭감하는 방식은 잘못된 경제 논리다. 눈에 띄지 않는 취약성을 키우고, 결국 어딘가가 무너지기 전까지 아무도 그 위험을 인식하지 못한다”고 경고했다. 자원이 줄어드는 상황에서 보안을 유지하는 일은 불가능하게 느껴질 수 있다. 모든 결정에는 트레이드오프가 따르고, 실수할 여지는 매우 좁다. 무너지지 않고 줄이는 법 사이버보안 예산이 두 자릿수로 증가하던 시대는 이미 지나간 듯하다. IANS 리서치와 아티코서치(Artico Search)의 ‘‘에 따르면, 2024년 CISO 8명 중 1명은 예산 삭감을 경험했고, 약 4분의 1은 예산이 작년과 같다고 답했다. 예산이 늘어난 CISO들도 대부분 1~5% 수준의 소폭 증가에 그쳤다. 전체의 약 3분의 1은 현재 예산이 필요한 수준에 미치지 못한다고 평가했다. 지출 항목을 보면, 가장 큰 비중인 37%가 인력 및 보상에 쓰이며, 클라우드 기반 소프트웨어는 23%를 차지한다. 그 외에는 외주, 온프레미스 도구, 특정 프로젝트에 소규모로 분배된다. 하드웨어는 5%, 교육과 개발은 4%, 자율 예산은 3%에 불과하다. 이처럼 여유 없는 예산 구조에서는, 보안 책임자가 분명한 선택을 해야 하는 순간이 잦다. 무엇을 보호하고, 무엇을 줄일지, 그리고 어떻게 하면 조직을 위험에 노출시키지 않을 수 있을지를 결정하려면 전략적 사고가 필요하다. 동시에, 올바른 마인드셋도 중요하다. 마디는 “예산이 줄어들 때, 나는 이를 과거의 위험 가정을 검증하고, 기존 지출을 재검토하며, 보안 투자가 비즈니스 핵심 성과에 부합하는지를 점검하는 기회로 본다”고 말했다. 그는 다음과 같은 세 가지 기준을 중심으로 구조화된 접근법을 활용한다. 전략적 위험도(상, 중, 하) : 이 통제가 실패할 경우 실제 노출 수준은 얼마나 되는가? 비즈니스 연계성 : 수익 창출, 고객 신뢰, 규제 준수 등과 직결되는 기능인가? 불필요한 요소 : 중복 도구, 사용되지 않는 소프트웨어, 실효성 없는 ‘보안 연극’ 요소는 아닌가? 이 평가에는 사업부 리더, 보안 아키텍트, 위협 인텔리전스 책임자, 조직 내외의 신뢰할 수 있는 동료들이 함께 참여한다. 이처럼 다부서 협업을 기반으로 한 접근법은 책임을 분산시킬 뿐 아니라 맹점을 발견하고, 예산 감축 방향을 조직 전체의 위험 인식과 정렬하는 데 도움이 된다. 마디는 또한 각 도구나 프로세스의 효율성을 평가할 수 있는 핵심 지표를 중시한다. 특정 솔루션이 독립적인 보안 과제를 해결하고 있는지, 아니면 단순히 기존 시스템을 중복하는지를 판단하기 위해 보안 범위와 복잡성을 비교한다. 마지막으로, 투자가 얼마나 빠르게 측정 가능한 결과를 가져오는지도 중요한 고려 요소다. 이 프레임워크를 기반으로 CISO는 위험을 크게 높이지 않으면서 감축 가능한 영역을 식별할 수 있다. 어디서부터 시작할 것인가 예산 감축을 시작할 때 가장 먼저 검토해야 할 영역은 중복된 보안 도구다. 마디는 “두 도구가 70% 유사한 기능을 수행한다면, 통합성과 지원이 뛰어난 쪽을 남기는 것이 좋다”고 조언했다. 이후에는 기존 규제에 의해 도입된 레거시 통제 항목을 검토해볼 수 있다. 그는 “특히 레거시 거버넌스·리스크·컴플라이언스(GRC)에 과도하게 의존하는 조직일수록 단순 체크박스용 통제가 아닌 실효성 있는 통제에 집중해야 한다”고 강조했다. 단, 감축은 신중하게 이뤄져야 한다. 사이버보안 업체 어프로치사이버(Approach Cyber)의 CISO 는 “규제 준수는 협상의 대상이 아니다”라며, “보안 책임자는 자신이 충족해야 할 법적 의무를 명확히 이해하고, 보안 프로그램 조정이 규제 위반이나 핵심 비즈니스 운영 차질로 이어지지 않도록 해야 한다”고 설명했다. 모든 예산 결정이 흑백처럼 명확한 것은 아니다. 혁신이나 실험 프로젝트처럼 가치가 있지만 당장 급하지 않은 항목은 예산 압박 시 일시 중단할 수 있다. 특히 시급한 위협이나 규제 요건을 다루지 않는 경우 더욱 그렇다. 다만 팀 사기 유지를 위해, 마디는 혁신 프로젝트가 중단되는 동안에도 향후 예산 회복 시 빠르게 재개할 수 있도록 구체적인 재가동 전략을 수립하게 할 것을 권장했다. 이는 팀원에게 목적의식을 부여하고, 조직이 자원을 다시 확보했을 때 신속하게 추진력을 회복할 수 있도록 돕는다. 곤잘레스 프리에데는 감축 시 도구보다 사람과 프로세스를 우선시해야 한다고 강조했다. 그녀는 “도구도 중요하지만 많은 경우 오픈소스나 내부 개발 대안으로 대체할 수 있다. 강력한 프로세스와 숙련된 인력은 특정 도구의 부재를 충분히 보완할 수 있다”고 말했다. 인력 감축과 관련해서 마디는 직무명이나 기술 자격증만으로 중요도를 판단하지 말아야 한다고 지적했다. 그는 “가장 기술적인 역할이 항상 가장 중요하다고 가정해서는 안 된다. 때로는 보안을 비즈니스에 밀착시키는 사람이야말로 가장 큰 영향력을 가진 자산일 수 있다”라고 설명했다. 잘못된 선택은 절감보다 더 큰 손실을 만든다 사이버보안 예산 감축은 단순하지 않으며, 서두르면 그만큼 리스크가 커진다. 순간적으로는 실용적인 선택처럼 보여도 장기적으로는 회복력을 해치거나 보이지 않는 취약성을 만들 수 있다. 마디는 “내가 본 바로는, 압박을 받는 CISO들이 탐지·대응 역량, 사고 대응 훈련, 보안 운영 인력부터 줄이는 경우가 매우 많다”고 지적했다. 이들은 예방이 강하면 침해 사고 이후에 쓰는 비용을 줄일 수 있다고 판단하지만, 이는 매우 위험한 착각이다. 그는 “무조건 무언가는 뚫린다. 예방도 중요하지만, 결국에는 사고가 발생한다. 그때 중요한 건 통제 수가 아니라 대응 속도, 격리 능력, 회복력”이라고 설명했다. 가트너 애널리스트 시절, 마디는 이를 직접 경험했다. 마디는 “한 CISO가 사고 대응 준비 예산을 줄이고 1단계 보안관제센터(SOC)를 외주화했는데, 침해 사고가 발생하자 외부 업체가 초기 징후를 놓쳤고, 내부 대응 역량이 없어 사건 범위를 파악하는 데 몇 시간을 허비했다”라고 설명했다. 이처럼 실제로 잃는 것은 데이터만이 아니라 조직의 신뢰도다. 또한 CISO들이 흔히 저지르는 또 다른 실수는 제품 보안, 거버넌스 리더, 비즈니스 연계 리스크 어드바이저 같은 부서 간 연결 역할을 맡은 인력을 줄이는 것이다. 마디는 “이들은 조직 내에서 보안을 유기적으로 연결해주는 결합 조직이다. 이들이 없으면 보안은 오해받고, 수동적이며, 조직 내에서 소외된다”고 분석했다. 예산 감축기에는 소통을 줄이는 것도 흔한 실수다. 마디는 “CISO는 이럴 때일수록 오히려 더 투명해져야 한다. 무엇을 보호하고 있고, 무엇을 위험 수용하고 있는지를 명확히 보여줘야 한다. 그 선택에 대한 책임감을 가지고 자신 있게 임하라”라고 말했다. 곤잘레스 프리에데는 CISO들이 가장 많이 후회하는 결정 중 하나로 인력과 교육 투자 부족을 꼽았다. 그녀는 “지속적인 교육은 인력이 역량을 유지하고 보안 인식을 강화하는 데 필수적이다. 특히 위협 환경이 끊임없이 변화하는 상황에서는 더욱 중요하다”고 설명했다. 잘못된 인력 감축이나 인재 확보 실패는 조직 내 비효율, 우선순위 미스매치, 장기적인 비용 증가로 이어질 수 있다. 또한, 프로세스가 문서화되지 않은 점도 자주 간과되는 실수다. 곤잘레스 프리에데는 “핵심 인력이 조직을 떠날 경우, 명확하게 문서화된 프로세스가 없다면 중요한 지식과 실행 일관성이 사라지고, 이는 예기치 못한 새로운 리스크로 이어질 수 있다”고 말했다. 하지만 역설적으로, 감축 시기는 보안 리더가 우선순위를 재검토하고, 더 민첩하고 성과 중심적인 프로세스를 구축할 수 있는 기회이기도 하다. 그녀는 “이행 과정을 철저하게 계획하고 모니터링하는 것이 핵심”이라고 강조했다. ???? ???? ??? ??? IT ??? ???? ??? ????! ??? ??? ??? ?????. ????