국내 정보보호 업계는 한결같이 기업들이 정보보안 투자를 등한시하고 있다고 지적한다. 업계는 또 정부가 정보보호에 대한 정책 지원에 소극적이어서 국내 정보보호 시장의 성장이 더디다고 주장한다.

반면 기업들이 보안투자를 더 많이 해야 한다는 주장이 얼마나 설득력이 있는지는 따져볼 필요가 있다는 의견도 있다. 모든 위협에 막으려는 생각에서 보안에 대한 투자를 끝도 없이하는 것은 일종의 낭비일 수 있다는 설명이다.

보안투자가 적다는 주장은 시장이 정체되어 있다는 설명과 궤를 같이한다.  최근 정부 발표에 따르면 국내 정보보호산업이 전체 1조7000억원 정도다. 정부는 시장이 아직 작다고 보고 앞으로 시장 규모를 10배 이상 성장하도록 정책을 만들어 추진하겠다고 밝혔다.

현재 보안시장이 몇년째 정체되어 있고 이를 10배 이상 늘릴 수 있다는 정부의 주장은, 현재 기업의 보안 투자는 지극히 부진한 것으로 받아 들여진다.

보안투자를 소홀히 하는 일은 기업의 생존에 치명적일 수 있다고 으름짱을 놓기도 한다. 업계의 한 관계자는 “한국은 사이버 공격을 가장 많이 받는 나라로 알려져 있지만 해킹 등을 방어하는 보안 측면은 아직 허술한 수준”이라며 “사건이 일어난 후 대책 마련은 소용이 없고, 기업의 이미지 추락이나 배상 문제로 기업은 경영까지 위태로운 지경에 내몰릴 수 있다. 이 때문에 보안투자를 크게 강화해야 한다고”고 강조했다.

기업내 정보보호 인력이 적다는 지적도 수시로 나온다. 현재 기업에 정보보호 책임자가 없거나 겸직 상태여서 보안이 불안하고 보안에 대한 투자가 이뤄지지 않는 것이라는 설명이다. 이에 따라 기업에 보안담당자를 두게하고 적정한 투자를 하게 하면 일자리도 만들어지고 산업도 커지는 선순환 구조가 만들어질수 있을 것이란 주장이다.

이처럼 보안 투자가 적다고 주장하는 상황에서 하나의 기업이 계속 성장해 갈 때, 보안의 적정성을 어떤 수준으로 확보해야 하는가는 CEO는 물론 모든 CISO가 고민하는 가장 중요한 문제의 하나일 것이다. 예산을 짤 때마다 한정된 예산 내에서 얼만큼을 보안에 투자하는 것이 적정수준인지는  밝혀내는 것이 쉬운일이 아니기 때문이다.

특히 전수방어 개념을 적용해 보안예산을 짜는 것은 재삼 숙고해야 할 일이라는 주장이다. 

"예상되는 모든 위협에 대응한다는 전수방어의 보안 개념은 비용 측면에서 매우 비효율적"이라며 "유능한 CISO라면 공격이 실제로 일어 났는지, 아니면 일어난다면 언제 쯤으로 예상되며, 실제 공격을 받는다면 어떻게 대응할 것인가를 구체적으로 검토하여 보안정책에 구현해야 한다"고 보안업계 한 관계자는 설명했다.

이를 위해 CISO는 보안 시뮬레이션을 통해 보안 팀의 능력을 측정하고, 실제로 보안 침해에 대한 정책과 대응절차를 주기적으로 가동함으로써 재난복구나 업무연속성 계획이 항상 살아있는 계획임을 확인해야 한다고 조언했다.

그는 "모범사례(Best Practice)로 사이버 모의훈련은 반년 단위로 실제 상황 발생시에 대응행동을 확인하고, 재난복구 훈련은 1년이나 1년반 단위가 적합한 것으로 나타났다"며 "훈련기간 중에는 보안담당자의 수를 늘이고, 외부 보안 전문가와 협력하여 실행하며, 기업의 성장전략에 포함된 새로운 프로젝트, 시스템, 기능 모두에 보안 개념을 확대 적용시켜야 한다"고 설명했다.

또한 소프트웨어 취약점을 연구하고 방어하는 드는 비용을 합리적인 선에서 유지하는 것도 좋다. 단순한 사이버보안 모델을 연구하고 소프트웨어 취약점을 잡아내는데 필요 이상의 연구 인력을 투입될 필요가 없다는 지적이다. 필요한 만큼만 취약점을 점검하면 현재 들어가는 비용의 상당수를 절감할 수 있다는 설명이다.

한물간 탐지 방식을 제외하는 것도 보안예산을 줄이는 길이다. 공격자를 잡아내는 수많은 감지기술들의 유효성이 반감기에 접어들었다. 특히, 시그니처 감지(Signiture Detection)과 샌드박싱(Sandboxing) 기술들을 통한 감지의 유효성은 10년간 매우 낮아졌다. 이는 공격자들이 이러한 감지기술들을 우회할 수 있어졌기 때문인데, 흘러간 기술에 대한 투자를 줄이는 것이 현명하다는 지적이다.

보안강화를 위해 새로 인력을 뽑지 않고, 기존 인력에 대한 투자를 진행하는 것도 예산 낭비를 줄이는 방법이다. 똑똑한 보안관리자로 인해 1년 동안 20%의 예산이 절감하고, 보안모델을 10년 동안 가동하는 것보다 30%의 예산을 줄이는 효과가 있다는 보고도 이미 나와 있다.