2025년 스마트한 사이버 보안 지출 결정하기

12월은 휴일 카운트다운부터 파티 참석 여부 알림까지 숫자의 달입니다. 그러나 비즈니스 리더에게 이번 달 가장 중요한 수치는 2025년 예산 수치입니다. 사이버 보안은 2025년 많은 기업의 최우선 과제가 될 것이며, 새해를 맞이하여 많은 예산에서 가장 중요한 항목이 될 가능성이 높습니다.

Gartner는 2025년 사이버 보안 지출이 1,839억 달러에서 2,120억 달러로 15% 증가할 것으로 전망합니다. 이 중 보안 서비스가 가장 높은 성장률을 보일 것으로 예상되며, 보안 소프트웨어가 그 뒤를 잇고, 네트워크 보안이 세 번째 성장 영역으로 꼽혔습니다.

Gartner의 수석 연구 책임자인 Shailendra Upadhyay는 최근 보도 자료에서 다음과 같이 말했습니다. “지속적으로 고조되는 위협 환경, 클라우드 전환, 인력난으로 인해 보안이 최우선 과제로 떠오르고 있으며, 최고 정보 보안 책임자(CISO)는 조직의 보안 지출을 확대할 수밖에 없는 상황입니다.” “또한 조직들은 CrowdStrike 중단 사태 이후 엔드포인트 보호 플랫폼(EPP) 및 엔드포인트 탐지 및 대응(EDR) 요구 사항을 평가하며, 운영 복원력과 인시던트 대응 역량을 강화하기 위한 조정을 진행하고 있습니다.”

지출 결정과 지출 증가에는 여러 가지 이유가 있을 수 있지만, Gartner는 예상되는 증가에 대해 두 가지 주요 이유를 지적합니다.

• 생성형 AI: Gartner는 조직이 생성형 AI를 사용함에 따라, 환경을 보호하기 위한 추가 조치를 취해야 할 것이라고 언급했습니다. 생성형 AI 보안을 위한 IBM 프레임워크는 데이터 보안, 모델 보안, 사용 보안, AI 모델 인프라 보안, 건전한 AI 거버넌스 수립이라는 5단계를 제시하고 있습니다. 많은 조직이 생성형 AI 사용 증가로 인해 애플리케이션 보안, 데이터 보안, 개인정보 보호, 인프라 보호와 같은 추가 소프트웨어를 구매해야 할 것입니다.
  
  
• 글로벌 기술 인력 부족: 많은 조직이 사이버 보안 요구 사항을 관리할 내부 인재가 없는 인력 부족 문제에 직면해 있습니다. 이에 대한 해결책으로, 수많은 조직은 리스크를 줄이기 위해 보안 컨설팅 서비스, 보안 전문 서비스, 관리형 보안 서비스 등 외부의 도움을 활용하고 있습니다. Gartner는 이러한 서비스 비용이 높은 예상 지출의 주요 원인이며, 서비스를 사이버 보안의 고성장 분야로 만들고 있다고 지적합니다.

사이버 보안을 하나의 단일 예산 항목으로만 다루기보다는, 효과적인 사이버 보안 프로그램을 구성하는 세부 항목을 명확히 구분하는 것이 정확한 조직 예산 수립의 출발점입니다.

예산에서 다음 사항을 고려하세요.

• 인건비: 모든 정규직 직원의 급여 외에도 추가로 구매해야 할 서비스 비용도 포함해야 합니다. 예를 들어, 침투 테스트 아웃소싱 비용이 이에 해당합니다. 또한 사이버 보안의 일부 영역에 대해 관리형 서비스를 도입해야 하는지도 고려해야 합니다.
  
  
• 기술: 바이러스 백신, 암호화 툴, 방화벽 등 필요한 모든 유형의 소프트웨어를 고려해야 합니다. 사이버 보안을 위해 생성형 AI를 사용할 것인지, 일상적인 업무에 사용되는 생성형 AI 툴에 대한 공격으로부터 조직을 보호하는 데 필요한 추가 툴이 있는지도 검토해야 합니다. 특히 생성형 AI와 같은 새로운 기술 툴을 실행하는 데 필요한 인프라 업그레이드 등의 하드웨어 비용도 반드시 포함해야 합니다.
  
  
• 교육: 많은 조직이 사이버 보안 직원만을 위한 교육 및 자격증 예산을 고려합니다. 하지만 조직 전체를 대상으로 하는 사이버 보안 교육 예산도 반드시 할당해야 합니다. 고정관념에서 벗어나 충분한 자금을 확보하면, 직원의 실수로 인한 사이버 공격을 줄이는 데 큰 효과를 거둘 수 있습니다.
  
  
• 인시던트 대응: 침해나 공격이 발생한 후, 조직은 침해를 억제하고 대응을 관리하기 위한 자금이 필요합니다. 자주 발생하는 비용에는 법률 비용, PR 대행사 비용, 초과 근무 수당, 데이터 유출 통지, 신원 도용 방지, 매출 손실 등이 있습니다.

많은 조직이 사이버 보안 예산을 수립할 때 비즈니스 중단과 잠재적 리스크를 고려하지만, 예산이 사이버 보안 팀에 미치는 영향은 간과하는 경우가 많습니다.

ISACA 2024년 및 그 이후의 사이버 보안 현황 보고서에 따르면, 사이버 보안 전문가의 66%가 자신의 역할에서 이전보다 더 스트레스가 많아졌다고 답했습니다. 당연히도, 가장 큰 이유(81%)는 위협 환경이 점점 더 복잡해지고 있기 때문이라고 답했습니다. 하지만 턱없이 부족한 예산(45%)이 고용 유지의 어려움 악화 및 직원의 기술/훈련 부족과 함께 스트레스의 두 번째 주요 원인으로 나타났습니다.

보고서에 따르면 절반 이상(51%)이 예산이 충분하지 않다고 느꼈으며, 이는 2023년의 47%에 비해 증가한 수치입니다. 또한 2025년에 예산이 증가할 것이라고 기대하는 전문가는 37%에 불과했습니다. 설상가상으로, 자신의 팀이 사이버 공격을 처리할 준비가 되어 있다는 강한 확신을 가진 비율은 40%에 불과했습니다. 반면 47%는 조직이 사이버 공격을 받을 것으로 예상했습니다.

비즈니스 리더가 예산을 책정하는 동안 2025년 예산과 관련된 직원의 스트레스를 줄일 수 있는 몇 가지 방법이 있습니다.

• 예산 논의에 실무 사이버 보안 팀원을 참여시킵니다. 직원들은 자신의 관점과 아이디어가 경청된다고 느낄 때 불만을 가질 가능성이 줄어듭니다. 또한, 예산 수립 시 수반되는 상충 관계와 각 결정이 다른 항목에 미치는 영향을 직접 확인할 수 있습니다.
  
  
• 직원들에게 현재 직면한 문제를 공유하도록 요청하세요. 문제를 이해하는 것부터 시작하여 이러한 문제를 예산 결정에 활용할 수 있습니다. 팀원들이 기술 솔루션으로 넘어가면 다시 처음 문제에 대해 논의하도록 유도합니다.
  
  
• 사이버 보안 팀이 조사하고 견적을 받도록 하세요. 예산 편성의 솔루션 부분으로 넘어가면 사이버 보안 팀원에게 도구를 조사하고 견적을 받아보라고 요청하세요. 이들은 매일 도구를 사용하기 때문에 특정 솔루션에 대한 동의를 얻으면 만족도를 높이고 예산의 정확성을 개선하는 데 도움이 될 수 있습니다.
  
  
• 팀원들에게 예산안 초안을 공개합니다. 예산 수립은 어려운 결정을 동반하는 경우가 많습니다. 팀원들에게 예산안 초안을 보여주고 의견을 구하게 되면, 이들은 경청받고 있다고 느끼며 동시에 예산 과정에서 필요한 상충 관계를 이해할 수 있습니다.

사이버 보안 지출 증가는 전반적으로 긍정적인 추세이지만, 가장 중요한 것은 기업이 더 높은 투자금을 어떻게 사용하느냐는 것입니다. 조직의 특성에 맞는 올바른 선택을 내리면 위험을 줄이는 동시에 직원 만족도를 높일 수 있습니다.