오랜 기간 통용된 보안 업계의 통념인 ‘사이버 침해 이후에야 보안 예산을 증액한다’는 믿음에 균열이 생기고 있다.

IBM의 최신 데이터 침해 비용 연례 보고서에 따르면, 침해를 겪은 후 보안에 추가 투자하겠다고 밝힌 글로벌 기업 비율은 2025년에 49%로, 2024년의 63%에서 크게 줄어들었다.

CSO가 인터뷰한 전문가 사이에서도 예산 축소가 무모한 대응인지, 아니면 사후 지출의 한계에 대한 각성인지 의견이 갈렸다.

클라우드 보안 기업 업윈드(Upwind)의 최고경영자 아미람 샤차르는 “과거에는 침해가 이사회에 경각심을 주며 예산 확대를 이끌었지만, 최신 데이터는 기업의 피로감이 누적되고 있음을 보여준다”라며 “침해 이후의 대응성 지출은 효과적이지도 지속 가능하지도 않다”라고 분석했다.

샤차르는 이어 “구성 계층에서 런타임 계층까지 클라우드 워크로드 전반을 지속적으로 보호하는 선제적 보안 프로그램이 보호 범위를 넓히고 침해 가능성을 낮추며, 훨씬 큰 효과를 제공한다”라고 강조했다.

기술 기업 마켓프루븐에이아이의 창업자 애런 퍼킨스는 일정 수준 이상에서는 보안 예산 증액이 위험 완화로 직접 이어지지 않는다는 인식이 확산되고 있다고 설명했다.

퍼킨스는 “침해를 경험한 기업은 단순한 보안 계층 추가가 아닌, 기존 투자의 최적화와 계산된 위험 관리에 집중하고 있다”라며 “ ‘어떤 비용이 들더라도 보안’이라는 사고방식에서 벗어나 ROI 중심의 성숙한 의사결정 체계로 나아가는 과정”이라고 덧붙였다.

세인트루이스 의약과학대학 정보총괄책임자 잭 루이스는 IBM 보고서의 수치가 전혀 놀랍지 않다고 평가했다. 루이스는 많은 기업이 침해를 불가피한 운영 비용으로 받아들이고 지나쳐버린다며 공격자는 점점 더 빠르고 지능화되고 있다는 점이 문제라고 지적했다. 또한 “방어 체계를 최신화하지 않으면 다음 공격은 시간문제일 뿐”이라고 경고했다.

보안에 대한 이사회의 관심이 높아진 최근 몇 년을 고려할 때, 침해 이후 예산 증액 여부는 이사회의 투자 책임 문제로도 이어질 수 있다.

보안 탐지 및 대응 서비스 기업 엑스펠(Expel)의 자문 보안총책임자 제이슨 레브홀츠는 “침해 이후 예산을 늘린다는 것은 결국 이사회가 지금까지 보안에 충분히 투자하지 않았다는 사실을 인정하는 셈”이라고 지적했다.

위험 전가 전략의 확산

보안 리더 중 상당수는 위험을 완화하는 대신 사이버 보험을 통해 전가하는 전략을 택하고 있다. 동시에 침해 대응 전략 자체가 바뀌고 있다.

재보험사 포티튜드리(Fortitude Re.)의 보안총책임자 엘리엇 프랭클린은 “침해 이후 지출 축소는 양분된 사고방식을 보여준다”라며 “일부는 사이버 보험으로 충격을 흡수하려 하고, 다른 일부는 이미 NIST CSF 같은 프레임워크를 도입해 회복탄력성을 확보했기 때문에, 침해는 새로운 투자가 아니라 교훈과 미세 조정의 계기가 된다”라고 분석했다.

복잡성과 내부 프로세스 문제

데이터 복구 전문 기업 크래시플랜(CrashPlan)의 보안총책임자 토드 소르센은 “일부 기업은 침해 원인이 보안 투자 부족보다는 IT 환경의 과도한 복잡성에 있다고 판단할 수 있다”라고 말했다.

소르센은 “중복된 시스템, 통합 실패, 활용되지 않는 솔루션 등 IT 복잡성은 보안 미비만큼이나 위험한 요소”라며 “침해 이후 일부 기업은 환경 단순화, 적절한 도구 선정, 최적화 및 통합에 더 집중하게 된다”라고 설명했다.

AI 보안 기업 벡트라 AI(Vectra AI)의 제품 전략 부사장 마크 보이차샤크는, 침해 이후 보안 지출 감소는 보안 전문가의 사고방식 전환을 시사한다고 주장했다.

“많은 보안 리더는 침해를 이제 더 이상 도구 구매 신호가 아니라, 프로세스 붕괴나 거버넌스 문제, 혹은 미활용된 역량의 경고로 보고 있다”면서 “이에 따라 새로운 예산 확보보다는 기존 기술과 파트너 활용도 제고에 초점을 맞추고 있다”라고 전했다.

반면, 침해를 겪은 기업이 보안 강화를 꺼리는 현실에 대해 강한 우려를 표한 전문가도 있다.

IT 서비스 기업 노스도어(Northdoor)의 최고사업책임자 AJ 톰슨은 해당 결과를 “심각한 문제”라고 평가했다. 톰슨은 “기업이 침해당했다는 건 이미 취약점이 존재했다는 뜻이다. 그런데도 보안 강화를 하지 않는다는 것은 극히 무모한 결정”이라고 말했다.

생성형 AI 기반 보안에 관심 낮아

보고서의 또 다른 핵심 결과는, 침해 후 보안 예산을 늘리겠다고 밝힌 기업 중 절반 이하만이 생성형 AI 기반 보안 솔루션이나 서비스를 중점 투자 대상으로 삼고 있다는 점이다.

업윈드의 샤차르는 “생성형 AI가 위협 지형을 재편하고 있는 상황에서 이에 기반한 보안 투자 비중이 낮다는 점은 놀랍다”면서 “데이터 유출, 적대적 조작, 모델 무단 접근 등 기존 보안 체계로 대응이 어려운 AI 워크로드 위험을 막기 위해 새로운 도구가 필요하다”라고 설명했다.

포티튜드리의 프랭클린도 “생성형 AI는 보조적 역할에 불과하며, 프로세스 실패 문제는 AI가 해결할 수 없다”면서 “거버넌스 강화와 기본 보안 자동화가 더 현명한 접근법”이라고 덧붙였다.
dl-itworldkorea@foundryco.com