주정부와 지방정부 기관에서 오랜 경험을 쌓은 오렌지카운티 지방정부의 CISO 앤드루 알리파나는 극도로 제한된 예산 속에서도 보안 기능을 최적화하는 방법을 잘 알고 있다. 과거 리버사이드시에서 근무할 당시에 알리파나는 CISA(Cyber Security and Infrastructure Security Agency), MITRE, MS-ISAC(Multi-state Information Sharing and Analysis Center) 등 연방정부 후원 기관을 통해 제공되던 무료 혹은 보조 지원 자원을 적극적으로 활용했다.

그러나 올해 들어 미국 연방정부가 예산을 대폭 삭감하면서 과거 무료로 제공되던 자원 상당수가 사라졌다. 이에 따라 알리파나는 적은 비용으로 사이버보안 기능을 유지·강화하기 위해 더욱 창의적인 접근을 해야 했다. 알리파나는 이번 기사를 위해 인터뷰한 다른 CISO와 마찬가지로 새로운 기술에 무작정 예산을 투입하기보다 인력을 육성하고 프로세스를 간소화하는 데 초점을 맞춰야 한다고 말했다.

자원 극대화하기

ISACA의 ‘2024년 사이버보안 현황 및 전망 조사(State of Cybersecurity 2024 and Beyond Survey)’에 따르면, 사이버보안 전문가의 절반 이상이 “위협은 계속 증가하고 있지만 인력 충원은 멈춘 상태이며, 보안 운영이 예산 부족에 시달리고 있다”라고 답했다.

알리파나는 “현재 예산 상황을 보면 새로운 보안 툴을 도입할 가능성은 거의 없다. 따라서 돈을 절약하면서 기존 자원에서 더 많은 효과를 끌어내는 방법을 직접 찾아야 한다”라고 말했다. 이어 “자원이라고 하면 대부분 툴만 떠올리지만, 실제로는 인력과 프로세스에 충분한 주의를 기울여야 한다”라고 언급했다.

이는 미연방정부가 MS-ISAC에 대한 지원을 중단했을 때도 마찬가지였다. 알리파나와 여러 지방정부는 오랫동안 이 자원에 의존했다. 알리파나는 “MS-ISAC을 운영하는 CIS(Center for Internet Security)가 모든 기관이 자체적으로 회원비를 내야 한다고 발표했을 때, 주정부에 제안했다. 주정부가 대표로 회원권을 구입하고 지방정부를 단일 주정부 회원권 아래 포함시키자는 것이었다”라고 설명했다.

주정부는 이를 수용했고, 알리파나에 따르면 이 방식은 주정부의 비용을 늘리지 않으면서도 여러 기관에 수백만 달러 규모의 예산 절감 효과를 가져왔다. 특히 오렌지카운티는 연간 2만 6,000달러의 회원비를 절약했다.

또 다른 사례로, 알리파나는 사람·프로세스·기술이 결합된 방식을 소개했다. 이는 지방정부 내 여러 CISO가 협력해 사용 중이던 다양한 EDR(Endpoint Detection and Response) 제품을 하나의 브랜드로 통합한 사례다. 총 26개 부서 가운데 18개 부서가 동일한 EDR 제품으로 전환했으며, 그 결과는 매우 뚜렷했다. 통합된 대응 체계와 시스템 가시성 확보, 관리 효율화, 대량 구매에 따른 비용 절감, 그리고 특수 역량에 대한 의존도 감소라는 효과가 나타난 것이다.

알리파나는 “연합하고 상호 지원 협정을 체결해 더 큰 협상 단위를 만들면 더 유리한 조건을 이끌어낼 수 있다. 보안팀은 역량, 정책, 절차를 체계적으로 다듬고, 이미 보유한 툴을 더욱 정교하게 활용하는 데 집중하고 있다”라고 덧붙였다.

오렌지카운티 지방검찰청의 CISO 린 셰라미는 알리파나와 함께 지방정부 내 다른 CISO와 협력해 이러한 혁신적이고 비용 절감 효과가 있는 프로젝트를 추진하고 있다. 셰라미는 알리파나를 “영향력 있는 리더”라고 평가하며, 이는 제한된 자원으로 더 많은 성과를 내기 위해 반드시 필요한 자질이라고 강조했다. 특히 부서 간 단절을 해소하고 기존 인력을 효과적으로 활용하는 데 알리파나의 리더십이 중요한 역할을 했다고 설명했다.

사람과 프로세스에 집중하기

셰라미는 “오렌지카운티에서는 팀워크와 영향력 있는 리더십이 핵심이다. 오렌지카운티에서는 각 부서가 긴밀하게 협력한다. 모든 것을 각자 다 할 수 없고, 이미 있는 것을 다시 만들고 싶지도 않다. 그래서 부담을 함께 나누고 기존 이니셔티브를 재검토하며, 기술 부채를 줄인다. 적은 자원으로 더 많은 성과를 내려면 할 일이 많을 때 기꺼이 나서고, 서로와 지방정부를 위해 봉사하는 태도가 필요하다”라고 말했다.

이는 조직의 모든 인력 수준까지 확장된다. 예산이 빠듯한 시기일수록 가장 가치 있는 자원은 인력을 유지하고 역량을 강화하는 것이다. 사이버포인트어드바이저리(Cyber Point Advisory) CEO이자 프랙셔널 CISO로 활동하는 디디 부디하르토는 “새로운 기술을 도입하는 것보다 인력을 유지하고 역량을 강화하는 것이 우선돼야 한다. 이것이야말로 적은 자원으로 더 많은 성과를 내는 핵심 방법”이라고 강조했다.

예를 들어, 부디하르토는 과거 CISO로 재직할 당시 각 부서에서 사고 대응 ‘앰배서더(ambassador)’를 선발했다. 대상 부서는 커뮤니케이션, 법무, 조달, 인사, 회계 등이었다. 부디하르토는 “그들은 새로운 역량을 배우고 큰 프로젝트의 일원이 된다는 점에서 이 과정을 좋아했다. 그리고 회사가 BEC(Business Email Compromise) 공격을 당했을 때 앰배서더들은 이미 훈련돼 있었고 즉시 대응할 준비가 돼 있었다. 그 결과 매우 효율적이고 적극적으로 대응했다. 이것이야말로 진정한 ROI다”라고 설명했다.

다른 사례에서 부디하르토는 조달팀을 대상으로 잠재적 신규 업체에 기본적인 사이버보안 질문을 할 수 있도록 교육했다. 이를 통해 보안팀은 사전 검증에 시간을 들이지 않고 시간을 절약할 수 있었다. 부디하르토는 “이처럼 교차 교육을 받은 인력이 ‘보안 챔피언’으로 성장하는 경우가 많다. 일부는 아예 사이버보안 분야로 경험을 넓히기로 결심하기도 한다. 새로운 시각과 아이디어를 가진 인력이 보안 기능에 활력을 불어넣고 혁신을 이끌어내기도 한다”라고 말했다.

ISC2(International Information System Security Certification Consortium)가 최근 발표한 사이버보안 인력 연구 보고서에 따르면, 1만 5,000곳 이상 조직 중 대다수가 “사이버보안 우선 과제를 충족하기 위한 인재가 부족하다”라고 답했다. 많은 조직이 신규 채용을 줄이는 상황에서도 이런 어려움은 여전한 것으로 나타났다. 보고서는 또한 다양한 배경과 경로를 통해 사이버보안 분야에 진입하는 인재가 조직에 큰 가치를 더할 수 있다고 강조했다.

실제로 그랜드캐니언대학교(Grand Canyon University) CISO 마이클 만로드는 학생 인턴을 적극 활용해 사이버보안 인력을 보강하고 있다. 인턴으로 참여한 학생 대부분은 졸업 후에도 팀에 남는다. 만로드는 “여러 학생을 인턴으로 받아들이고 그중 우수한 인재를 유지하면 뛰어난 팀을 만들 수 있다. 지금 최고의 성과를 내는 직원들도 7~10년 전에는 그랜드캐니언대학교 학생이었다. 내부 인재 파이프라인을 활용하는 것이 특정 역량을 확보하기 위해 치열한 인재 쟁탈전에 뛰어드는 것보다 훨씬 저렴하다”라고 덧붙였다.

불필요한 것 정리하기

만로드는 자신이 “가비지 컬렉션(garbage collection)”이라고 부르는 접근법을 중요하게 여긴다. 이는 팀과 함께 정기적으로 기술 계약을 검토하며, 더 이상 필요하지 않거나 효과가 없는 툴을 찾아내 제거하는 과정이다. 주로 과거에 특정 문제를 해결하기 위해 도입했지만 현재는 그 문제가 존재하지 않거나, 이미 다른 플랫폼이나 OS에 포함돼 있는 솔루션에 주목해 정리한다.

만로드는 “교육기관에서는 어떤 제품을 유지하고 어떤 제품을 도입할지 매우 선별적으로 접근해야 한다. 2025년에 제거할 수 있는 제품을 미리 살펴보고, 그렇게 절감한 비용을 2026년 새로운 위협 대응에 투자한다. 또한 새로운 포인트 제품을 무작정 도입하기보다는 호스트 자체를 어떻게 강화할 수 있을지 고민한다. 일부 위협이 침투할 가능성을 전제로, WDAC(Windows Defender Application Control)나 호스트 방화벽 규칙 같은 기본 제공 설정을 활용해 이를 차단하는 방식을 중점적으로 검토한다”라고 덧붙였다.

최근 만로드의 팀은 8년 동안 사용한 IAM(Identity and Access Management) 업체 계약을 갱신하지 않기로 했다. 대신 마이크로소프트 어센티케이터(Microsoft Authenticator)를 활용해 MFA(multi-factor authentication)를 지원하기로 했다. 그러나 MFA를 우회하는 새로운 방법이 등장함에 따라 팀은 절감한 예산을 활용해 신규 공격 전술에 대응할 수 있는 특화 보안 솔루션을 추가로 도입했다.

AI로 보강하기

만로드는 불필요한 자원을 정리해 보안 운영 예산을 절감하는 동시에 대학 전체 차원에서 추진되는 AI 이니셔티브를 안전하게 지원하는 데 주력하고 있다. 팀과 함께 AI를 직접 활용해 사이버보안 부서 내부의 효율성을 높이는 작업도 병행하고 있다.

예를 들어, 만로드 팀은 승인된 AI 챗봇을 활용해 효율성의 빈틈을 메우고 있다. 구체적으로는 SIEM 로그를 조회하는 스크립트 작성, 공격 경로 전반에 걸친 위협 분석, 교육 보강, 그리고 SOC 분석가가 가진 질문에 더 빠른 조회와 답변을 제공할 때 활용한다. 만로드와 다른 전문가들은 SOC 기능에서 AI가 아직 본격적으로 쓰일 단계는 아니라고 평가했지만, “신뢰할 수 있는 AI 챗봇이 이미 시간을 절약해 주었고, 그 덕분에 인력이 더 중요한 보안 업무에 집중할 수 있었다”라고 말했다.

만로드는 “AI를 사람의 업무를 대체하는 것이 아니라, 챗봇과 함께 일하면서 인력을 더 똑똑하고, 강하고, 빠르고, 역량을 갖춘 존재로 보완하는 방식으로 활용한다면 매우 생산적일 수 있다. 하지만 많은 AI 활용례가 제대로 운영되지 못하고 있는 것도 사실이다. 그래서 우리는 그런 부분을 주의 깊게 살펴보고 있다”라고 덧붙였다.

거버넌스로 균형 잡기

트럼프 정부의 관세 정책은 기술 지출에 부정적인 영향을 미치고 있다. 따라서 중복된 프로세스와 기술을 식별해 불필요한 요소를 정리하는 것은 비용 절감에 있어 중요한 단계로 꼽힌다.

컨설팅 기업 알바레즈 앤 마살(Alvarez & Marsal, A&M)이 발표한 보고서 ‘더 많이 쓸 것인가, 더 효율적으로 쓸 것인가(Spend More or Spend Better)’ 집필팀은 CISO에게 더 큰 예산 확보에만 매달리지 말고 효율성과 실제 효과에 집중하라고 조언했다. 보고서 저자이자 A&M의 유럽 및 중동 사이버 위험 서비스 부문 책임자 로렌조 그릴로는 “CISO는 불필요한 지출을 식별해 제거하고 격차 분석을 수행하며, 보안 수준을 끌어올릴 수 있는 프로세스 개선에 집중해야 한다”라고 말했다.

그릴로는 “최근 사례에서 해당 기업은 모든 관심과 예산을 보안 솔루션에만 집중한 나머지 거버넌스와 프로세스에서 상당한 약점을 드러냈다. 사이버 비용 최적화 이니셔티브를 통해 이 기업은 자사 위험 수용 수준 이하로 위험을 줄이며 보안 수준을 개선할 수 있었다”라고 설명했다.

이어 그릴로는 “목표 운영 모델을 최적화하고, 역할과 책임을 명확히 하며, 서비스와 기술을 체계적으로 분류하는 것이 사이버보안 조직의 효율성을 높이고 사이버 위험을 완화하는 데 도움이 될 것”이라고 덧붙였다.
dl-itworldkorea@foundryco.com