'2026/02/09'에 해당되는 글 1건

기업의 보안 수준을 높이기 위해 끊임없이 예산과 인력을 투입하지만, 항상 따라오는 질문이 있습니다. "그래서 보안이 얼마나 좋아졌나요?" 경영진은 숫자로 소통하기를 원하고, 보안 담당자는 그 숫자를 만들기 위해 고군분투합니다. 오늘은 정보보호 투자 효율성(RoSI)을 측정하는 지표의 기본 개념과 함께, 실무 현장에서 마주하는 지표 관리의 한계와 현실적인 대안에 대해 이야기해보려 합니다.

1. 정보보호 투자 효율성(RoSI)이란 무엇인가?

정보보호 투자는 일반적인 비즈니스 투자와 성격이 다릅니다. 매출을 일으키는 것이 아니라 '손실을 방지'하는 데 목적이 있기 때문입니다. 이를 정량화하기 위해 주로 사용되는 개념이 RoSI(Return on Security Investment)입니다.

• ALE (Annual Loss Expectancy): 보안 사고 발생 시 예상되는 연간 손실액
• P (Mitigation Ratio): 보안 솔루션이나 정책 도입으로 감소하는 위험의 비율
• Cost: 보안 투자에 들어간 총비용

이 산식의 핵심은 '보안 사고를 막음으로써 절감된 잠재적 비용'을 수익으로 간주하는 것입니다. 하지만 실무에서는 ALE를 산정하는 것부터가 거대한 장벽입니다.

2. 효율적인 측정을 위한 보안 지표(Metrics)의 종류

지표는 크게 세 가지 관점에서 분류할 수 있습니다.

이러한 지표들은 조직의 보안 상태를 한눈에 가시화해주지만, 숫자 뒤에 숨겨진 함정을 조심해야 합니다.

3. [보안 담당자의 시선] 지표의 함정, 그리고 현실적인 고민

지식으로서의 보안 지표는 명확해 보이지만, 실제 보안 실무를 수행하는 입장에서는 다음과 같은 딜레마에 빠지게 됩니다.

① 정량적 산출의 한계: 보안은 '영업'이 아니다

개발자는 PR(Pull Request) 개수로, 영업자는 매출액으로 본인의 가치를 증명합니다. 하지만 보안은 사고가 터지지 않는 것이 성과입니다. "아무 일도 없었다"는 것을 숫자로 증명하는 것은 본질적으로 정성적인 판단이 개입될 수밖에 없습니다.

② 타 부서의 협조 없이는 불가능한 지표들

예를 들어 '취약점 조치율'을 성과 지표로 잡는다고 가정해 봅시다. 보안팀이 취약점을 찾아내도, 서비스 운영이 우선인 개발팀이나 PO(Product Owner)가 "지금은 바빠서 안 된다"고 하면 보안팀은 손쓸 도리가 없습니다. 타 부서의 협조가 필수적인 업무가 보안팀의 단독 성과 지표가 되는 순간, 지표는 왜곡되기 시작합니다.

③ "내 연봉보다 보안이 중요할까요?"

가장 중요한 지표 중 하나인 '인식 제고' 역시 위험한 함정을 갖고 있습니다. 피싱 메일 훈련이나 교육 평가 결과가 보안팀의 성과 지표가 되면, 담당자는 성과를 위해 '누구나 통과할 수 있는 낮은 수준의 평가'를 기획하게 됩니다. 직원들에게 보안이 아무리 중요해도, 자신의 연봉이나 인사고과와 바꿀 만큼 보안에 헌신적인 직원은 드뭅니다. 성과 지표가 본질을 가리는 전형적인 사례입니다.

4. 결론: '갯수'가 아닌 '노력과 가치'에 집중해야

보안 업무는 단순 운영 업무처럼 몇 분 만에 끝나는 일도 있지만, 전사 위험평가처럼 수개월간 고도의 집중력이 필요한 작업도 있습니다. 이를 단순히 '수행 개수'로 측정하는 것은 보안의 가치를 훼손하는 일입니다.

결국 보안 투자 효율성을 제고하기 위해서는 숫자에 매몰된 성과 측정보다는 현실적인 목표 달성 과정을 평가하는 정성적 접근이 병행되어야 합니다. "얼마나 많은 취약점을 막았는가"보다 "발견된 위험을 해결하기 위해 조직과 어떻게 소통하고 개선했는가"에 대한 노력이 인정받는 문화가 정착되어야 진정한 의미의 보안 투자가 이루어질 수 있습니다.

여러분의 조직은 어떤 지표로 보안의 가치를 증명하고 계신가요? 숫자가 말해주지 못하는 보안 담당자들의 진짜 고민에 대해 의견을 들려주세요.