사이버 위협 방어의 경제학

랜드 연구소, 사이버 위협 방어 관련 비용 및 과제 분석을 위한 모델 제공

주니퍼는 지난 해 랜드 연구소(RAND Corporation)가 진행한 사이버 암시장의 경제구조에 대한 연구를 후원하였습니다. 이 연구의 2단계에서 랜드 연구소는 기업이 사이버 위협 방어의 과제와 비용을 IT나 운영의 관점을 넘어 종합적인 비즈니스 리스크 측면에서 분석하도록 해주는 휴리스틱 모델(heuristic model)을 연구에 결합시킴으로써 혁신적인 인사이트(insight)를 이끌어 냈습니다. 이는 C-레벨 임원들에게 보안 전략을 위한 새로운 프레임워크를 제공할 것이며, 기업이 사이버 방어 관련 리스크에 보다 정확한 계산을 기반으로 접근할 수 있도록 지원할 것입니다.

오늘날 위협 양상이 끊임없이 변화하는 가운데, 기업은 보안 전략 수립을 위한 수 많은 선택들 앞에서 혼란을 겪고 있습니다. RAND 모델은 CISO의 다양한 결정과 트레이드 오프를 분석하고, 이러한 결정이 비즈니스에 미칠 수 있는 장기적 비용 효과에 대해 알려줍니다. RAND 모델을 통해 확인된 결과를 통해 CISO는 소프트웨어 취약성, 기술 툴 반감기, IoT(Internet of Things)와 같은 여러 요인들이 회사의 보안 전략과 투자에 어떤 영향을 미치는지 이해할 수 있습니다. 이 모델은 또한 기업이 보안 지출 및 보안 상태 평가 시 고려해야 할 유용한 인사이트를 제공합니다.

RAND 모델은 기업의 사이버 리스크 비용에 영향을 미치는 주요 요인과 다양한 결정들을 매핑(mapping)함으로써, 이러한 비용이 어떻게 변화할지에 대한 보다 종합적인 관점의 경제적 전망을 제공합니다. RAND 모델에 따르면, 향후 10년 동안 모든 기업의 사이버 보안 리스크 관리 비용이 38% 증가할 것으로 예상됩니다.

이 연구의 가장 중요한 성과는 보안 기술 관련 비용을 전술적 영향을 갖는 단기적 비용과 전략적 영향을 갖는 장기적 비용의 두 범주로 구분한 것입니다.

랜드 연구소 최신 보고서 “방어자의 딜레마: 사이버 보안을 위한 과정 수립 (The Defender’s Dilemma: Charting a Course Toward Cybersecurity)”은 현재 및 향후 위협 환경에 대한 CISO 심층 인터뷰를 토대로 작성되었습니다. 본 연구는 주니퍼의 후원을 받아 랜드 연구소가 진행한 2부작 시리즈의 첫 번째 보고서 “사이버 범죄 도구 및 데이터 유출 시장: 해커들의 수입원(Markets for Cybercrime Tools and Stolen Data: Hackers’ Bazaar, 2014)”를 바탕으로 합니다. 2014년 보고서는 공격자의 경제적 추진 요인과 이들이 활동을 확장하기 위해 구축한 정교한 지하 암시장을 다룹니다.

랜드 보고서 관련 자료