사이버 보안 비용 구조를 다시 설계하다
사이버 위협은 늘어나고 보안 비용은 상승하는 상황에서, 기업은 어떻게 보안을 유지하면서 지출을 최적화할 수 있을까?
고객 직면 문제 및 이슈 (Situation)
최근 5년 사이, 달걀 가격 평균치는 무려 160% 상승했습니다. 비용 상승은 이제 전반적인 경영 환경의 기본 전제가 됐고, 사이버 보안 역시 이러한 압박에서 자유롭지 않습니다. 오히려 디지털 전환, 규제 강화, 인력 부족이 겹치며 비용 부담은 더 커지고 있습니다.
디지털 전환이 가속화되면서 기업과 고객 모두에게 새로운 기회가 열렸지만, 동시에 공격 노출면도 확대되며 보안 대응에 필요한 자원 역시 늘어나고 있습니다. 규제 환경도 빠르게 강화되고 있습니다. 유럽연합의 사이버 회복력법(Cyber Resiliency Act)과 미국의 2023년 통합세출법(Consolidated Appropriations Act, 2023)은 기업이 추가로 대응해야 하는 대표적인 컴플라이언스 요구사항입니다. 여기에 숙련된 사이버보안 인력 부족까지 겹치며, 인재 확보와 유지 또한 비용 부담이 커지고 있습니다.
이러한 환경에서 최고정보보호책임자(CISO, Chief Information Security Officer)들은 어려운 과제에 직면해 있습니다. 비용 압박이 커지는 상황에서도, 조직을 사이버 위협으로부터 효과적으로 보호하면서 재정 효율성을 동시에 확보해야 하기 때문입니다.
한 글로벌 생명과학·헬스케어 기업의 CISO 역시 같은 상황에 놓여 있었습니다. 여기에 공급망 불안과 경기 둔화 우려까지 더해지면서, 경영진은 전사 비용을 재검토하기 시작했고 사이버 보안 예산도 예외가 아니었습니다. 방향은 분명했습니다. 보안 수준은 유지하면서도 보다 효율적인 예산 구조를 제시해야 했습니다.
위협은 증가하고 비용은 상승하는 가운데, 사이버 보안 역량은 유지해야 했고 지출은 위험 감소와 비즈니스 가치에 보다 직접적으로 연결돼야 했습니다. 결국 CISO에게 주어진 과제는 동일한 자원으로 더 높은 성과를 만들어내는 것이었습니다. 이 문제를 해결하기 위해, 이 기업은 딜로이트 사이버 리스크 팀에 지원을 요청했습니다.
사이버 비용 최적화, 지출을 전략적으로 재설계하다
해결 방안 (Solution)
경쟁사 비교를 통해 지출의 적정성을 검증하고, 자원 배분의 기준을 재정의하다
딜로이트는 비용 최적화를 단순한 절감 과제로 보지 않았습니다. 보안 수준을 유지하면서 효율을 높이기 위해서는, 사이버 조직이 어떻게 운영되고 있는지 구조적으로 이해하는 것이 우선이라고 판단했습니다. 특히 인력, 벤더, 기술, 그리고 이를 연결하는 운영 체계라는 네 가지 영역을 중심으로 분석이 필요했습니다.
분석은 딜로이트가 자체 개발한 비용 최적화 프레임워크를 기반으로 진행됐습니다. 이 프레임워크는 현재 지출 구조를 파악하고, 비용 관리 전략을 도출하며, 보다 효율적인 운영 프로세스를 설계하는 데 필요한 인사이트를 제공합니다.
또한 기업의 보안 수준을 경쟁사와 비교해 위치를 진단했습니다. 딜로이트의 산업 데이터와 분석 역량을 바탕으로, 해당 기업의 직접 경쟁사를 기준으로 한 맞춤형 사이버 보안 비교 분석이 이루어졌습니다.
매출 대비 보안 비용 비중은 적절한가, 인력 구조는 어떻게 구성돼 있는가, 내부 인력과 외부 인력의 비율은 어떤가, 그리고 이들이 지역별로 어떻게 배치돼 있는가 등 다양한 관점에서 분석이 이루어졌습니다. 이를 통해 기업은 현재 지출이 시장 대비 적정한 수준인지 확인할 수 있었고, 특정 영역에서 과도하거나 부족한 부분이 있는지도 파악할 수 있었습니다.
이후 딜로이트는 '사이버 비용 최적화 랩(Cyber Cost Optimization Lab)'을 운영했습니다. 이 세션에서는 주요 이해관계자들이 참여해 인력, 벤더, 기술, 운영 등 네 가지 영역의 데이터를 함께 검토하고, 다양한 시나리오를 논의했습니다. 이를 바탕으로 비용 절감과 최적화 효과를 구체화한 실행 계획을 도출했습니다.
분석이 진행되면서, 비용 최적화 측면에서 가장 큰 개선 기회는 인력 구조에서 나타났습니다. 특히 인력 배치 전략을 재검토할 경우 상당한 비용 절감이 가능했습니다. 이 기업은 이미 글로벌 운영 전략에 따라 여러 국가에 거점을 두고 있었고, 이를 사이버 보안 인력에도 동일하게 적용할 수 있었습니다. 일부 역할을 비용 구조가 낮은 지역으로 이전하면, 비용을 줄이면서 동시에 더 넓은 인재 풀을 활용할 수 있는 구조를 만들 수 있었습니다.
마지막으로 주목한 영역은 인력, 기술, 운영이 맞물리는 지점이었습니다. 사이버 보안 업무에 자동화와 인공지능(AI)을 적용하면 비용을 절감하는 동시에 대응 역량을 높일 수 있습니다. 반복적이고 부가가치가 낮은 업무를 자동화함으로써, 전문 인력은 보다 고도화된 업무에 집중할 수 있기 때문입니다.
경쟁사 비교를 통해 지출의 적정성을 검증하고, 자원 배분의 기준을 재정의하다
추진 결과 (Impact)
프로젝트 종료 시점에서, 해당 CISO는 비용 절감과 보안 가치 향상을 동시에 달성할 수 있는 실행 계획을 확보했습니다. 이 계획은 향후 사이버보안 전략을 추진할 수 있는 기반을 제공했으며, 기술 조직 내에서 비용 최적화와 가치 창출을 함께 제시한 첫 사례라는 점에서도 의미가 있습니다.
현재 기업 내부에서는 인력 재배치 전략에 대한 논의가 이어지고 있습니다. 비용 최적화와 안정적인 보안 운영을 동시에 달성하기 위해, 내부 인력과 외부 자원, 그리고 지역별 배치를 어떻게 조합할지에 대한 검토가 진행 중입니다.
비용 최적화 방안을 식별하고, 실행 단계로 전환하다
Explore our capability
우리의 역량을 살펴보세요.
