기술 지원
문서
로그인
문의하기
사이버 보안 팀 전체를 해고하는 데 드는 실제 비용
조아오 코레이아
2022년 11월 2일 - 기술 에반젤리스트
콘텐츠 대기업인 Patreon은 최근 내부 사이버 보안 팀 전체를 해고했습니다. 팀원 5명이 해고된 것으로 알려졌지만, 회사 측에서는 팀 전체가 해고되었다고 확인하지는 않았지만, 해고된 직원 중 한 명이 소셜 미디어에 올린 게시물이 이를 암시하고 있습니다.
어쨌든 이 회사가 전체 사이버 보안 팀을 해고한다는 소식은 들불처럼 퍼져나갔습니다. 많은 사이버 보안 전문가들이 이 회사가 도대체 무슨 생각으로 이런 결정을 내렸을까 궁금해했습니다. 유능한 내부 팀을 버리고 아웃소싱 업체에 맡기는 것이 과연 합리적일까요?
Patreon이 이러한 결정을 내리게 된 동기는 아무도 알 수 없습니다. 하지만 외부의 시각에서 보면 Patreon의 결정이 사이버 보안에 미치는 영향은 분명합니다.
기존의 내부 전문성을 없애는 것은 큰 부담입니다.
어떤 조직도 사이버 보안 태세에 위험을 감수할 여유가 없지만, 사이버 보안은 다른 조직보다 일부 조직에 더 중요합니다. 10억 달러 이상의 매출을 올리는 수많은 콘텐츠 크리에이터에게 호스팅 서비스를 제공한다면 사이버 보안을 매우 중요하게 생각해야 합니다.
즉, 큰 위험을 감수하지 마세요.
중간 관리자나 1~2명의 직원을 해고하는 것은 그 자체로도 위험하지만 관리 가능한 위험입니다. 보안팀 전체를 한꺼번에 해고하는 것은 엄청난 위험을 감수하는 것입니다.
Patreon이 내부 보안팀 전체를 해고한 이유는 알 수 없지만, 실제로 그런 일이 있었던 것 같습니다. 내부 팀 전체를 잃는다는 것은 헤아릴 수 없는 양의 조직 지식을 잃는다는 것을 의미하기 때문에 부정적인 결과를 예측하는 것은 어렵지 않습니다.
내부 팀은 시간이 지남에 따라 축적된 심층적인 시스템 상호의존성에 대한 '소프트' 지식을 보유하고 있습니다. 내부 팀을 해고하면 이러한 소프트 지식을 모두 잃게 됩니다. 그리고 대부분의 경우 이러한 소프트 지식은 어딘가에 기록되어 있는 경우가 드물기 때문에 손실된 지식을 검색할 방법이 없습니다.
시간이 지나면 지식을 재구축할 수 있지만 쉽지 않은 일이며, 조직이 중요한 사이버 보안 노하우 없이 상당 기간 운영해야 할 수도 있습니다.
그렇다면 대체품은 (아마도) 어떤 모습일까요?
Patreon은 보안 팀을 해고하지 않았습니다. 대신 아웃소싱을 결정했을 가능성이 높습니다.
아마도 이 아웃소싱 서비스 제공업체는 퇴사하는 팀의 지식을 가지고 있지는 않지만 여전히 심각한 사이버 보안 기술을 제공할 수 있는 유능한 아웃소싱 서비스 제공업체일 것입니다.
하지만 인하우스와 아웃소싱의 논쟁에는 또 다른 질문이 있는데, 바로 아웃소싱 보안팀이 얼마나 헌신적으로 일할 것인가 하는 것입니다.
아무리 지식이 풍부한 외주업체라도 내부 직원과 같은 수준의 동의를 얻기는 어렵다고 생각합니다. 내부 팀의 헌신적인 노력과 대응이 있었다면 Patreon은 훨씬 더 많은 것을 얻을 수 있었을 것입니다.
외주업체는 계약을 맺었기 때문에 보안에 신경을 쓰지만, 내부 팀과 동일한 수준의 보안 인식을 가지고 보안을 관리하지는 않습니다. 이들은 조직의 시스템 안전에 대한 투자가 적을 뿐 아니라 보안 문제가 해결되는 속도와 헌신에도 영향을 미칩니다.
예, 보안 계약업체는 성능 표준을 안내하는 SLA에 묶여 있지만, 한 고객의 요구가 다른 고객의 요구와 경쟁한다는 사실은 변함이 없습니다. 위기 상황에서는 계약업체가 내부 팀만큼 상황을 심각하게 받아들일지에 대한 의문이 생깁니다.
중대한 보안 사고가 발생했을 때 조직이 직면한 위기를 처리하는 동안 외주업체 직원이 앉아서 시계를 보는 것을 가장 원치 않을 것입니다.
Patreon이 방향을 바꿀 수 있나요?
내부 팀을 해고하고 외주업체를 고용하는 것은 별개의 문제이며, 이는 빠르게 진행될 수 있습니다. 내부 팀을 처음부터 다시 구축하는 것은 완전히 다른 이야기입니다. 이러한 유형의 결정을 내릴 때 고려해야 할 중요한 사항은 필요할 경우 결정을 되돌리기가 얼마나 쉬운가 하는 점입니다.
인재 확보는 현재 기술 업계에서 가장 큰 도전 과제입니다. 이미 확보한 인재를 붙잡는 것은 매우 어렵습니다. 새로운 팀원 한 명을 채용하는 것은 더 어렵고, 팀 전체를 재구성하는 것은 훨씬 더 큰 도전입니다.
단순히 비용의 문제가 아니며, 교육 요구 사항과 전체 팀을 처음부터 구성하는 데 필요한 모든 것을 고려하면 비용이 많이 들 것입니다.
더 큰 질문은 이것이 가능한 일인가요? 그리고 몇 개월이 걸릴까요?
인재 확보를 당연시하는 것은 나쁜 생각이며, Patreon은 한동안 계약업체와 그에 따른 단점에 얽매여 본질적으로 돌이킬 수 없는 결정을 내렸을 수도 있습니다.
결과에 대해 생각하기
Patreon이 유능한 경영진을 보유한 잘 운영되는 회사가 아니라고 생각할 이유가 없으므로 결정의 배경에는 타당한 이유가 있고 경영진이 염두에 둔 결과가 있다고 생각할 수 있습니다.
비용 절감 효과가 있었나요? 그럴 수도 있습니다. 하지만 고도로 훈련된 내부 팀의 가치에 대해 기억해야 할 중요한 점은 내부 팀은 시간이 지남에 따라 신중하게 구축되며 정말 중요할 때 비용을 절감하기 위한 것이라는 점입니다.
무슨 뜻일까요? 사이버 보안을 아웃소싱하고 값비싼 내부 직원을 해고함으로써 비용을 절감할 수 있습니다. 하지만 진정한 사이버 보안 위기에 처했을 때 내부 팀이 가장 빠르고 효과적으로 대응할 가능성이 높으며, 훨씬 더 큰 공격 피해를 막을 수 있습니다.
즉, 내부 팀이 전반적인 피해와 그에 따른 정리 비용을 모두 줄임으로써 정말 중요한 순간에 비용을 절약할 수 있습니다.
물론 자금이 충분한 내부 보안팀은 시끄러운 보안 사고를 피하기 위해 노력하기 때문에 노력에 대한 성과가 없는 경우가 많다는 점이 아이러니합니다.
내부 사이버 보안이 우수하면 인시던트가 발생하지 않을 뿐 아니라 인시던트와 관련된 막대하고 치명적인 비용도 발생하지 않습니다.
예, 아웃소싱 팀을 사용하면 비용을 절약할 수 있지만, 동시에 사이버 보안 사고 발생 후 이를 복구하기 위해 막대한 비용을 지불해야 할 수도 있습니다.
결국 Patreon은 무엇을 얻었을까요?
이것이 바로 저희와 다른 모든 사람들이 던지는 큰 질문입니다.
다시 한 번 말씀드리지만, Patreon의 결정에 대한 이유는 추측만 할 수 있으며, 가장 유력한 후보로는 비용 절감입니다. 하지만 이러한 결정이 잘못되어 유출 사고가 발생하면 Patreon은 훨씬 더 많은 비용을 지불해야 할 수도 있습니다(방금 보안 팀을 해고한 회사보다 더 좋은 타깃이 어디 있겠습니까?).
물론 내부 팀의 무능함이나 대인관계 문제 등 다른 타당한 이유가 있을 수도 있습니다. 어느 쪽이든 좋은 시그널을 보내지 못했고 Patreon에 대한 많은 악평을 불러일으켰습니다.
그렇다면 Patreon을 사용하는 크리에이터는 어떻게 생각해야 할까요?
트위터의 입장에서는 누구에게도 좋은 결과를 예견하기 어려우며, 이러한 움직임을 고려하는 모든 조직에 강력한 주의를 기울일 것을 촉구합니다.
