이사회에서 이루어지는 대부분의 투자 논의와 달리, 보안 예산에 대한 대화는 항상 다르게 느껴지는 이유가 있습니다.보안 리스크는 투자 의사결정의 기준이 되는 방식으로 표현하기 구조적으로 어렵고, 이 문제는 조직이 보안 프로그램을 어떻게 투자하고 운영하는지 전반에 걸쳐 영향을 미칩니다. 하지만 문제는 단순히 측정의 어려움에만 있는 것이 아닙니다.사이버 리스크를 정량적으로 모델링하는 데 성공한 조직조차도, 그 모델은 이를 뒷받침하는 운영 체계 수준에 의해 한계가 결정됩니다. 그리고 바로 그 운영 체계에는 대부분의 보안 예산이 충분히 반영하지 못한 공백이 존재합니다. 사이버 리스크 논의의 구조적 한계 대부분의 보안 예산 회의는 익숙한 흐름으로 진행됩니다.보안 팀은 점점 복잡해지는 위협과 공격 고도화에 대해 설명하고, 경영진은 이를 경청한 뒤 몇 가지 질문을 하고, 결국 ‘충분해 보이는 수준’에서 결정을 내립니다. 하지만 그 누구도 그 ‘충분함’이 정확히