Clarke Rodgers (00:08):
Mike, 오늘 함께 해주셔서 정말 감사합니다

Mike Wagner (00:10):
Clarke 감사합니다 참석하게 되어 기뻐요

Clarke Rodgers (00:12):
괜찮으시다면 맡고 계신 역할과 책임에 대해 말씀해 주세요

Mike Wagner (00:16):
Clark, 저는 Kenvue라는 회사의 CISO입니다 Kenvue는 Johnson & Johnson 계열사의 일원이었습니다 타이레놀, 모트린, 아비노, 뉴트로지나, 존슨스 베이비 등 당사가 제조하는 제품을 보시면 그 사실을 알 수 있을 것입니다

비즈니스에서 제 역할은 데이터, 시스템, 사람을 외부 위협으로부터 적절하게 보호하는 것입니다 우리는 비즈니스를 보호하면서 동시에 소비자, 고객, 공급업체, 직원 모두를 위해 더 빠르고 간소화되고 비용 효율적인 액세스를 제공하기 위해 노력하고 있습니다

Clarke Rodgers (01:01):
조금 더 깊이 들어가서, 이 직책을 맡기 전의 보안 관련 배경에 대해 말씀해 주시겠어요? CISO로 경력을 시작한 것은 아니라고 알고 있습니다

Mike Wagner (01:11):
네, 맞아요 저는 공군사관학교에 다녔고 공군 사이버 조직에서 다양한 역할을 맡았습니다 그러한 역할 중 하나는 9/11 당시 DC 지역에서 있었던 특별 수사 사무소였습니다 2000년대 초에 제대했지만 예비군으로 남았습니다 미국 기업과 공군 경력이 모두 있다는 점은 상당한 이점이었습니다

사이버 업무에서 이 두 경력은 정말 서로를 잘 보완해 줍니다, 정보를 얻어 예비군이나 방위군 측에서 연습할 수 있기 때문이죠 그리고 이런 기법, 배운 점, 정보를 기업 공간에 적용할 수 있으니까요 기업 부문에서는 몇 가지 다른 업종을 경험했습니다 저는 통신 분야에서 일을 시작했습니다 금융 서비스 분야에서 약간 활동했으며 지난 15년 동안 주로 의료 분야에 종사했습니다

지난 5~6년 동안 공급망, 기업, 글로벌 공급망에 집중했습니다 그리고 회사가 디지털 공급망 전략을 추진하면서 보안의 OT 부분에 많은 초점을 맞췄습니다 회사 네트워크에 다양한 창이 열려 있을 때 창이 보호되고 적절한 액세스만 이루어지도록 했습니다 뿐만 아니라 모든 공급업체, 물류, 네트워크, 타사 물류 제공업체 등과도 일을 합니다 이 업체들이 제자리를 잡았는지 확인하기도 하고, 사고 발생 시에는 이들과 협력하면서 말이죠

Clarke Rodgers (03:01):
흥미롭네요 군에서 회사 생활로의 전환에 대해 조금 말씀해 주시겠어요? 큰 전환이었나요, 아니면 사이버 관련 업무가 모든 분야에서 일맥상통하기 때문에 그렇게 어렵지 않았나요?

Mike Wagner (03:16):
흥미로운 사실은 군대에서 성공적으로 장교로 복무하게 되면 겨우 22살의 나이에 25명 정도의 사람들로부터 보고를 받는다는 것입니다 기업 세계에서는 자신을 좀 더 증명해야 합니다 그런 종류의 신뢰는 바로 주어지지 않죠 리더십 관점에서 보면 그것은 기본으로 돌아가 사람들이 하고 있는 일과 관련하여 신뢰와 믿음을 구축하는 문제였습니다

그러나 전문적인 관점에서 보면 기술적 능력, 사이버 및 군사, 네트워크 보호 측면에서 기업 네트워크 보호에도 동일한 기법과 전술이 적용됩니다 또한 자신의 내적 목적으로도 그러한 목표를 달성할 수 있습니다 내적 목적은 우리 모두에게 매우 중요하죠, 네트워크를 보호하고 데이터를 보호하고 사람을 보호하는 일도 그렇고요

Clarke Rodgers (04:11):
그러한 사명을 가졌군요

Mike Wagner (04:13):
예, 제 목적의 일부입니다 제 본성이라 할 수 있죠

Clarke Rodgers (04:17):
대단하군요 기업계와 맡고 계신 현재 역할에서 일반적으로 CISO는 시간이 지남에 따라 발전해 왔음을 알 수 있습니다. 이전에는 CISO와 CSO가 비즈니스 중심이 아닌 매우 기술적인 역할이었지만, 이제는 CISO와 CSO가 조직의 고위 경영진의 일원이 되어 정기적으로 이사회에 보고하고 비트와 바이트, 방화벽의 언어를 넘어서 비즈니스 언어를 사용하는 것을 볼 수 있습니다 이러한 전환은 어떻게 이루어졌나요? 우리는 불과 1분 전에 신뢰에 대해 이야기했습니다 조직의 다른 고위 경영진들과 어떻게 신뢰를 쌓고 계신가요?

Mike Wagner (04:58):
제가 생각하는 보안 전문가, 특히 CISO의 가장 큰 스킬 중 하나는 사람들과 관계를 맺는 능력입니다 유대감을 가지는 것, 즉 상대방이 당신이 말하는 것에 귀를 기울이게 하는 공통점을 찾는 것입니다 일단 이러한 관계를 구축하고 사람들에게 사이버가 무엇인지, 왜 사이버가 중요한지에 대해 교육하겠다는 목표를 세울 수 있다면 훨씬 더 쉬워집니다

이는 기본에 불과하지만 기본적으로 경영진 레벨로 올라가서 사이버에 대해 이해하게 만들고 그것이 비즈니스 책임이라는 것을 이해시켜야 합니다 솔직히 말해서, 비즈니스가 가능하려면 이들이 우리의 서비스를 사용해야 합니다

우리는 대규모 소비자 건강관리 기업입니다 회사는 10억 명 이상의 소비자를 보유하고 있으며 앞으로도 계속 성장할 것입니다 소비자들은 우리에게서 직접 구매하는 경우가 점점 더 많아질 것입니다 그렇다면 어떻게 하면 더 나은 사람, 더 건강한 사람을 만들기 위해 우리 제품으로 이끌 수 있을까요? 자외선 차단제든, 타이레놀이든, 아기의 기분을 좋게 하기 위해서든 말이죠

더 쉽게 접근할 수 있도록 만들어야 합니다 또한 우리가 그들의 데이터를 보호할 수 있다는 것을 그들에게 알려야 합니다 물론 소비자를 넘어서 훌륭한 고객, 훌륭한 공급업체, 그리고 인력과도 협력해야 합니다 사용자 경험, 즉 사람들이 우리 시스템과 연결되는 경험을 훨씬 더 쉽고, 훨씬 더 원활하고, 훨씬 더 안전하게 만들어야 합니다

Clarke Rodgers (06:33):
방금 설명한 것은 CISO가 흔히 겪는 과제입니다 보안 조직 외부에 보안 문화를 구축하는 것입니다 사람들은 보안을 일찍 그리고 자주 구축하는 것이 비즈니스에 좋다는 것을 이해합니다 그렇다면 조직의 보안 문화를 구축하는 데 도움이 되도록 하기 위해 어떤 종류의 프로그램을 마련하고 계신가요?

Mike Wagner (06:58):
우리가 마련한 프로그램 중 정말 성공적이었던 것이 바로 이 개념이며 저는 운영 기술 또는 OT에 대해 조금 이야기했습니다 우리는 글로벌 제조업체입니다 수십 개의 공장과 수백 개의 타사 물류 제공업체를 보유하고 있습니다 우리는 OT 챔피언 프로그램이라고 부르는 프로그램을 마련했으며, 이 프로그램을 통해 공급망 비즈니스 내에서 보안을 책임질 수 있는 담당자를 파악하고 확보합니다

Clarke Rodgers (07:28):
흥미롭네요

Mike Wagner (07:29):
예 이러한 사람들을 훈련시키며 이는 일종의 ‘트레이너 교육’ 프로그램 같습니다 하지만 그 이상이며 우리는 그들을 위한 리소스가 됩니다 우리는 그들을 지지하고, 그들은 우리의 프로그램을 지지합니다 다른 방법으로는 뚫을 수 없는 공간에 침투할 수 있었기 때문에 성공적이었습니다

앞에서 우리는 군대에 근무했다는 공통점에 대해 이야기했습니다 마치 미국에서 해외로 나가거나 군대가 해외로 나갈 때 현지인들에게 의존해서 돌아다니는 것과 같습니다 그들은 지리와 지형을 잘 알고 있습니다 어디를 조심해야 하고 어디에 가장 잘 자리잡을 수 있는지 알고 있습니다 비즈니스, 이 경우에는 공급망에서 사람들을 채용하거나 대리하도록 함으로써 우리가 더 성공하도록 도울 수 있고, 결과적으로 우리는 그들이 비즈니스를 보호하고 서류에서 벗어날 수 있도록 돕는 것과 거의 같은 방식입니다 해당 제품을 필요로 하는 소비자에게 제품을 제공합니다

Clarke Rodgers (08:33):
이 프로그램을 발표했을 때, 비즈니스 리더들이 프로그램이 가져다주는 이점을 알고 있었나요?

Mike Wagner (08:40):
물론입니다 보안이 주류로 떠오르면서 이러한 유닛의 비즈니스 리더들은 직원들이 우리 프로그램과 연계되어 있다는 사실을 알고 있습니다 많은 경우에 우리는 이미 그들의 리더와 이야기를 나눴습니다 따라서 바퀴에 이미 기름칠이 되어 있어 진입이 더 쉽고 편안했습니다 그들은 우리가 제공하는 정보, 우리가 제공하는 교육을 받을 준비가 되어 있습니다

Clarke Rodgers (09:15):
위험을 보고할 때 어떻게 하는지, 그리고 어떻게 하면 그들에게 보안을 현실로 만들 수 있는지 설명해 주실 수 있나요? 기존에는 일종의 구식 CISO 스타일을 사용하여 취약성 매트릭스, 패치 프로그램 등을 보여주는 시력 검사표와 같은 보고서를 작성하였기 때문에 이사회의 공감을 얻지 못하는 경우가 많았던 것 같아요 이사회에 위험을 어떻게 전달하고 있나요?

Mike Wagner (09:38):
우리는 비즈니스 위험, 비즈니스에 미치는 영향의 관점에서 설명합니다 물론 우리가 마련한 통제 수단을 통해 이러한 영향을 최소화하기 위해 노력하고 있습니다 또한 우리 프로그램과 그것이 어떻게 발전하고 있는지, 우리 프로그램의 기능이 비즈니스 성장을 어떻게 지원하는지에 대해서도 이야기합니다 많은 사람들이 보안을 방어적인 역할로 생각하죠, 어떤 면에선 보험 상품처럼 대하는 것 같습니다

Clarke Rodgers (10:04):
예

Mike Wagner (10:05):
우리는 방어적인 역할뿐만 아니라 접근성 측면에서도 보안을 고려합니다 액세스는 성공의 원동력입니다 이미 소비자를 위한 액세스, 고객을 위한 액세스, 공급업체, 직원을 위한 액세스에 대해 언급했습니다 액세스를 더 쉽고 원활하게 만들 수 있다면 비즈니스를 더 빠르게 진행할 수 있습니다 개발 프로세스에서는 새로운 기술 릴리스를 출시할 때 보안을 우선시하고 파이프라인의 일부로 삼습니다 이러한 교훈은 게임 초반에 배운 것이었으며, 이를 통해 우리는 비즈니스의 진정한 파트너이자 신뢰도 높은 파트너가 될 수 있었습니다

Clarke Rodgers (10:49):
멋지군요 이제 방향을 조금 바꾸어 보안 프로그램에 인력을 배치하는 것에 대해 얘기해 보겠습니다 챔피언 프로그램과 OT 측면에 대해서는 이미 말씀하셨습니다 OT 외에도 조직 내 보안 팀의 역량을 효과적으로 배가시킬 수 있는 방법이 있나요?

Mike Wagner (11:10):
물론 우리는 소프트웨어 엔지니어링 기술을 갖춘 인력을 영입하려고 노력합니다 우리는 꽤 많은 군인을 고용했습니다 소프트웨어 배포 및 코드를 이해하는 기술은 훨씬 더 중요하며 최근에는 더욱 주목받고 있습니다 물론, AI가 보안 프로그램에 도움이 될 수 있는 방법, 그리고 한정된 수의 직원으로 글로벌 제조 입지를 커버할 수 있는 방법을 모색하고 있습니다 AI가 제공할 수 있는 더 많은 옵션을 모색할 예정입니다

하지만 인재 확보 측면에서는 공군과 다양한 군사 포럼에 있는 사람들을 계속 주시하고 있습니다 군인들이 퇴역한 후 데려오는 프로그램도 있습니다 이러한 프로그램 중 일부는 퇴역 군인이 일하는 동안 대학 학위를 취득할 수 있도록 합니다 정말 성공적이었죠

회사에 근무하는 퇴역 군인을 위해 환상적인 복리후생 프로그램을 제공합니다 예를 들어, 2주 동안 출동하거나 소집되는 경우에서 우리는 매우 군 친화적입니다 퇴역 군인에게 훌륭하고 확실한 혜택을 제공하고자 합니다

사람들이 채용에 어려움을 겪고 있다는 이야기를 많이 듣고 있는데, 좋은 인재를 채용하는 것은 CISO가 앞으로 몇 년 동안 직면하게 될 과제 중 하나이자 과거에도 직면해 왔던 과제 중 하나입니다. 비유하자면 마치 대학 미식축구 코치가 된 것 같은 느낌입니다 채용 공고가 열리기도 전에 나가서 채용을 합니다 인재를 목표로 삼고, 관계를 형성하고, 좋은 인재가 참석하는 다양한 포럼에 나갑니다

결국에는 사람 사업입니다 악수를 하고, 관계를 유지하고, 그 특별한 사람과 관계를 맺고, 궁극적으로는 필요할 때 잘 어울리기를 바라는 거죠 Kenvue의 사이버 직원을 구성하는 과정에서 우리는 운 좋게도 몇몇 훌륭한 회사에서 매우 재능 있는 사람들을 영입하여 사이버 조직에 매우 효율적이고 생산적인 인력을 배치할 수 있었습니다

Clarke Rodgers (13:50):
정말 멋진 이야기네요 다시 말하지만, CISO 역할이 시간이 지남에 따라 진화했지만 CISO와 보안 부서는 일반적으로 “아니요”라고 말하는 부서로 간주되는 경우가 많았습니다 그렇죠? 오늘날 성공적인 CISO 고객들은 보안 부서를 조력자이자 “예, 하지만”이라고 말하는 부서로 바라보고 있습니다 그렇죠? 경찰 역할은 줄이고 코칭을 더 많이 해야 되죠 소속 조직은 어떤 상황입니까? 그리고 이러한 전환은 지난 몇 년 동안 어떻게 이루어졌습니까?

Mike Wagner (14:29):
우리는 조력자로 인정받기를 원합니다 사이버 부서를 단순한 방어 부서가 아니라 접근성을 지원하는 역할로 보아주기를 원합니다 어떻게 그걸 해낼 수 있었을까요? 교육을 통해서 이룰 수 있었습니다 우리가 비즈니스에 교육과 인식을 제공하면 그들은 이해하게 됩니다 “우리 경쟁사에서 무슨 일이 있었는지 보세요”라고 말하거나 랜섬 공격을 받았을 수도 있는 다른 물류회사의 예를 들 수도 있습니다 그들은 스스로 그런 상황에 놓이고 싶지 않다는 것을 인식합니다

그러한 교육을 통해 우리가 가야 할 좋은 방법을 제시할 수 있었기 때문에 비즈니스는 정말 좋은 성과를 거두었습니다 저는 클라우드 제공업체와의 관계가 우리의 보안을 강화할 뿐만 아니라 기술을 배포하는 데 필요한 속도를 훨씬 더 빠르고 하고, 더 좋고, 더 저렴하게 만들게 해준다고 믿습니다 비즈니스는 그걸 좋아합니다 제 말은, 우리가 저렴한 가격에 더 빠르고, 더 좋고, 더 저렴하게 고객에게 제품을 제공하는 데 이바지하고 있다는 것을 알게 되면 고객들도 구매를 할 거라는 거죠

Clarke Rodgers (15:52):
대단하군요 당신이 예언자는 아니지만, 5년 후에 다시 대화를 나눈다면 CISO가 당면한 가장 큰 도전과 기회는 무엇이라고 할 수 있을까요?

Mike Wagner (16:08):
글쎄요, 5년 후에는 우리가 훨씬 더 성숙해질 것이고, 인공지능 로봇이 작동하는 방식을 이해함으로써 우리가 가진 힘을 강화할 수 있을 것이라고 생각합니다 교육이 계속되어 비즈니스는 우리가 하는 일을 더 잘 이해할 수 있을 것입니다 물론, 우리는 지금 테이블에 앉아 있습니다 기술 담당자로서만이 아니라 비즈니스의 목소리로도 계속 발전할 것이라고 생각합니다

CISO가 예전처럼 IT 부서에 속할지 아니면 CIO 밑에 있게 될지는 잘 모르겠습니다 어떤 위치가 될지 그 가능성은 다양하지만 확실히 비즈니스 의사 결정과 우리가 상대하는 다양한 공급업체 및 고객에 큰 영향을 미칠 것이라고 생각합니다

Clarke Rodgers (17:15):
대단하군요 Mike, 오늘 함께 해주셔서 정말 감사합니다

Mike Wagner (17:19):
좋습니다 고마워요, Clarke