최신 보안 운영 조직 개발 및 평가

Clarke(00:04):
Hart 님, 오늘 함께 해 주셔서 감사합니다.

Hart(00:06):
불러 주셔서 감사합니다, Clarke 씨.

Clarke(00:08):
Hart 님의 이력, AWS에 오게 된 계기, 그리고 현재 맡고 있는 역할에 대해 말씀해 주실 수 있나요?

Hart(00:14):
예. AWS에 입사하기 전에는 방위 산업체의 인텔리전스 부문에서 많은 시스템 통합 작업을 진행했습니다. 저는 그 일을 정말 좋아했고, 미국 정부 및 다른 각국 정부, 그리고 정부 관련 프로젝트와 몇몇 규제 대상 산업 분야를 지원하는 데 보람을 느꼈습니다. 하지만 저는 항상 최고의 보안 회사에서 일해보고 싶다는 생각을 가지고 있었습니다. 저는 일을 시작한 초기에는 주로 소비자에게 집중했습니다. 바이러스 백신, 데스크톱의 개인 방화벽 같은 것들 말이죠. 하지만 시간이 흐르면서, 세상을 움직이는 인프라를 제공하는 회사들이 제 이력을 차지하기 시작했습니다. Amazon과 같은 회사들 및 다른 거대 인프라 공급업체들이죠. 어쨌든 제 경력에서 중요한 시점에 있었고, 다음 기회를 찾고 있었습니다. 보안 분야에서 진정한 혁신을 실현할 수 있는 곳으로 가고 싶었습니다. 그러한 혁신은 매우 중요한 소수의 고객들뿐만 아니라 전 세계적으로 큰 변화를 가져올 것이라고 생각했습니다. 그래서 저는 AWS에 입사할 기회를 잡았습니다.

Clarke(01:12):
현재 AWS에서 어떤 역할을 맡고 계십니까?

Hart(01:14):
요즘은 보안 및 인프라 관련 글로벌 전문 업무와 Professional Services를 담당하는 이사로 근무하고 있습니다. 길고 복잡한 명칭이죠. 어쨌든 제가 하는 일은 AWS를 통해 클라우드에서 가장 민감한 워크로드를 운영하기 위한 자신감과 기술적 역량을 구축하도록 고객을 돕는 것입니다.

Clarke(01:33):
말씀 감사합니다. ... 이제 고객 관점으로 전환해 보죠. 우리의 고객 CISO는 항상 보안 인재를 채용하고자 합니다. 그리고 이런 유형의 인재는 찾기 매우 어려울 수 있죠. 보안 인재가 부족한 경우, 비록 원하는 심층적인 보안 스킬을 가지고 있지 않더라도 적합한 사람을 찾는 데 있어 CISO나 고객 조직의 다른 채용 관리자에게 어떤 조언을 해 주시겠습니까?

Hart(02:02):
예, 저는 많은 것들이 결국 해당 기업의 문화로 귀결된다고 생각합니다. 우리는 종종 두 종류의 다른 대화를 합니다. 첫 번째는 심층 기술적 엔지니어링 리소스를 도입한 뒤 Lambda, Containers, KS 등의 새로운 기술을 편하게 이용할 수 있도록 프로그램을 개발하는 것입니다. 또는 그 보안 측면입니다. 즉, 심층 기술적 엔지니어링 리소스를 도입해서 보안 관점에서 빌드하고 생각하는 방법, 각 스프린트 과제를 시작하는 방법(제품 관리자의 기능적 요구 사항 대신 어떤 위협 모델로 시작하여 자신의 사용자 스토리를 생성한 후 이를 바탕으로 문제 해결)을 이해하도록 돕습니다.  이런 종류의 스킬들입니다. 그리고 물론 보안 커뮤니티의 다른 영역에는 정말 재능 있는 보안 직원들이 많습니다. 이들은 감사 부서에 있거나, 규정 준수 부서에 있거나, 기타 영역에 있을 수 있습니다. 그리고 그런 사람들이 기술적인 업무에 관심을 보인다면 이들을 보안 커뮤니티의 다른 부분으로 데려와서 이러한 엔지니어링 스킬, 제품 개발, 제품 관리 스킬을 개발하도록 할 수 있습니다. 이 또한 실제로 많은 도움이 됩니다. 다시 우리가 팀에서 찾는 것으로 돌아가서, 제가 종종 제안하는 한 가지는 창의적인 유형의 사람들이 가장 성공적인 경향이 있다는 것입니다. 수평적으로 사고하는 사람, 예술가, 시인들이죠. 이들은 시간이 지나면서 그런 조정을 정말 잘 하는 경향이 있습니다. 사람들을 정형화하려는 것은 아니지만 그런 종류의 탄력성, 민첩성, 사고 방식은 종종 이들이 빨리 나아갈 수 있도록 해 줍니다.

Clarke(03:38): 
고객들은 실제로 보안 엔지니어링으로 전환하고 있는 것으로 보이고, 관리하는 애플리케이션 및 인프라에 보안을 구축하는 것으로 보입니다. 아시다시피 보안에는 다른 측면이 있고 일종의 그런 운영상 보안은 모든 것이 제대로 작동되는지 확인하는 일입니다. 여기 있는 빨간 플래그를 확인하고, 그것에 반응하는 등의 일이죠. 그런 엔지니어링 사고 방식과 운영적 사고 방식 사이의 적절한 균형이란 무엇인가요?

Hart(04:04):
예, 정말 중요한 질문이네요. 실제로 저는 고위 경영진과 그런 얘기를 하는 데 꽤 시간을 보냈습니다. 왜냐하면 그들이 클라우드를 다뤘던 초기 여정에서는, 아마 클라우드뿐만 아니라 AWS와의 관계와는 무관하게 당시 대다수가 참여했던 애플리케이션 현대화 여정도 포함해서요. 그 당시에는 DevOps 중에서 개발 부분이 강조되곤 했었죠. 따라서 그들은 ‘어떻게 하면 워크로드를 더 잘 구축하고 배포할 수 있을까?’를 생각했습니다. 반드시 운영적 부분 전체를 고려할 필요는 없었죠. 보안 운영에 무언가를 추가할 때, 반드시 다뤄야 할 매우 특정한 뉘앙스가 있습니다. 제가 알아낸 것들 중 하나는 우리가 운영에 대해 논할 때, 프로그램이나 이니셔티브는 그다지 중요한 문제가 아니라는 것입니다. 마이그레이션과 새로운 워크로드 구축 중 수많은 요소에서는 프로그램이 매우 중요합니다. 제품 관리자도 있고, 마이그레이션 책임자도 있지만, 보안 운영과 관련해서는 기존의 운영 센터 사고 방식에 따른 365일 24시간 기반의 신뢰성, 보안과 감지, 응답성, 활동이 필요합니다. 이제 우리는 실제 운영 센터의 물리적인 공간에 제한될 필요가 없습니다. 같은 일을 할 수 있도록 도와주는 시스템을 클라우드에 갖고 있기 때문이죠. 하지만 우리는 그러한 경영진의 사고 방식을 전환해야 합니다. 그리고 그건 ‘당신에게 운영에서 중요한 지표는 무엇인가요?’라고 물어보는 것 만큼이나 간단합니다. 우리는 마이그레이션과 개발에 대해서 얘기했었습니다. 무엇이 당신에게 중요한지 알고, 성공이란 어떤 것인지 압니다. 하지만 지표의 관점에서 보안 운영은 당신에게 어떤 것인가요? 일단 이런 대화를 나누면, 우리는 종종 그것이 어떤 것인지 쉽게 얘기할 수 있고, 이제 보안과 안전의 관점에서 개발과 운영을 진정 의미 있는 방식으로 결합하기 시작합니다.

Clarke(05:50):
그럼, 정말 중요한 질문을 하겠습니다. 운영 관점에서 고객이 일반적으로 찾는 주요 지표는 무엇인가요?

Hart(05:57):
예. 그것은 고객의 목적과 목표에 따라 달라집니다. 우리가 살펴볼 항목 중 하나는 체류 시간과 같은 것들입니다. 변경 불가능한 인프라를 갖춘 것의 정말 멋진 점 중 하나는 클라우드의 전체 데이터 센터의 복원률이 매우 낮을 수 있다는 것입니다. 애플리케이션을 다시 구축해서 배포하는 데 몇 개월이나 몇 년씩 걸릴 필요없이, 우리 고객 대다수는 더 적은 워크로드로 전환하는 시간이 몇 시간 또는 몇 분에 불과합니다. 따라서, 내 전체 데이터 센터를 한 시간 안에 재구축할 수 있다면, 이제는 ‘이제 어떻게 하면 경쟁사 체류 시간에 대한 대화로 바꿀 수 있을까?’라고 생각할 수 있게 됩니다. 취약성 관리와 잔존하는 패치 적용에 대한 대화를 어떻게 바꿀 수 있을까요? 우리는 민첩성, 확장성, 신뢰성을 높여 궁극적으로는 보안에 도움이 되는 이러한 지표를 실제로 살펴보기 시작했습니다.

Clarke(06:55):
그럼 오늘 우리가 나눈 많은 대화는 보안 조직을 운영하기 위한 기존 핵심 구성요소라 할 수 있는 엔지니어링 보안 운영에 관한 것이군요. 제가 CISO와 나눈 많은 대화에 의하면, CISO들은 적절한 비즈니스 맥락에서 보안 상황이 보고될 수 있을 것인지, 내 이사회나 선임 이사가 이해할 수 있는 비즈니스 용어로 사이버 위험이 정의될 수 있을 것인지에 대해 매우 우려하고 있습니다. 비즈니스 리더로서 일종의 보안을 갖춘 이 곳에서, 우리가 생각하는 기존 지표의 보안 운영과는 다른 제품이 있나요?

Hart(07:31):
예, 있습니다. 이는 고객에서부터 시작하여 거꾸로 올라오는 방식의 좋은 예입니다. 예전에 보안 위험 및 규정 준수 사례의 보안 부분을 구축하던 당시, 고객으로부터 이러한 질문을 받기 시작했습니다. 저는 경험이 있었고, 당시 팀의 많은 사람들도 보안 컨설팅에 경험이 있었습니다. 하지만 우리 중 그 누구도 조직 보호에 있어 CISO가 지고 있던 그런 개인적인 책임을 지고 있지는 않았죠. 따라서 몇 번 그러한 요청을 받은 후에, 우리는 같이 일할 CISO를 찾아야 한다고 생각했습니다. 그래서 이게 우리가 한 일입니다. 우리는 CISO, 위험 및 감사 책임자가 있는 경영진 보안 자문 사례를 구축했습니다. AWS와 클라우드 여정을 밟았던 사람들이며 지금은 우리 팀에 있습니다. 그리고 이들은 강력한 엔지니어링 및 운영 동료의 지원을 받아 동급 수준의 자문 작업을 수행할 수 있어 실제로 그런 경영 전략을 실행할 수 있습니다. 그건 정말로 좋았습니다. 우리는 지표에 관한 대화를 할 수 있습니다. 앞서 말했던 운영 지표 같은 지표가 아닙니다. 주요 성과 지표에 대해서죠. 올해 특정 수치 달성만을 얘기하는 것이 아니라, 매년 전환을 주도할 조직에 대한 보안 기대치 설정에 대해 얘기하는 것입니다. 

Clarke(08:53):
그렇군요. 그럼, 함께 일하고 계신 고객 CISO의 경우, 이사회에 보고하는 비즈니스 수준에서는 어떤 추세가 발견됩니까? 제가 고객 CISO와 얘기를 나눠 보면, 패치한 시스템, 중지시킨 바이러스와 공격 등에 대한 모든 지표가 여전히 필요합니다. 하지만 비즈니스 측면에서 심층적인 보안 전문 지식을 갖추지 못했지만 예산 및 다른 운영에 대한 지출 권한을 쥐고 있는 사람들에게 비즈니스 용어로 이를 설명하려 한다면 어떤 조언을 주실 수 있습니까?

Hart(09:29):
예. 몇 가지 다른 관점이 있을 수 있습니다. 하나는 앞서 말했던 전환의 관점입니다. 만약 적절한 목표와 기대치를 설정한다면 엄청난 추진 효과가 있습니다. 예를 들어, CISO가 며칠 내에 클라우드의 전체 데이터 센터를 복원할 수 있다는 목표를 설정했습니다. 매 48시간, 72시간마다라고 해 보죠. 거기서 역방향으로 작업하기를 적용하면, BCPDR 수행 방법에 엄청난 파급 효과가 있습니다. 구축하고, 배포하고, 운영하고, 테스트하는 방법에도요. 모든 사람을 자동화하고 가속화하도록 하여 궁극적으로는 인프라 작업을 하는 모든 사람들의 가치 창출 시간을 감소시킵니다. 따라서 비용이 감소하고, 시장 출시가 빨라지고, 고객 응답 시간을 단축시킵니다. 아마 매년 변화할 것이지만, 적절한 보안 기대치를 설정하는 것만으로도 비즈니스 전반에 걸쳐 더 훌륭한 성과를 낼 수 있습니다. 그리고 복구 시간을 올해는 45일마다로 줄이고, 내년에는 15일로 줄이고, 그 다음 해에는 48시간으로 줄일 수 있겠죠. 그래서 매년 하나의 보안 목표를 사용하여 이 모든 기타 비즈니스 성과를 얻을 수 있습니다.

Clarke(10:52):
그리고 이사회에 보고할 때 이를 추적하는군요.

Hart(10:54):
바로 그것입니다.

Clarke(10:55):
대단하군요. Hart 님, 오늘 함께 해 주셔서 감사합니다.

Hart(10:57):
즐거웠어요. 불러 주셔서 감사합니다.