AWS가 고객의 보안, 위험 및 규정 준수 목표 충족을 돕는 방법

Clarke(00:58):
Hart 씨의 이력, AWS에 입사하게 된 계기, 현재 맡고 있는 역할에 대해 말씀해 주세요.

Hart(01:05):
예. AWS에 입사하기 전에는 방위 산업체의 인텔리전스 부문에서 많은 시스템 통합 작업을 진행했습니다. 저는 그 일을 정말 좋아했고, 미국 정부와 다른 각국 정부, 그리고 정부 관련 프로젝트와 몇몇 규제 대상 산업 분야를 지원하는 데 보람을 느꼈습니다. 하지만 저는 항상 최고의 보안 회사에서 일해보고 싶다는 생각을 가지고 있었습니다. 저는 일을 시작한 초기에는 주로 소비자에게 집중했습니다. 바이러스 백신, 데스크톱의 개인 방화벽 같은 것들 말이죠. 하지만 시간이 흐르면서, 세상을 움직이는 인프라를 제공하는 회사들이 제 이력을 차지하기 시작했습니다. Amazon과 같은 회사들과 다른 거대 인프라 공급업체들이죠. 어쨌든 제 경력에서 중요한 시점에 있었고, 다음 기회를 찾고 있었습니다. 보안 분야에서 진정한 혁신을 실현할 수 있는 곳으로 가고 싶었습니다. 그러한 혁신은 매우 중요한 소수의 고객들뿐만 아니라 전 세계적으로 큰 변화를 가져올 것이라고 생각했습니다. 그래서 저는 AWS에 입사할 기회를 잡았습니다.

Clarke(02:02):
현재 AWS에서 어떤 역할을 맡고 계십니까?

Hart(02:39):
요즘은 보안 및 인프라 관련 글로벌 전문 업무와 Professional Services를 담당하는 이사로 근무하고 있습니다. 길고 복잡한 명칭이죠. 어쨌든 제가 하는 일은 AWS를 통해 클라우드에서 가장 민감한 워크로드를 운영하기 위한 자신감과 기술적 역량을 구축하도록 고객을 돕는 것입니다.

Clarke(02:58):
그렇군요. Hart 씨의 팀에서는 다양한 Professional Services 제품과 서비스를 고객에게 제공하거나 고객이 이용할 수 있도록 지원하고 있는데, 제공하는 서비스가 고객이 실제로 원하고 필요로 하는 서비스인지 확인하기 위해 특정한 메커니즘을 따르고 있습니까?

Hart(03:14):
아주 구체적인 예를 들어 보겠습니다. 몇 년 전에 결제 카드 시스템을 클라우드로 마이그레이션할 방법을 고민하는 고객이 몇몇 있었습니다. 클라우드와 현대적인 결제 카드 시스템 운영에 대한 전문 지식을 갖췄고 PCI 표준을 이해하고 있는 팀이 필요했습니다. 그래서 처음에 저희는 PCI 역량을 갖춘 파트너를 참여시키기로 했습니다. 결과는 성공적이었습니다. AWS, 그리고 파트너와 협력할 때 고객이 최상의 결과를 얻는 경우가 많습니다.

또한 고객들은 AWS에서 제공하는 전문 지식과 지침은 신뢰할 수 있는지, PCI와 같은 파트너가 자격을 갖추고 있는지 확인하고 싶어한다고 들었습니다. 그래서 저희는 6페이지 분량의 자료를 작성하고 거꾸로 일하며 후에 PCI QSA 회사인 AWS Security Assurance Services라는 완전 소유 자회사로 분사하게 되는 팀을 구축했습니다. 그리고 지금은 신뢰도 높은 평가 회사로 인정받고 있습니다.

Clarke(05:17):
멋지군요. 그렇다면 고객들의 요청이 없더라도 특정 서비스를 제공할지 판단하는 내부 프로세스는 없는 건가요?

Hart(05:27):
없습니다. AWS에서 9년 넘게 일하면서 실제로 제가 고객과 나누었던 대화에서, 그러한 방식은 바람직하지 않다는 인상을 받아왔습니다. 자주 비유하는 표현 또는 밈이 한 가지 있는데, 미팅에서 제가 어떤 말을 하면 다른 동료가 정말 좋은 생각이라고 말하면서 그 관점을 높이 평가하지만 고객들의 생각은 다를 수 있습니다. 고객이 제 전문성을 무시한다는 의미는 아니고, 저희가 고객의 이야기를 경청하고 고객이 스스로 솔루션에 대해 생각해 볼 수 있도록 도울 때, 최적의 솔루션을 제공할 수 있다는 사실을 잘 알고 있습니다. 그런 다음 제 전문 지식을 바탕으로 필터링하는 것입니다. 그리고 Amazon의 일원으로서 고유한 솔루션을 찾은 다음 고객에게 전달합니다.

Clarke(06:09):
조직 내 모든 부분에서 고객의 요구를 충족하기 위해 끊임없이 새로운 컨설턴트를 채용해야 한다고 생각합니다. 차세대 AWS 보안 컨설턴트를 채용할 때 어떤 역량을 기준으로 뽑으시나요? 깊고 광범위한 보안 전문 지식입니까? 그저 문제를 해결하고자 하는 빌더의 마음가짐일까요? ProServe의 팀원을 채용할 때 어떤 경력을 가진 인재를 찾고 계십니까?

Hart(06:39):
가장 핵심적으로는 기술적 적성과 문화적 적합성이라는 두 가지를 기준으로 합니다. 문화적 적합성이란 리더십 원칙과 부합하는지 여부, 그리고 그러한 원칙을 고려하고 내면화하며 다른 사람이 리더십 원칙에 대해 더 많이 배울 수 있도록 돕는 능력입니다. 그리고 기술적 적성도 살펴봅니다. 한마디로 어떤 부분에서 놀라운 능력을 발휘할 수 있을지를 보는 거죠. 제가 정말로 원하는 것은 특정 분야의 주제별 전문 지식과 함께 보완적인 분야에서도 일할 수 있다는 능력을 입증하는 것입니다.
 
자격 증명 전문가라면 관련 전문 지식을 암호화에도 적용할 수 있어야 한다는 거죠. 아니면 법의학이나 다른 자연 과학 분야에도 적용하는 겁니다. 즉, 저희는 해당 분야에서 절대적인 전문가로 인정받는 사람들을 데려옵니다. 엄청난 깊이의 지식은 지식의 폭도 넓혀주기 때문이죠. 모든 사람이 전문 지식으로 새로운 문제를 해결하기를 원하기 때문입니다. 그러한 문제는 단지 일상적으로 하는 일과 조금 다를 뿐입니다. 민첩성, 유연성, 구석구석을 돌아볼 수 있는 능력, 그리고 실무 방식을 파격적인 방법으로 적용할 수 있는 능력을 원합니다.

그리고 당연히 빌더여야 합니다. 또한 EA부터 제공 컨설턴트에 이르기까지 모든 직원은 물론, 매니저들도 모두 플랫폼에서 기술적 숙련도를 쌓아야 한다고 생각합니다. 저희는 고객을 돕기 위해 여기에 있는 것이니까요. CAT 이미지를 S3에 업로드한 적이 없거나 EC2 인스턴스를 실행하거나 Lambda로 코드를 작성한 적이 없는 경우, 고객의 문제를 해결하거나 동일한 서비스를 기반으로 새로운 비즈니스를 구축하는 방법에 대해 고객과 대화를 나눌 자격이 없는 것입니다. 소매를 걷어붙이고 기술을 활용하여 고객을 지원하며 신뢰할 수 있는 솔루션을 구축하는 능력은 저희에게 정말 중요합니다.

Clarke(11:55):
고객사의 최고 경영진 임원을 많이 만나고 전 세계에 컨설턴트를 배치하여 고객 문제를 해결하며 고객이 문제를 해결하고 다양한 역량을 구축할 수 있도록 돕고 계신데요. AWS ProServe를 통해 예약 중인 보안 제품과 서비스 중 요즘 특히 고객들이 지원을 많이 요청하는 것이 있습니까?

Hart(12:16):
저희가 자주 하는 말이 있는데, 정말로 비즈니스의 시작 시점으로 거슬러 올라가는 것인데 고객들은 안전하지 않은 인프라를 구입하고 싶어하지 않는다는 것입니다. 물론 AWS에서는 매우 안전하고 보안이 철저한 서비스를 제공합니다. 고객은 특정 비즈니스 요구 사항에 맞게 이를 구현할 수 있는 최상의 방법을 알고 싶어 합니다. 예를 들어 요즘은 컨테이너가 대유행입니다. 너도나도 컨테이너화하고 새로운 것을 구현하거나 컨테이너를 사용하여 마이그레이션을 가속화하고 원활하게 수행합니다. 고위 경영진은 컨테이너 보안 모델을 제대로 구현하는 방법에 관심이 높습니다. 고객은 취약성 관리, 검사, 컨테이너와 컨테이너 보안 등의 운영 보안 문제를 어떻게 해결할지를 고민하는 거죠. 인시던트 대응에 대한 관심도 높습니다. 안타깝게도, 랜섬웨어나 기타 다른 유형의 공격과 관련한 많은 사건들이 연일 뉴스를 장식하고 있습니다.

그리고 이러한 종류의 은밀한 공격으로부터 최대한 효과적으로 보호하기 위해 이용할 수 있는 AWS의 기능에는 어떤 것이 있는지 알고 싶어 합니다. 그리고 클라우드 경험이 없는 경우에는 대응 담당자들이 클라우드에서 효과적으로 대응할 수 있도록 지원하는 최선의 방법도 알고 싶어 합니다. 온프레미스에서는 아주 훌륭하게 대응할 수 있을지 모르지만, 이제는 다양한 환경에서 인시던트에 대응해야 하는 시대입니다. 따라서 대응 방법에 대한 관심이 높아졌습니다. 그리고 보안 엔지니어링도 떠오르는 분야입니다. 많은 고객이 찾아와 Amazon과 같은 방식을 구현하고 싶다고 말합니다. Amazon의 서비스에 익숙하다면서 API를 제공하는 Amazon의 방식이 매우 훌륭하다고 생각하며 같은 방식으로 자사의 API를 강화하기를 원한다고 합니다. 또한 Amazon과 동일한 DevOps 유형의 소프트웨어 개발 수명 주기를 원한다고 말합니다. 이러한 이유로 저희는 최근에 보안에 특별히 중점을 둔 고객 엔지니어링 기능을 개발했습니다. 그 과정에 고객들도 참여했습니다.

Clarke(17:19):
고객은 처음 솔루션을 구축할 때 ProServe를 이용할 수 있고 파트너를 활용해 초기 랜딩 존을 구현할 수 있습니다. 물론 요즘은 Control Tower와 다른 서비스도 이용할 수 있죠. 고객에게 어떤 유형의 서비스나 문서를 제공하시나요? 이 질문은 두 부분으로 나눌 수 있겠네요. 하나는 고객으로서 적절한 방식, 즉 AWS 모범 사례와 부합하는 방식으로 솔루션을 구축하고 있는지를 확인하는 방법에 대한 질문이고, 다른 하나는 모든 작업을 수행했더라도 무언가를 놓칠 수 있고 랜섬웨어 이벤트와 같은 문제가 있을 수 있는데, 이와 관련해 ProServe가 고객에게 도움을 줄 수 있는 기회가 있는지에 대한 질문입니다.

Hart(18:04):
좋은 질문입니다, Clarke 씨. 질문의 두 부분 모두 몇 가지로 대답할 수 있는데요. 질문의 첫 번째 부분에 답하자면, 고객이 항상 저희의 주요 제품군에 익숙해질 수 있도록 하려고 한다는 것입니다. 일례로 Well-Architected 솔루션을 사용하는 고객은 검사 도구에 익숙해야 합니다. 이와 관련해서는 좋은 지침이 있습니다. 바로 신뢰할 수 있는 조언자가 되어야 하며 Security Hub와 GuardDuty에 익숙해야 한다는 것입니다. 이 두 서비스는 고객의 현재 상태를 파악하는데 도움을 줍니다. 기본적인 구성 요소들이 구현되었는지, 그리고 모두 여러분이 기대하는 방식으로 운영되고 있는지를 파악하는 거죠. 그리고 보다 광범위한 교육 및 계획 관점에서 APG, 즉 AWS 권장 가이드와 같은 서비스를 고려할 수 있습니다. 이는 Amazon과 파트너들로부터 얻은 모범 사례와 교훈이 가득 담긴 놀라운 보물 창고라고 할 수 있습니다.
 
최근에는 보안 참조 아키텍처를 출시했는데, 이는 단어와 코드로 이루어진 매우 규범적인 지침입니다. 다양한 사용 사례와 아키텍처 원칙을 설명하는 내용이 수록되어 있습니다. 제 생각에 보안 참조 아키텍처를 개발할 때 중요한 것은 참조 아키텍처는 개념적인 것이 아니라는 사실입니다. 참조 아키텍처는 AWS 서비스가 보안 관점에서 계정 전반에 걸쳐 어떻게 작동하는지 보여주는 실제 아키텍처 도면과 같습니다. 그저 막연하게 화이트보드에 끄적이는 것이 아니라, 정식 문서로 작성된 보안의 물리학이자 그 실제 구현을 보완하는 것입니다. 따라서 보안 참조 아키텍처 지침의 모든 사용 사례에는 진정한 참조 구현이라는 형태로 구현 방법을 보여주는 소스 코드가 함께 제공됩니다. 그리고 이 참조 아키텍처는 시간이 지남에 따라 계속 발전해 나갑니다.

다양한 관점을 꾸준히 추가할 것입니다. 이미 고객들로부터 좋은 피드백을 받았습니다. 고객은 참조 아키텍처를 사용하는 데 만족하고 있을 뿐만 아니라, 새로운 사용 사례를 제시하기도 합니다. ‘이 사용 사례는 어떤가요?’라고 말하기도 하죠. 따라서 다른 사용 사례에도 활용할 방법을 꾸준히 모색하고 있습니다. 그리고 인시던트 대응에 대해서도 질문을 하셨는데 최근에 Reinforced에서 고객 인시던트 대응 팀 기능에 대해 이야기한 적이 있습니다. 이 기능이 ProServe에 반영되었습니다. 이는 저희에게 두 가지를 실현할 수 있는 기회가 되었습니다. 가장 중요한 첫 번째는 고객이 구석구석을 둘러보고 미리 계획할 수 있도록 돕는 것입니다. 이를 통해 어떠한 인시던트도 발생하지 않도록 사전에 예방할 수 있습니다. 하지만 문제가 발생한다면, 야간에 갑자기 발생한 문제라도 완전히 해결될 때까지 지원합니다. 그렇습니다. 또한 보안 이벤트가 발생하여 AWS 내에서 지원 사례를 에스컬레이션해야 할 사안이 있는 경우, 지원 시스템을 통해 저희 조직의 고객 인시던트 대응 팀의 지원을 받을 수 있습니다.

이 팀은 고객이 곤경에서 벗어날 수 있도록 최선을 다해 지원합니다. 인시던트 해결을 위한 실질적인 지원과 많은 지침을 제공합니다. 대부분의 경우 고객은 인시던트에 대응하고 인시던트 관리를 수행하는 데 능숙합니다. 하지만 인시던트는 이전에 없던 새로운 것인 경우가 많습니다. 클라우드에서 이전에 처리해본 적이 없거나 새로운 형태의 공격일 수 있죠. 그렇기 때문에 고객이 진정으로 원하는 것은 조직 외부의 전문가입니다. 다른 관점을 제시하고 조언을 제시할 수 있는 전문가 말입니다. 그리고 함께 대화를 나눌 수 있는 사람 말이죠.