더 나은 CISO가 되는 방법

Clarke Rodgers(00:07):
성공적인 CISO의 자질은 무엇일까요? 오늘 나올 게스트는 AWS의 CISO로, 이 질문에 대한 특별한 견해를 나눠드립니다. 저는 Clark Rodgers입니다. AWS의 엔터프라이즈 전략 담당 이사이고, Executive Insights 시리즈인 AWS 보안 리더들과의 대화에서 진행을 맡고 있습니다.

기쁘게도 오늘은 AWS의 CISO인 Chris Betz가 쇼에 나와 주셨습니다. 보안 문화 확립부터 다양성을 고려한 인재 고용과, 훌륭한 차세대 보안 리더를 양성하기 위한 멘토링에 이르기까지, 보안 리더십의 모든 것에 대한 Chris의 생각을 함께 들어보시죠. 즐거운 시간이 되시기를 바랍니다.

Clarke Rodgers(00:38):
저는 이미 잘 아는 분이지만 시청자 여러분을 위해서 간략히 본인 소개를 해주시면 좋겠습니다.

Chris Betz(00:44):
말씀하신 대로 우리는 서로 꽤 오래 알고 지냈지요. 사실 보안 커뮤니티는 참 작죠, 그런 점을 정말 좋아합니다. 어느 시점이 되면 세계 도처에서 보았던 사람들과 교류하게 되거든요. 제 경우는 공군에서 경력을 시작했습니다. 공군에서 몇 년간 근무한 후 연방 정부에 들어갔고 연방 정부의 사이버 보안 분야에서 더 많은 시간을 보냈습니다.

미디어 회사인 CBS와 같은 회사, Apple, Microsoft, Lumen, 당시에는 CenturyLink였던 회사에서, 그리고 가장 최근에는 Capital One에서 보안을 담당할 기회가 있었습니다. 다양한 역할을 보았고, 말씀하신 것처럼 아는 사람들을 반복해서 만나기도 했습니다.

Clarke Rodgers(01:23):
그렇다면 AWS CISO로서 지금은 고객의 보안 질문에 답할 때 상황이 어떻게 달라졌나요? ‘얼마 전까지는 나도 같은 입장이었고, 내 생각은 이랬다. 지금 이 자리에서 그 질문에 대한 답은 이렇다’라는 식으로 말할 수 있는 능력 같은 것이 생겼나요?

Chris Betz(01:45):
지난 10년 동안은 AWS의 주요 고객인 여러 회사에서 보안 관련 직무를 맡았습니다. 그리고 그 회사에서 보안 여정을 진행하고 기술 여정을 진행하는 동안 AWS를 바로 옆에서 경험했죠. 최근까지 고객으로 있었던 이 경험 덕분에 이제 고객을 만나면 전혀 다른 방식으로 대화를 나눌 수 있습니다. 고객의 대화를 이해하고 그들의 질문과 어려움을 이해하고 있다고 느끼기 때문이죠.

이러한 대화와 관련하여 감사하게 느끼는 점은, 고객이 무엇을 보고 있는지, 세상에서 일어나는 일들에 대해 어떻게 느끼고 있는지를 잘 이해할 수 있는 능력과 여러 아이디어를 주고받을 수 있는 능력이 제게 있다는 것입니다. ‘저는 이렇게 봅니다. 저는 그 문제를 이렇게 해결합니다’라고 말하면 ‘그렇게 보시는군요. 그 문제를 그렇게 해결하시는군요’라며 공감할 수 있습니다. AWS 내에서 뿐만 아니라 고객 회사 내에서도 상호 간에 계속해서 기준을 높일 수 있는 이 능력에는 아주 큰 힘이 있습니다.

Clarke Rodgers(02:51):
‘이전 회사에 있을 때 그 문제를 이렇게 해결했었다’라는 말을 함으로써 지금 위치에서 더 많은 신뢰를 얻을 수 있겠군요. 아주 좋은데요.

Chris Betz(02:58):
직접 경험한 것이니까요.

Clarke Rodgers(02:59):
맞습니다. CISO는 심층적인 보안 전문성은 물론 비즈니스 전문성을 갖추고 이 모든 것을 하나로 통합해야 합니다. 하지만 기업과 고객에게는 실제로 보안 업무를 해야 하는 대규모 팀이 있습니다. 이 관점에서 볼 때 오늘날 보안 리더들이 직면하고 있는 과제는 무엇일까요?  

Chris Betz(03:21):
대부분은 인재와 관련됩니다. 지적하신 것처럼 보안 분야에서는 매우 다차원적인 문제를 해결합니다. 따라서 보안 분야에서 성공하려면 주변에 적합한 사람을 두는 것이 절대적으로 중요합니다. 저는 주변에 사람을 두는 것을 좋아합니다. 사실 제가 일했던 모든 최고의 회사들도, 가르치고 영감을 주고 도전하는 사람이 많은 것을 좋아합니다.

왜냐하면 이 분야는 끊임없이 배우는 분야이기 때문입니다. 따라서 그 기준을 지속적으로 높이는 사람들이 필요합니다. 그런 사람들은 정말 놀라울 정도로 영감을 줍니다. 이전에는 상상하지 못했던 방식으로 문제를 해결하여 비즈니스 효율성을 높이고 보안을 사람들이 자연스럽게 사용할 수 있도록 하는 방법을 모색했습니다. 정말 중요합니다. 올바른 문화에서 이런 사람들은 리더에게 도전하는 것을 두려워하지 않습니다. ‘그 생각이 맞는 건가요?’라며 의문을 제기하죠. 이 도전은 모든 사람의 성장, 리더의 성장, 조직의 성장을 도우며, 리더가 올바른 방향으로 나아가도록 도와줍니다.

똑같은 배경을 가진 사람들, 같은 방식으로 문제에 접근하는 사람들은 가르치고 도전하고 영감을 줄 사람들이 아닙니다. 보안 분야에서 계속 직면하는 가장 큰 과제 중 하나는 훌륭한 조직이 되는 데 도움이 되는 폭넓은 관점, 광범위한 문화, 광범위한 경험, 접근 방식의 다양성, 사고방식의 다양성을 어떻게 얻을 수 있느냐는 것입니다. 그래서 저는 적절한 인력을 적절히 혼합하기 위해 많은 시간을 할애합니다. 그렇지 않으면 나머지 문제를 해결할 수 없습니다.

Clarke Rodgers(05:10):
종전과는 다른 배경에서 ‘보안 담당자는 이래야 한다’라는 말은 논리적이지 않을 수 있겠군요. 이 관점은 보안의 특정 측면에 도움이 될 수 있을 것 같습니다. 우리가 상대해야 하는 적들은 분명 다양하니까요.

Chris Betz(05:23):
맞습니다. AWS가 글로벌 회사라는 점을 인식하는 것이 중요합니다. 적은 전 세계에 있습니다. 우리는 글로벌 인재를 찾아야 합니다. 다양한 배경을 가진 사람들을 찾아서 데려와야 합니다. 보안 분야에서 제가 아는 가장 똑똑한 사람들 중 일부는 놀라울 정도로 다양한 배경을 가지고 있습니다. 수년 동안 보안 분야에서 기술을 연마했습니다. 하지만 여러 관점을 어떻게 적절하게 통합하느냐가 정말 중요합니다.

Clarke Rodgers(05:51):
지난 몇 년간 미래를 전망하면서 보안 관점에서 가장 기대가 컸던 것은 무엇인가요? 예를 들어 프로그램, 프로세스, 기술 같은 것들 중에서요. 그리고 이를 기반으로 어디에 노력을 집중하고 계신가요?

Chris Betz(06:08):
제로 트러스트가 지나온 여정을 보세요. 제로 트러스트 솔루션이라고 광고하던 일련의 제품부터 일련의 표준, 그리고 실제로 적용된 일련의 기술에 이르기까지 말이죠. 지난 몇 년 동안 사용자 경험의 일부가 어떻게 변했는지 보세요. Amazon.com과 다른 많은 회사들이 최근에 도입한 패스키 기술을 보면 원활한 사용자 경험, 즉 기술에 접근하는 기능과 이를 아주 사려 깊은 방식으로 제공하는 것에 대한 우리의 생각이 근본적으로 변하는 것을 알 수 있습니다. 말하자면,

Clarke Rodgers(06:50):
보안을 쉽게 만드는 것이죠. 맞나요?

Chris Betz(06:52):
보안을 쉽게 만드는 것, 맞습니다. 복잡한 VPN에서 벗어나 현재 상황을 원활하고 심층적으로 분석하는 단계로 넘어가면서 AWS는 이 환경에서 놀라울 정도로 강력한 발전을 이루었다고 생각합니다.

생성형 AI에 대한 말이 아주 많습니다. AI 분야는 새로운 것이 아닙니다. 수십 년 동안 해온 일이지만 지난 1~2년 동안 기계 학습과 AI 분야는 정말 놀라운 속도로 변했습니다. 이 두 기술은 보안 업무를 수행하는 데 정말 유용한 여러 기능을 제공합니다. 제가 사람들과 이야기할 때 자주 드는 예가 하나 있습니다. 옛날에는 데이터를 분석해서 보안 위험이 있는지 확인하려고 할 때 큰 스프레드시트를 만들고 데이터를 직접 조사했습니다. 그런데 당시에는 이 방법이 시간 효율적일 수 있었습니다. 코드를 작성하는 데 시간이 많이 걸렸기 때문입니다.

Clarke Rodgers(07:53):
훨씬 더 오래 걸렸습니다. 맞습니다.

Chris Betz(07:54):
-코드는 몇 시간이 걸렸지만, 수작업으로 분석하면 한 시간 정도면 할 수 있었습니다. 이제는 CodeWhisperer와 기타 다른 기술 덕에 이 상황이 뒤집혔습니다. 잘 알려진 문제를 설명할 수 있는 기능이 있으니까요. ‘이 데이터를 분석해서 이것을 찾고 싶다’는 요청을 시스템에 전달하면 몇 초 안에 답을 들을 수 있습니다. 시스템을 구현하고, 테스트하고, 실행하는 데 드는 시간도 수동 스프레드시트로 작업할 때보다 훨씬 짧습니다. 반복도 가능하고, 테스트도 가능하고, 검증도 가능합니다. 인적 오류가 줄어듭니다. 이 방법에는 많은 이점이 있습니다. 따라서 보안 운영 방식도 바뀔 것이라고 생각합니다. 여기 AWS뿐만 아니라 업계 전반에서 말이죠. 그래서 저는 여기에 굉장한 기회가 있다고 생각합니다.

다른 한편으로 저는 생성형 AI가 할 수 있는 것, 보안을 유지하는 방법, 생성형 AI에 문제를 제기하는 방법 등을 알아가는 데 많은 시간을 할애하고 있습니다. 우리는 AWS 내에서 올바른 토대를 마련하고 올바른 기능을 구축하는 데 많은 시간과 에너지를 소비하고 있습니다. 생성형 AI 기반 솔루션을 구축할 때 첫 번째는 그 솔루션을 직접 테스트해 보아야 한다는 것입니다.

Clarke Rodgers(09:14):
대규모로요.

Chris Betz(09:15):
예. 업계 최고의 방식으로 대규모로 말이죠. 또한 여기서 배운 것을 바탕으로 기능을 만들어서 고객에게 제공합니다. 생성형 AI를 사용하는 고객들도 우리와 같은 문제를 경험할 것이기 때문입니다. 우리는 놀랍도록 빠른 학습 주기로 매일 새로운 것을 배우고 있습니다. 게다가 재미도 있습니다. 하지만 공격자들도 매일 새로운 것을 배우고 있기 때문에 쉽지는 않습니다.

Clarke Rodgers(09:41):
맞습니다.

Chris Betz(09:42):
이 분야에서 빠르게 움직이려면 정말 빡빡한 주기를 계속 유지해야 합니다. 하지만 그것이 제가 AWS를 좋아하는 이유이기도 합니다. AWS는 느리게 움직이지 않습니다. 전혀 느리게 움직이지 않아요. AWS가 가진 이 강력한 힘은 이 분야에서 우리가 나아가야 할 방향에 딱 들어맞다고 생각합니다.

Clarke Rodgers(10:01):
훌륭한 답변입니다. 일반적으로 고객은 보안이나 비즈니스 문제 해결 등 기술 요구 사항을 충족하기 위해 AWS를 찾습니다. 그런데 고객이 잘 모를 수 있는 게 한 가지 있습니다. 분명히 AWS는 기술 회사이고 소프트웨어와 서비스를 제공하지만 여기에 더해 보안 프로그램을 구축하고 더 효과적으로 운영할 수 있도록 돕는 데 많은 시간을 할애하고 있다는 것입니다. 아시다시피 가장 인기 있는 프로그램 중 하나로 AWS CISO Circles가 있습니다. 이 프로그램이 어떻게 구성되어 있고, 고객에게 어떤 혜택이 주어지는지 조금 알려주시겠습니까?

Chris Betz(10:38):
앞서도 이야기했지만 보안 커뮤니티는 작고 서로 배우는 것이 많습니다. 이것이 아주 중요합니다.

채텀 하우스 규칙에 따라 우리는 발언을 누가 했는지를 발설하지 않습니다. 이를 통해 사람들은 진정한 대화를 할 수 있습니다. 서로에게서 배우고, 서로 도전하고, 질문할 수 있습니다. ‘이 문제를 어떻게 해결하고 있나요?’, ‘공격자들이 이런 짓을 하기 시작했어요. 알고 있나요?’라고 말이죠. 혁신하고, 생각하고, 최고로부터 배울 수 있습니다. CISO Circles에 가입하면 이러한 환경으로 들어가는 것입니다.

공통점이 있는 사람들, 예를 들어 세계 지역, 비즈니스 및 기술 측면의 공통점, 유사한 문제 세트를 가진 사람들이 모입니다. AWS 내부와 외부에서 제가 아는 가장 똑똑한 사람들과 함께 대화를 나누는 것은 놀랍도록 강력한 경험입니다. CISO Circles를 통해 실제로 활용할 수 있는 것이 여기에 있다고 생각합니다. 솔직히 이 프로그램에 가입해서 즐겁게 활동했고 내년에도 더 많은 일을 할 수 있기를 기대합니다.

Clarke Rodgers(12:08):
맞습니다. 제가 고객이었을 때 다른 업계의 CISO로부터 더 많이 배웠던 기억이 납니다. 보험에는 일정한 위험 허용 범위가 있고 해야 할 특정 작업이 있다는 점에 놀랐습니다. 미디어, 소매업, 은행업에서도 많은 것을 배웠습니다. 멋진 경험이었습니다.

Chris Betz(12:16):
저도 같은 경험을 했습니다. 그래서 다양한 사람들과 모여서 대화를 나누는 게 좋습니다.

Clarke Rodgers(12:32):
오늘 나와 주셔서 감사합니다.

Chris Betz(12:34):
정말 좋았습니다. 불러 주셔서 감사합니다.