Clarke Rodgers (00:08):
오늘 나와 주셔서 감사합니다

Aman Sirohi (00:10):
초대해주셔서 감사합니다 정말 좋은 날이에요

Clarke Rodgers (00:11):
괜찮으시다면 당신의 배경과 People.ai에서 어떤 일을 하시는지 알려주세요

Aman Sirohi (00:16):
예 우리는 수익 인텔리전스 회사입니다 우리가 하는 일은 세일즈 리더가 데이터를 사용하여 더 빠르게 의사 결정을 내릴 수 있도록 돕는 것입니다 사용자의 데이터를 수집하고 분석적 결정을 내리는 데 필요한 데이터를 제공하는 일을 하므로, 보안은 우리 모두에게 있어 최우선 과제입니다

Clarke Rodgers (00:30):
저는 많은 CISO들과 이야기하면서 시간이 지남에 따라 CISO 역할이 어떻게 진화하는지에 대해 들었습니다 오랫동안 CISO의 역할은 “기술 보안 전문가”로 여겨져 조직 내에서 안좋은 상황이 발생할 경우에만 문제 해결을 위해 투입되었습니다 하지만 오늘날 성공한 CISO의 대다수는 비즈니스 리더 역할이 먼저이고 보안 실무자가 그 다음일 수도 있다고 생각합니다 하지만 오늘날 성공한 CISO의 대다수를 보면, 비즈니스 리더 역할이 먼저이고 보안 실무자 역할은 그 다음입니다

Aman Sirohi (01:05):
물론입니다 5년이나 10년 전으로 돌아가 보면 CISO가 적절한 입지를 차지하고 있었다고 생각합니다 우리의 임무는 회사를 보호하는 것이었습니다 우리는 보안 전문가이며 배경에서 활동하고 있죠, 현재와 미래를 보면 보안은 모든 산업 분야에서 모든 사람에게 매우 중요한 부분입니다 보안은 실제로 선행되어야 합니다 그래서 저는 회사에서 항상 이런 문구를 사용했습니다 “보안을 최전선에 두세요 방어 전략으로 사용하지 마세요 고객에게 보안에 대해 알려주세요 고객에게 보안이 회사에 얼마나 중요한지 알려주세요” 그렇게 할 때 고객은 “중요한 게 뭔지 아는 사람이군”이라고 생각할 것입니다 고객은 앞서 보안을 걱정하는 당신과 대화하는 것만으로도 더 안전하다고 느끼는 겁니다, 그렇겠죠?

Clarke Rodgers (01:43):
신뢰를 얻는 문제에 대해 말인데요

Aman Sirohi (01:43):
네, 신뢰는 구축되는 거죠, 전 신뢰가 여러 층위로 구성된다고 표현하고 싶습니다 집행 위원회에 참석해 보면 항상 들은 얘기를 서로 해줍니다 아시겠지만 서로 친구 사이인 이사회 멤버들, 임원들은 이렇게 말하죠, “저번 해킹 소식 들었어? 그리고 이거 들어봤어?”

이때 보안에 대해 전반적으로 설명하는 게 제 일이죠 여기서 어떤 일이 벌어지고 있는 걸까요? 문제의 영향을 받았는지 여부와 무관하게, 회의 중에 이런 얘기를 꺼내는 것은 좋은 일입니다, 왜냐하면 이들은 마음 속으로 “내 친구가 해킹에 대해 얘기를 해줬고 실제로 이 일이 우리 환경에서 발생하긴 했지만, 이렇게 정보를 나누니까 우리가 영향을 받지 않은 거야”라고 생각하기 때문이죠

이건 단순히 이야기를 들려주고, 정보를 주는 것이 아니라 보다 상호 연계적이 되고 서로의 생각과 아이디어와 연결되는 것이고, 전 이렇게 해서 보안이 더욱 강력해진다고 생각합니다

Clarke Rodgers (02:29):
좋습니다 이사회 차원에서 대화를 나눌 때 “X개의 취약점이 있었고 이 정도의 시간이 걸려 이를 패치할 수 있었습니다”라는 식으로 말하시나요 아니면 비즈니스 수익과 관련된 위험에 대해 이야기하시나요?

Aman Sirohi (02:45):
제가 근무한 여러 회사의 이사회를 보면 모든 이사회가 조금씩 다릅니다 어떤 이사회는 “교육 받기를 원합니다”라고 말합니다 또한 기본적으로 상당히 스마트하고 노련한 타입의 이사회도 있으며 보안 실무자는 아니지만 이 분야에 대해 잘 알고 있는 이사회도 있습니다 저는 보통 다음 질문으로 시작합니다 “우리는 업계에서 무엇을 하고 있나요? 우리 업계는 무엇을 하고 있나요? 업계에서 보안은 어떤 의미가 있을까요?” 그런 다음 실제로 핵심과 관련된 비즈니스 가치나 역량에 대해 알아봅니다

항상 자신의 보안 태세를 뒷받침할 데이터가 있어야 한다는 점을 말씀드리고 싶습니다 예를 들어 피싱 시도가 지난 달에 10배나 급증했을 수 있습니다 이사회에 나가서 “우리 회사의 피싱 캠페인은 어땠나요?“라는 질문에 "확인한 후 알려드리겠습니다”라고 답변할 수는 없습니다 잘못된 대답입니다

준비된 상태여야 하고 데이터도 있어야 합니다 예를 들어, “슬라이드 54는 현재와 과거를 비교하고 있습니다...”라고 말할 수 있어야 하죠, 사실 이사회 구성원들이 질문하면 쉽게 이해시킬 방법을 매일 생각합니다

Clarke Rodgers (03:42):
예

Aman Sirohi (03:42):
쉽게 만들어야 합니다 정보를 쉽게 이해할 수 있도록 하세요 그러면 일이 더 쉬워지고 모든 사람들이 같은 방향을 보게 될 것입니다

Clarke Rodgers (03:49):
이사회가 쉽게 이해하도록 만드는 것도 중요하지만 회사 내부에선 제품 및 개발 팀이 올바른 방법, 안전한 방식으로 작업을 쉽게 수행할 수 있도록 지원하는 것도 중요합니다 그것이 가능하도록 마련한 방법이 있다면 말씀해 주시겠어요?

Aman Sirohi (04:07):
너무 간단해 보일지도 모르지만 바로 대화를 나누는 것입니다. CTO, 수석 엔지니어 또는 수석 아키텍트와 함께 앉아서 대화를 나누고 소통을 하는 과정에서는 저도 마찬가지지만 많은 사람들이 “왼쪽으로 전환해 보죠”라는 식으로 말할 겁니다 조직에서 일할 때 저는 이렇게 말합니다 “이러한 취약점을 해결해야 하고 여러분의 스프린트를 바꿔야 합니다” 대부분의 제품 개발자들은 이렇게 답합니다 “이 기능을 좀 더 확장시켜야 합니다” 기능은 수익 창출과 연관되기 때문에 그들은 기능 강화를 원합니다

그러면 저는 이렇게 답합니다 “하지만, 속도를 늦춰야 해요 어쩌면 이번 스프린트가 아닐 수도 있고 다음 스프린트가 될 수도 있으며 보안 코드를 푸시하고 있는지 확인하기 위해 이러한 보안 게이트를 설치해야 합니다” NIST SSDF 모델에 따라 “어떤 고객에게 가서 'X 고객님, 안전한 소프트웨어를 만들 수 있도록 1주일만 시간을 더 주실 수 있습니까?’라고 물었을 때 그들은 항상 ‘예’라고 답할 것입니다” 그렇게 하지 않을 고객은 없습니다 저는 항상 열린 자세와 의사소통의 기본 원칙으로 되돌아갑니다

“빅 브라더가 감시 중이다”라는 말을 아시죠? 바로 경찰 말입니다 우린 경찰이 아니에요 정말입니다 다른 방식으로 처리할 수도 있습니다 “좋아요, 이번 스프린트가 아니라 다음 스프린트에 구현해야 될 것 같네요 좋은 것 같아요” 최고 제품 책임자의 승인이 필요할 수도 있지만 적어도 지금 커뮤니티를 만들어 가고 있고 “보안상 해야 할 일이 있다”와 같은 이유를 구축하고 있는 것입니다

Clarke Rodgers (05:23):
멋지군요 CISO는 조직을 보호하고 가능한 한 안전하게 비즈니스를 수행할 수 있도록 다양한 보안 프로그램과 메커니즘을 모두 도입해야 합니다 하지만 회사의 혁신을 지원해야 하는 책임도 있으시죠? 이 두 가지 사이의 균형을 어떻게 잡고 계시나요?

Aman Sirohi (05:43):
아주 섬세한 일입니다 스타트업에는 속도와 확장성이 무엇보다 중요하죠 고객의 요구 사항 역시 그렇습니다, 제품 관련, 기능 관련 문제가 있으며 또 고객마다 원하는 게 다 다르죠 다시 제품 로드맵으로 돌아가 보겠습니다 CISO나 모든 유형의 보안 담당자는 제품 로드맵에 대해 논의하는 자리에 참석해야 합니다

임원이 참여하는 회의실에서 다음 분기가 어떻게 될지 다음 해는 어떤 모습일지 논의하는 그러한 대화에 참여하는 거죠 실제로 혁신 제품을 확인할 수 있는 기회라 할 수 있는데, CISO가 한 걸음 더 뒤로 물러서서 본다면 보안 측면에서 바꿔야 할 무언가를 배울 수 있죠, 제품 혁신이 다가오고 있고 이해하기 쉽게 만들어야 하니까요 물론 누군가는 이렇게 말합니다 “다중인증 방식을 빼버리죠” 저는 이렇게 말하죠 “그것은 협상할 수 없습니다” 모두가 다중인증 방식을 이용해야 합니다 그런 방식이 필요할 것이라고 봅니다 하지만 보안 전문가에게는 개발자들이 더 쉽게 작업할 수 있도록 하는 방법이 있으며 그렇게 해야 개발자들이 작업을 완료하기 위해 힘든 과정을 거치지 않아도 됩니다

Clarke Rodgers (06:48):
아주 아주 멋지네요 많은 CISO가 모두 어려움을 겪는 것은 아니지만 조직 내 보안 담당자 숫자가 제한되어 있기 때문에 보안 팀이 조직의 비보안 부문에 미치는 영향력과 성과를 높일 방법을 찾기 위해 항상 노력하고 있습니다 개발자, 서비스 팀, 회계, 재무, 인사 등 부서에는 상관없습니다 이에 대해 어떻게 생각하시나요? 그리고 보안이 모든 사람의 업무가 되도록 조직 내 보안 문화를 구축하려면 어떻게 해야 합니까?

Aman Sirohi (07:27):
정말 힘든 일입니다 마케팅 부서가 다른 것을 원하기 때문에 쉽지 않습니다 재무 부서는 뭔가 다른 것을 원합니다 다른 국가, 다른 주를 여행하는 영업 사원들은 비즈니스의 용이성을 원합니다

특히 오늘날과 같은 경제 시대에는 인력과 자금이 부족하지만 우리의 책임은 변하지 않았습니다 우리의 책임이 바뀌지 않았다면 이를 실현할 창의적인 방법을 찾아야 합니다 제가 예전에 다니던 회사나 이번 회사에서 실현했던 정말 의미 있었다고 생각하는 방법 중 하나는 팀원들이 동료 그룹이나 조직과 보안 문제에 대해 대화하도록 하는 것입니다 다시 말씀드리지만 교육이나 커뮤니케이션 자리에 저는 참석하지 않습니다 제가 안 가는 이유는 “CSO가 여기 있다”라고 하는 게 싫어서입니다

Clarke Rodgers (08:16):
흥미롭네요

Aman Sirohi (08:16):
“리더가 여기 있어, 그러니까 리더의 말을 잘 들어야 된다고” 같은 분위기 말이죠 그 대신에 저는 팀원들이 소통하고 관계를 구축하고 발전시키도록 내버려 둡니다 그러면 동료, 그리고 직원들과 이야기를 나누게 마련이죠 그런 다음 실제로 솔루션을 회사 전체에 배포하기 시작하면 이미 할 일을 마치고 실사도 끝났기 때문에 일이 수월합니다

Clarke Rodgers (08:37):
협조자를 만드는 거군요

Aman Sirohi (08:38):
협조자를 만들기도 하지만, 직접 자리에 가지 않고도 그렇게 되도록 하는 겁니다 왜냐하면 보안 리더가 그 자리에 있다면 완전히 다른 어조 완전히 다른 게임 완전히 다른 대화가 될 것이기 때문입니다 “이런, 상사가 왔네요, 이제 이 얘기를 해야 합니다 여러분의 의견을 들려주세요” 그러니 다른 사람들도 보안 리더와 똑같이 행동할 수 있도록 이끌어야 한다고 생각합니다 정말 어려운 일이지만 저는 그러한 생태계를 구축하고 팀원 개개인이 지휘봉을 들고 모두를 위한 보안 실무자가 될 수 있어야 한다고 생각합니다

Clarke Rodgers (09:08):
멋지군요 그렇다면 보안 팀에서 직원을 고용할 때 어떤 기술이나 특성 또는 배경을 찾고 계신가요?

Aman Sirohi (09:20):
가장 중요한 특성은 호기심이지만 이걸 가르칠 수는 없습니다

Clarke Rodgers (09:25):
좋습니다

Aman Sirohi (09:25):
보안을 가르칠 수는 있습니다 X, Y, Z 트레이닝을 받을 수 있어요 대학교의 커리큘럼을 알려줄 수는 있지만 호기심을 갖도록 가르칠 수는 없습니다 모두가 동의하듯이 보안은 매일 같은 것이 아닙니다 오늘과 내일의 상황이 모두 다르죠 따라서 호기심이 있다면 다양한 반응에 적응할 수 있습니다 어느 날 X라는 취약점이 생기지만 내일은 같은 취약점이 X가 아니라 Y가 되고 호기심이 많은 사람은 “좋아요, 드릴다운하고 이 버튼을 클릭해 볼게요”라고 할 수 있으며 저에게는 그것이 가장 중요합니다

그래서 저는 사람들을 고용할 때 아주 흥미로운 테스트를 사용합니다 그들에게 갈망한다, 겸손하다, 똑똑하다가는 세 단어를 주고 야망, 겸손, 스마트함 중 무엇을 가장 중요하게 생각하는지 순위를 매기라고 요구합니다 직원이 어떤 역동성을 발휘하는지 이해하는 것은 언제나 저의 관심사입니다 왜냐하면 팀 전체가 똑똑한 사람들로 구성되었고 똑똑한 사람들만 한 방에 모여 있다면 아무것도 할 수 없기 때문이죠, 모두가 자신이 옆에 있는 사람보다 똑똑하다고 생각할테니 말이죠 그리고 겸손한 사람들만 있다면 악의는 없었지만 보안은 엉망이 될 것입니다 왜냐하면 “좋아요 오늘은 안 된다고요? 내일 할게요. 내일도 안 된다고요? 나중에 할게요”라고 말할 것이기 때문입니다 야심찬 사람들만 있다면 모든 사람의 가장 중요한 특성은 “나는 야심차다”가 될 것입니다 하지만 매번 모든 사람을 다 승진시킬 수는 없습니다

그래서 인터뷰를 할 때 가장 먼저 하는 말이 이겁니다 “여러분의 야심, 겸손함, 스마트함을 보여주세요 그러한 모습에 대해 어떻게 생각하세요?” 따라서 팀을 위한 올바른 방정식을 세워야 합니다 팀이 균형을 잘 잡고 있는지 확인해야 하고 금융, 소매, SaaS, 암호 화폐 등 생태계에 따라 더 높은 성과를 내기 위해서는 특정한 속성이 필요할 수 있습니다 반면, 특정 산업에서는 특정 속성을 약간 낮춰야 할 수도 있습니다 이것이 제가 보안 조직 내에서 팀을 구성하거나 팀을 고용하는 방식입니다

Clarke Rodgers (11:18):
팀의 다양성이 핵심 요소인 것 같은데요?

Aman Sirohi (11:23):
맞습니다. 저는 캐나다에 팀원이 있어요 동부 해안에 팀원이 있어요 전 세계에 팀원이 있습니다 이들 모두가 베이 에어리어나 같은 사무실에 있으면 좋지 않을까요? 좋겠죠, 하지만 아시다시피 불가능합니다 이런 점은 코로나19 덕분에 우리 모두 알게 되었을 것입니다, 또 다양성, 경험, 호기심은 다른 생각을 가진 사람들을 찾을 때만 생긴다고 생각합니다

Clarke Rodgers (11:45):
좋은 내용입니다 생성형 AI 도구가 최근 뉴스에 많이 등장했습니다 보안 측면에서 볼 때 점점 더 많은 사람들이, 그리고 아마도 회사들이 이러한 도구를 활용하는 점에 대해 어떻게 생각하시나요?

Aman Sirohi (12:04):
저는 이것이 우리가 아직 준비하지 못한 혁신이 될 것이라고 생각합니다 도구가 혁신되고 출시되는 속도와 속력 때문에 많은 혁신이 필요하고 많은 보안이 필요할 것입니다

오픈 소스 도구를 통해 대규모로 성장하려고 노력하고 있으며 그 목록은 계속 추가되고 있습니다 AI 위험과 꽤 빨리 맞닥뜨리게 될 것이라고 생각합니다 귀사와 고객에게 미치는 이러한 위험 노출은 어느 정도일까요?

제가 알고 있는 한 모든 계약서에는 타사 데이터가 환경을 떠나 타사 소스로 이동할 수 없다고 명시되어 있습니다 이제 어떤 AI 모델을 사용하든 관계없이 데이터는 환경을 떠나 타사 소스로 이동한 다음 다시 돌아와 답을 제공합니다 따라서 법률에서 위험을 바라보는 방식, 고객이 위험을 감수하는 방식, 회사가 위험을 감수하는 방식에 많은 변화가 있을 것이라고 생각합니다 이 분야에는 많은 혁신이 발생할 것이라고 생각합니다

Clarke Rodgers (13:08):
이러한 서비스의 ‘블랙박스’와 관련된 위험입니까? 또는 무엇이 특별히 위험과 관련하여 우려되는 사항입니까?

Aman Sirohi (13:17):
두 가지 모두라고 말하고 싶습니다 우리가 무엇을 모르는지 모르니까 블랙박스인 것 같아요, 그렇죠?

Clarke Rodgers (13:22):
예

Aman Sirohi (13:23):
여러분과 제가 동의하는 흥미로운 점 중 하나는 일단 AI에 무언가를 가르치고 나면 마음을 바꿔서 ‘삭제해’라고 명령할 수 없다는 것입니다. 가르친 것을 다시 모델에서 제거하려면 비용이 많이 듭니다 이것이 여러분이 해결해야 할 트릭입니다, 왜냐하면 잘못된 정보를 얻게 되고 방정식을 망칠 것이기 때문이고 여러분이 그것을 처리해야 합니다

기업이 이러한 AI 도구에 어떤 데이터를 제공할지 걱정하는 측면에서 위험이 발생할 것이라고 생각합니다 관련 AI 도구가 공개되었나요? 우리 모두 집안에서 AI를 사용하게 될까요? 모든 것을 분류해야 한다고 생각합니다

우리가 준비하지 못한 속도로 진행될 것입니다 회사의 관점에서 볼 때 수반되는 위험은 무엇일까요? 한 가지 말씀드리고 싶은 것은 규제 측면에서는 감을 못잡겠다는 것입니다 사실... 가드레일을 포함할 방법을 찾아야 하므로 규제기관에서 이를 어떻게 다룰 것인지조차 모르겠습니다 이 경우를 제외하곤 누구나 무료로 이용할 수 있을 것입니다

Clarke Rodgers (14:27):
기본적으로 경영진은 이러한 도구를 비즈니스의 일부로 사용하기로 동의할 경우 감수하게 될 위험을 이해해야 합니다

Aman Sirohi (14:35):
동의합니다, 그리고 다른 부서에 있는 사람이 이러한 도구 중 하나를 다운로드하여 AI에 정보를 제공하기 시작하는 것을 어떻게 통제할 수 있을까요? 그러한 정보는 어디로 향할까요? 이러한 AI 모델에 이런 저런 정보가 입력되어 정책이 위반되었음을 알려주는 도구가 있습니까?

Clarke Rodgers (14:55):
여기에 보안 기회가 있는 건 아닐까요?

Aman Sirohi (14:58):
예, 사실 다양한 보안 기회가 있을 거라고 생각해요 환경에도 좋을 것 같아요

Clarke Rodgers (15:05):
같은 맥락으로 지금부터 5년 후에 이 대화를 나눈다면 우리는 무엇에 대해 이야기하고 있을까요?

Aman Sirohi (15:13):
모든 일상적이지만 힘든 일들이 실제로 어떻게 수행되는지에 대해 이야기하게 될 것 같아요 최근에 어떤 기사를 읽었는데, 어떤 사람이 이런 도구를 사용하면서 다음과 같이 말했습니다 “저는 와인 생산지로 여행을 갈 계획입니다 여행은 어린이 친화적이어야 합니다 예산은 이 정도 들고 X, Y, Z가 필요합니다” 그런 후 모든 작업을 완료하고 보체 볼 게임 장소를 찾고 이메일을 보내고 예약하고 달력에 기록했습니다

예전에는 여러 와이너리에 전화를 걸거나 구글에서 다양한 와이너리를 검색하거나 일종의 검색 엔진을 사용하여 뭔가를 알아내야 하겠지만 이제는 그렇지 않습니다 지금부터 5년 후에 우리가 무엇에 집중하고 있는지 알아 보는 것은 정말 흥미로울 것 같아요 저는 이러한 데이터를 사람이 해석할 것이라고 생각하고 따라서 이러한 데이터는 자동화될 뿐만 아니라 모두에게 무료가 될 것입니다 잘못된 길로 가지 않도록 모든 중요한 단계에서 인간의 상호 작용이 필요하다고 생각합니다

Clarke Rodgers (16:19):
이사회와는 이 대화를 어떻게 나눌 계획입니까? 어떤 식으로 진행될까요?

Aman Sirohi (16:24):
우리는 이미 내부적으로 대화를 시작했습니다 우리에게는 정책이 있습니다 원칙이 있습니다 쉽진 않을 거예요 시간이 좀 더 걸릴 것으로 보입니다 이에 대해 아주 명료하게 말씀드릴 좋은 답은 없지만 여기에 대해 더 많은 대화를 나누어야 한다고 생각합니다 CISO의 사고방식을 가져야 하죠, CISO는 “이 문제를 어떻게 해결할 것인가? 이걸 어떻게 규제할 것인가?”라고 생각합니다 공격자들도 이러한 도구를 사용할 것이기 때문에 더 많이 이야기할수록 서로를 보호하고 공격자를 막는 일이 더 쉬워질 것입니다

Clarke Rodgers (16:57):
모두를 위한 기회입니다

Aman Sirohi (16:58):
물론입니다

Clarke Rodgers (17:00):
마지막으로 동료 CISO들에게 해줄 조언이 있으신가요?

Aman Sirohi (17:03):
오히려 동료들에게 조언을 받고 싶어요 제가 배웠고 동료 그룹으로부터도 배운 한 가지는 비즈니스에 더 가까이 다가가는 것입니다 CFO, CRO, 최고 제품 책임자, 최고 전략 책임자와 대화를 나누어야 합니다 무엇이 핵심을 움직이고 무엇이 회사를 보호하고 있는지 깨닫는 데 도움이 되기 때문에 그들과 더 가까워져야 합니다

대화에 참여하고 고객의 목표 달성을 지원하는 역량을 갖추었을 때 더 많은 고객을 확보할 수 있을 것입니다 돌아가서 자금 지원을 요청하면 사람들은 왜 자금 지원을 요청하는지 이해하게 됩니다 제 조언은 그러한 그룹에 더 가까이 다가가서 그들의 비즈니스와 그들을 이끄는 요인을 이해하면 CISO 역할을 더 쉽게 할 수 있다는 것입니다

Clarke Rodgers (17:55):
훌륭한 조언처럼 들리네요

Aman Sirohi (17:57):
항상 노력 중입니다만 잘 모르겠어요 어떤 날은 성공적이고 어떤 날은 그렇지 못해요

Clarke Rodgers (18:03):
훌륭합니다 Aman, 오늘 시간 내주셔서 정말 고마워요

Aman Sirohi (18:05):
감사해요 정말 고맙습니다