AWS의 보안 및 규정 준수 운영 재고

Clarke: (00:05)
Chad 씨, 오늘 함께 해 주셔서 감사합니다.

Chad(00:07):
불러 주셔서 감사합니다.

Clarke: (00:09)
그럼 본인의 이력과 AWS에 입사하게 된 계기를 말씀해 주실 수 있을까요?

Chad: (00:13)
예. AWS에서 근무한 지 약 11년 됐고, 2010년부터 보안 및 규정 준수 업무를 맡고 있습니다. 그 전에는 EY에 있었는데 그곳에서 많은 보안 컨설팅 및 비즈니스 연속성 컨설팅 업무를 했습니다. 이러한 배경이 지금 제가 하는 일인 AWS 보안 규정 준수 업무에 정말 많은 도움이 됩니다.

Clarke: (00:43)
그럼 AWS의 보안 보증 책임자로서 주로 담당하고 계신 일이 무엇인가요?

Chad: (00:50)
당사의 주요 목표와 사명은 고객이 규제되고 매우 민감한 데이터를 클라우드로 이전하는 과정과 그 과정에 따르는 과제를 지원하는 것입니다. 우리 환경에서 보안을 확보했음을 내부적으로 입증할 수 있어야 합니다. 또한 AWS를 감사해야 하며, 공급업체에게 AWS가 안전함을 확인시켜 줘야 합니다. 그래서 우리가 있는 것입니다. 우리는 우리가 백그라운드에서 진행하여 고객이 볼 수 없는 사항들과 관련해서 보안이 유지되고 우리가 따라야 하는 모든 다양한 종류의 규제 및 인증 표준을 준수한다는 것을 감사, 인증, 그리고 기타 직접적인 감사 계약을 통해 입증합니다.

Clarke: (01:34)
그럼 AWS 서비스가 특정 기준을 충족함을 확인하는 내부 팀과 내부 규정 준수 팀이 있다는 것이군요. 외부의 타사 감사자 및 규제 담당자와 함께 일하기도 하나요?

Chad: (01:47)
예. 예. 우리 업무의 대부분은 외부 감사자, 규제 담당자, 규제 담당자의 조사관, AWS에서 감사도 수행하는 고객과의 외부 계약과 관련되어 있습니다. 그들은 우리에게 자체 실사를 수행합니다.

Clarke: (02:03)
따라서 더 넓은 관점에서 볼 때 보안 세계에서 재능 있는 보안 인력을 발굴하고 고용하고 훈련시킨 다음 그들의 고용을 유지하기는 매우 어렵습니다. 보안 보증 및 규정 준수 전문가와 같은 경우라고 볼 수 있을 것 같습니다.

Chad: (02:18)
맞습니다. 예.

Clarke: (02:20)
고용을 새로 창출해 필요한 인력을 늘린 다음 고용을 계속 유지하여 보안 보증 부문이 사람들이 계속 일하고 싶은 곳이 되도록 하는 방법에 대해 좀 더 자세히 얘기해 주겠습니까?

Chad: (02:33)
예. 앞서 언급한 고용에 대해 더 언급하면 오늘날 정말 좋은 기술 보안 인력을 고용하는 것의 어려움은 우리가 상당히 놀라운 대외 서비스를 놓고 서로 경쟁하고 있다는 사실에서 잘 알 수 있습니다. 우리는 모두 개발자와 시스템 디자이너처럼 똑같이 좋은 인력을 고용하려고 애쓰고 있습니다. 이렇게 서로 경쟁해야 합니다.

Chad: (03:00)
우리 세계에서는 많은 시간을 들여 정말 훌륭한 작업을 완료했는데도 아무런 결실도 볼 수 없는 경우가 많지 않습니까? 위반도 상승도 없이 단지 아무 일도 일어나지 않는다는 것입니다. 그런데 서비스 부문에서는 정말 훌륭하게 작업을 마치면 무슨 일이든 일어납니다. 제품이 출시되면 모두가 기뻐하고 수입도 늘고 고객 계약도 증가하죠... 그렇게 일종의 경쟁을 하고 있지만 우리, 보안 인력에게는 좋은 기업...이 된다는 측면이 있죠. 좋은 기업 시민이 아니라... 전체 산업의 보안을 전반적으로 개선하고자 기여하는 것과 같습니다.

Chad: (03:49)
그래서 우리가 표면화하는 내부 프로세스나 내부 서비스를 개발하면서 우리 고객 기반 전체가 보안 및 규정 준수를 더 잘 수행할 수 있도록 돕는다는 측면이 있습니다. 분명 그런 측면이 있죠. 이런 종류의 사람들은 팀에서 일을 정말 잘 수행하고 규정 준수 작업을 정말 좋아하는 사람들입니다. 예. 아무도 비판적인 사고를 하지 않습니다. 저는 감사자가 되고 싶습니다. 규정 준수 엔지니어가 되고 싶습니다. 누구도 이런 말을 하지는 않습니다. 그러나 이들이 팀에 합류하고 정말 우리가 하고 있는 일과 우리의 고객 지원 방법에서 비전을 발견하는 경우 특정 서비스만 사용하는 고객이 아니라 우리 고객 기반 전체에 대한 정말, 정말 방대한 가치 제안이 될 수 있습니다. 한 가지 분명한 것은 우리가 그것을 발전시키고 있다는 것입니다.

Chad: (04:40)
그래서 우리는 인력을 고용할 때 기존의 규정 준수 분야에서 일했던 이들을 고용하지 않습니다. 이는 그들이 기본적으로 서비스 팀이나 개발자들에게 가지고 있는 반감 때문입니다. 정말 그렇게 하고 싶지 않습니다. 벗어나고 싶습니다. 그래서 그런지 사람들이 별로 없습니다. 일부, 일부 아주 열정적인 사람들이 이를 바로잡고 확장하고 있지만 전통적인 기준으로 이들은 전문가가 아닐 수 있습니다. 따라서 우리 조직에는 별로 적합하지 않습니다.

Chad: (05:21)
그래도 우리가 고용한다면... 이들은 두 가지 Amazon 리더십 원칙을 잘 준수해야 합니다. 첫 번째 원칙은 배우려는 호기심이 있어야 합니다. 개발자의 작업 흐름에 호기심을 갖고 들여다보고 개발자들이 사용하는 도구가 무엇인지 이해할 수 있어야 합니다. 즉, 개발자의 작업 방식을 이해해야 합니다. 기술적 호기심이 많아야 이를 제대로 수행할 수 있습니다.

Chad: (05:54)
필요한 두 번째 리더십 원칙은 창조하고 단순화하는 것입니다. 왜냐하면 우리는 이전에는 아무도 해본 적 없는 규정 준수 방식으로 일하면서 창조해나가고 있기 때문입니다. 제가 알기로는 동료나 다른 포럼, 회의 등에 요청한다 해도 우리가 다뤄야 하는 규모를 다룰 수 있을 만한 사람이 없습니다. 따라서 우리 자신의 일, 우리 자신의 도구 및 우리 자신의 개발자 서비스를 창조해야 합니다. 바로 이것이 우리에게 정말 필요한 두 가지 리더십 원칙이라고 말할 수 있겠습니다.

Chad: (06:29)
우리가 사람을 고용할 때는 전 세계를 대상으로 모집합니다. 제가 가장 좋아하는 사람은 전기 공학자였습니다. 학교에 다니면서 전기 공학 학위를 취득하고 전기 공학 분야에서 다른 일을 하다가 우리가 하고 있는 일에 정말, 정말 호기심을 갖고 가치 제안을 목격했기 때문에 저희 분야로 전환했습니다. 이런 사람이야말로 우리가 정말 좋아하는 사람입니다. 그래서 이러한 분야 전환을 진심으로 환영합니다.

Chad: (06:57)
공부한 분야와 이력이 조금 다양할수록 더 좋습니다. 즉, 이런 점에서 우리 팀은 아주 다양합니다. 배경, 사고 방식, 출신지, 현재 사는 곳 등 모든 것이 무척 다양합니다. 그러면 정해진 틀을 벗어나서 생각할 수 있기 때문에 조직에도 도움이 됩니다. 확장 방식에 대해 생각할 수 있습니다. 팀이 깊이 관련될수록 팀원들은 업계를 주도하는 일을 하고 다른 활동과 다른 프로세스를 전례 없는 속도로 확장한다는 측면에서 더 깊이 관련되게 됩니다. 그리고 이들은 이런 일을 매우 좋아합니다. 우리 모두가 하는 것처럼 말이죠. 우리는 길을 개척하고 있고 실제로 이 분야에서 사고 리더십을 실행하고 있기 때문에 저도 그렇게 합니다.

Chad: (07:45)
이에 대해 다른 흥미로운 점은 우리 고객 대부분에게도 적용할 수 있다는 것입니다. 사람들이 생각하는 것보다 우리가 할 수 있는 일이 더 많이 있고 이는 또한 고객에게도 도움이 될 수 있습니다. 실제로 우리는 해당 프로세스를 개발하고 해당 도구 및 인에이블러를 개발할 뿐만 아니라, 우리의 다른 서비스를 통해 이를 표면화하여 고객이 우리가 학습한 것을 활용하도록 도와주려 노력하고 있습니다.

Clarke: (08:14)
Chad 씨, 지난 18개월 내지 24개월 동안 팬데믹으로 모든 사람이 힘들었습니다. 사람들은 가상 공간, 집, 커피숍 등에서 일해야 했습니다. 이 원격 작업은 Chad 씨의 팀과 팀이 일상 업무를 수행하고 다른 개발 팀을 지원하기 위해 기능과 서비스를 더하는 역량에 어떤 영향을 미쳤습니까?

Chad: (08:35)
감사에는 데이터 센터 방문과 같이 전통적으로 잘 이해가 되지 않는 측면이 있습니다. 대개의 경우 감사자들은 데이터 센터를 방문하고 싶어하는데 주요한 이유는 그러한 기록을 남기고 싶어하기 때문입니다. 또는 실제로 뭔가 다른 것으로부터 필요한 정보를 얻을 수 있는 경우 직접 만나서 기록을 남기고 싶어합니다. 당사의 데이터 센터에는 장비가 갖춰져 있어 데이터 센터를 시찰하듯 원격으로 카메라 촬영 정보 등 필요한 모든 증거를 수집할 수 있습니다. 왜 데이터 센터에 가야 하나요? 실제로 데이터 센터 방문은 여러분이 하는 일에 도움이 되지 않습니다.

Chad: (09:12)
팬데믹 전에 우리는 특히 전 세계의 데이터 센터를 둘러보려면 상당히 시간도 많이 들고 실제로 필요하지도 않은 이런 종류의 모든 계약을 맺었습니다. 싱가포르에서 데이터 센터 시찰을 위해 조정해야 했는데 당시 감사자와 우리의 시간을 포함해 전체 그룹이 한 주를 모두 써야 했습니다.

Chad: (09:40)
팬데믹이 닥치면서 그렇게 할 수 없게 됐죠. 처음에는 감사자들이 “알겠어요, 데이터 센터에 가지 않겠습니다”라고 말하기가 무척 어려웠습니다. 그러나 실제로 우리는 그들과 함께 작업해야 했습니다. 그리고 말했습니다. “장비가 얼마나 갖춰져 있는지 얼마나 더 강조해야 하나요?” 예. 직접 방문해서 처리하던 모든 절차를 가상 독서실, 문서 검토 및 인터뷰를 위한 화상 회의 등을 통해 원격으로 처리할 수 있는 방법에 대해 말해 보겠습니다. 샘플링의 경우 검토하려는 것을 설명하는 시스템 테이블을 다운로드하기 위해 현장에 있을 필요가 없습니다. 우리는 안전한 방법으로 시스템 테이블을 제공하고 다운로드 방법 관리의 연속성을 보여줄 수 있습니다.

Chad: (10:31)
모든 사람이 이렇게 작업을 처리하여 모든 감사가 훨씬 효율성을 띄게 됐습니다. 감사의 속도도 높일 수 있었습니다. 감사를 보다 빠르고 더욱 효율적으로 수행할 뿐만 아니라, 모든 곳을 돌아보면서 순차적으로 처리해야 했던 여러 가지 일을 동시에 처리할 수도 있었습니다. 따라서 감사 자체에도 많은 도움이 됐습니다.

Chad: (10:56)
게다가 제어문을 검증하거나 제어 프로세스를 검증하려면 정말 필요한 것이 무엇인지 재고할 수 있었습니다. 팬데믹을 통해 우리는 많은 것을 돌아볼 수 있었습니다. 어쩌면 우리도 감사자도 한 발 물러서서 현재의 환경에서 어떻게 확신을 얻을 수 있는지 다시 생각해 보게 됐던 것 같습니다.

Chad: (11:26)
상당한 시간을 들여 도구를 더 많이 구축했습니다. 앞서 언급한 데이터 센터 시찰을 다양한 방식으로 해낼 수 있습니다. 현재는 가상 데이터 센터 시찰 투어가 있습니다. 모두가 한 방에 모여 강의를 진행하지 않고 일종의 가상 공간에서 동영상으로 이러한 일들이 가능한 디지털 감사 심포지엄이 있습니다. 이렇게 하면 각자 원하는 시간대에 심포지엄을 열 수 있고 기본적으로 동일한 정보를 가지고 서비스 팀 책임자 및 본부장들에게 현장에 나와 고객을 만나보도록 거듭 재촉할 필요가 없습니다. 이렇게 해서 다른 감사 및 다른 참여 업무, 교육 행사를 훨씬 더 효율적으로 만들 수 있었습니다.

Clarke: (12:17)
거의 서비스형 감사처럼 들리네요.

Chad: (12:21)
서비스형 감사 또는 정말로 중요한 사항들에 집중하는 것이라 할 수 있죠. 지난 20년 동안 전통적인 방법으로 감사를 진행했는데, 정말 필요한 일일까요? 일부는 그렇지 않습니다. 이렇게 해서 일을 올바로 진행할 수 있었고 올바른 절차로 제대로 제어되고 있는지 평가할 수 있었습니다.

Clarke: (12:44)
대단하군요. 고객의 관점으로 방향을 조금 바꿔봅시다. 고객으로서 보안 보증 프로그램을 시작해 보려 한다고 합시다. 분명히 하루 만에 AWS의 수준과 규모로 시작할 수는 없겠지만 고객은 어떻게 자신의 내부 보안 보증 프로그램에 대한 지원을 얻을 수 있을까요? 아까 개발 팀의 설치를 말하셨죠. 그것은 우리 고객 모두가 동의하는 ‘표준 운영’은 아닙니다. 규모가 있는 고객 중 일부는 그런 식으로 생각할 수 있습니다. 그러나 고객이 “이는 중요한 문제이고 반드시 투자해야 하는 분야입니다”라고 고위 임원진에게 말하며 그들과 함께 어떻게 성공의 기틀을 마련할 수 있을까요?

Chad: (13:24)
좋은 질문입니다. 많은 고객이 각각 다를 것 같습니다. 대부분의 고객에게는 각자 고유한 비즈니스 상황이란 게 있고 이로 인해 보안 및 규정 준수의 가치 제안이 달라지게 됩니다.

Chad: (13:38)
보통 보안은 분명 중요하고 규정 준수는 여러 측면에서 봤을 때 절대적으로 필요합니다. 그래서 프로그램을 구축해야 합니다. 보안 프로그램은 모두에게 필요합니다. 규정 준수 프로그램도 모두에게 필요합니다. 보안 준수든 법률 준수든 무엇이든 간에 비즈니스를 계속 하려면 법을 준수해야 합니다. 그렇죠?

Chad: (14:05)
아마도 우선적으로 말하고자 하는 것은... 우선, 보안 및 규정 준수 프로그램의 가치를 임원진에게 납득시키는 과정이 있고 이는 사업상 결정이어야 합니다. 그렇죠? 반드시 그런 것은 아니지만, 일부에게 있어 전체 임원진을 찾아가 보안을 확보하는 것이 중요하다는 점을 설득하는 것은 의무 내지 직무입니다. CEO 수준에서 진지하게 보안을 고려해야 합니다.

Chad: (14:46)
일단 결정하고 그 가치를 이해하고 거기에 투자하려면 어떻게 해야 하나요? 우리의 경우 개발자의 실제 프로세스를 이해하는 것에 대해 잠깐 이야기를 나누었습니다. 이것이 아마도 정말 집중해야 할 첫 번째 일일 수 있습니다. 대부분의 사람은 이렇게 말할 것입니다. “그래서 어떤 제어 프레임워크가 있다는 거지? 준수해야 할 제어란 무엇인가요?” 먼저 이런 제어를 문서화한 다음 경영진을 찾아가 이런 일을 해야 하거나 이런 목표를 완수해야 한다고 설득합시다.

Chad: (15:25)
대신 어떤 비즈니스든 관계 없이 비즈니스가 어떻게 작동하는지 정말 깊게 파본다면 우리의 경우는 개발자 집단이죠. 개발자들이 어떻게 작업하는지, 일을 어떻게 완수하는지, 어떤 도구를 사용하는지 등의 모든 질문이 무척 중요합니다. 어떤 새로운 것을 도입하려면 먼저 그것을 분명히 이해해야 하기 때문입니다. 새로운 것을 도입하는 데 많은 시간이 필요하지는 않습니다. 작업을 처리하는 방식 때문에 그렇습니다. 또는 제어 프레임워크가 작업을 어떻게 수행하는지에 대해 해당 제어 프레임워크를 해석해야 할 수도 있습니다. 그래서 그 작업, 어떤 비즈니스에 몸담고 있든, 실제로 하고 있는 것과 필요한 것을 가지고 일을 하는 방법, 조직에 적용해야 할 수 있는 해석을 결합하는 그런 작업이 더 없이 중요합니다.

Chad: (16:24)
아마도 규정 준수 팀, 보안 팀 및 비즈니스 간의 진정한 파트너십을 구성하려면 가장 먼저 해야 할 일입니다. 대부분의 경우 우리는 이를 거꾸로 진행합니다. 처음에 시작할 때 뿐 아니라 현재 진행 중에도 우리의 성공의 열쇠는 바로 그것이라고 생각합니다. 우리가 계속 성공할 수 있는 유일한 이유는 AWS 개발자들이 소프트웨어와 소프트웨어에 필요한 다른 모든 것을 설계하고 개발하며 배포하고 유지 관리하는 방식을 우리가 매우 잘 이해하고 있기 때문입니다.

Clarke: (16:59)
Chad 씨, 오늘 함께 해 주셔서 감사합니다.

Chad: (17:01)
좋은 시간이었습니다. 감사합니다, Clarke 씨.