보안 비즈니스

Clarke Rodgers(00:07):
Chris Betz, AWS Chief Information Security Officer. 오늘 함께 해주셔서 감사합니다.

Chris Betz(00:11):
불러 주셔서 감사합니다. 감사합니다. 초대해 주셔서 감사합니다.

Clarke Rodgers(00:13):
Capital One에서 AWS의 CISO 직책으로 이직하시게 된 계기는 무엇이었나요? 임원으로 풍부한 경험을 쌓으셨으니, 어디로든 이직할 수 있으셨을 텐데요. AWS로 오신 계기가 무엇이었나요?

Chris Betz(00:25):
Capital One에서 수년간 근무하면서 계속 깨닫게 된 것 중 하나는 우리 업무가 AWS의 보안에 얼마나 많이 의존하고 있는지였습니다. 아시다시피 Capital One은 클라우드에 올인하고 데이터 센터를 폐쇄했습니다. 그래서 Capital One에서 근무하는 동안, AWS와 협력하여 Capital One의 보안 작업을 진행하면서 AWS가 제공하는 기술이 수많은 비즈니스의 신뢰와 보안에 얼마나 중요한지를 깨닫게 되었습니다.

솔직히 말해서, AWS에 의존하고 신뢰하는 것에서 나아가 전 세계의 수많은 기업과 수많은 사람들이 보안을 우수하게 수행하고 있다고 신뢰하는 시스템의 일부가 될 수 있는 기회가 주어졌다는 것은 정말 흥분되는 일이었습니다. "어디든 갈 수 있었다"고 말씀해 주셔서 감사드립니다. 저는 반대로 생각해요. AWS 보안 팀의 일원이 된다는 것은 보안 경력에서 정점을 찍는 것이니까요.

Clarke Rodgers(01:31):
멋지네요. 이제 한동안 여기에서 근무하셨으니, 고객으로서 명확하지 않았던 몇 가지 관찰 사항이 있다면 무엇이었나요? 그리고 이제 내부 관계자가 되어 보안을 책임지고 있는 지금은 어떤 점이 달라지셨나요? 직원이 된 이후에 무엇을 알게 되셨나요?

Chris Betz(01:49):
한 가지는 대화를 듣는 것입니다. AWS에서는 보안이 최우선 과제라는 이야기를 여러 번 들었습니다. 주간 보안 회의에 대한 이야기도 들었습니다. 전임자가 가장 자주 들려주었던 말은 매주 AWS의 CEO가 AWS의 모든 리더들과 함께 모여 우리가 집중해야 할 주요 보안 사항과 개선해야 할 부분에 대해 심층적인 이야기를 나눈다는 것이었습니다.

이러한 이야기를 나눈다는 것이 눈에 띄는 점 중 하나였고요. 또 다른 하나는 이러한 사항을 실행하고, 대화를 나누고, 충분히 신속하게 대응하고 있는지 충분히 높은 기준을 설정하고 있는지 위협에 미리 대비하고 있는지 공격 지점을 예상하고 있는지에 대해 비즈니스 파트너와 기술 파트너의 질문을 받아 보는 것입니다. 그리고 보안 수준의 발전에 있어서 이들에게도 저와 제 팀과 같은 수준으로 주도적인 역할을 맡깁니다. 이는 재미있는 경험이자 다소 독특한 경험이었습니다.

Clarke Rodgers(02:55):
멋지네요. 그리고 당연히 보안 문화에 스며들고 계시군요. CEO/CISO 회의의 메커니즘에 대해 말씀하셨지만, 보안 문화는 모든 곳에 확산되어 있습니다.

Chris Betz(03:05):
실제로 그렇습니다. 저는 보안 분야에 종사하고 있기 때문에, 모든 대화에서 어느 정도는 보안에 대해 이야기를 하지만, 보안을 주제로 하지 않는 회의에서도 보안이 논의된다는 것은 놀라운 일입니다. senior leader로서 제가 AWS에 대해 감사하게 생각하는 사항은 보안과 관련되지 않은 회의에도 보안 팀이 참석하도록 한다는 점입니다. 제가 그러한 대화에 참여하여 다른 사람들이 보안에 대해 이야기하고 질문하고 ‘어떻게 하면 더 잘할 수 있을지’를 고민하는 기회를 가질 수 있도록 하는 것입니다. 말씀하신 것처럼, 보안 문화가 모든 곳에 스며드는 것이 정말 중요합니다.

Clarke Rodgers(03:36):
바로 그거예요. 자, 이제 보안 프로그램의 운영에 대해서 이야기를 나눠보겠습니다. 보안 프로그램의 효과를 입증하기 위해 사용하는 주요 지표나 측정에는 어떤 것이 있나요? AWS에서 현재 사용하거나 과거에 사용했던 것들을 포함해서요.

Chris Betz(03:56):
정말 좋은 질문입니다. 이런 질문을 받을 때 제가 지표나 측정값 등을 설명해 주기를 기대하시는 분이 많습니다. 물론 보안 상황을 설명하는 데 사용할 수 있는 수많은 지표와 측정값이 있습니다. 하지만 제가 생각하는 진정한 선행 지표 중 하나는 비즈니스와 기술 조직이 보안을 프로그램 달성을 위한 원동력으로 여기는 정도와 보안 프로그램이 비즈니스와 기술 공급업체에 안전한 방법을 쉽게 제공하는 것으로 여기는 정도입니다.

이 두 가지가 잘 조화될 때, 기업과 기술 공급업체가 보안을 조력자이자 필수적인 부분이라고 생각하고, 보안 팀이 자신의 역할을 위험을 제거하거나 위험을 책임지는 것이 아닌 기업이 안전한 방식으로 비즈니스 목표를 달성할 수 있도록 지원하는 것으로 생각한다면 조직은 크게 달라집니다. 따라서 저는 이러한 융합, 이러한 태도, 이러한 접근 방식이 보안을 비즈니스 운영 방식의 효과적인 일부로 만드는 데 있어 비즈니스의 성공을 위한 가장 중요한 지표라고 생각합니다.

► 팟캐스트 듣기: CISO or CSO? Which Role Defines Today’s Security Leaders Best?

Clarke Rodgers(05:21):
앞서 보안이 초점이 아닌 회의에도 참석하신다고 말씀하셨는데, 적어도 그런 회의를 경험할 기회가 있다는 것이잖아요. 이 점이 '보안이 중요하고 우리는 보안에 대해 논의하고 싶다'는 의지를 보여주는 것이죠.

Chris Betz(05:32):
네. 맞습니다. 동시에 이 부분이 어려운 점이기도 합니다. 아시다시피, 여러분과 저는 기술에서 보안이 파생되었던 시대에 자랐지만 이제 우리는 보안 리더에게 비즈니스 리더가 되어 비즈니스와 함께 대화에 참여하고, 비즈니스에 위험이 무엇을 의미하는지, 비즈니스에 어떤 위험이 있는지, 사람들의 안전을 보장하고 다른 위험을 관리하면서 비즈니스 성공을 관리하는 데 어떻게 도움이 되는지 이해할 수 있도록 요구하고 있습니다. 따라서 저는 이것이 많은 보안 리더들에게 점점 더 중요해지고 있다고 생각합니다.

Clarke Rodgers(06:07):
이와 관련한 다른 질문을 드리겠습니다. 많은 고객과 대화를 나누면서, 그리고 여러분도 마찬가지겠지만, 많은 분이 위험을 이사회에 가장 효과적으로 보고하는 방법을 알고 싶어 합니다. 사이버 위험을 이사회에 보고할 때 어떻게 보고하는지 또는 어떤 방법이 좋다고 생각하는지에 대한 팁이나 지침이 있으신가요?

Chris Betz(06:30):
좋은 질문이네요. 사실 모든 회사는 각자의 방식으로 보고합니다. 비즈니스의 맥락에서 위험에 대해 이야기하는 것이 중요하기 때문입니다. 이사회와 대화할 때는 이사진이 누구인지, 어떤 유형의 리더인지, 그들의 전문 분야가 무엇인지를 이해하는 것이 매우 중요합니다.

제가 여기 AWS의 이사회와 이야기를 나눌 때는 기술의 여러 측면뿐만 아니라 비즈니스의 다양한 측면에 대한 이해가 매우 깊은 이사회 멤버들과 대화를 나눕니다. 소매업이든 다른 분야든 특정 유형의 비즈니스에 대한 전문가가 있는 이사회에서 대화할 때와는 매우 다른 접근 방식과 다른 지식으로 대화하게 됩니다.

그리고 비즈니스 리더로서 CISO에 대해 방금 나눈 대화로 돌아가서 가장 중요한 것은 비즈니스의 맥락에서 보안을 이해하는 것입니다.

Clarke Rodgers(07:32):
그리고 보고도 그런 식으로 이루어지죠.

Chris Betz(07:33):
비즈니스에 어떤 영향을 미치는지의 측면에서 보고해야 합니다. 보안 책임자는 많은 업무를 수행하지만, 저는 크게 네 가지로 생각하는 편입니다. 비즈니스에 '좋은' 것이 무엇이라고 생각하는지에 대한 기준을 설정하는 것이 경영진과 보안 책임자가 함께 수행하는 업무입니다. 위험 허용 범위는 어느 정도인가? 달성하고자 하는 목표가 무엇인가? 진실과 투명성의 원천이 되는 것이 보안 리더로서의 일입니다. '오늘 우리의 성과는 이렇습니다.' 바로 여기서부터 정량적인 대화가 시작하는 거죠.

Clarke Rodgers(08:08):
우리는 고객에게 신뢰를 얻어야 하지만, 보안 담당자는 비즈니스 파트너로부터 신뢰를 얻어야 하죠.

Chris Betz(08:11):
우리는 경영진의 신뢰를 얻어야 합니다. 여기서 가장 중요한 세 번째 요점으로 연결되는데, 우리가 그저 투명성의 원천이 되는 데서 그치면 안 된다는 것입니다. 문제만 지적해서는 안 됩니다. 보안 리더로서 우리는 비즈니스가 보안 위험을 효과적이고 효율적으로 줄일 수 있는 방법에 대한 해결책을 제시해야 하며, 이러한 해결책을 제시하고 그 방법을 고민하는 것이 우리의 임무입니다.

"문제만 지적해서는 안 됩니다. 보안 리더로서 우리는 비즈니스가 보안 위험을 효과적이고 효율적으로 줄일 수 있는 방법에 대한 해결책을 제시해야 합니다."

마지막으로 네 번째 사항은 보안에 대한 책임을 지고, 이사회에 투명성을 유지하며, 우리가 설정한 기준을 어떻게 충족하고 있는지에 대해 경영진에 책임을 지는 것도 우리의 임무라는 것입니다. 이처럼 우리의 역할은 매우 다양합니다. 이 분야에서 가장 성공적이라고 생각하는 기업의 보안 리더들은 '달성해야 할 목표와 목표 달성에 얼마나 가까워졌는지'에만 그치는 것이 아닌 정말 사려 깊은 방식으로 기업이 목표를 달성할 수 있도록 하는 데 초점을 맞춥니다.

Clarke Rodgers(09:13):
Chris, 오늘 함께 해주셔서 정말 감사합니다.

Chris Betz(09:15):
정말 좋았습니다. 불러 주셔서 감사합니다.