최고위 보안 리더십의 진화

Clarke Rodgers(00:09):
Chris, 오늘 함께 해주셔서 정말 감사합니다

Chris Rothe(00:11):
별 말씀을요. 초대해 주셔서 감사합니다

Clarke Rodgers(00:13):
괜찮으시다면 본인의 배경, Red Canary에서의 역할에 대해 조금 말씀해 주시겠어요?

Chris Rothe(00:17):
저는 Red Canary의 CTO이자 공동 창립자로 탐지 대응 스페이스에 있습니다 회사를 설립하기 전에는 많은 데이터를 수집하고 흥미로운 알고리즘을 적용하는 위성 데이터 처리 분야에서 일했습니다 그러다 흥미를 느낀 것은 분석가들이 결정을 내릴 수 있도록 데이터를 제시하는 일이었습니다. 우연히도 사이버 보안 분야에서 우리가 하는 일과 매우 유사하지요

Clarke Rodgers(00:39):
사이버 보안 업계에 꽤 오래 종사하셔서 아시겠지만, 예전에는 CISO가 지하에 있었는데 지금은 이사회에 있다는 농담을 자주 하지요 이런 변화에 대해 어떻게 생각하시나요?

Chris Rothe(00:49):
제 생각에 가장 큰 변화는 기술적 역할은 기술적 역할로서의 비중이 훨씬 줄어들고, 조직 전체의 보안을 보호하고 기업 문화에 보안을 구축하는 것이 매우 중요한 정치적 역할로 바뀌었다는 것입니다 또한 우리처럼 SaaS 플랫폼을 다루는 사람들에게 있어서는, 우리가 데이터를 보호하고 있다는 신뢰를 고객에게 제공해야 하는 대단히 고객 대면적인 역할이기도 합니다  

Clarke Rodgers(01:16):
담당 고객과 대화할 때 보안의 비즈니스 가치를 어떻게 설명하시나요?

Chris Rothe(01:21):
결국 비즈니스 위험이란 모두 재무 위험에 관한 것입니다 어떤 산업에 종사하느냐에 따라 형태가 달라집니다 금융 서비스에 종사하는 경우 비즈니스 위험이란 평판과 고객이 돈을 맡길 만큼 당신을 신뢰하는지의 문제입니다 제조, 의료 또는 이와 유사한 분야에 종사하는 경우, 의료 시나리오에서 기계가 계속 작동하고 사람들이 생존할 수 있도록 하는 운영상의 위험이라고 할 수 있습니다

결국 중요한 건, 돈 문제를 논의하는 지점까지 이야기를 끌고 와서, 우리가 실제로 1달러 기준으로 위험을 줄일 수 있는 방법을 안내할 수 있다면 정말 성공적인 대화가 될 수 있다는 것입니다

가끔은 그게 사람들이 정말 얘기하고 싶어하는 것이 아닐 때도 있습니다 고객은 기술적인 측면에 대해, 즉 고객이 겪는 보안 사고의 수를 줄이는 데 보안팀이 어떻게 도움을 줄 수 있는지와 같은 현실적인 문제들에 대해 이야기하고 싶어합니다 이것도 중요하긴 하죠 결국 이러한 모든 논의는 어느 시점이 되면 돈 문제로 귀결됩니다

Clarke Rodgers(02:06):
그렇다면 보안 팀의 효율성을 높이고 고독한 개발자가 보안에 관심을 갖고 일상의 삶 속에서 보안에 대해 유념하도록 하기 위해 Red Canary 내부에서 어떻게 하고 계시나요?

Chris Rothe(02:22):
그건 굉장히 중요한 사안이죠 보안 회사로서 우리는 좀 더 높은 기준을 고수하고 있습니다 따라서 회사의 모든 구성원이 우리 비즈니스와 고객 비즈니스의 보안에 관심을 갖는 것이 중요합니다 소프트웨어 개발 수명 주기에서 모든 사람의 역할에 보안이 자리잡도록 하기 위해 수 년간 해왔던 작업 중의 하나는 모든 스크럼 팀에 제품 보안 전문가를 투입하는 것이었습니다 이 전문가들은 스프린트 계획, 선행 계획에서도 역할을 맡고 있습니다 예를 들면 “음, 설계를 모아서 보안 팀에 괜찮은지 물어볼게요.”라고 하게 됩니다 개발 과정 중에 항상 함께 하는 거죠 이건 정말 기본적인 부분입니다

두 번째는 보안 검사와 정적 분석, 또는 앞으로 할 모든 작업을 기본적으로 개발자가 있는 곳에서 수행하도록 하는 것입니다 이는 CICD 파이프라인에 통합되어 있습니다 두 번 생각할 필요가 없습니다 코드를 병합하기 전에 이 모든 사항을 전달하기만 하면 됩니다 이런 종류의 이벤트는 개발자들이 있는 곳에서도 발생하며, 대부분 특별한 이벤트로 볼 수 없습니다

Clarke Rodgers(03:17):
보안 인재를 찾기가 어렵다는 말은 어디서나 들을 수 있습니다 그러니 인재를 고용하거나, 유지하거나, 훈련시켜야 하겠죠 Red Canary에서 보안 전문가의 역량을 강화하기 위해 사용한 전략에는 어떤 것이 있습니까?

Chris Rothe(03:31):
우리의 목표는 팀의 보안 전문가가 반복적인, AWS 식으로 표현하자면 ‘차별화되지 않은’ 부담스러운 작업을 수행할 필요가 없도록 하는 것입니다

Clarke Rodgers(03:40):
네

Chris Rothe(03:40):
일과 중 약 60% 이상은 할 필요가 없는 일입니다 이런 일이 60% 이상을 차지하게 되면 반복적인 업무가 지루해지기 시작하는 일종의 마법 같은 문턱과 마주치게 됩니다 그래서 우리는 도구를 만들고, 반복 패턴을 찾고, ML이든 AI든 차별화되지 않은 부담스러운 작업을 수행할 수 있는 도구를 구축하는 방식을 통해 고객이 사용할 수 있는 자동화를 구축하여 고객이 더 흥미로운 일에 집중할 수 있도록 합니다

Clarke Rodgers(04:09):
도구와 자동화에 대해 말씀하셨는데요 생성형 AI가 요즘 대세죠? 보안 전문가로서, ‘이걸 사용할 때 발생할 수 있는 위험을 어떻게 관리할 수 있을까?’ 또 한편 사업주로서 이 서비스를 통해 얻을 수 있는 이점이라는 두 가지 면을 모두 생각하셨을 것 같습니다 여기에 대해 조금 이야기해 주실 수 있나요?

Chris Rothe(04:31):
위험의 관점에서 보면 ‘AI가 소유자가 불명확한 콘텐츠를 기반으로 생성한 콘텐츠를 사용하는 일이 없도록 적절한 보호 장치를 마련해 두자’라는 발상으로 우리의 여정이 시작되었다고 생각합니다 그래서 우리는 이 문제를 해결하기 위해 가드레일을 몇 개 설치했습니다

하지만 일반적으로 Red Canary 팀 구성원 모두가 각자의 역할에 맞는 방식으로 생성형 AI를 사용하길 바랍니다 고객과 방금 통화를 잘 마쳤고 후속 이메일을 작성해야 하는 영업 사원이라면, 이 작업을 더 빠르게 처리하고 커뮤니케이션의 질을 향상시키는 데 사용할 수 있을 것입니다 이전처럼 한 시간이 아닌 5분이면 끝나기 때문에 궁극적으로는 고객이나 여러분 모두에게 좋은 일이기 때문이죠 이렇게 모든 사람이 안전한 방법으로 사용할 수 있도록 만들자는 것이 우리의 접근 방식이었습니다

하지만 저는 우리가 아직 ‘여기에 어떤 함정이 있는가?’ ‘이와 관련된 과제는 무엇이며, 향후 몇 년 동안 생성형 AI와 관련하여 어떤 유형의 법적 문제가 제기될 것인가?’를 배우는 초기 단계에 있다고 생각합니다 특히 보안에 어떻게 활용하고 있는지를 말씀드리자면, 저희는 코파일럿 구성이나 아이디어를 정말 좋아합니다

수년 동안 우리는 보안 플랫폼을 다음과 같이 생각해 왔습니다 이건 좀 우스꽝스러운 비유이긴 하지만 맥워리어 시리즈 같은 겁니다. 로켓 발사기가 달린 이 미친 기계에 비교적 평범한 병사를 넣으면 더 빨리 달리고 더 높이 점프할 수 있죠 생성형 AI는 이를 한 단계 더 발전시켜, 어떻게 하면 조사 프로세스를 더 빠르고, 더 완전하고, 더 정확하게 만들어 궁극적으로 위협을 더 빨리 발견하고 차단할 수 있을지를 알 수 있는 훌륭한 도구를 제공합니다

이런 것이 우리가 주목하고 있는 몇 가지 응용 분야입니다 궁극적으로 보안의 가장 큰 문제는 구석까지 살펴볼 사람이 충분하지 않다는 것입니다 그렇기 때문에 플랫폼과 서비스의 보안을 세밀한 단위부터 큰 단위까지 놓치지 않고 강화하는 측면에서 AWS가 수행하는 작업은 매우 중요합니다 그리고 그 밖에도, 안 그래도 상당히 부족한 보안 전문가들이 과로로 소진되지 않도록 잘 관리하는 것이 중요할 것입니다 보안 담당자에게 작업을 잘해낼 수 있는 도구를 제공하세요

Clarke Rodgers(06:42):
비슷한 맥락에서 많은 고객과 이야기를 나누고 있는데, 이들 고객 중 상당수는 둘 이상의 클라우드를 사용하고 있습니다 여러 클라우드를 보호할 때 발생할 수 있는 보안 측면의 문제에 대해 이들 고객에게 어떻게 조언하시나요?

Chris Rothe(06:58):
보통은 ‘클라우드든 온프레미스든 사용 중인 플랫폼 전반에서 데이터 및 액세스에 대해 동일한 제어 기능 및 동일한 이해 수준을 보유해야 합니다.’라고 밀어붙입니다 일종의 기준 레이어입니다. 접근 권한을 가진 사람이 누구이며 이용할 수 있는지, 그리고 문제가 발생했을 때 어떻게 알 수 있는지 확인하는 것과 같은 내용입니다

Clarke Rodgers(07:21):
그 말씀은 보안 결과가 고객이 정의한 것과 같아야 한다는 말로 들리네요?

Chris Rothe(07:25):
물론입니다 특정 클라우드 플랫폼이나 다른 것으로는 이러한 결과를 얻을 수 없다면 이의를 제기하고 사용 지속 여부를 고려해 보는 것이 좋습니다 보안이 기본적이지 않고 그런 종류의 기본 제어 집합과 같은 방식으로도 가능하지 않다면, 왜 아키텍처에 보안을 적용하겠습니까?

사람들이 멀티 클라우드와 관련된 전략에 많은 것을 투자하기 때문에 이러한 논의는 쉽지 않습니다 하지만 어떤 제어가 필요한지, 궁극적으로 보안을 위협하는 범죄자를 찾아낼 것인지에 대해 이해하고 있다면 이를 대화의 출발점으로 삼을 수 있을 것입니다 이에 대한 답을 찾을 수 없다면 아키텍처나 전략을 다시 생각해 볼 필요가 있습니다

Clarke Rodgers(08:07):
멋진 관점입니다 Chris, 오늘 시간을 내주셔서 정말 감사합니다

Chris Rothe(08:12):
불러 주셔서 감사합니다 좋은 시간이었습니다