AWS를 통한 보안 문화 구축
최고정보보호책임자(CISO) VP인 Steve Schmidt와 AWS의 AWS 보안 선임 관리자인 Jenny Brinkley의 대화입니다.
이 스포트라이트에서 저희는 보안, 특히 비즈니스에 긍정적인 보안 문화를 개발하는 것에 집중합니다. 저희는 또한 AWS에서 긍정적인 보안 문화를 적용하고 유지하기 위한 저희의 접근 방식과, 여러분이 보안 조직에 속하지 않는다 하더라도 이를 수행할 수 있는 방식을 선보일 것입니다.
저희는 누구도 본 적 없는 규모로 운영되는 보안 조직을 구축하고 운영하는 것은 물론, 보안 세계에서 매우 이례적인 문화를 구축하고 운영하고 있습니다. 그리고 제가 가장 자랑스럽게 생각하는 것은, 조직에 적절한 문화를 구축한다는 점입니다.”
긍정적인 보안 문화 구축에서 목표 설정의 역할
저희는 점진적인 발전을 강력하게 믿습니다. 수년 동안 완성되지 않은 빅뱅 프로그램을 계속 하려 노력하는 대신, 저희는 매우 짧은 간격 동안 무언가 중요한 것을 달성하는 팀을 갖추기 위해 노력했습니다. 저희는 발전적이며, 측정 가능하고, 더 중요하게는 수 개월처럼 상당히 짧은 기간 동안 도달할 수 있는 점진적인 무언가를 목표로 했습니다.
혁신적 태도는 항상 저희 서비스 팀과 저희 고객이 이루고자 하는 목표를 향한 과정을 만든다는 뜻입니다. 이러한 마음가짐은 두 가지 이유로 중요합니다. 첫 번째는, 이것이 비즈니스가 나아가는 방식이며 저희가 서비스를 고객에게 제공하는 방식이기 때문입니다. 두 번째는, 이것이 서비스 팀이 저희를 서비스 또는 제품을 시작하는 그들의 능력을 방해하는 존재로 보는 대신 저희에게 말하도록 격려하는 방식이기 때문입니다.
이것은 보안 팀 스스로가 하고 싶어하는 일에 대한 내용이 아니며, 저희는 고객 팀과 내부 팀이 각자의 목표와 성과를 향해 나아갈 수 있게 항상 지원함을 보장합니다.”
고객의 마음으로 향하는 길이 문제를 식별합니다
에스컬레이션이라는 단어를 정의하는 것부터 시작합시다. 에스컬레이션은 적절한 시점에 적절한 인력이 문제에 대해 알 수 있도록 하는 과정으로 AWS에서의 효율성을 위해 필수적입니다. 에스컬레이션은 누군가가 그들을 움직이게 하는 무언가를 보고 "이것이 맞나?"라고 생각하게 하는 개념입니다. 그 다음 이 상황에 안주하는 대신, 저희는 적절한 사람이 이것에 대해 알게 합니다.
에스컬레이션은 당사의 기업 가치 중 하나인 리더와 소유자가 비즈니스 운영 방식에 대한 세부 정보에 깊게 파고든다는 사실을 포함합니다. 모든 세부 정보가 없으면 여러분은 벌어지는 일과 여러분의 비즈니스를 효과적으로 운영하는 방식에 대해 좋은 결정을 내릴 수 없습니다.
기존의 보안 세계에서, 사람들이 일을 진전시키는 것을 단념시키는 어떤 문제를 발견하면 저희는 “메신저를 쏘다”라는 표현을 사용했습니다. 리더로서 제 역할은 저희의 관심에 대해 알아내고 이끌어준 사람들에게 감사를 표하는 것입니다. 저희는 메신저에게 보상한 다음 이를 고쳤습니다.
“제로 트러스트”란 무엇이며, 어떻게 상황을 개선할까요?
저희에게 제로 트러스트란 여러분이 더 이상 네트워크 경계를 주요 방어 포인트로서 의존하지 않는다는 것을 의미합니다. 보안 경계를 가능한 한 작은 요소로, 도달할 수 있다면 이상적으로는 개별 데이터 요소까지 줄입니다. 그러면, 반대로는 권한을 가진 사용자가 있는 곳이라면 어디에서든 개별 데이터 요소에 액세스할 수 있습니다. 예를 들어 더 이상 VPN 상에 머무르지 않아도 되지만, 대신 아마도 에이전트가 전화를 걸어 제 전화기가 패치 승인을 받은 상태임을 인증 및 승인 시스템에 알릴 수 있는 상황입니다.
분별력 측면에서 반복성이 뛰어난 하드웨어 구성 요소에 대한 신뢰를 확고히 한다면, 적절한 사람일까요? 저희에게 제로 트러스트란 일련의 제어 장치를 구축하는 것입니다. 이 제어 장치는 작업, 위치, 장치 액세스에 사용하는 요소, 시간, 요일, 위치 등을 기준으로 개개인의 개별적인 데이터 구성 요소에 대한 액세스를 전적으로 허용 또는 거부할 수 있습니다. 그리고 적절하게 수행한 경우 정보를 보다, 더 능숙하게, 세부적으로 제어하게 해줍니다.
긍정적인 문화를 생성하기 위해 고객과 직원에게 던질 질문
- 방금 나눈 상호작용에 만족하시나요?
- 제가 합리적인 시간 내에 문제를 해결했나요?
- 제가 여러분의 작업을 보다 효과적이고 쉽게 해결할 도구를 제공했나요?
이러한 질문들은 모두 저희가 스스로에게 던지는 질문들이며, 고객들에게 저희가 내부와 외부에서 어떻게 인식되고 있는지 확실히 알 수 있도록 하기 위한 질문들입니다.
고객과 직원에 대한 “왜?”를 기억하세요
저희가 사람들이 집으로 가져가기를 바라는 가장 중요한 것은 해당 사업이 긍정적인 것이어야 한다는 것입니다. 저희가 사람들의 삶을 낫게 만드는 방법에 관련되어야 할까요? 저희는 어떻게 그들이 직장에서 보다 효과적이고 효율적이게 만들까요? 그리고 저희가 빅뱅을 기다리는 대신, 어떻게 일상의 목표를 향해 점진적인 발전을 이뤄내는지 확인할 수 있을지 여부입니다.
따라서 보안 조직에 참여하지 않은 분들을 위해 가상 커피 모임을 잡고, 고객의 비즈니스 목표를 이해하며, 보다 효과적으로 커뮤니케이션할 방법을 찾아보기를 바랍니다. AWS 보안 블로그에서 AWS 보안이 하는 일에 대해 자세히 알아볼 수 있습니다. BP에서 저희의 일은 무엇을 하든 동급 최고가 되기 위해 노력하는 것입니다. 무역 분야에서 오랜 시간 일한 후, 여러분은 시장에 따라, 그리고 더 수익 중심적으로 상황이 급변할 수록 이를 실현할 수 있는 유일한 방법은 디지털 기술을 활용하고, 자동화하며, 가능한 한 효율적이고 군살 없는 효과적인 조직이 되기를 추구하는 것이라는 점을 깨닫기 시작합니다.
여러분은 사람들에게 올바르게 수행하는 방법에 대한 도구, 규칙 및 지침을 주고, 올바른 일을 쉽게 할 수 있도록 만들고자 합니다. 결과적으로 여러분은 보안 전문가로서 더 행복해지고, 여러분의 고객은 작업을 쉽게 마칠 수 있어 더 행복해질 것입니다.”
이 스토리 공유
추천 자료
다음 단계 수행