현대의 보안 모범 사례 발전에 대한 Amazon CSO Steve Schmidt, AWS CISO Chris Betz, AWS VP, Security Assurance Sara Duffer의 통찰력 있는 패널 토론을 들어보세요. 새로운 기술이 어떻게 위험 환경을 재편하고 있는지, 새로운 규정 준수 규정에 대비하는 방법, 모든 수준에서 조직의 보안을 유지하기 위한 올바른 거버넌스 전략을 수립하는 방법에 대해 알아보세요. (2025년 1월)
Sara Duffer:
바로 본론으로 들어가 보겠습니다. 두 분 모두 각각 Amazon과 AWS에서 보안을 담당하고 계신데요. 일관성을 유지하기 위해 사용하는 메커니즘에 대해 간단히 말씀해 주시겠습니까?
Steve Schmidt:
물론입니다. 여기 계신 분들은 당연히 아시겠지만, 우리가 가장 먼저 고려해야 할 것 중 하나는 기업마다 상황이 다르다는 것입니다. 하지만 Amazon과 같은 대규모 조직을 운영할 때는 같은 회사 내에서도 다양한 비즈니스 운영 방식이 나타나는 데 놀랄 때가 있습니다. Amazon 내에도 위험이 전혀 용납되지 않는 조직도 있고, 특정 상황에서는 한계를 넘는 것을 좀 더 자유롭게 시도하는 조직도 있습니다. 이는 주로 속해 있는 비즈니스 부문, 처리하는 데이터 등에 따라 달라집니다. 또한 보안의 관점에서 사람들의 성과를 기본적으로 조사할 수 있는 회사 전반의 공통적인 지표가 필요하다는 사실을 알게 되었습니다. 그리고 각 조직에 맞춘 비즈니스별 보고서 또는 맞춤형 보고서가 필요합니다. 이러한 보고서에서는 각 조직이 직면한 위험과 고객이 맡긴 데이터를 어떻게 관리할지, 보유한 정보를 어떻게 다룰지 등을 설명합니다.
하지만 통일된 관점을 얻으려면 공통된 보고 시스템이 무엇보다 중요합니다. 우리가 이 회사의 CEO인 Andy Jassy부터 시작해서 회사의 구성원과 대화를 할 때 공통된 언어로 이야기할 수 있도록 하기 위함입니다. 조직의 한 부분이 다른 부분과 비교했을 때 얼마나 좋은 성과를 거두고 있는지 빠르게 파악할 수 있으며, 무엇보다 우리가 한 부분에서 개선 기회에 대해 배운 덕분에 필요한 방식으로 점검하지 못한 부분의 허점을 발견해낼 수 있다는 점입니다. 솔직히 말해서, 회사의 모든 리더들은 경쟁적입니다. 따라서 동료와 비교하여 이들을 나열하는 일반적인 보고서를 사용하면 우리가 정말로 중요하게 생각하는 행동을 하도록 동기를 부여할 수 있습니다. 사람들이 올바른 방향에 집중하도록 할 수 있는 거죠.
Chris Betz:
위험을 용납하지 않는다고 자화자찬하는 게 좀 그렇긴 하지만, 정말로 AWS에서는 위험이 용납되지 않습니다. 실제로 AWS는 비즈니스별 지표를 분석하는 데 많은 시간을 할애하는 조직 중 하나입니다. AWS 내부적으로도 이러한 접근 방식이 잘 맞다는 것을 알게 되었습니다. 조직 간의 경쟁적인 성향을 활용하는 것이 굉장히 강력한 효과를 발휘한다는 겁니다. 또한 비즈니스 부문과 매우 밀접하게 연계되어야 하며, 다른 조직에서 허용될 수 있는 위험 수용 정도는 AWS에서 허용되지 않는다는 사실을 알아야 합니다. 우리가 중요하게 여기는 바를 이해하고 그러한 비즈니스 지표가 비즈니스와 밀접하게 연계되도록 하며, 우리의 비즈니스 검토 프로세스에 그 지표들이 반영되도록 해야 합니다.
Sara Duffer:
Steve, Andy Jassy CEO와 이야기를 나눈 적이 있다고 하셨는데. CEO 및 이사회에 보안과 관련한 새로운 소식은 어떻게 전달하시나요?
Steve Schmidt:
Amazon에는 CEO가 여러 명이기 때문에 조직의 운영 방식에 맞게 조정하려면, 제 관점에서 CEO와의 커뮤니케이션이 꼭 이루어져야 합니다. 예를 들어 Chris는 AWS CEO와 매주 회의를 진행합니다. 보안의 변화 속도가 매우 빠르기 때문입니다. 위협에 매우 신속하게 대응해야 하고, 주변 환경의 변화를 이해해야 합니다. 우리는 세상이 돌아가는 방식에 맞춰 대응 방식을 적절하게 조정할 수 있어야 합니다. 또한 저희는 매장 비즈니스의 CEO인 Doug Herrington과도 함께 일하고 있습니다. 하지만 이와 관련해서는 그의 비즈니스에 좀 더 집중합니다. 한 달 간격의 검토든 무엇이든, 반복 간격이 약간 다른 경향이 있죠.
Andy Jassy는 분기별로 보안 검토 관련 미팅에 참석하기로 결정했습니다. 그래서 매 분기마다 Andy에게 일련의 공통 지표와 시간 경과에 따른 일관된 보고뿐만 아니라, 항상 바뀌는 보고서 섹션도 함께 제공합니다. 우리는 이를 시사 이벤트라고 부르는데, 우리에게 가장 중요한 운영 환경의 변화가 무엇인지에 초점을 맞추는 섹션이죠. 예를 들면 중국인들과 러시아인들의 사고방식이 어떻게 다른지, 그들은 어떻게 회사들에 접근하고 있는지, 사람들이 문제를 일으키기 위해 사용하는 새로운 방법은 무엇이고, 우리는 그것에 어떻게 대응하거나 대비하고 있는지 등을 보고합니다.
이사회에 대해서도 말씀하셨잖아요. 저희 이사회는 비교적 독특합니다. 많은 이사회는 보안 조직에 대한 감독을 주로 금융 기관의 감사 위원회나 리스크 위원회에 맡기는 방식을 선택합니다. Amazon은 보안만을 위한 특정 소위원회를 두기로 결정했기 때문에, 보안만을 다루는 이사회 임원이 세 명 있습니다. 저희는 정기적으로 그들과 미팅을 갖습니다. 이 임원들은 Amazon의 현황에 대한 분기별 보고서를 받고, 우리의 모든 비즈니스를 살펴봅니다. 이 이사회 임원들은 한 번에 여러 비즈니스를 직접 선택해 살펴보고 싶다고 말했습니다. 마치 다이얼을 돌리며 다음에 어떤 비즈니스를 살펴볼지 결정하는 것과 같습니다.
다시 말씀드리지만, 하단에 시사 이벤트에 대한 섹션이 있습니다. 이 섹션은 우리가 현재 어떤 상황이고, 어떤 방향으로 가고 있는지, 우리 주변에서 무엇이 변하고 있는지, 어떻게 발전해야 할지에 대한 공통의 관심사를 보여줍니다. 그리고 세계에서 어떤 변화가 일어나고, 우리가 그 변화를 어떻게 관리하고 있는지에 대해 이사회에 알리는 주기 시간이 짧다는 것은 고객을 위한 적절한 보호 조치를 지속적으로 갖추는 능력에 정말 중요하다고 생각합니다.
Sara Duffer:
Chris, 덧붙일 말씀이 있나요?
Chris Betz:
세 가지가 있습니다. 먼저, Andy와 CEO들과의 대화에서, 그리고 AWS 내에서도 감사하게 생각하는 점은 우리가 그 대화들을 따로 하지 않는다는 것입니다. CEO가 참여하는 아주 작은 그룹이 아닙니다. 혼자서는 어떤 변화도 만들어낼 수 없으므로, CEO와 경영진이 모두 대화에 참여합니다. 따라서 비즈니스 조직이 그 대화에 함께 참여하도록 하고, 우리가 그 대화를 준비하면서 비즈니스와 긴밀히 연계하는 것이 매우 중요합니다. 두 번째로 Amazon 이사회뿐만 아니라 저희 조직의 이사회도 있습니다. 이를 통해 분기별로 보안 및 위험에 관한 관련 주제를 심층적으로 분석할 수 있는 메커니즘으로서 이러한 대화를 계속 진행하고 올바른 거버넌스를 시행하고 있는지 확인할 수 있습니다.
그리고 세 번째는 다른 여러 이사회를 보면서, 제가 상호 작용한 모든 이사회는 매우 독특하다는 것을 알게 되었습니다. 그 중 많은 부분이 인적 측면과 성격에 의해 좌우되고, 일부는 비즈니스의 특성에 의해 좌우된다고 생각합니다. 그래서 저는 CISO 또는 기술 리더로서 이사회와의 협력에서는 다른 분야에서 이사회가 어떻게 운영되는지 이해하는 것도 중요하다는 사실을 알게 되었습니다. 비즈니스 조직이 스스로에 대해 어떻게 생각하고 어떻게 이야기하는지, 어떤 언어를 사용해야 하는지, 맥락이 무엇인지 등을 파악해야 합니다. 보안에 대해 따로 이야기하는 것은 도움이 되지 않기 때문이죠. 비즈니스의 맥락에서 보는 보안이 매우 중요합니다. 그리고 세 번째로 중요한 것은 청중을 이해해야 한다는 것입니다. 이사회의 구성원마다 기술 역량이 천차만별입니다. 여러분은 그들 모두와 대화할 수 있어야 합니다.
따라서 우리가 기술 리더로서 보안 대화에 참여하거나 CISO로서 참여할 때는 그 청중을 이해하고, 이사회의 성격과 비즈니스 조직이 스스로를 어떻게 생각하는지, 보안과 기술이 그 안에서 어떤 역할을 하는지 이해하는 것이 대화의 성패를 결정하는 중요한 요인입니다.
Steve Schmidt:
Chris가 방금 한 말을 좀 더 강조하고 싶습니다. 새로 리더가 된 사람이 회사의 최고 경영진이나 이사회 같은 고위 경영진과 대화할 때 보게 되는 가장 큰 실수는 ,특히 보안 분야에서 기술 문제에 지나치게 집중하는 것입니다. 이사회 임원이라는 고객에게 자신의 요점을 전달할 수 있는 능력을 완전히 죽여버리는 요인입니다. Chris가 말했듯이 우리는 비즈니스의 맥락에서 이야기해야 합니다. CVSS 점수가 9.86인 심각한 취약성이든 뭐든 상관없습니다. ‘이는 공격자가 우리의 고객이 소유한 이러한 종류의 정보에 접근할 수 있는 기회이며, 이는 이러한 결과를 초래하고, 향후 60일 내에 발생할 타당한 이유가 이것이다’라는 것을 보여 주어야 합니다. 이사회 임원이 이해할 수 있는 방식으로 접근할 수 있는 것, 즉 '이것은 무서운 일입니다'라고 말하는 것과는 다른 방식입니다. 저는 이러한 맥락을 제공하는 것이 매우 중요하다고 생각합니다.
Sara Duffer:
두 분 모두 주기적으로 고객과 대화를 나누시는 것으로 아는데요. 현재 고객으로부터 듣고 있는 보안 과제나 문제는 어떤 것들이 있나요? 그리고 이 분야에서 고객을 돕기 위해 AWS는 무엇을 하고 있나요?
Steve Schmidt:
첫 번째는 당연히 AI입니다. 당연히 어떻게 AI를 안전하게 사용할 수 있을지 궁금해 하는 사람이 많습니다. AI를 책임 있게 사용하려면 어떻게 해야 할까요? 어떻게 하면 정보를 가져와서 필요할 때 그 데이터에 올바르게 액세스하고 필요하지 않을 때는 액세스를 차단할 수 있을까요? 고객과 대화할 때 저는 “회사 전체에서 생성형 AI를 사용하는 애플리케이션이 몇 개나 됩니까? 지금 알고 계신가요? 주기적으로 그 수치를 측정할 수 있나요?”라고 먼저 묻습니다. 그러면 대부분은 “아, 예. 지난 달이나 지난 분기에 그 개수를 확인했습니다”라고 말합니다. 그런데 말이죠. 개발자들은 훨씬 더 발빠르게 움직이고 있습니다. 우리는 개발자가 회사 노트북에서 또는 회사 전체에 소유하고 있는 프로덕션 자산 중 하나에서 생성형 AI 엔진을 직접적으로 호출할 때마다 그 사실을 확인할 수 있는 프로세스를 내부적으로 구축해야 했습니다.
이를 통해 가시성을 확보하면 애플리케이션 보안 팀에 정보를 제공하여 특정 서비스의 진행 상황을 파악할 수 있게 됩니다. 얼마 전 처음 개수를 파악하고 작업을 시작하자마자 저희는 Andy에게 보고하며 “아, 예. 현재 회사 전체에서 운영 또는 개발 중인 생성형 AI 앱이 천 개가 넘습니다”라고 말하게 되었죠. 그러자 깜짝 놀란 표정을 지으며, “뭐라고요? 농담하는 거예요?”라고 하더군요. 당연히 농담이 아니었습니다. 그리고 사실, 그 속도가 엄청나게 빠르게 상승하고 있는데 이는 개발자들이 정말 열심히 참여하고 앞으로 나아가고 있다는 뜻이라 좋은 현상입니다. 하지만 동시에 우리 팀은 이들을 계속해서 추적하고 관리하고, 모든 일이 합리적으로 적절하게 진행되는지 확인해야 하기에 바빠질 수밖에 없습니다. 어쨌든 모든 것은 그러한 가시성을 확보하고, 그 기반으로 가시성 엔진을 구축하는 데서 시작되었습니다.
Chris Betz:
또한 보안은 물론 비용 효율성까지 어떻게 실현할지에 대해서도 사람들이 궁금해 하는 만큼, AWS 내에서 이미 제공되는 관련 기능에 대해서도 질문을 많이 받습니다. 사람들은 솔루션이 이미 존재하거나 이미 조치가 취해지고 있는 분야에 시간과 에너지를 투자하고 싶어하지 않습니다. 이와 관련해 자주 이야기하는 분야 중 하나가 바로 아키텍처와 제어 시스템입니다. 사람들이 Well Architected 원칙을 따르는지 확인하고, 간단하고 쉬운 통제 수단을 대규모로 어떻게 구현할지에 대해 이야기하는 겁니다. 그래서 이런 고객들을 위해 대규모로 간단한 보안을 제공할 수 있는 방안에 대해 내부적으로 자주 이야기를 나누게 된 것 같습니다. 여기서 이어지는 또 다른 분야로, 최근에 우리가 정말 많이 이야기하고 있는 위협 인텔리전스가 있습니다. 회사나 클라우드 제공업체마다 위협 인텔리전스를 다루는 방식이 다릅니다.
저희의 접근 방식은 위협 인텔리전스를 시스템 운영 방식의 한 부분으로 원활하게 통합하는 것입니다. 그래서 우리는 이 부분에 대해 꽤 많은 시간을 할애해 이야기했습니다. 과거에는 이런 이야기를 할 필요가 없었지만, 이제 고객들에게 앞으로의 방향을 설명하는 것이 중요해졌기 때문입니다. 일련의 위협 인텔리전스 제공업체, 허니팟, 센서에서 매일 데이터를 수집하고 있으며, 그중 허니팟에서만 하루에 1억 건 이상의 상호작용이 이루어지고 있습니다. 이러한 기술과 데이터는 Sonaris와 같은 시스템에서 수집한 다른 센서 데이터와 결합되어 우리가 실제로 조치를 취할 수 있게 해줍니다. 이러한 조치는 고객이 모르는 사이에 이루어집니다.
악의적인 주소를 식별하면 다양한 공격으로부터 보호할 수 있습니다. 그러면 그런 트래픽은 고객의 시스템에 도달하기도 전에 차단됩니다. 일례로, 작년에만 S3 버킷을 열거하려는 240억 건 이상의 시도를 차단했으며, EC2에서 취약한 서비스를 찾아내려는 2조 6,000억 건 이상의 시도를 막아냈습니다. 충실도가 기준에 미치지 않아 자동으로 제공할 수 없는 경우 GuardDuty 등의 도구에 이를 직접 적용할 수 있습니다. 그래서 저는 보안 담당자들과 이미 구축된 기술을 어떻게 활용할 수 있을지에 대한 대화를 나누고 있습니다. 원활하게 작동하는 부분과 보안 팀이 작업을 수행할 수 있도록 저희가 추가 정보를 제공하는 부분 모두에 대해서 말이죠.
Steve Schmidt:
위협 인텔리전스에 대해 말씀하신 요점을 더욱 명확하게 보여주는 몇 가지 정말 흥미로운 데이터가 있습니다. 위협 인텔리전스는 놀라울 정도로 취약합니다. 대부분 사람들이 깨닫지 못하지만, 우리가 인터넷에서 관찰한 바로는 인터넷의 IP 공간 중 약 23%가 약 3분마다 바뀐다는 것입니다. 따라서 위협 인텔리전스 피드가 일주일 또는 한 달이 지난 것이라면 이미 무용지물입니다. 위협 인텔리전스 정보를 입수하자마자 즉각적으로 조치를 취해야 한다는 것을 보여주는 몇 가지 다른 데이터도 있습니다. 허니팟이 인터넷에 노출되면 공격자가 허니팟을 발견하는 데 90초, 공격을 시도하는 데에는 3분도 채 걸리지 않습니다. 이런 상황에서 개발자가 “이 버킷을 인터넷에 공개해봐야지. 괜찮을 거야. 아무도 이 버킷이 거기 존재하는지 모를 테니까”라고 한다면, 3분이면 진짜 문제가 발생하는 겁니다. 따라서 강력한 인텔리전스 피드를 통해 현재 상황을 파악하고 신속하게 조치를 취할 수 있어야 합니다. 그리고 무엇보다 사람이 직접 조치를 취하지 않아도 되도록 해야 합니다. 자동화를 통해 처리해야 하죠.
Chris Betz:
잘 말씀해 주셨습니다.
Sara Duffer:
제 마음에 꼭 와닿는 주제로 넘어가겠습니다. 끊임없이 변화하는 규정, 표준 인증 등에 관한 것인데, 이는 규정 준수, 규정 준수의 발전을 따라가기가 얼마나 어려운지를 잘 보여줍니다. Chris, 대규모 규정 준수에 대한 AWS의 관점을 설명해 주시겠어요?
Chris Betz:
저희는 이 주제에 대해 엄청나게 많이 이야기합니다.
Sara Duffer:
그렇죠.
Chris Betz:
우선, 대규모 규정 준수를 수행하는 데 있어 매우 강력한 효과가 있다고 생각하는 것 중 하나는 보안의 기반에서 시작할 수 있다는 것입니다. 설계 단계부터 보안을 고려하고 보안이 개발 프로세스에 자연스럽게 반영되도록 하는 것은 규제나 규정 준수에 대해 생각하기 전에 훌륭한 출발점을 제공합니다. 우리가 최선을 다하면, 규정 준수는 그러한 보안 노력의 의도한 부수적인 결과로 따라옵니다. 솔직히 말해서 대부분의 규제 기관도 이를 원합니다.
규정을 준수하는 이유는 보안을 보장하기 위해서입니다. 따라서 규정 준수를 의도적으로 입증하고 검증할 수 있는, 보안에 초점을 맞춘 보안 프로그램을 설계하는 것이 매우 중요합니다. 그리고 세 번째 요소는 설계부터 항상 규정 준수를 보안 프로세스의 일부로 반영하는 것만으로는 충분하지 않다는 것입니다. 이를 입증하고 보여줄 수 있어야 합니다. 즉, 이러한 데이터를 한데 모아 가시화하고, 다른 사람들이 쉽게 이해할 수 있도록 하는 것이 매우 중요합니다. 여기에는 엔지니어링도 관련되어 있습니다. 충분히 가치 있는 투자라고 할 수 있겠지만, 이 분야에서 저보다 경험이 많으시니 Sara의 관점도 궁금합니다.
Sara Duffer:
저는 지금 고객들로부터 주로 책임 있는 AI 프로그램과 그 운영을 빠르게 시작하는 방법에 대한 질문을 많이 받고 있습니다. 정말 중요한 대화는, 바로 이 급격한 발전 덕분에 규정 준수라는 개념에서 벗어나게 되는 것에 관한 것입니다. 규정 준수는 시점적이고, 이진적이며, 우리가 EU AI 법과 같은 규칙과 규정을 따르고 있는지에 초점을 맞추고 있습니다. 그리고 이 프로그램을 빠르게 발전시켜 좀 더 보증의 사고방식으로 전환할 수 있는 능력, 즉 보증이 우리가 보여줄 수 있었던 규정 준수의 품질, 신뢰성, 효과에 대한 신뢰 수준을 제공할 수 있도록 하는 것입니다. 이를 실현하려면 어떻게 해야 할까요?
그리고 꽤 자주, 이는 대개 기술 표준을 통해 활용됩니다. 예를 들어 ISO 42001과 같은 표준은 조직이 최종 고객에게 자신들이 책임 있는 AI 방식을 사용하여 운영하고, 배포하며, 개발하고 있음을 보여줄 수 있게 해줍니다. 그 후에는 모든 것을 거버넌스 관점에서 포장하는 것이죠. 그렇다면 조직이 실제로 기대하는 바를 제대로 수행하고 있는지 어떻게 확인할 수 있을까요? 책임 있는 AI와 관련하여 진행하고 있는 일에 대해 고위 경영진과 이사회에 어떻게 보고할 수 있을까요? 그리고 무엇보다, 이 모든 것을 빌더들이 있는 곳에서 그들과 함께 하면서 혁신을 늦추지 않는 방식으로 하는 것이 중요합니다. 그래야 높은 기준을 충족하는 동시에 이를 빠르게 달성할 수 있습니다.
Sara Duffer:
이제 주제를 좀 바꿔보죠. Steve에게 질문을 드리겠습니다. 보안에 대해 이야기할 때, 우리는 새로운 기술과 앞으로 우리를 기다리고 있는 변화하는 세계에 대해 자주 많이 언급합니다. 하지만 결국 위협 행위자는 위협 행위자일 뿐이며, 그 또한 인간입니다. 사이버 보안과 관련한 인간적인 즉면에 대해 어떻게 생각하시는지 좀 더 듣고 싶습니다.
Steve Schmidt:
천만에요 뉴스 속보, 컴퓨터 보안, 정보 보안, 사이버 보안 등 무엇이라고 부르든 간에 기술적인 문제는 아닙니다. 바로 사람의 문제입니다. 오래 전에 제가 FBI에서 방첩 작업에 집중하면서 배운 것 중 하나는 스파이를 쫓는 것이 직업이고 꽤 흥미롭지만, 스파이가 존재하는 데는 이유가 있다는 것입니다. 그들은 무언가에 의해 동기 부여를 받습니다. 전통적으로 첩보 세계에서는 돈, 이념, 강요 또는 자아가 동기가 되었습니다. 사이버 보안 세계에서도 마찬가지입니다. 사람들은 돈에 관심이 있습니다. 랜섬웨어 공격자가 그렇습니다. 이념이 동기가 되는 경우는 전통적인 국가 주도의 행위자로, 정보 수집이나 전쟁 준비를 하는 사람들입니다. 이 분야에서 새로운 개념인 영향력은 특정 방식으로 사람들의 사고를 이끌어내고, 그들의 의견을 변화시키며, 세상에서 어떤 일들이 일어나도록 만드는 것입니다. 그리고 자아. 세상에서 가장 크고 가장 나쁜 해커가 되고 싶어하며 그 일환으로 DDoS 공격을 일으키는 ‘스크립트 키티’가 여기에 해당합니다.
왜 우리는 이 사람들이 이런 짓을 하는지, 즉 그들의 동기를 알아내는 데 관심을 가질까요? 이는 그들이 어떤 종류의 도구와 능력을 가지고 있는지, 그들이 우리를 어떻게 공격할 가능성이 있는지, 그들의 위험 감수성이나 노출에 대한 내성이 어느 정도인지 파악하는 데 도움이 됩니다. 그 사람들이 꼬리가 밟히고 FBI가 와서 문을 두드리면, 큰일 난 걸까요, 아니면 지금 벨라루스의 지하실에 앉아 있기 때문에 괜찮은 걸까요? 이런 것들을 파악하는 겁니다. 방어자로서 우리가 무엇을 해야 하는지, 그리고 그러한 사람들이 접근하지 못하도록 막는 시스템을 어떻게 구축하는지 이해하려면 어떤 스펙트럼을 가지고 작업해야 하는지를 알아야 합니다.
흥미로운 점은 AWS의 직원들에게도 같은 사고방식을 적용해야 한다는 것입니다. AWS의 직원들은 대체로 좋은 의도를 가지고 있습니다. 그들은 옳은 일을 하고 싶어하고, 도움이 되고 싶어합니다. 하지만 현실을 직시해야 합니다. 그들도 인간입니다. 그래서 가끔은 돈 문제를 겪기도 합니다. 어떤 일이 흘러가는 방향이 마음에 들지 않을 때도 있을 거고요. 그저 힘든 하루를 보낼 때도 있을 겁니다. 따라서 방어자로서 우리는 그들이 무엇을 하고 있는지, 왜 그렇게 하는지, 어떻게 그들이 하지 말아야 할 일을 하지 않게 할 것인지 파악할 준비가 되어 있어야 합니다.
하지만 사이버 보안과 기업 내 인력의 가장 중요한 요소 중 많은 부분이 회사 문화와 관련 있습니다. 기업의 보안 문화는 기업의 성패를 좌우합니다. 보안 문화가 부족하면 어떤 일이 일어나는지 우리 모두 공공 뉴스를 통해 보았습니다. 결국 국가 행위자가 조직에 반복적으로 침입하여 자신의 이익을 위해 이를 악용하게 됩니다. 왜 그렇습니까? 회사 사람들이 옳은 일에 의해 평가되거나 동기를 부여받지 못했기 때문입니다.
그들은 여러분의 데이터나 정보를 보호할 만한 동기가 없습니다. 그들은 다른 것을 목표로 삼았습니다. 그래서 기업 문화를 구축하는 거죠. 회사의 개발자로서 여러분에게 가장 중요한 것은 첫째, 자신을 신체적으로 안전하게 보호하는 것이고, 둘째, 고객의 데이터를 보호하는 것입니다. 그러면 하루 중에 무엇인가를 생각할 때마다 항상 좋은 결정을 내릴 수 있습니다. 왼쪽으로 가야 할까? 오른쪽으로 가야 할까? 한 가지만 해야 할까? 다른 걸 해야 할까? 전혀 모르겠는데 도움을 요청해야 할까? ‘이 분야의 전문가를 찾아 봐야겠어’와 같은 것들이죠.
그리고 올바른 문화를 갖추면 향후 비용을 절감할 수 있다는 이점이 있습니다. 비즈니스의 최종 고객을 위해 보안을 올바르게 설정하는 것이 아니라, 누군가가 이익 목표, 마진 목표 또는 배송 목표를 달성하기 위해 서두르면서 생겨난 문제들을 해결하는 데 시간을 허비할 필요가 없기 때문입니다.
Sara Duffer:
그리고 보안 보증 분야에서도 제 부담을 덜어 줍니다. 이는 좋은 성과입니다. Chris, 문화에 대해 말씀드리자면 AWS에서는 보안이 최우선이라는 이야기를 많이 합니다. 우리가 실제로 어떻게 하고 있는지 이야기해 주세요. 이러한 문화는 어떻게 구축하는 건가요?
Chris Betz:
제가 문화를 중요하게 생각하는 이유 중 하나는 문화가 장기 투자로 이어질 뿐만 아니라, 모든 회사가 사이버 보안 관련 교육, 도구 제공, 역량 제공을 위해 노력하고 있기 때문입니다. 그리고 문화는 가장 큰 차별화 요소 중 하나이기도 합니다. 보안은 끊임없이 변화하니까요. 앞서 말씀드렸듯이, 최근에 AI에 대해서 무수히 많이 이야기를 했습니다. AI는 끊임없이 변화하고 있습니다. 그리고 그 적응 능력이 어마어마합니다. ‘여기서 충돌이 발생했는데’라거나, ‘더 나은 보안 방식이 있는데’라고 문제 제기를 하는 능력이죠. 이것에 대해 생각해 봅시다. 이 능력을 더 발전시킬 수 있을까요? 프로세스와 도구를 맹목적으로 따르는 것이 아니라, 실제로 질문을 던질 수는 없을까요?
또는 ‘이 프로세스와 도구에는 뭔가 빠진 것 같습니다. 이런 위험이 있습니다. 이 문제도 보입니다. 이 문제는 어떻게 제기해야 하죠?”라고 말할 수 있는 것. 이런 것들은 정말 중요합니다. 말씀하셨듯이, 문화는 시간이 지남에 따라 놀라운 방식으로 성과를 가져옵니다. 이러한 문화를 구축하는 데에는 시간과 노력이 듭니다. 문화는 위에서부터 시작됩니다. 조직의 운영 방식에 맞게 문화를 조율하는 것부터 시작합니다. 그중 일부분은 우리가 누구인지 스스로에게 말하는 것과도 관련이 있습니다. Matt이 “모든 것은 보안과 함께 시작됩니다”라고 말햇듯이, 내부적으로도 외적으로도 마찬가지입니다.
나아가, 이는 사람들이 어디에 시간을 할애하는지에 관한 문제입니다. Steve와 저는 CEO가 이끄는 주간 회의에 대해 이야기를 나눴습니다. 다시 말씀드리지만, 그것이 조직 운영 방식의 일부분이 되도록 하는 것이 매우 중요합니다. 보안이 조직 문화에 내재되게 되면, 보안의 책임이 모두에게 있음을 강조하는 것이 중요해집니다. 각자 특정한 역할을 맡습니다. 손을 들고 “다른 방식으로 할 필요가 있습니다. 뭔가 놓치고 있는 것 같습니다. 혼란스럽군요. 잘 모르겠습니다”라고 말할 수 있는 기회입니다. 보안에 있어서는 모든 사람이 자신의 일이며, 보안 리더로서 보안 업무를 최대한 쉽게 만드는 것이 우리의 임무라는 것을 이해해야 합니다. 사람들이 모든 단계에서 보안에 집중하는 데 시간을 할애하면, 조직의 입장에서는 마찰이 가중되기 때문입니다. 보안이 모두의 일이 되도록 만드는 것과 병행해야 할 것은, 사람들이 보안을 쉽고 자연스럽게 실천할 수 있도록 하는 것입니다. 즉, 보안의 책임이 회사 전체에 분산되어야 합니다. 교육, 지식, 역량이 조직 전반에서 이를 실현할 수 있도록 잘 설계되었는지 확인해야 합니다.
마지막으로, 기꺼이 투자해야 합니다. 보안을 강화하는 혁신에 기꺼이 투자해야 합니다. 보안을 더 쉽게 만드는 혁신에 기꺼이 투자해야 합니다. 그렇지 않으면 결국 과거에 사로잡혀 조직으로서 앞으로 나아갈 수 없기 때문입니다. 이를 위한 방법 중 하나는 보안 가디언 프로그램과 같은 도구를 이용하는 것입니다. 직원들을 신뢰하고, 서비스 팀과 엔지니어링 팀 내에서 심층적인 보안 문제에 대해 교육하여 사람들이 개발 과정 초기에 보안을 고려하고 지속적으로 보안에 대해 생각할 수 있도록 하며, 그들이 올바른 지식을 갖추도록 합니다. 또한 매우 뛰어난 확장성을 갖추는 데에도 도움이 됩니다. 여러분이 팀과 함께 실천할 수 있는 한 가지는, 보안 가디언 프로그램을 만들 수 있는지, 그리고 회사 내에서 어떻게 보안 문화를 조성할 수 있을지를 심층적으로 살펴보는 것입니다.
Sara Duffer:
좋습니다 그렇다면 방에 있는 비즈니스 리더들이 보안 및 규정 준수 프로그램에 되물을 수 있는 질문을 세 가지 꼽는다면 무엇일까요?
Chris Betz:
제가 늘 하곤 하는 질문 하나를 드리겠습니다. 기술 리더 여러분 중 빌더 도구 또는 개발자 도구 조직이라고 부르는 것을 가지고 계신 분이 얼마나 계실지 모르겠습니다. 보안 리더로서 저는 회사 전체에서 이들 조직을 가장 좋아합니다. 아직 없는 경우, 이들 팀을 갖추면 개발자의 작업이 훨씬 편해질 수 있습니다. 그러면 엄청난 이점이 있습니다. 회사에서 최고의 인재를 투입해야 할 곳을 꼽으라면, 바로 빌더 도구 조직입니다. 하나의 조직에서 모든 개발 프로세스를 훨씬 더 좋게 만들 수 있기 때문입니다. 보안 관점에서 볼 때, 이는 큰 이점입니다. 보안 지식과 보안 기능을 이러한 도구에 통합하여, 대규모 확장성을 확보하고 보안을 자연스럽게 구현할 수 있기 때문입니다.
그래서 제가 여러분이라면 되돌려서 물어볼 질문은 보안 리더들과 빌더 도구 리더들 간의 관계가 무엇인지, 그들이 얼마나 잘 협력하고 있는지, 여러분이 원하는 모든 보안 결과들이 빌더 도구의 기능에 얼마나 잘 통합되어 있는지에 관한 것입니다.
Sara Duffer:
Steve, 말씀해 주시겠어요?
Steve Schmidt:
앞서 말씀드린 내용을 다시 한 번 말씀드리자면, 팀원들에게 “현재 우리는 어떤 분야의 생성형 AI 애플리케이션을 구축하고 있나요?”라는 질문을 한 다음 다시 “다음으로 어떤 분야에서 생성형 AI 애플리케이션을 구축해야 할지 알 수 있도록 마련한 메커니즘은 무엇이며, 누군가가 새 애플리케이션을 구축할 때 우리가 이에 대해 알게 되기까지의 지연 시간은 얼마나 될까요?”라는 질문을 하라는 것입니다. 대부분의 경우 답은 “서두르고, 서두르고, 서둘러. 빨리, 데이터를 좀 찾아봐. 여기 답입니다”라는 것일 겁니다. 훌륭합니다 그러면 이제 다음 날이 옵니다. 좋습니다
따라서 여러분은 이를 주기적으로 수행할 수 있도록 해주는 방법, 메커니즘, 도구가 필요합니다. 이를 통해 최신 상태를 유지하고, 자신이 그 인프라의 책임감 있는 운영자이자 관리자로서 역할을 하고, 고객을 대신해 수집한 데이터를 책임 있게 소유할 수 있도록 해야 합니다.
두 번째로, 어떤 가드레일을 사용하고 있는지, 생성형 AI를 중심으로 세상이 변화함에 따라 이러한 가드레일을 업데이트할 수 있는 메커니즘이 있는지 살펴야 합니다. 우리가 여기 무대에서 앉아 있는 동안에도 생성형 AI 세상은 엄청난 발전을 거듭하고 있습니다. 뭔가 새로운 일이 벌어지고 있죠. 어떤 똑똑한 사람이 새로운 방식으로 파운데이션 모델에 문제를 일으킬 수 있는 방법을 생각해내면, 우리는 그것을 방어할 수 있어야 합니다. 그렇다면 생성형 AI 애플리케이션 주변의 가드레일에 영향을 미칠 수 있는 빠른 반복 방법은 무엇일까요?
Sara Duffer:
속임수를 쓰신 것 같습니다. 두 개였던 것 같은데요. 저도 그럼 속임수를 좀 써보겠습니다. 저는 팀들에게 그들이 실제로 어떻게 규정 준수를 보장하고 있는지 묻는 것이라고 말하고 싶습니다. 제가 말하는 것은 단지 그 순간에 우리가 다양한 기준이나 법률 등과 얼마나 준수하고 있는지를 파악하는 것만이 아니라, 시간이 지남에 따라 지속적인 보증을 어떻게 확보할 수 있는지 이해하는 것입니다. 그렇게 해야만 실제로 빌더들이 드는 비용을 정확히 파악할 수 있기 때문입니다.
따라서 두 가지 핵심 질문이 있다고 말씀드리고 싶습니다. 즉, 내부 관행이나 법률 등을 어떻게 준수하고 있는지, 그리고 빌더에게 드는 비용은 얼마인지를 묻는 것입니다. 이는 매우 빠르게 혁신하고 빌더에게 드는 비용을 모니터링하면서 규정을 준수하고 있는지 확인하기를 원하기 때문에 매우 중요합니다.
마지막으로, 제가 드리고 싶은 질문은, 고객들과 주기적으로 대화하면서 해주셨던 조언 중 고객들이 보안 태세를 즉시 강화하는 데 유용한 최고의 조언은 무엇인가요?
Chris Betz:
회사 내부적으로, 그리고 고객을 위해 패스키를 구현하는 방법을 찾아보세요. 암호에서 벗어나는 것은 직원과 고객 모두에게 획기적인 효과를 가져옵니다. 이 기술을 활용하세요. 비약적인 발전을 가져올 것입니다. 지금 바로 구현하세요.
Steve Schmidt:
아울러, 훨씬 더 안전할 뿐만 아니라 사용자 경험도 더 좋아지죠. 정말 원활하게 작동하니까요. 기술 담당자들이 이 문제에 집중할 수 있도록 하고, 그들이 지금 당장 이를 하지 않는 이유를 파악하세요.
두 번째는 패스키보다 훨씬 덜 흥미롭지만, 꼭 필요한 보안 조치들입니다. 취약성 관리. 패치 적용 등이죠. 사람들을 상대로 취할 수 있는 최선의 방어책입니다.
Chris Betz:
아니면 저희가 대신 패치를 적용해 드릴 수도 있죠.
Steve Schmidt:
네,
Chris Betz:
Lambdas와 다른 것들을 사용하세요.
Steve Schmidt:
네. 맞습니다.
Sara Duffer:
오늘 귀한 시간을 내서 함께 해주신 데 대해 다시 한 번 감사드립니다.