Clarke Rodgers:
정말 흥미롭습니다. AWS에서 보안 프로그램을 시작하신 만큼, AWS의 이전 방향과 보안 방식, 이에 대한 위협, 위험 수용 범위 등을 알고 계실 겁니다. CSO 직무로 오셨으니 이제 amazon.com이나 저희가 내부적으로 스토어라고 부르는 Whole Foods, Prime Video, MGM, Twitch 등 다양한 조직에 대해서도 알게 되셨을 겁니다.
먼저 각 비즈니스의 보안 프로필과 위험 성향에 대해 어떻게 파악했는지, 그리고 이 모든 것을 어떻게 통합하셨는지 이야기해 주시겠어요? 일반적인 용어로서 단일 창구, 즉 Whole Foods의 리스크 프로필이 적절하고, AWS의 리스크 프로필도 AWS에 적합하다고 느꼈던 단일 창구에서 이 모든 것을 어떻게 판단하셨는지 궁금합니다.
Steve Schmidt:
우선, 제 직무에서 가장 마음에 드는 것 중 하나는 비즈니스의 다양성입니다. 사람들은 16년 동안 이 직책을 맡고 있냐고 놀라곤 합니다. 보안 업계에 종사하는 사람에게는 정말 드문 일입니다. 이유가 무엇입니까? 그 이유는 이 회사가 수행하는 업무의 다양성 때문입니다. 계속 배울 수 있는 기회여서 정말 마음에 듭니다.
저는 그렇게 젊지 않습니다. 사람들은 얼마나 오래 일할 거냐, 은퇴할 거냐 등등의 질문을 하곤 하는데. 저는 뭐 그냥 즐기고 있고 은퇴할 생각은 없다고 답합니다. 정말 재미있어요. 세계 최대의 클라우드 제공업체를 구축하는 것부터 우주에 인공위성을 설치하고 식료품점을 운영하는 것과 다양성에 이르기까지, 비즈니스 관점에서는 놀라운 도전이 기다리고 있습니다. 그와 동시에 회사의 규모를 활용하여 운영 비용을 절감할 수 있는 흥미로운 기회이기도 합니다.
운영 보안 조직을 살펴보면 비용이 저렴하지 않습니다. 하지만 Amazon과 같은 대규모 기업에게는 단가를 낮출 기회가 있습니다.
Clarke Rodgers:
맞습니다.
Steve Schmidt:
모든 기업은 다른 기업의 규모로부터 이익을 얻습니다. 따라서 식료품점에서 위성 기업과 동일한 보안 기능을 활용할 수 있는 방법을 찾는 것은, 예를 들어 컴퓨터 시스템에 패치를 적용했든 관계없이 취약성 관리와 같은 이점을 활용할 수 있는 방법을 찾는 것은 위성을 구축하는 경우와 식료품점을 운영하는 경우에 근본적으로 다르지 않습니다.
이런 식으로, 기업이 독자적으로는 감당할 수 없는 수준의 결과를 실현할 수 있고 모두를 위한 기준을 높일 수 있습니다. 취약성 관리나 인시던트 대응, 일반적인 보안 조직에 필요한 기타 구성 요소 등, 회사 전반에 표준화된 기준을 마련하는 것이 제가 여기서 하는 일 중 하나입니다.
그런 다음, 특정 기업의 고유한 상황으로 인해 필요한 맞춤형 구성 요소를 파악합니다. 그렇게 하면 모든 사람에게 일률적인 솔루션을 적용하려 하지 않게 되어, 그로 인한 비용 증가를 막을 수 있습니다. 예를 들어 식료품 사업을 보면 한 단위의 손실은 상대적으로 가치가 적지만, 위성의 손실은 그 반대입니다.
Clarke Rodgers:
맞습니다.
Steve Schmidt:
따라서 개별 구성 요소에 맞게 보안 상황을 조정해야 합니다.
Clarke Rodgers:
잠시만요. 제가 보충할게요. 이러한 다른 비즈니스를 위해 보안 프로그램을 운영하는 최고 정보 보안 책임자가 있죠. 그들이 보안 비즈니스 운영에 대한 책임은 어떻게 지게 하시나요?
Steve Schmidt:
Amazon이 회사 전반에 걸쳐 집중하고 있는 것 중 하나는 단일 스레드 소유자라는 개념입니다. 어떤 것의 한 부분에만 집중하는 것을 직업으로 하는 사람이죠. 보안 부문에서 각 비즈니스마다 CISO를 두는 이유는 두 가지 이유 때문입니다.
하나는 매일 그것에만 집중하는 사람을 원한다는 것입니다. 디바이스와 Kuiper 분야를 담당하는 Amy Herzog이든, AWS를 감독하는 Chris Betz이든 말이죠. 하지만 그와 동시에 저는 이 모든 것들에 대해 공통된 측정 기준을 사용합니다. 예를 들어 저는 취약성 관리에 대한 월간 비즈니스 검토를 살펴봅니다. 이 보고서는 회사 전체를 아우르며, 동일한 수치, 동일한 방법론, 동일한 프레젠테이션 방법 등을 사용합니다.
따라서 모든 비즈니스에서 일관된 공통의 관점을 얻을 수 있습니다. 이를 통해 우리는 두 가지를 할 수 있게 됩니다. 하나는 우리가 요구하는 기준을 충족하고 있는지 확인하는 것이고, 다른 하나는 우리가 원하는 가시성을 비즈니스의 모든 부분에 적용하고 있는지 확인하는 것입니다. 사람들은 흔히 문제를 겪을 때, ‘아, 이건 중요한 게 아니야’, ‘사소한 거야’ 등과 같은 생각을 하기 때문이죠.
그리고 공격자들은 이런 부분을 파고들어 우리를 궁지에 몰아넣습니다. 따라서 모든 것을 통합적으로 파악함으로써, 우리는 회사의 모든 부분에서 필요한 일을 제대로 하고 있는지 확인할 수 있습니다.
Clarke Rodgers:
그리고 Amazon 보안 또는 AMSEC 산하에 모든 사람이 활용할 수 있는 중앙 집중식 시스템도 있습니다.
Steve Schmidt:
모든 비즈니스에 근본적으로 동일하게 적용되는 사항이 많이 있습니다. 특정 유형의 데이터를 수집하는 방식, 해당 데이터를 분석하거나 보고하는 방식, 모든 개별 비즈니스가 동일한 작업을 반복해서 수행하도록 하는 대신 데이터를 한곳으로 옮기기로 결정하는 것 등입니다. 이를 통해 개발자 작업 시간 등을 절약할 수 있습니다.
따라서 대규모 운영을 고려한다면, 취약성 관리, 수집 엔진으로 돌아가서, 이를 위해서는 대기 중인 엔지니어가 필요합니다. 대기 조직을 운영해 본 적이 있다면, 대기 직원 한 명을 둘 경우 직무 이탈과 휴가 등 모든 상황에 효과적으로 대처하기 위해서는 약 7명의 직원이 있어야 한다는 사실을 아실 겁니다.
Clarke Rodgers:
우리는 직원들이 휴가를 즐기길 바라니까요.
Steve Schmidt:
맞습니다. 이를 한곳에서 다양한 비즈니스에 분산시키면, 중앙 집중식으로 더 낮은 비용으로 더 나은 도구를 얻을 수 있으므로 더 효과적으로 작업을 수행할 수 있습니다.
Clarke Rodgers:
서로 다른 모든 비즈니스의 보안 상태를 Amazon 이사회에 보고하기 위해 어떤 업무 관행을 개발했거나 따랐습니까?
Steve Schmidt:
우선 Amazon 이사회는 정말 흥미롭습니다. Amazon의 이사회만큼 전체 임원이 기술 전문성을 갖춘 이사회는 찾아보기 어렵습니다. 게다가 Amazon은 몇 년 전 보안 소위원회를 만들기로 결정했습니다. 일례로, 보안이 감사위원회에 보고되는 다른 많은 곳들과 달리, Amazon 이사회에는 보안만을 전담으로 다루는 전담 그룹이 따로 있습니다.
그건 훌륭한 일이기도 하지만, 동시에 그 과정에서 우리에게 많은 감시가 따른다는 의미이기도 합니다. 그래서 장기적으로 발전하는 보고 메커니즘을 만들어야 했습니다. 두 가지 이유 때문이죠. 첫 번째는 보고 업무를 더 효과적으로 할 수 있기 때문입니다. 두 번째는 장기적으로 이사회가 더 많은 정보를 얻게 되기 때문입니다. 이사회는 더 날카로운 질문을 던지고, 비즈니스 내 특정 영역에 대한 구체적인 세부 정보를 더 알고 싶어합니다. 우리는 일반적으로 대화를 나눌 때마다 비즈니스의 특정 구성 요소에 대해 이사회에 보고하는 것이 중요하다는 것을 알고 있습니다. 특정 부분에서 보안 기준을 충족하고 있나요?
게다가, 그들은 정말 관심 있어 하는 주제들이 있어서 ‘이 사업의 특정 부분에 대해 말해줘’라거나 ‘우리가 새로 시작하려는 이 부분은 위험할거 같으니 전체 개요를 알려줘’ 같은 요청을 하기도 합니다. 그리고 이는 우리로 하여금 일관된 구성 요소와 이사회의 관심사에 기반한 가변적인 구성 요소를 갖도록 해줍니다.
그리고 우리는 마지막에 시사라는 항목을 넣기로 결정했습니다. 이는 여러분이 뉴스에서 봤던 모든 내용 중에서 우리가 보기엔 특별한 교훈이나 시사점을 줄 수 있는 내용을 추려내어, 이사회에 정보 제공의 성격으로 제시하는 구성 요소입니다. 업계에서 이런 일이 발생했지만, 우리가 영향을 받지 않은 이유는 다음과 같습니다.
우리가 영향을 받지 않도록 이끈 투자는 다음과 같습니다. 저는 이러한 정보가 이사회의 입장에서 엄청난 가치가 있다고 생각합니다. 첫째, 그들은 우리가 좋은 입지를 확보하고 있다는 사실을 알고 있고, 둘째, 이는 향후 투자 결정을 내리는 데 도움이 됩니다. 그래서 우리가 “우리는 8년 전, 10년 전에 다중 인증에 투자했고, 그 덕분에 다른 대기업에 침투했던 특정 위협 행위자가 우리를 공격하지 못했다”고 말할 때, 그들은 “좋아, 훌륭하군요”라고 말하죠. 앞으로 10년 동안 문제를 계속 방지할 수 있도록 하기 위해 지금 계획해야 할 다른 투자 항목은 무엇인가요?
Clarke Rodgers:
CISO 고객 중 상당수가 이사회에 집중하고 있습니다. 그들 중 일부는 다른 사람들만큼 FaceTime 통화를 많이 하지 않습니다. 그리고 보안에 정통한 저희 이사회가 특별하다는 점을 이미 말씀하셨는데요. 이사회에 보고하는 CISO나 CSO 동료들이 주장을 효과적으로 전달하고 이사회의 언어로 말하는 데 도움이 되도록 어떤 조언을 해주고 싶으신가요?
Steve Schmidt:
이사회 임원들이 우리가 일하는 방식을 좋아하는 이유 중 하나는 바로 우리가 전문 용어를 피하는 데 매우 신경을 쓰기 때문입니다. CISO 직무를 맡은 많은 사람들은 기술적인 배경을 가지고 있고, 그들은 이사회에 보고할 때 우리가 설명을...
Clarke Rodgers:
비트와 바이트로 하기를 원하죠.
Steve Schmidt:
정확히 말하자면, 자신들이 생각하는 방식을 반영하기를 원하죠. 하지만 여기서는 이사회가 고객이라는 점을 기억해야 합니다. 따라서 우리가 이사회에 프레젠테이션할 때는 그들의 언어로 이야기해야 하고, 해당 이사회에 맞는 컨텍스트에서 이해할 수 있도록 설명할 방법을 찾아야 합니다.
따라서 첫 번째는 매번 보고 방식을 다르게 하지 말고 일관된 보고 방식을 찾는 것입니다. 그렇게 해야 사람들이 쉽게 이해할 수 있으니까요. 두 번째는 매번 보고할 때 꼭 전달해야 할 중요한 지표를 두세 가지 파악하는 것입니다.
지표로 사람들을 압도하지 마세요. 예를 들어 우리는 항상 취약성 관리에 대해 보고합니다. 이는 우리가 운영하는 가장 중요한 기본적인 보안 통제 수단이며, 누구나 운영할 수 있습니다. 그 후에는 투자해야 할 것이 무엇인지 개발하는 데 도움이 되는 흥미로운 추가 요소들이 무엇인지 파악하세요. 따라서 보고 프로세스의 구성 요소를 의도적으로 구분하세요.
Clarke Rodgers:
여기에 투자하면 리스크가 줄어드는 걸까요?
Steve Schmidt:
그렇습니다. 현재의 위험 감소와 미래 예측 위험 감소의 조합입니다. 미래 예측은 사실 보안 전문가로서 우리 업무에서 가장 어려운 부분일 수 있습니다. 우리가 사용할 수 있는 실존적인 증거가 없기 때문입니다. 많은 사람들이 이걸 보고 이렇게 말하죠. 그게 정말 필요한가요?
지금 당장 해야 돼요? 그렇게 크게 해야 하나요? 더 작게 하면 안될까요? 그런 논의는 우리가 모두 해야 하는 부분이고, 시간이 지나면서 이사회에 그와 같은 지식 기반을 쌓아야 합니다. 그리고 "이것과 비슷한 실제 악용 사례들이 있었고, 이와 유사한 상황이 우리에게도 1년, 2년, 3년 이내에 발생할 가능성이 크다. 따라서 지금, 아니면 몇 년 후에라도 우리가 반드시 조치를 취해야 한다"는 식으로 설명할 수 있어야 합니다.
Clarke Rodgers:
알겠습니다. Amazon은 혁신, 거꾸로 일하기, 고객의 의견 경청 등으로 유명합니다. 보안 리더로서 많은 선택지가 있습니다. 특히, CISO들이 Steve에게 보고할 때, 어떤 도구를 구매할지, 어떤 도구를 자체적으로 개발해야 할지에 대해 많은 결정을 내려야 합니다. 이러한 결정은 규모에 따라 달라지는 경우가 많습니다.
상용 소프트웨어는 Amazon의 규모에 맞게 확장되지 않을 수도 있으므로, 직접 무언가를 구축해야 할 수 있습니다. 지난 한 해 동안 우리는 Madpot, Mithra, Sonaris 등의 도구에 대해 공개적으로 이야기했습니다. CSO로서 이러한 도구에 실제로 엔지니어링 리소스를 투입할 비용을 확보하기 위해 어떻게 홍보해야 할까요? 그리고 아직 다루지 않은 다른 많은 도구들이 있을 것 같습니다. 어떻게 하면 그러한 도구가 투자 가치가 있고 우리가 이러한 도구를 통해 얻을 수 있는 가치에 대해 말할 수 있을까요?
Steve Schmidt:
물론입니다. 먼저 구매한 도구와 우리가 만든 도구를 구분해 보겠습니다. 이것이 중요한 출발점이라고 생각합니다. 우리는 도구가 상용 제품일 때 구매할 것입니다. 예를 들어 엔드포인트 탐지 응답 도구는 우리가 직접 구축하지 않고 구매합니다. 왜 그렇습니까? 우리가 사용하는 Mac 노트북, Windows 노트북, Linux 노트북도 다른 많은 사람들이 사용하는 것과 동일하기 때문입니다.
약간 다른 소프트웨어가 있을 수 있지만, 그런 소프트웨어가 우리 비즈니스를 차별화하지는 못합니다. 반면 Madpot과 같은 대규모 시스템을 구축할 수 있는 것은 Amazon뿐입니다. 다른 누구도 만들 수 없는 것을 만들 수 있다면 우리는 거기에 투자합니다.
우리가 그 투자 과정을 진행하는 방식은 우리가 다른 많은 일들을 처리하는 방식과 같습니다. 프로토타입을 만들고, 시도해 보고, 무엇이 효과가 있는지 파악합니다. 처음부터 제대로 할 수는 없을 거라고 장담합니다. 그래서 무언가를 리엔지니어링하고, 조금 바꾸는 등의 작업을 해야 합니다. 현재 Madpot은 엄청난 성공을 거두었지만 하룻밤 사이에 그렇게 된 것은 아닙니다. 수년에 걸친 투자가 있었기 때문입니다. 한 엔지니어가 “응, 이 아이디어가 정말 마음에 들어요”라고 말하면서 시작되었죠. 어떻게 적용되는지 한번 보자고 한 겁니다.
그리고 나서 우리가 매우 시의적절한 위협 인텔리전스 데이터를 획득할 수 있는 엔진으로 바뀌었으며, 우리는 그러한 데이터를 처리하고 모든 고객이 액세스할 수 있는 보안 도구에 그 데이터를 공급할 수 있게 되었습니다. 이게 가장 중요한 부분이라고 생각합니다. 예를 들자면, 많은 고객들이 원시 위협 인텔리전스 피드를 원한다고 말합니다.
하지만 사실 고객이 원하는 것은 그게 아닙니다. 고객이 정말로 원하는 것은 여러분이 현재 비즈니스 운영 상황에서 고객과 관련이 있는 데이터입니다. 나머지는 그저 노이즈일 뿐이고, 지금은 그 양이 너무 커서 우리 회사와 같은 비즈니스를 하지 않는 한 모두 처리하려고 시도하는 것은 무의미합니다.
그래서 많은 고객들이 위협 인텔리전스와 같은 것을 관리형 서비스의 일부로 활용하는 것을 매우 선호한다는 사실을 알게 되었습니다. 이 경우 고객이 매우 큰 데이터 더미를 정리하는 데 시간을 보내지 않아도 되고, 여러 고객에 걸쳐 적용되지 않아 컨텍스트를 놓치는 일이 없으니까요.
그 컨텍스트가 중요합니다. 그것이 바로 원래의 맞춤화와 상용화 문제로 돌아가서, 우리가 제공하는 중앙 집중식 가시성이 정말로 이점을 가져오는 부분입니다.
Clarke Rodgers:
그리고 내부적으로 사용하는 표현을 빌리자면, 이는 AWS/Amazon을 보호하는 데 도움을 주고, 동시에 고객들에게도 혜택을 더합니다. 그러니까 윈윈이죠.
Steve Schmidt:
그리고 전형적인 Amazon식 표현으로는 고객을 최우선으로 하며 모든 고객들이 더 잘 보호될 수 있도록 돕는 것부터 시작한다는 겁니다. 대부분의 Amazon 비즈니스가 Amazon AWS 고객이기 때문에 어쨌든 비즈니스에도 도움이 됩니다. 따라서 전반적으로 유익합니다.