효과가 있는 말: 버진 머니 CISO 닐 로빈슨, 권력을 향한 보안의 말하기
몇 주 전, 보안 업계에 폭탄이 떨어졌습니다.
앤트로픽의 프론티어 AI 모델인 클로드 마이토스는 32단계의 공격 시퀀스를 자율적으로 연결할 수 있음을 보여주었습니다. 이전에는 엘리트 공격수들이 며칠에 걸쳐 작업해야 했던 정교한 멀티 피벗 측면 이동이 가능합니다.
몇 시간 만에 CISO WhatsApp 그룹에 불이 붙었습니다. 그리고 며칠 만에 사이버 보안에 대해 단 한 번도 질문한 적이 없던 이사회 멤버와 최고 경영진이 갑자기 CISO에게 전화를 걸기 시작했습니다.
제가 아는 많은 보안 리더들에게 그 순간은 검증과 압박의 연속이었습니다.
최근 더 세그먼트 팟캐스트의 한 에피소드에서 버진 머니의 CISO인 닐 로빈슨과 함께 이러한 역학 관계에 대해 자세히 알아볼 기회가 있었습니다. 그는 Virgin에서 5,200만 파운드 규모의 보안 강화에 착수한 지 3년이 되었으며, 보안에 관한 대화를 조직의 행동으로 전환하는 데 실제로 필요한 것이 무엇인지 깊이 고민했습니다.
보안 유창성: 청중의 언어로 말하기
대화 초반에 Neil은 CISO의 역할을 여러 가지 면에서 "수석 스토리텔러"의 역할이라고 설명했습니다. 그리고 닐은 정직하지 않으면 아무것도 아니기 때문에 즉시 자신의 프레임에 대해 반박했습니다.
"그것은 사실이며, 똑같이 거짓입니다."라고 그는 말했습니다.
그가 말한 것은 스토리텔링 라벨이 스핀이나 포장처럼 들릴 수 있다는 것이었습니다. 하지만 진정한 기술은 빠르게 변화하는 고도의 기술적 위험을 고객, COO 또는 배송보다 패치 우선순위를 정해야 하는 엔지니어 등 대화 상대가 누구든 실제로 공감할 수 있는 언어로 번역하는 것입니다.
예를 들어
- 고객과 휴대폰 소프트웨어 업데이트에 대한 대화를 나눌 수도 있습니다.
- COO는 위험에 처한 비즈니스 서비스에 관한 것입니다.
- 엔지니어링 팀이 더 빨리 제품을 출시해야 하는 상황에서는 데이터를 책임지고 있는 사람들을 보호해야 하는 도덕적 의무가 있습니다.
동일한 보안 현실이지만 완전히 다른 세 가지 대화의 렌즈를 통해 살펴봅니다.
이러한 사용자 우선 원칙은 많은 보안 프로그램이 잘못하고 있는 부분입니다. 보안 팀은 보안 정보에 대해 조치를 취해야 하는 사람들이 고객 영향, 운영 연속성 또는 경쟁 압력의 관점에서 생각할 때 CVE 점수, MTTR 또는 공격 표면 메트릭과 같은 기술적 프레임워크를 기본으로 사용하는 경향이 있습니다.
이 두 언어 사이의 간극은 보안 프로그램이 추진력을 잃는 지점입니다.
뉴스 사이클이 완벽한 보안 대화의 시작이 될 때
대화의 시작을 알린 AI 헤드라인의 순간은 실제로 외부 이벤트가 CISO의 내부 커뮤니케이션 역학을 어떻게 변화시킬 수 있는지에 대한 유용한 사례 연구입니다.
닐은 이 발표가 많은 관심을 받은 것은 발표를 한 사람 때문이라고 예리하게 관찰했습니다.
언론에 많이 알려진 유명 AI 회사인 Anthropic은 평소 사이버 보안을 면밀히 추적하지 않는 경영진과 이사회 멤버를 대상으로 뉴스 이벤트를 만들었습니다.
보안 리더들이 수년 동안 기계의 속도와 위협 환경의 속도에 맞춰 운영해야 한다고 주장해 온 대화에 갑자기 귀를 기울이지 않고 귀를 기울이는 청중이 생겼습니다.
닐은 "많은 이사회 멤버와 임원들이 Anthropic 발표에 대해 이야기하고 있습니다."라고 말했습니다. "기계의 속도로 대응할 수 있는 능력은 적어도 지난 1년 동안 사이버 보안 분야에서 모니터링해온 주제였습니다. 이번 발표는 그러한 대화에 도움이 될 것이라고 생각합니다."
보안 리더가 여기서 얻을 수 있는 교훈은 뉴스 사이클을 타는 것이 아니라, 외부 이벤트가 주기적으로 경영진의 진지한 보안 대화에 대한 욕구가 급증하는 시기를 만든다는 점을 인식하는 것입니다. 보안 상태, 위험 프로필, 투자 우선순위에 대해 명확하고 쉬운 언어로 설명할 준비가 되어 있는 CISO는 이러한 창구가 열렸을 때 실질적인 진전을 이룰 수 있는 사람입니다.
닐은 승리주의에 빠지지 않도록 조심스럽게 프레임을 구성했습니다. 네, 관심이 집중되는 순간입니다. 그러나 매우 다른 출발점과 다른 속도로 이 주제에 접근하고 있는 이해관계자들도 참여하게 됩니다.
"우리는 거품 바깥에 있으면서 현재 일어나고 있는 변화를 모니터링하고 관찰하지 않았던 사람들과 진지하게 소통해야 합니다."라고 그는 말합니다. "그리고 우리는 사람들이 서로 다른 시간에 서로 다른 장소에서 이곳에 온다는 점을 존중해야 합니다."
원하는 곳이 아니라 있는 곳에서 사람들을 만나는 인내심이야말로 CISO에게 필요한 실질적인 기술입니다.
인프라 작업을 고객 성과로 연결
대규모 보안 프로그램에서 가장 고질적인 문제 중 하나는 인프라 수준에서 발생하는 기술 작업과 조직이 실제로 관심을 갖는 고객 결과 사이의 거리가 너무 멀다는 점입니다.
네트워크 디바이스 패치, VLAN 세분화, 엔드포인트 에이전트 업데이트 등 이러한 모든 작업은 고객이 안전하게 결제할 수 있는지 또는 데이터가 보호되고 있다는 신뢰와 관련이 있다고 느껴지지 않습니다.
닐은 버진 머니 내부에서 이러한 격차를 해소하는 방법에 대해 신중하게 고민했으며, 그의 접근 방식은 간단합니다. 모든 것이 다시 고객과 연결됩니다.
"우리의 임무는 은행의 고객을 안전하게 보호하고, 데이터를 안전하게 보호하고, 결제를 안전하게 보호하는 것입니다."라고 그는 말했습니다. "우리가 하는 모든 일은 이를 위한 것입니다."
말만 들어서는 뻔한 말처럼 들립니다. 그러나 취약성 관리부터 애플리케이션 보안, 네트워크 제어에 이르기까지 모든 업무를 수행하는 150명의 보안 팀에서 이러한 방향을 일관되게 유지하려면 신중한 노력이 필요합니다.
가장 중요한 것은 지루한 일이 왜 중요한지 명확하게 설명할 수 있는 리더가 필요하다는 것입니다. 레거시 운영 체제를 패치하는 것이 고객의 비용을 보호하는 이유. 네트워크 세분화 프로젝트가 랜섬웨어 공격의 폭발 반경을 제한하는 이유. 규정 준수 관리에 소요되는 시간이 고객 신뢰를 흔들 수 있는 규제 사건을 예방하는 데 도움이 되는 이유입니다.
이는 특히 최종 사용자에게는 보이지 않고 고객 대면 결과와는 거리가 먼 제로 트러스트 프로그램과 관련이 있습니다.
마이크로세분화 정책을 구축하거나 최소 권한 액세스를 시행하는 팀은 헤드라인에 등장하지 않습니다. 이러한 인프라 작업과 조직의 핵심 사명 간의 연관성을 반복적으로 명시하는 것은 보안 리더가 프로그램에 자금을 지원하고 우선순위를 정하는 방법의 일부입니다.
패치 문제: 인간의 판단이 여전히 중요한 이유
대화의 상당 부분을 평범해 보이지만 실제로는 모든 보안 프로그램 중 가장 많은 것을 드러내는 스트레스 테스트 중 하나인 패치 관리에 대해 이야기했습니다.
대기업에서 패치 적용이 어려운 이유는 패치 배포 여부에 대한 결정이 거의 간단하지 않기 때문입니다. 이 과정은 보통 다음과 같이 진행됩니다:
- 에셋에서 무엇이 실행되고 있는지 알아야 합니다.
- 소유자가 누구인지 알아야 합니다.
- 어떤 애플리케이션이 업데이트에 의존하고 있는지, 해당 애플리케이션이 업데이트에 대해 테스트를 거쳤는지 알아야 합니다.
- 변경 창이 필요합니다.
- 승인자가 필요합니다.
- 패치를 프로덕션 환경에 적용하기 전에 패치가 실제로 작동한다는 증거가 필요합니다.
이러한 각 단계에는 여러 팀에 걸친 판단이 필요하며, 그 중 하나라도 잘못될 경우 심각한 결과를 초래할 수 있습니다.
닐은 이러한 절차적 작업의 상당 부분이 자동화되는 에이전트-AI의 미래에 대해 설명했습니다. AI 에이전트는 구성 관리 데이터베이스를 탐색하고, 자산 소유자를 상호 연관시키고, 관련 컨텍스트를 인간 승인자에게 표시하고, CVE 공개에서 해결까지 걸리는 시간을 획기적으로 단축할 수 있습니다.
그는 특히 클라우드 환경을 위해 이러한 종류의 워크플로를 프로토타이핑하는 스타트업을 많이 보았습니다.
하지만 우리가 아직 거기에 도달하지 못한 이유는 거버넌스 때문이라고 그는 분명히 말했습니다. 중요한 운영 워크플로에 자율 AI 에이전트를 배포하려면 대부분의 조직이 아직 구축하지 못한 수준의 ID 제어, 통합 가시성 및 책임 인프라가 필요합니다.
"우리는 AI 모델이 자율적으로 작동하도록 허용하는 것에 대해 당연히 매우 보수적인 입장을 취하고 있습니다."라고 그는 말합니다. "가드레일이 있어야 하고, 이러한 인프라의 많은 부분도 잘 제한되고 준수됩니다."
여기서 보안 리더가 직면한 커뮤니케이션 과제는 사실 더 넓은 범위에서 직면한 문제와 동일합니다. 보상은 추상적이고 비용은 현실적인데, AI 에이전트를 위한 거버넌스 인프라에 투자하는 것이 보안 우선순위인 이유를 이사회나 예산 위원회에 어떻게 설명할 수 있을까요?
그렇지 않을 경우 어떤 일이 벌어지는지 이야기합니다. 즉, 사람이 아닌 ID를 고려하도록 설계되지 않은 보안 아키텍처에서 감사 추적 없이 권한이 있는 자율 에이전트가 작동하게 됩니다.
훌륭하고 정직한 스토리텔링: 최고의 보안 리더들이 항상 알고 있는 것들
닐이 말한 모든 내용에는 보안 프로그램이 대규모로 성공하거나 실패하는 요인의 핵심을 꿰뚫고 있다고 생각합니다.
기술은 거의 제한적인 요소가 아닙니다. 보안을 담당하는 사람들이 복잡한 조직 전반에서 실제로 행동을 변화시킬 수 있을 만큼 명확하고 일관성 있게, 적절한 대상에게 적합한 언어로 커뮤니케이션할 수 있는지 여부입니다.
이는 운영 위험 측면에서 '중요한 비즈니스 서비스'가 실제로 무엇을 의미하는지 COO에게 안내하는 것을 의미합니다. 하지만 이는 불확실성에 대해 솔직해지는 것을 의미하기도 합니다.
닐은 이러한 모델을 범죄 규모에 맞게 배포할 때의 경제성, 얼마나 많은 소음을 발생시키는지, 오픈소스가 동등한 수준에 도달하는 속도 등 최신 AI 기능에 대해 아직 알지 못하는 부분에 대해 솔직하게 이야기했습니다.
좋은 보안 스토리텔링은 위험 범위를 전달하고, 알려지지 않은 것을 인정하며, 통제할 수 있는 것에 조치를 집중합니다.
"궁극적으로 우리가 도달할 곳은 AI 모델이 스스로 보안 코드를 배포하는 더 나은 세상이라고 생각합니다."라고 Neil은 말합니다. "내가 맞기를 바라자."
미래에 대한 솔직한 불확실성과 궤도에 대한 낙관론, 그리고 지금 해야 할 일에 대한 명확한 초점의 조합은 바로 조직을 움직이게 하는 내러티브입니다.
이는 최고의 보안 리더들이 항상 해왔던 일이며, 오늘날에는 그 어느 때보다 더 중요한 가치입니다.
더 세그먼트의 전체 에피소드를 들어보세요 : 제로 트러스트 리더십 팟캐스트 Apple 팟캐스트, Spotify또는 당사 웹사이트.
