비영리 단체가 사이버 보안 업계에 가르치는 것들

사이버 보안을 규정 준수나 위기 대응이 아닌 서비스 행위로 접근한다면 어떨까요?  

이 질문은 더 세그먼트의 최신 에피소드에서 시트라인 시큐리티의 창립자이자 CEO인 켈리 미사타 박사와 대화를 나눈 후에도 계속 떠올랐던 질문이었습니다.  

미사타가 사이버 보안에 입문하게 된 계기는 평범하지 않았습니다. 개인적인 일이었습니다. 익명화 기술을 사용하는 누군가에게 수년간 스토킹을 당한 후, 디지털 도구가 어떻게 보호하고 해를 끼칠 수 있는지 이해하기 위해 정보 보안 박사 학위를 취득했습니다.  

그 경험은 공감 우선의 접근 방식과 모든 사람을 위한 보안의 이해에 대한 그녀의 신념을 형성했습니다.

비영리 단체의 사이버 격차

미사타의 업무는 사이버 보안과 비영리 단체의 교차점에 위치하며, 미션 중심 조직은 종종 극히 적은 수익과 제한된 기술 지원으로 운영되는 경우가 많습니다.  

하지만 그렇다고 해서 정교함이나 목적이 부족하다는 의미는 아닙니다. 실제로는 그 반대인 경우가 많습니다.

가정폭력 쉼터, 푸드뱅크, 자살 예방 비영리단체 등 어떤 단체든 금전적인 문제뿐만 아니라 사람의 목숨이 걸린 문제입니다. 이는 사이버 보안에 대한 기존의 접근 방식이 항상 통용되는 것은 아니라는 것을 의미합니다.  

'자산 인벤토리'나 '제어 프레임워크'와 같은 용어는 사람들이 단순히 하루하루를 버티는 데 급급한 환경에서 추상적이거나 심지어 소외감을 느낄 수 있습니다.

켈리가 공유한 강력한 사례는 의도적으로 공개 포럼을 운영하는 한 자살 지원 단체에 관한 것이었습니다. 켈리가 잠재적 위험을 제기했을 때, 창립자는 커뮤니티가 참여하기 전에 관찰하고 안전하다고 느낄 수 있는 장소가 필요하다고 설명했습니다.

"이것이 바로 우리 커뮤니티에 필요한 것입니다."라고 창립자는 미사타에게 말했습니다.

그 순간 그녀는 보안 위험을 근절해야 할 대상이 아니라 신중하게 대처해야 할 대상으로 바라보는 시각이 바뀌었습니다.

일상적인 행동에 보안 구축

Misata는 사이버 보안을 사일로화된 IT 부서에만 맡기지 말고 일상적인 행동에 포함시키는 사고방식의 전환이 필요하다고 주장합니다.

"제 꿈은 우리가 한 발짝 물러나서 '어, 다시 생각해봐야겠어'라고 말하는 것입니다."라고 그녀는 말합니다. "그래서 '이런, 보안팀에 가서 이야기해야겠어'라는 생각 대신 잠시 멈춰야 할 것 같습니다."

이러한 문화적 변화에는 시간이 걸립니다. "보안 분야의 사람들은 이 문제에 대해 조급해하는 것 같아요."라고 그녀는 말합니다. "그리고 '괜찮아'라고 말할 수 있는 인내심을 조금만 가져주었으면 좋겠어요. 진전이 있었습니다. 그냥 계속 가자."

먼저 듣고, 그 다음 보안

이러한 사고방식은 미사타와 그녀의 팀이 비영리 단체에 적합한 언어로 보안 프레임워크를 번역하는 시트라인 시큐리티에서 하는 일과도 유사합니다. 그들은 말을 거칠게 하는 것이 아니라 먼저 경청합니다.

"사이버 보안에 대해서는 잘 알지만 여러분의 임무는 잘 모릅니다. 그러니 거기서부터 시작합시다."라고 그녀는 비영리 단체에 말합니다.

하지만 그녀는 성급하게 답을 내놓지 말라고 경고했습니다.

"슈퍼히어로처럼 나서지 마세요."라고 그녀는 말했습니다. "겸손한 자세로 임하세요. 어떻게 운영되는지 물어보세요. 그들은 무엇을 중요하게 생각하나요? 그래야 발전할 수 있습니다."

또한 비용 효율적인 솔루션이 필수적인 비영리 환경에서 특히 오픈 소스 소프트웨어의 역할이 커지고 있는 것에 대해서도 논의했습니다.  

미사타의 조언: 오픈 소스 프로젝트를 타사 공급업체처럼 취급하세요. 질문하기. 거버넌스를 이해합니다. 누가 코드를 유지 관리하는지 파악하세요.

제로 트러스트 세상에서 사이버 보안 신뢰 구축하기

제로 트러스트는 사용자 검증, 네트워크 세분화, 암묵적 신뢰 제거 등 아키텍처 측면에서 자주 이야기합니다.  

하지만 미사타의 작업은 제로 트러스트가 문화적 태도이기도 하다는 점을 상기시켜 줍니다. 사람, 기술, '좋은 보안'이 무엇인지에 대해 가정하지 않는 것이 중요합니다.

대신 호기심에 관한 것입니다. 조직이 있는 곳에서 조직을 만나서 '여러분의 상황에서 보안을 위해 무엇이 필요한가'라고 묻는 것입니다.

미사타의 메시지는 속도와 통제를 중시하는 세상에서 신선하고 인간적인 메시지를 전합니다. 보안은 방에서 가장 똑똑한 사람이 되는 것이 아닙니다. 경청하고, 배우고, 적응하는 등 가장 현재에 집중하는 것이 중요합니다.

그녀의 이야기는 진정한 사이버 복원력은 완벽한 도구나 빈틈없는 경계에서 나오는 것이 아니라는 사실을 일깨워줍니다. 이는 사람들의 두려움, 사명, 현실 등 사람에 대한 깊은 이해에서 비롯됩니다.

이것이 중요한 작업입니다. 그리고 그 시작은 말하는 것이 아니라 묻는 것에서 시작됩니다.

더 세그먼트를듣고, 구독하고, 리뷰하세요: 제로 트러스트 리더십 팟캐스트

켈리 미사타 박사와의 전체 토론을 듣고 싶으신가요? 이번 주 에피소드는 Apple 팟캐스트, Spotify 또는 어디서든 팟캐스트를 들을 수 있는 곳에서 들을 수 있습니다. 에피소드 전문을 읽어보실 수도 있습니다.