현상 유지에 대한 의문 제기

00:05 리처드 버드 — 오프닝 인용문

“더 많이 배포할수록 더 많이 탈중앙화되고 더 많이 파편화됩니다.노코드, 로우코드 등의 경로를 더 많이 사용할수록 서버리스 환경으로 전환하게 됩니다. 우리는 악의적인 공격자를 위한 풍부한 공격 대상 환경인 분산 환경을 만들고 있을 뿐이며 보안 관점에서 관리하기가 매우 어려운 환경을 만들고 있을 뿐입니다.”

00:28 라구 난다쿠마라

제로 트러스트 리더십 팟캐스트인 The Segment에 오신 것을 환영합니다.저는 호스트입니다. 제로 트러스트 세그멘테이션 회사인 Illumio의 산업 솔루션 책임자인 라구 난다쿠마라입니다.오늘은 API 보안의 선두주자인 트레이서블의 최고 보안 책임자인 리처드 버드가 저와 함께합니다.기업 및 스타트업 세계에서 수십 년간 사이버 보안 및 IT 경험을 쌓았습니다.리처드는 사이버 이론 제로 트러스트 연구소의 선임 연구원이자 사이버 에드보드 (Cyber Edboard) 의 임원이기도 합니다.타투, 나비 넥타이, API 보안, 제로 트러스트, 디지털 ID에 대한 전문적인 통찰력으로 전 세계적으로 유명합니다.오늘 Richard는 우리와 함께 사이버 보안의 인지 부조화와 제로 트러스트와 API 보안의 교차점을 해결하는 비전통적인 기술자가 되는 방법에 대해 논의합니다.그래서 이번 팟캐스트에서 제로 트러스트의 대부 역할을 맡게 되어 정말 기뻤습니다.제로 트러스트 박사를 직접 만나본 적이 있습니다.우리는 다른 사이버 보안 및 기술 전문가들도 많이 보유하고 있습니다.하지만 팟캐스트에 록스타가 출연한 것은 정말 처음입니다.오늘 게스트인 트레이서블 AI의 최고 보안 책임자인 리처드 버드를 맞이하게 되어 정말 기쁩니다.리처드, 함께 해주셔서 감사합니다.

02:01 리처드 버드

대화에 매우 흥분됩니다.초대해 주셔서 감사합니다.

02:04 라구 난다쿠마라

나보다 더 흥분될 순 없어, 리처드당신의 LinkedIn 프로필을 보고 있었는데, 적어도 우리랑 비슷한 커리어를 가지고 있다는 걸 알게 됐어요.우리 둘 다 금융 서비스 업계에서 15~20년을 근무한 후 “벤더 랜드”로 이전했습니다.이 시점에서 비교는 모두 멈춥니다.본론으로 들어가기 전에 비슷한 점이 있다는 점을 말씀드리게 되어 정말 기쁩니다. 자신에 대한 약간의 배경 지식과 오늘 하고 있는 일을 하게 된 계기에 대해 말씀드리겠습니다.

02:31 리처드 버드

글쎄요, 저를 여기로 데려온 건 당신이 언급한 수상한 캐릭터들과 제 친구들과의 교감이었다고 생각합니다.체이스 커닝햄과 존 킨더백 (John Kindervag) 에 대해 이야기할 때, 이 토론 과정에서 함께 나누게 될 이야기들은 서로의 특정한 경력 궤도에 참여하거나 전문성과 배경의 통제 영역에 참여하기 위해 지속적으로 자원봉사를 해왔던 방식을 중심으로 돌아가게 됩니다.그 결과 다양한 채널에서 함께 활동하거나 어느 한 쪽의 자원봉사를 통해 저도 함께 할 수 있는 시너지 효과를 낼 수 있는 좋은 기회가 생겼습니다.그래서 저는 그냥 좋은 친구로 지내고 있어요. 그게 제가 여기 있는 이유인 것 같아요.하지만 분명 그럴 거예요. 몇 년 동안 같은 말을 반복해서 했더니 제 약력이 좀 지겨워졌어요.하지만 네, 저는 20년, 거의 25년 동안 회사에서 일했어요.그리고 그 25년 동안 16~17년 정도가 은행 및 금융 서비스, 결제 처리, 인터넷 버블의 초기 시대, 개인 간 결제 등 다양한 분야에서 일했고, 특히 JPMorgan Chase의 서비스로서의 중앙 집중식 정보 보안이 처음 시작되었을 때 친구 및 동료들에 의해 정보 보안 분야로 선출되었습니다.사람들에게 제가 체이스에서 보낸 총 연수는 11년이었다고 말해요. 제 인생에서 다시는 돌아오지 못할 137년이에요.도그뱅커 시절이면 분명 나이가 드실 거예요.하지만 저는 또한 많은 것들이 오늘날 조직과 기업들에 초점이 맞춰지고 있는 많은 것들을 초창기에도 많이 봤어요. 체이스와 같은 조직이 십여 년 전에 겪었던 문제들이었죠.하지만 그 당시에는 체이스와 같은 조직이 해결해야 할 재정적 자원과 전문 지식을 가지고 있었다는 것도 사실입니다.그래서 저는 항상 사람들에게 제가 전문가가 아니라고 말하고 싶어요.다른 많은 사람들이 보안 요원보다 먼저 구타를 많이 당하고 타박상과 흉터가 쌓였어요.그리고 저는 보통 훌륭한 모범 사례보다 하지 말아야 할 일에 대해 더 잘 알려주는 글을 씁니다. 왜냐하면 저는 제 경력에서 많은 잘못을 저질렀지만 그래도 살아남아 오늘도 여러분과 이야기할 기회를 얻었기 때문입니다.

04:51 라구 난다쿠마라

당신이 그런 말을 하는 걸 듣고 정말 많이 웃고 있었어요. 제 경험과 완전히 공감하기 때문이죠.이러한 문제들이 너무 많아서 다른 조직이나 다른 업계에서도 같은 문제를 겪기 몇 년 전에 볼 수 있는 경우가 많습니다.근본적으로 상처가 있다는 것이죠. 이제 반대편에 합류해서 “네, 이렇게 문제를 해결해야 합니다.” 또는 “이게 제가 배운 교훈이고, 여러분이 더 잘할 수 있는 방법은 다음과 같습니다.” 라고 말할 수 있는 거죠.그거랑 완전 연관이 있네요더 진행하기 전에, 트레이서블에서 하고 있는 일에 대해 말씀드리게 되어 정말 기쁩니다.하지만 조 스트러머 (Joe Strummer) 와 음악이 커리어에 미친 영향에 관한 LinkedIn 게시물을 재밌게 읽었습니다.음악에 대한 관심, 음악에 대한 열정이 오늘날 핵심 아이디어와 10가지 주요 과제에 대해 생각하고 전달하는 방식에 어떤 영향을 미쳤는지 더 자세히 설명하기 전에 먼저 청중들과 공유해 주셨으면 합니다.

05:57 리처드 버드

글쎄요, 당신이 그걸 꺼내줘서 정말 기뻐요. 왜냐하면 제가 작업하고 있는 것에 대해 뻔뻔한 이야기를 할 수 있는 기회가 될 것이기 때문이죠.하지만 공유할 수 있는 기회도 생겼어요.제 커리어에서 정말 자랑스럽게 생각하는 것은 거의 없습니다.제가 정말 자랑스럽게 생각하는 것 중 하나는 비전통적인 기술자가 된 것에 대해 스스럼이 없다는 것입니다.저는 MIS나 CIS 출신도 아니었고, 기술 거래에서 문제가 있다고 말하는 것도 아닙니다.하지만 저는 완전히 다른 길에서 태어났어요.저는 정치학을 전공하고 국제 관계 이론을 전공했고 일본어를 부전공했습니다.그리고 저는 건설 프로젝트 매니저였습니다.군대에서 제대한 후, 프로젝트 관리가 기술 분야에서 매우 중요한 기술이었던 시기가 바로 그 무렵이었습니다. 그리고 제가 볼 수 없었던 무언가를 누군가 제 안에서 보게 되었죠.그리고 그들은 저를 고용했어요.그리고 그 사람은 거의 30년이 지난 지금도 여전히 멘토입니다.제가 그런 배경을 공유하는 이유는 기술적이든 아니든 사회에서 일어나고 있는 문제에 대해 열정적인 연설자가 되는 것, 열정적인 발표자가 되는 것, 또는 열정적인 연구자가 되는 것에 대한 시금석이 되기 때문입니다.이것이 바로 뮤즈에 대한 개념, 예술적 개념입니다.영감을 주는 것은 열정을 느끼는 것과는 다릅니다.여러분과 저에게 영감을 주는 것은 예술과 매우 밀접하게 연관되어 있다는 것입니다.음악도 그 중 하나죠.그리고 제가 쓴 곡이 많은 사람들의 마음과 영혼에 조금이나마 감동을 주는 것 같거든요.아시다시피 저는 펑크 록 음악의 초창기에 자랐어요.부끄럽지 않아요. 아마 어렸을 때 그 생각이 반대론적이거나 냉소적이거나 심지어 반체제적인 사고였을 수도 있고 지금도 여전히 존재하고 있습니다.저는 20년도 채 안 되어 기업 세계에 묻어뒀습니다. 대중 앞에서 말을 할 수 없고 생각을 공유하는 것도 허용되지 않았죠.팟캐스트에 참여하려면 17가지 승인을 받아야 합니다. 공개적으로 발언하는 것은 고사하고 말이죠.그리고 저는 25년 동안 그 일을 제한했습니다.누군가 제게 “어떻게 그렇게 엉뚱한 비유나 은유를 생각해 냈어요?” 라고 물었을 때 그 부분이 떠올랐습니다.아니면 “사물에 대해 취하는 스토리텔링 접근법 전체죠.”제가 말했죠. “음, 두 가지예요. 첫째, 저는 어선 선장의 아들로 자랐기 때문에 스토리텔링 전공으로 박사 학위를 받았어요.”두 번째는 제 과거와 제 경험에서 비롯된 이 모든 요소들, 음악을 들으며 자랐고, 훌륭한 작사가들과 음악가들이 그들의 말을 통해 사회의 이슈와 문제를 공격하는 것을 들었다는 것입니다. 제 개인적으로는 자연스러운 영감과 동기 부여의 시금석이 되었습니다.”공개적으로 연설할 때 제 목표 중 하나는 사람들과 진정으로 정서적으로 소통하는 것입니다.그건 복잡해요. 왜냐하면 여러분은 하나의 감정과 연결되지 않기 때문이죠.음악과 마찬가지로, 우리는 하나의 감정으로 연결되지 않습니다.누군가는 노래를 들으면 기뻐할 수도 있지만, 환희와 춤은 그 경험의 두 가지 다른 구성 요소이지 한 가지가 아닙니다.그리고 제가 셰임리스 플러그 (Shameless plug) 라고 말했죠. 저는 지난 5~6년 동안 이런 성격과 말하기, 그리고 그런 역할을 해왔기 때문에 제가 경험한 것과 제가 생각하는 것은 가르칠 수 있는 일이라는 것을 깨달았습니다.저주할 거예요. 하지만 저는 라는 책을 최종 편집하는 중이에요.12명으로 유명함.부제는 아무도 신경 쓰지 않는 분야에서 국제적으로 인정받는 전문가가 되는 방법에 대한 커리어 가이드입니다.이 책의 컨셉은 지난 5~6년 동안의 여정에서 아주 유명한 사람들을 엄청나게 많이 만났다는 것입니다.그리고 그 유명한 사람들 대부분은 저와 같습니다.그들은 우리의 경력이나 업무 경험과는 거리가 먼 것들로부터 영감을 받았습니다.그리고 이렇게 아주 유명한 사람들은 보안 요원만 있는 게 아니에요.비행기에서 어떤 남자 옆에 앉았는데 이야기를 나눴더니 그가 말했죠. “네, 음, 저는 스턴트 코디네이터예요.”비행기에서 내렸는데 그가그스턴트 코디네이터.그는 할리우드의 다른 모든 스턴트맨과 스턴트우먼을 가르치는 사람이에요.그를 팔로우하는 사람이 천 명이나 되잖아요.전에 그에 대해 들어본 적이 없는 줄 알았는데 아마 다시는 그에 대해 듣지 못할 것 같았어요.하지만 누군가가 사람들의 삶에 그런 영향을 미칠 수 있다는 것은 정말 흥미로운 역동성입니다.조 스트러머의 작품을 쓰는 데 필요한 모든 에너지는 바로 여기서 비롯된 거죠.록스타와 뮤지션이 되지 않기 위해 우리가 할 수 있는 게 뭐가 있을까요?그와 같은 흥분, 동기, 열정을 불러일으키고 우리 전문 분야의 다른 사람들에게 뮤즈가 되려면 어떻게 해야 할까요?이것이 바로 이 모든 것이 실현된 방식입니다.

11:12 라구 난다쿠마라

정말 마음에 들어요.공유해 주셔서 정말 감사합니다.그리고 저의 겸손한 부탁이 하나 있습니다. 그 책이 출판되면 단순한 전자책이 아닌 실제 책 형식이 되었으면 좋겠습니다.본인이 직접 사인한 복사본이 있으면 좋겠어요.

11:27 리처드 버드

그게 계획이야.저는 아직 종이를 사랑할 만큼 나이가 많아요.

11:12 라구 난다쿠마라

아내는 제가 책을 사는 이유가 단지 책장을 채우기 위해서라고 농담을 합니다.그리고 저는 이렇게 말하죠. “네, 뻔뻔하게도 제가 통화 중일 때 배경으로 쓰는거에요.”하지만 여러분이 만든 스토리텔링 포인트는, 그리고 이야기를 전달하기 위한 영감을 얻으면서 개인적으로 오늘 제가 하고 있는 역할에서 발견하셨을 겁니다. 그리고 여러분도 분명 여러분의 역할에서 발견하실 수 있을 겁니다. 우리 회사가 만드는 제품의 기술적 가치를 구매자의 본질, 그리고 실제로 구매자가 달성하고자 하는 결과와 연결하는 것이 매우 중요하다고 생각합니다.기술에 관한 것도 아니고, 어떤 일을 어떻게 하느냐가 중요한 것도 아닙니다.제가 어떻게 도와드릴지가 관건이에요.왜 그게 너한테 중요해?스토리텔링이 정말 중요하다고 생각해요. 그렇죠?

12:15 리처드 버드

글쎄요, 글을 쓰는 과정에서 그런 생각을 하게 될 뿐만 아니라, 저한테는 자연스럽지 않아요.긴 형식의 글쓰기는 저한테는 자연스럽지 않아요.글을 쓰는 과정에서 왜 특히 보안 때문에 우리가 서로 소통하는 데 어려움을 겪는지 알아내야 했어요.우리는 의사소통에 어려움을 겪고 있습니다. 비즈니스 문제는 다음과 같습니다. 해결하도록 도와야 합니다.기술 솔루션 제공업체로서 우리는 기술 전문가로서 제가 가진 비즈니스 요구 사항인 이 문제로 어려움을 겪고 있습니다.그리고 기술자들은 그걸 이해하지 못하죠.그리고 제가 깨달은 것은 시장에 있는 사람들에 대해 이야기하면서 우리가 구매자들에게 문제를 해결할 수 있는 길을 제시하려고 노력하고 있다는 것입니다. 정말 보편적으로 추상적인 계층에서 작동하고 있다는 것이죠.이것은 추상화입니다.그들은 문제가 있다는 것을 알아차리고 뉴스에서 어떤 종류의 침해나 해킹을 목격한다는 것을 알아차립니다.하지만 이런 나쁜 일이 일어나지 않도록 당기거나 밀거나 비틀거나 조율해야 하는 조직 내의 다양한 지렛대, 부품, 상대와 이를 동일시하는 것이죠.정말 어려운 일이죠.그리고 엔지니어, 솔루션 엔지니어, 보안 아키텍트에게 다시 물어보면 말이죠.우리는 모두 사양의 세계에 살고 있습니다.우리는 모두 이런 지렛대에 대해 이야기하고 있고, 그 스위치에 대해 이야기하고 있습니다... 그리고 인지적 부조화 격차도 커요.그런 일이 일어납니다.저는 스토리텔링이 그 간극을 메우는 주요 구성 요소 중 하나라고 생각합니다.서로 다른 개체들 사이에 보편적인 번역 계층이 생길 수 있습니다.결국 우리는 모두 같은 일을 하면서 이러한 문제를 해결하려고 노력하기 때문이죠.우리가 스스로에게 물어볼 때, 왜 그렇게 느리게 가서 거기에 도달하는 걸까요?그 중 많은 부분이 바로 이것 때문이라고 생각합니다. 의사소통과 이해의 상당한 단절이죠.즉, 저는 추상화 계층에서 작업하고 있고 사양 계층에서 작업하고 있습니다.이 모든 것을 하나로 묶을 수 있는 방법은 없습니다.스토리텔링이 그 핵심 요소라고 생각해요.

14:38 11:12 라구 난다쿠마라

인지 부조화음이라는 용어를 사용하시는데, 사실 믿지 않으실 겁니다. 하지만 저는 이걸 연구하면서 여러분이 내놓은 다른 글들을 듣고 인용하자면, “인지 부조화, 제가 문제를 가지고 있다는 것을 아는 것과 그에 대해 뭔가를 하고 있는 것 사이에는 엄청난 격차가 있습니다.”자, 이제 그 수준에 도달하는 것을 좀 더 파헤쳐 보죠.여러분의 경험에서 이런 것을 보셨을 겁니다. 그리고 저는 제 경험에서 여러분이 평가를 하는 것을 보았습니다.레드 팀 운동을 한다고 가정해 봅시다.취약한 부분을 찾아내서 이렇게 말하세요. “아, 네, 제가 취약하다는 거 알아요.뭔가 조치를 취해야 한다는 거 이해해요.”6개월 후, 12개월 후에 연습을 반복해도 똑같은 취약점이 존재합니다.뭔가 조치를 취해야 해요. 반복, 반복, 반복.왜 그런 격차야?도약해서 고쳐야 할 문제를 해결할 수 없는 이유는 무엇일까요?

15:35 리처드 버드

네, 거기에 몇 가지 구성 요소가 있습니다.첫 번째는 격차가 지식과 위협, 지식과 위험, 지식과 경험 사이의 격차를 나타낸다는 것입니다.제가 군대에 있다고 말씀드린 적이 있습니다.우리 학교 중 한 곳을 돌아다닐 때 훈련병 한 명이 있었어요.그리고 한 젊은 부대가 들어와 그들 앞에 서서 우리가 특정 훈련에서 겪고 있는 상황에 대해 불평하고 있었습니다.훈련 상사가 그를 쳐다보더니 말했죠. “듣고 있긴 한데 잘 안 느껴져요.”저는 그게 훌륭하다고 생각했어요.몇 년 동안 사용해 왔어요.그가 말했죠. “네 문제를 등록할게.하지만 제가 할 수 있는 일이나 할 수 있는 일은 없습니다.그리고 제 생각에 기업 세계에는 그런 것들이 많이 있는 것 같아요. 돌을 던지기가 쉽기 때문이죠.제가 가진 장점 중 하나는 돌이 조금 덜 세게 던질 수 있다는 점이라고 생각해요. 왜냐하면 제가 벽 옆에 서 있었기 때문이죠.우선 순위가 서로 상충되는 부분이 너무 많다는 점을 저는 잘 알고 있었습니다.레코딩 플랫폼이 너무 많고 문제가 너무 많아요.몇 년 동안 우리가 연구해 온 분야에서 위험을 줄이기 위해 모든 프로그램이 무산되었습니다. 어떤 경영진이 전화를 걸어 “이봐, 내가 어떤 컨퍼런스에 갔는데, 이건 들었어, 당신들은 이제 그 일을 시작해야 해.” 라고 말했기 때문입니다.기업 세상에는 방해 요소가 엄청나게 많아요.따라서 어떤 것에 대해 아는 것만으로는 충분하지 않습니다.그리고 저는 우리가 어떤 사물에 대해 아는 것이 행동 변화를 이끌지 못한다는 것을 계속해서 증명하고 있다고 생각합니다.물건과 관련된 위험을 완화하는 것과 관련이 있기 때문에 위험 거래에서는 이를 되돌려 놓아야 합니다.위험 거래는 지난 수년간 비용과 위험으로 인한 결과를 정확히 파악할 수 있는 공식을 만드는 데 어려움을 겪어왔습니다.위험 분류에 대해 저는 항상 Nassim Qualy의 책을 인용합니다.블랙 스완, 제가 위험에 대해 이야기할 때마다 이 책은 “왜”에 대해 확증해 주는 책이기 때문입니다.질문에 대한 답을 드리자면, 우리는 이러한 장기적 위험이 발생하지 않을 것이라는 믿음을 가지고 경영진과 실무자로서 지속적으로 활동하고 있기 때문에 진전을 이룰 수 없습니다.아시다시피 퀄리스는 자신의 저서를 통해 이러한 롱테일 사건들이 우리가 예상했던 것보다 훨씬 더 자주 일어난다는 것을 역사가 증명한다고 이야기했습니다.이것이 바로 그 인지 부조화 때문이죠.위험이 너무 멀리 떨어져 있어서 걱정할 필요가 없다고 생각한다면 말이죠.아마 여러분의 배경과 마찬가지로 여러분도 이런 말을 반복해서 들었을 겁니다. “네, 그건 정말 큰 문제인 것 같아요.하지만 저는 은행에 종사하지 않아서 별로 걱정하지 않아요.”다들 랜섬웨어에 걸리면 어떻게 됐죠?맞아요.아시다시피, 복잡성과 성숙도의 규모를 나타내는 다양한 공격 유형이 있을 것으로 예상됩니다.어제 한 대화에서 이런 얘기가 나왔는데 누가 체이스나 뱅크 오브 아메리카, 도시를 이런 식으로 공격한다면 이랬습니다. 왜냐하면 대기업이고 정말 복잡한 조직인 중소기업은 같은 공격에 대해 걱정할 필요가 없으니까요.그래서 저는, 얘야, 방금 성공했구나, 이랬어요.제 말은, 아주 냉소적인 사람들이 있을 거예요. 마치, 방금 성공했잖아요.아시다시피 사람들은 자신의 특정 도메인이나 업종에 대한 위험이 무엇이라고 생각하는지에 따라 보안 프로그램의 규모를 정하고 있습니다.그동안은 악의적인 공격자들은 그런 생각을 하지 않습니다.악당들이 간다면, 제가 들어갈 수 있는 곳이면 어디든 말이죠. 예를 들어 정교한 공격을 쓸 거면 멋지죠.저는 정교하지 않은 공격을 사용할 거예요.멋지네요.네 데이터를 얻으면그게 정말 중요한 전부예요.제 생각에 이 시장에서 우리가 겪고 있는 복잡성의 혼란은 이게 전부라고 생각해요.이로 인해 해마다 보안 성능 측면에서 인지 부조화 문제가 계속 반복되고 있습니다.

19:50 라구 난다쿠마라

이걸 어떻게 바꿀 수 있을까요?

19:53 리처드 버드

어른들의 대답이 있고 냉소적인 대답이 있습니다.

19:58 라구 난다쿠마라

둘 다 갖고 싶어요.

20:02 리처드 버드

글쎄요, 냉소적인 대답부터 시작하겠습니다.지난 날 제가 멘토와 나눈 대화를 반영한 거예요. 멘토가 제게 이렇게 말했습니다. “나쁜 사람들한테 조언을 시작하라고 조언하는 게 좋을지도 몰라요.왜냐하면 그들은 듣지만 동료, 친구, 동료 실무자들은 듣지 않기 때문이죠.”저는 그것이 가혹한 발언이라고 생각하지만 완전히 불공평하다고 생각하지는 않습니다.제 생각에 이에 대한 냉소적인 답은 실무자로서 우리 모두가 오랫동안 이렇게 말하고 있다는 것입니다. 음, 가장 큰, 다음으로 큰 문제가 발생하고 사람들이 마침내 변하기를 기다리기만 하면 된다는 것입니다.그건 효과가 없었어요.그러면 연쇄 반응이 일어난다면 어떨까요? 라는 의문이 들기 시작합니다.치명적인 사건?만약 어떤 국가의 국가 인프라 네트워크가 무너진다면 어떨까요?병원 네트워크 전체가 대규모로 중단되면 어떻게 될까요?수술실과 응급실의 폐쇄가 단절된 사례를 본 적이 있습니다.저는 디지털 세계에서 악의적인 행위자의 행위로 인해 어떤 형태로든 대량 사상자가 발생할 때 판도를 진정으로 변화시킬 수 있다고 항상 굳게 믿어왔습니다.제가 몇 년 전에 이 말을 했을 때 사람들은 제가 말할 수 있는 것 중 가장 어두운 사람이라고 생각했고, 지금은 사람들이 “네, 알겠어요.” 라고 말하죠.마치 그런 일이 일어날 수 있을 것 같아요.그래서 제 생각에 이 문제는 인지 부조화에 어느 정도 반영되어 있다고 생각합니다. 맞아요. 즉, 사람들을 깨울 만큼 크고 나쁜 것을 아직 보지 못했다는 거죠.이에 대한 전문가들의 답은, 우리가 진정으로 발전하기 시작하는 지점이 바로 중대한 변화를 보기 시작할 때라는 것입니다.제가 보안에서 보아온 것 중 가장 이상한 행동 중 하나라고 생각해요. 제가 이런 말을 하면 많은 보안 실무자들이 화를 냅니다. 하지만 저는 보안이 기업 세계에서 역사, 데이터, 증거로부터 배우기를 거부하는 유일한 원칙이라고 굳게 믿습니다.우리 눈앞에 분명히 증거가 있습니다.아주 구체적인 예를 들어볼게요.25~30년의 역사를 보여주는 증거가 우리 앞에 분명히 있습니다. 악의적인 공격자가 시스템에 침입하면 가장 먼저 하는 일은 Active Directory로 이동하는 것입니다.그리고 Active Directory를 찾아가는 사람들은 더 이상 사용되지 않거나, 구식이거나, 비활성화되었지만 삭제되지는 않은 기능과 ID를 찾고 있습니다.그들은 이러한 모든 자격, 액세스 권한 부여 및 권한 부여에 스스로를 둘러싸고 나쁜 짓을 합니다.게다가 모든 것이 AD에 달려 있었기 때문에 보안을 위한 내부 시스템이 제대로 작동해야 할 것처럼 보이기 때문에 이를 따라잡을 수 없습니다.보안 담당자라면 누구나 알고 있는 패턴입니다. 증거가 뒷받침된다는 것을 알죠.그리고 그들은 이것이 악의적인 행위자들의 주요 경로라는 것을 알고 있습니다.하지만 오늘날 기업 10개 중 8개, 9개 회사에 가서 “마지막으로 AD를 정리한 게 언제야?” 라고 물어볼 수 있습니다.Azure이든 온-프레미스이든 관계없이 귀뚜라미 소리가 들릴 것입니다.누군가 “글쎄요, 작년과 그 전년도에 자금이 지원되었지만 수익에 못 미쳤고 우리는 이를 완료하지 못했습니다.” 라고 말하는 것을 듣게 될 것입니다.그리고 전 세계적으로 아시다시피, 여기는 어떤 회사에서든 가장 자본화가 잘되는 공격 영역 중 하나라고 생각해요.그러면서도 우리 모두 가만히 앉아서 이렇게 말하죠. “네, 저는 환불을 받았는데 올해는 그 문제를 해결하지 않을 거예요.”우리가 계속 거절한다고 말할 때 하는 말이 바로 그거예요.예전에 있었던 많은 질문으로 돌아오게 되죠. 음, 기본만 제대로 하면 되는 거였죠.저는 개인적으로 그게 도움이 될 만한 발언이라고 생각하지 않아요.기본적인 보안으로 돌아가는 거죠.기본 보안을 제대로 수행하고 계신가요?아시다시피, 증인을 여기로 이끌기 위해서가 아니라 그게 결국 오랫동안 제로 트러스트에 저항하다가 결국 제가 제로 트러스트에 가입하게 된 계기입니다.왜냐하면 제로 트러스트에는 실제로 컴퓨팅의 초기 단계까지 거슬러 올라가 기초가 되는 몇 가지 측면을 좀 더 자세히 살펴보도록 하겠습니다.저는 많은 사람들이 제로 트러스트가 미래로 나아갈 것이라고 생각하지만, 사실 제로 트러스트에는 어느 정도 도움이 되는 측면이 있습니다. 과거의 원칙으로 돌아가 오늘날 환경에서 효과가 있었고 매우 유용하다는 것을 알고 있지만 잊어버렸지만 우리가 과거로 돌아가서 우리의 뿌리를 받아들일 때 개선이 보이기 시작한다고 생각합니다.둘째, 명확하게 공개된 데이터와 명확하게 공개된 데이터에 주의를 기울이기 시작하면 계속해서 우리의 약점을 말해줍니다.

24:40 라구 난다쿠마라

그냥 이 모든 것을 듣고 우리가 깊이 파헤칠 수 있었던 많은 것들을 듣는 것만으로도 하루 종일, 그리고 저녁 내내 여기 있었을 것 같아요. 제 시간이 허락한다면 당신의 것이 맞는지 잘 모르겠어요.몇 가지만 말씀드리죠.말씀하신 것 중 하나는 사이버 공격에 의해 촉발된 참혹한 사건 때문에 깨어나야 할 필요성이 커질 수도 있다는 것입니다.그리고 저는 우리가 그 깨달음의 정점에 다다랐다고 생각합니다.제 말은, 모든 사람들이 콜로니얼 파이프라인을 예로 들 수 있다는 거죠.그리고 그 결과 사이버 보안 태세를 개선하는 방법에 대한 일종의 정부 차원이나 산업별 요구 사항 규정이 개별 조직 모두에 적용되지만 집단적인 규정이 생겼습니다.그리고 어떻게 하면 보안 태세를 현실적으로 개선할 수 있을지에 대해 제로 트러스트가 마치 미래로 약간 후퇴한 것 같다고 말씀하셨는데요.설명하신 것처럼 제로 트러스트가 꼭 이런 미래 지향적인 사이버 보안 전략에 관한 것은 아닙니다.하지만 사실, 항상 사이버 보안의 핵심이었던 것으로 돌아가 봅시다.바로 옛날 이야기죠. 초창기였죠.그걸 어디서 잊었죠?그리고 왜 잊어버렸을까요?

26:01 리처드 버드

글쎄요, 잊혀진 이유에 대한 메커니즘은 흥미롭습니다. 매일 볼 수 있기 때문이죠.디지털 공간의 세계는 모놀리식 탈중앙화에서 분산형으로, 고도로 탈중앙화되면서 점점 더 안전하지 않게 되었습니다.IT 아키텍처가 세분화되고 분산 및 탈중앙화가 심해질수록 예전과 같은 명령과 제어 기능이 없기 때문에 보안 침해와 악용은 더욱 심각해집니다.잔디밭에서 벗어나겠다는 뜻은 아니니까, 얘들아, 맞는 말이겠지.제가 말하고자 하는 것은, 이 정비사가 폭발을 일으켜 보안상 좋지 않은 결과를 초래했다는 것입니다.그리고 이런 상황은 분명히 더 악화될 것입니다.그 이유는 우리가 현재의 궁극적인 가상화 기능, 즉 애플리케이션 계층 7, HTTP, HTTPS에 적용할 수 있는 기술에 도달하고 있기 때문입니다.몇 년 전, 제가 거래하던 유럽의 한 대형 은행이 5년 후 모든 애플리케이션을 공용 인터넷에서 실행하는 것이 목표라고 말했던 것을 기억합니다.그래서 저는 “너희들은 미쳤어.” 라고 생각했죠.저는 “그건 미친 짓이야.” 라고 생각했어요.하지만 그게 바로 이 세상이야.그때는 제가 근시안적이었던 케이스였어요.저는 이렇게 생각했죠. “그건 불가능해, 우린 절대 거기에 도달할 수 없을 거야.”그리고 현실은 그게 바로 우리가 살고 있는 세상이라는 거예요.하지만 이제는 거래를 관리하고 분배하기 위해 가치를 창출하는 데 사용하는 자산 중 개인 소유가 아닌 자산이 점점 더 많아지고 있습니다.당신의 것이 아닌 것이 많을수록, 우리는 공급망에 속한 모든 사람들이 서로 대화하지 않고, 서로의 보안 통제에 대해 한 번도 이야기하지 않은 채 일을 할 때 발생할 수 있는 공급망 리스크를 더욱 확대하고 있습니다.체인 어딘가에 어떤 사람이 있는데, 어딘가의 공용 저장소에서 코드 몇 줄을 훔쳐갔는데 이미 손상되었습니다.그리고 더 이상 그걸 통제할 수 없죠.그래서, 그 사람이 운전사였어요.더 많이 배포하고, 더 많이 탈중앙화하고, 더 많이 파편화하고, 코드 없음, 로우 코드, 서버리스 같은 경로를 더 많이 사용할수록, 악의적인 공격자를 위한 타겟이 풍부한 환경이자 보안 관점에서 관리하기가 매우 어려운 분산 환경을 만들게 됩니다.이것이 분명히 원인 요인입니다.그리고 말씀드렸듯이 아무도 나한테 불쾌한 글자를 보내지 않았으면 좋겠어요. 또 클라우드를 반대하는 사람이 생겼어요.분산 컴퓨팅은 오래전부터 사용되어 왔습니다.AWS와 Google이 로드 밸런서를 갖춘 일부 VM을 자체 데이터 센터에 배치했기 때문에 흰머리를 가진 사람들이 탈중앙화와 분산형이 어떤 모습인지 모른다고 생각하지 마십시오.하지만 네, 제로 트러스트에 대한 기본 토대는 분명히 저의 판도를 바꿀 수 있다고 생각합니다. 제가 초기에는 제로 트러스트에 저항하는 사람이라고 말했습니다. 왜냐하면 저는 연습상 오래된 아이덴티티 전문가이기 때문에 제로 트러스트는 마찰처럼 느껴집니다.마찰은 당신을 해고시키는 원동력입니다.하지만 제가 완전히 틀렸어요. 왜냐하면 그 마찰의 이면에는 컴퓨팅 초창기 시절로 거슬러 올라가죠. 고도로 분산된 환경에서 이런 나쁜 일들을 일으키는 원인은 모든 것에 대한 묵시적이고 지속적인 신뢰가 존재하도록 허용된 존재, 의도적, 설계, 엔지니어링에 의해 허용된 존재였기 때문입니다.그리고 악의적인 행위자들이 좋아하는 것은 적용되고 지속적인 신뢰의 존재입니다.제가 예시한 AD 예시처럼 아무도 디렉터리에서 빼낸 적이 없는 신의 권한을 가진 오래된 AD 계정이 있는데, 이는 지속적인 신뢰에 함축되어 있습니다.그리고 저는 그걸 무시하거나 고의적으로 무시하기로 했습니다. 고치는 건 아니죠.저는 나쁜 일이 일어날 수 있도록 포털을 허용할 거예요.이 모든 것은 신뢰를 기반으로 합니다.저한테는 정말 그런 변화였어요.아시다시피 개선 경로는 컴퓨팅 플랫폼과 인프라가 대규모로 배포되고 있음에도 불구하고 디지털 자산의 상당 부분에 대한 묵시적이고 지속적인 신뢰를 최대한 빨리 없애는 것을 목표로 크게 줄이는 것입니다.

31:11 라구 난다쿠마라

이걸 영상으로 보지 않고 오디오로 감상하시는 분들을 위해 말씀드리자면, 제가 지난 2분 동안 리처드가 한 말 하나하나에 힘차게 고개를 끄덕이면서 보냈기 때문에 머리가 저려올 지경입니다.이것이 제로 트러스트가 필요한 이유와 우리가 해결하려는 문제의 근원을 분석하는 가장 간결하면서도 매우 직접적이고 설명적인 접근법 중 하나라고 생각합니다.리처드, 감사합니다.

31:45 리처드 버드

글쎄요, 알아내는 데 시간이 오래 걸렸어요.이런 소음을 내는 건 저뿐만이 아니에요.제로 트러스트라는 이름의 문제점 중 하나는 우리가 말하는 신뢰가 무엇인지에 대한 진정한 근원에 도달하지 못한다는 것입니다.저는 항상 이 모델의 이름을 “마약 중독자일 수도 있고 항상 도구 보안 체계를 빌리고 싶어하는 처남”이라고 이름을 지어야 한다고 생각했습니다.우리가 무슨 말을 하는지 모두가 알고 있기 때문이죠.집에서는 그 사람한테 줄 수 없는 식구이고, 차고 문 열림판도 알려줘야죠.저희 시스템에는 그런 것들이 많이 있습니다. 오늘날 저희 시스템에는 개략적인 처남들이 많이 있습니다.다시 스토리텔링 부분으로 돌아가자면, 저는 처음에 제로 트러스트라는 용어에 대해 반응적이고 감정적으로 반응했습니다.그래서 제 가정에 대해 끔찍하고 끔찍할 정도로 틀렸죠.그리고 I John [Kindervag] 이 그 이야기를 들려주었고, 저는 항상 그 이야기를 공유합니다.존을 처음으로 직접 만났을 때, 우리는 저녁을 먹고 있었던 게 기억나요.그리고 제가 말했죠. “야, 네가 파는 걸 믿지 않았어.”그가 제게 말을 걸기 시작했는데, 그 한 마디가 제게 모든 것을 알려줬습니다. “데이터에는 정체성이 있어야 한다고 생각해요.”그래서 저는 “우와, 브레이크 좀 밟아줘, 친구.” 라고 생각했죠.마치 스타 트렉 같아요. 우린 아직 프레드 플린스톤에 있어요.존이 어떤 식으로든 그것을 표현하기 시작하자마자, 그는 훌륭한 스토리텔러이기도 합니다. 백서가 아닌 방식으로 표현을 시작했을 때 제 눈을 뜨게 한 것은 또 다른 엔지니어링 사양이 아니었습니다.그리고 말씀드렸듯이 제로 트러스트라는 개념에 관해선 제가 바보였다는 것을 충분히 인정합니다. 제가 와서 이를 기반으로 삼고 싶기 때문입니다.저는 제 인생에서 아이덴티티 관련 메인프레임 보안을 많이 해봤어요.그리고 뱅킹 또는 메인프레임 운영 분야의 뛰어난 개척자들과 함께 일하기도 했죠.제가 체이스에서 정말 큰 규모의 프로그램을 진행하고 있을 때 이런 사실을 알게 되었는데, 메인프레임 운영 담당자들이 이미 제로 트러스트에 대해 설명해 준 적이 있었습니다.왜냐하면 제로 트러스트, 즉 처음부터 핵심 메인프레임 데이터에 접근할 수 있도록 다른 가상 장치를 연결하기 시작할 때까지의 액세스 제어는 항상 제로 트러스트였기 때문입니다.저는, 와, 제가 말하고자 하는 바를 다시 떠올리게 하는 것 같았어요.이러한 원칙은 대규모 중앙 집중식 시스템에서는 당연히 효과가 있었지만, 그 환경에서는 그 원칙들이 통했습니다.그리고 클라우드와 다르다는 주장은 잘 할 수 없습니다.왜냐하면 제가 이미 말씀드렸듯이 매일 밤 전체 컴퓨팅의 약 90% 는 만화의 거대한 레버를 당겨 메인프레임이 처리할 때 발생하기 때문입니다.여전히 전 세계 모든 사람들이 클라우드로 전환하고 있을 때 워크로드의 90퍼센트 이상은 인터넷, 상용 클라우드를 30년 동안 사용해온 클라우드, 그리고 여전히 지구를 지배할 수 있는 메인프레임이 될 수 있습니다.메인프레임의 복잡성이 대두되고 거대한 모놀리식 세계도 그만큼 복잡하기 때문에 클라우드의 복잡성을 합리화하는 것은 불가능합니다.하지만 편의상 그런 변명을 하는 것 같아요.요컨대 저는 위젯을 더 빨리 출시하고 싶고 제품을 더 빨리 생산하고 싶기 때문입니다.내가 원하고, 원하고, 원하고, 원하는데, 그런 “내가 원하는” 것들은 거의 찾아볼 수 없고, 안전했으면 좋겠어.알다시피, 이것들이 이런 것들을 보호하는 것을 정말로 복잡하게 만드는 요인들이었죠.

35:27 라구 난다쿠마라

네, 물론이죠.제로 트러스트의 필요성을 설명하실 때, 근본적으로 지금까지 누적된 문제에 대해 말씀하셨는데, 기본적으로 너무 많은 암시적 접근의 축적이 존재한다는 것을 말씀하셨는데, 그것이 우리의 역할을 더 쉽고 생산적으로 만든다고 생각합니다.제로 트러스트라는 말을 듣자마자, 다른 말로 표현하면 암묵적 신뢰를 최대한 많이 제거하여 모든 종류의 공격자가 악용할 수 있는 공짜 액세스 권한을 훨씬 줄일 수 있도록 하는 것입니다.제 생각엔 그게 고비라고 생각해요.많은 조직이 극복하는데 너무 오래 걸리는 고비라고 말씀하셨던 것 같아요.왜냐하면 그들은 이미 그렇게 생각하고 있으니까요, 맙소사.그 접근 권한을 없애겠다는 건가요, 이걸 망가뜨릴 건가요?그럼 어떻게 하면 생산성을 높일 수 있을까요?그리고 제 생각엔 사람들이 이 문제에 대해 생각할 때, 실제로 앞으로 나아갈 때, 이런 관점에서 생각해보면, 일어나지 않으려는 나쁜 일들을 나열하는 것이 더 쉬울까요?맞아요, 그리고 그게 유한한 목록인가요?아니면 아주 구체적인 것들만 정의하는 것이 더 쉬울까요?꼭 해야 할 일이 필요하신가요?그거 그냥 관리해?생각해보면 이 두 가지 중 어느 것이 더 쉬울까요?

36:49 리처드 버드

제 생각에 우리는 비단 제로 트러스트에만 국한된 것이 아니라 최소한의 특권을 가진 사람들에 대한 문제라고 생각합니다.적어도 권한은 위험도가 높은 환경에서 오랫동안 기능적으로 사용되어 왔습니다.제 생각에 우리가 가장 권한이 적은 문장에 가까워질 것 같은데요, 제 생각에 여러분이 정말로 한계를 드러내고 있는 것, 즉 기능이 가장 낮은 것은 어떨까요?예를 들어, 왜 트랜잭션 흐름 프로세스 때문일까요?얘들아, 토끼굴에 대해 얘기하는 건데 왜 악의적인 행위자들이 그렇게 쉽게 접근할 수 있는 거지?어떤 형태로든 출입, 포인트 인증, 위조 자격 증명, 자격 증명 도용 등 어떤 경우이든 간에 말이죠.어떻게 하면 한 번의 인증 호출을 받아 그 인증 호출을 사용하고 용도를 변경하여 승인 요청의 용도가 전혀 없었던 수많은 다른 데이터를 얻을 수 있을까요?그리고 설계한 대로 작동할까요?권한이 지나치게 높은 권한 부여 계층 컨트롤을 만들겠다는 생각에서요.아이덴티티 관점에서가 아니라 기능적인 관점에서요.예를 들어, 고객의 경험과는 전혀 관련이 없는 애플리케이션에 대한 액세스를 승인할 수 있어야 하는 이유는 무엇일까요?아니면 그 기술 종사자들의 경험일까요?저희는 항상 그렇게 하죠.그리고 제 생각에 나쁜 것과 기능성을 항목별로 구분한다는 것은 정말 어려운 방정식이 된 것 같아요.왜냐하면 제가 아이덴티티 보안에 대해 처음 시작했을 때처럼, 가장 큰 싸움은 애플리케이션 개발자의 독점 인증 호출을 놓고 씨름하는 일이었기 때문입니다.그리고 여러분은 세상이 끝날 거라고 생각하셨을 겁니다.아뇨, 아뇨, 아뇨, 인증 전화를 받았어요. 제 신청서인 것 같았어요.저리 가, 나 좀 내버려둬.네, 하지만 모든 애플리케이션에 대해 인증된 인증 호출이 필요한 것은 아닙니다.페더레이션해서 싱글 사인온을 표준화할 수 있습니다. 그나저나 훨씬 더 안전해지죠.그건 그렇고, 서비스입니다. 더 이상 오버헤드와 같은 모든 유형의 문제를 처리하고 자체 액세스 제어 로그를 유지 관리하는 등의 모든 작업을 처리할 필요가 없습니다.그 싸움은 성스러운 전쟁이었어요.정말 끔찍했던 것 같았어요.상황이 끔찍했던 이유는 15년, 아니 20년 전에 우리가 했던 일이 애플리케이션 개발자들을 보면서 “이봐, 애플리케이션을 만들러 가자.” 라고 말했기 때문입니다.그리고 그들은 해냈습니다.그리고 그들은 애플리케이션을 만들었죠.그들은 이렇게 말했습니다. “음, 이걸 위해서는 인증 흐름이 필요해요.”그 계획의 일환으로 지시도 없고, 보안화도 없었고, 정보 보안도 무너지지 않았습니다.기능 부분으로 돌아가서 말씀드리자면, 어떻게 될까요?보안의 또 다른 예시죠.우리는 역사 속의 증거와 데이터를 전혀 존중하지 않을 뿐입니다.승인을 받아 우리가 한 일은 무엇일까요?글쎄요, 우리는 애플리케이션 개발자들이 앞으로 나아가서 정복하겠다고 말했죠.API로 무엇을 할 수 있을까요?그냥 위젯일 뿐이죠.그냥 가서 사용하세요.얼마나 나쁠 수 있을까요?지금 이 자리에 앉아서 사람들은 이렇게 말하고 있습니다. “인증 요청이 얼마나 많은지 모르겠어요. 제가 가지고 있는 API가 몇 개나 있는지 모르겠어요.”잘 모르겠어요.그리고 보안 역사상 보안 관점에서 좋은 일이 일어날 것이라고 답할 수 있는 시대는 없습니다.그래서 우리는 이렇게 대대적으로 확산되도록 내버려 두었습니다.분명히 우리는 추적 가능한 API의 무분별한 확산에 대해 많이 이야기합니다.하지만 권한 부여, 무분별한 기능, 무분별한 기능, 무분별한 기능, 이 모든 것이 있습니다. 그리고 우리는 이런 것들에 대해 최소한의 아이디어조차 적용할 수 없습니다.사용 여부와 관계없이 항상 모든 것에 최대한 많이 액세스할 수 있어야 하는 세상에 살수록 이러한 문제는 계속해서 기하급수적으로 가속화될 것입니다.

40:47 라구 난다쿠마라

이제 API 보안과 Tracable을 사용하기 위해 수행하는 작업에 대해 이야기해 보겠습니다.첫 번째 질문으로, 이번 주에 제가 가장 좋아하는 제로 트러스트 참조 문서를 살펴보았습니다. 바로 CISA 제로 트러스트 성숙도 모델과 NIST 800 207입니다.그리고 저는 제로 트러스트와 API 보안에 대해 이야기할 섹션을 구체적으로 검색하면서 이것들을 살펴보았습니다.충격과 공포, 제로 레퍼런스, 0의 제곱근.제로 트러스트는 API 보안과 어떤 관련이 있을까요?거기서부터 시작해 보겠습니다.

41:29 리처드 버드

글쎄요, 가장 짧은 답은 제가 마이애미에서 존 킨더백과 함께 무대에 앉아 있었다는 거예요.그룹 강연 패널로 모였는데 그가 스크린을 향해 손을 흔들고 있었어요.그는 이렇게 말합니다. “제로 트러스트가 제대로 되면 정책에 따라 모든 보안이 계층 7로 이동합니다.”제 생각엔, 제 몸에서 피가 다 빠져나간 것 같았어요.하지만 저는 존을 옆으로 데리고 갔어요.저는 “존, 보안과 인터넷, 웹 보안이 얼마나 나쁜지 아세요? 니르바나 주에 대해 이야기해야 할 것 같아요.그리고 제가 트레이서블에 합류했을 때와 우연한 일이었죠.Tracable에 합류하게 된 가장 큰 기여 요인 중 하나는 아이덴티티 솔루션 분야의 발전과 혁신에 좌절감을 느꼈다는 것입니다.그리고 앞서 말씀드렸던 권한 부여, 클레임 제어 및 보안에 대한 예시와 정확히 같은 이야기를 많이 했습니다.이에 대한 해결책은 없습니다.오늘날까지도 실험을 하고 있는 사람들이 몇 명 있습니다. 그들은 일종의 과학 프로젝트를 진행했어요.하지만 제가 깨달은 것은 권한 인증이 API의 연료라는 사실이었습니다. 권한 부여는 엔진 API의 절대적인 핵심입니다.그리고 제가 깨달은 건, API를 보안화할 수 있다면 이제 권한 부여 플레인 등의 보안화를 시작할 수 있겠다는 생각이 들었습니다.제가 흥미롭게 생각하는 것 중 하나는 바로 여러분이 발견한 것입니다.우리는 여전히 API를 보편적으로 다루고, 여전히 일종의 위젯처럼 취급하는 세상에 살고 있습니다.그렇지 않습니다. 단지 애플리케이션 호출일 뿐이고 애플리케이션 데이터 스토어 호출은 마이크로서비스를 나타냅니다.얼마나 나빠질 수 있을까요?글쎄, 우리가 알아내는 중이야.API가 나타내는 것은 궁극적인 가상화 버전을 마이크로로 캡슐화한 것이기 때문에 우리는 이것이 얼마나 나빠질 수 있는지 확실히 알아내고 있습니다.그들은 뭔가를 합니다.만약 여러분이 믿을 수 없을 만큼 똑똑한 미래학자라면, 역사를 되돌아보면 “아, 잠깐만요, 이런 패턴은 전에 본 적이 있어요”라고 생각하게 됩니다. 우리는 엔지니어들 중 누구도 우리가 얼마나 많은 방화벽 규칙을 가지고 있는지 알지 못했을 때 세상이 어떤 모습이었는지 본 적이 있습니다.운영 센터 리더 중 누구도 우리가 보유한 가상 머신이 몇 대인지, 자체 보호된 도메인이 몇 개인지, 보호되지 않는 도메인이 몇 개인지 알지 못했을 때 우리 세상이 어떤 모습인지 알 수 있습니다.그래서 API가 등장하면서 우리는 6~7년, 8년간 API를 만드는 데 쏟아 부었고 그 에너지는 폭발적으로 늘어났습니다.고립된 데이터 저장소, 자산, 서비스 등 온갖 것들에 대한 가치 수익률 제안은 정말 대단했습니다.하지만 이 모든 것이 아무런 보안 없이 이루어졌습니다.이제 우리가 보고 있는 것들을 보면 몇 시간 동안 계속할 수 있습니다. 예를 들어, 제가 제대로 기능하는 CISO로서 저는 우리 회사의 CISO이자 이 모든 주제에 대해 시장을 겨냥한 목소리이기도 합니다.저는 매주 공격을 목격하고 있는데, 지금 보면 정말 놀라울 따름입니다.제 생각엔, 보안이 없다면 이게 무슨 일이 벌어질까요?API와 제로 트러스트와의 연관성에서 좋은 점은 API가 묵시적이고 지속적인 신뢰에서 실행된다는 것입니다.이 모든 것이 하나로 합쳐지기 시작하는 지점이죠.제로 트러스트의 5대 핵심 모델을 모두 살펴본 결과, 제로 트러스트의 원칙을 살펴보면 John이 말한 내용이 절대적으로 정확하다는 것을 알 수 있습니다.제 보안과 기술의 다른 모든 구성 요소, 스택이나 계층, 계층 등 원하는 모든 요소에 제로 트러스트를 효과적으로 적용한다면 말이죠.하지만 API 보안에 대해서는 아무 것도 하지 않았습니다. 악의적인 공격자가 API의 API를 사용하여 다른 모든 종류의 공격에 대한 프록시 역할을 할 수 있기 때문에 지금까지 수행한 모든 작업과 투자를 하위 최적화했을 뿐입니다.보안 스택의 다른 모든 계층에서 말이죠.API의 API를 사용하여 앱을 손상시킬 수 있습니다. API의 API를 사용하여 사기성 계정 생성, 탈취, 가입을 할 수 있고 API를 사용하여 데이터 페이로드 스크래핑을 수행할 수 있습니다.테라바이트 단위의 데이터가 손실되는 상황을 본 적이 있습니다.그리고 악당들은 그 회사의 핵심 시스템에 단 한 번도 들어온 적이 없습니다. 온통 API 기반이죠.이것이 제가 전달해온 메시지입니다.SP 800 207과 기타 여러 규제 및 규정 준수 요구 사항에 대해 말씀드리자면, API라는 특정 용어가 없다는 것은 문제가 되고 어려운 일이며 오래 지속되지 않을 것입니다.NIST는 API, FTC, SEC, OCC 및 은행 업계와 관련하여 구체적인 방향을 제시할 것으로 예상한다는 매우 분명한 진술을 내놓았으며, API 관련 레퍼런스를 이미 개발 중이거나 이미 삭제했습니다.이에 대해 의심이 가는 분들을 위해, 만약 여러분이 극도로 괴짜이고 다른 할 일이 없다면, 통화 모델 위험 규정 준수 감사관실 문서를 찾아보십시오.규정 준수 문서에는 구체적으로 이렇게 적혀 있습니다. “타사 API를 사용하여 기업 가치 평가 모델에 정보를 반영하는 경우 해당 정보를 고려하여 안전한지 확인하고 안전하다는 것을 증명해야 합니다.”그렇다고 해서 성인이 되는 동안 API를 무시한다는 지표는 아닙니다.한 레귤레이터가 개입하고 다른 레귤레이터가 개입하고 제어 요구의 물결이 생길 것입니다. 그리고 NIST는 이 ISO를 해결할 예정인데 ISO는 Swift를 제외할 사양인 222와 같은 것들로 이 문제를 해결하지 않을 수 없습니다.다시 말씀드리지만, 뱅킹 측면에서는 Swift가 대규모 국가와 투자 은행, 즉 국제 노선을 넘어 거래하는 거래 조직 간에 이루어지는 모든 국제 무역 거래만 이전합니다.아시다시피 ISO는 API가 이 모든 트래픽을 주도한다는 사실을 이미 알고 있습니다.따라서 우리는 현재 상태에 대한 API 인식과 관련하여 매우 다른 세상을 맞이하고 있습니다. 제가 먼저 말씀드리자면 제로 트러스트에서는 다른 모든 것을 제대로 이용할 수 있고, API 보안이 올바르지 않고, 제로 트러스트도 없습니다.나쁜 소식을 전하게 되어 유감이지만 시장에서 확실히 주목을 받고 있습니다.

48:18 라구 난다쿠마라

그 전에 제가 질문하고 싶은 것은 잠시 후에 다루겠습니다. 그렇다면 API 보안을 위한 제로 트러스트는 어떤 모습일까요?하지만 여기에 오기 전에 제가 알고 싶은 것은 [Tracable에서] 작년에 제가 말씀드리고 싶은 내용을 Ponemon Institute와 공동으로 진행한 API 보안 연구의 첫 번째 현황이라고 생각한다는 사실을 알고 싶습니다.당신의 관점에서 볼 때, 이 보고서에서 가장 중요한 교훈은 무엇일까요?예를 들어, 경영진의 보안 책임자가 이 보고서에서 교훈을 얻어야 할 것이 하나 있다면 그것은 무엇일까요?

48:53 리처드 버드

네, 머리를 모래에 담그세요.잘 모르겠어요.제가 더 섬세할 수 있을지 모르겠어요.하지만 내 말은, 그게 사실이야.래리 포네몬 (Larry Ponemon) 의 보고서에서 나온 백분율, 숫자, 응답은 정말 놀라웠고, 저한테는 골치 아픈 일이었어요.이것은 우리가 앞서 이야기했던 것을 수학적으로 증명하는 것입니다. 즉, 제가 문제가 있다는 것을 알지만, 저는 그것에 대해 아무것도 하지 않고 있습니다.2년 전만 해도 사람들은 API 보안 문제가 없다고 말하곤 했습니다.웃음도 생겼고 관문도 생겼어요.그건 인지 부조화가 아니었어요.그건 고의적인 무지였어요.지금은 인지 부조화 단계에 있습니다. 제가 시장에 있는 누구와도 이야기를 나누기가 매우 드뭅니다. 그들은 이렇게 말합니다. “네, API에 대해서는 걱정하지 마세요.통제할 수 있었죠.”하지만 저를 인정해주는 사람들 대다수는 “네, 하지만 아직 생각 중이에요.”, “아무것도 안 하고 있어요.”, “어떻게 해야 할지 모르겠어요.” 라고 말하기도 합니다.향후 12~18개월 내에 규제 요구 사항이든 추가 위반이든 상관 없이 이러한 상황은 분명히 바뀔 것입니다.하지만 이것이 오늘날 우리가 처한 상황임에는 틀림없습니다.API 보안 현황에서의 수치를 보면 놀랍게도 응답자 중 약 64% 가 “네, API 관련 침해나 익스플로잇이 확실히 성공했습니다.” 라고 답했습니다.그 64% 중 75% 가 기본적으로 “적어도 세 번은 그런 일이 있었어요.” 라고 답했습니다.제가 수학을 엄청 잘 못해서 74% 는 잘 모르겠어요. 64% 중 75% 가 넘는 사람들이 1,800개 기업의 전체 인구 중 한 명이죠.하지만 이는 엄청난 숫자이고, 더 중요한 것은, 규모가 크고 고도로 분산되어 있고, 분산되어 있고, 믿을 수 없을 정도로 과도하게 연결된 세상이라는 것입니다.

50:40 라구 난다쿠마라

“60% 의 경험 및 API 관련 침해를 경험하고 75% 가 최소 3회 이상 경험했습니다”라고 인용한 통계가 말 그대로 제가 지금 보고 있는 통계이기 때문에 제 화면을 볼 수 있을지 잘 모르겠습니다.그러면 제로 트러스트와 API 보안이라는 질문이 떠오릅니다.제로 트러스트 원칙을 API 보안에 적용한다는 것은 무엇을 의미할까요?

51:04 리처드 버드

많은 사람들이 잘못 생각하는 의미를 먼저 말씀드리겠습니다.글쎄요, 많은 사람들이 API를 암호화해야 한다는 뜻이라고 잘못 생각합니다.일종의 인증, 암호화, 승인 암호화가 필요해요.사람들이 이를 잘못된 가정이라고 하는 이유는 다시 한 번 30년의 역사를 살펴보도록 하겠습니다.지금까지 인증 및 권한 부여 제어는 어떻게 이루어졌을까요?API의 인증 자격 증명을 위조하거나 도용하는 것은 특정 계정 및 ID와 마찬가지로 쉬울 수 있으며, 어쩌면 더 쉬울 수도 있습니다.제가 합류했을 때 공동 창립자들이 API 보안에 대해 어떻게 생각하는지 물었을 때 가장 먼저 했던 말 중 하나는 “전에 본 적이 있어요.” 라고 말했다는 것입니다.그러자 그들은 “무엇을 볼 수 있을까요?” 라고 묻습니다.그리고 제가 말했죠. “글쎄요, 회사 이름은 잘 모르겠네요. 아주 큰 은행이 다양한 단속 기관 및 정보 기관의 다양한 구성원과 함께 지휘 본부에 들어와 있었습니다. 악의적인 행동을 하는 국가가 우리 시스템에 침투했기 때문이죠.그리고 그들이 알아낸 것은 SSH 키가 애플리케이션, 애플리케이션 서버 간 장치, 장치, 통신에 사용된다는 것이었습니다.하지만 이를 확보해서 인간처럼 사용하고 동서 측면 트래픽을 처리하는 데 사용한다면 매우 큰 은행에 막대한 피해를 줄 수 있습니다.”좋아요.SSH 키 하이재킹은 API 보안과 정확히 비교되지는 않지만 트랜잭션 측면에서 보면 매우 강력합니다. 즉, API를 활용하여 침입할 수 있고 API를 활용하여 작업을 수행할 수 있습니다.그리고 유일하게 제가 할 수 없는 것이 권한 부여에 대한 JSON이나 JOT의 인증 암호화라면 저는 그게 정말 마음에 들어요.따라서 우선 암호화로는 문제가 되지 않습니다. 즉, 암호화가 더 이상 안전하지 않을 때는 API 동작에 대한 지속적인 모니터링과 위협 인텔리전스 업무를 수행해야 합니다.실제로 구글은 최근에 악용 가능한 API에 대한 연구를 발표했습니다.구글이 실제로 말했죠. “음, 저 API는 설계된 대로 작동해요.”제가 대답한 것은, 클로 해머 공작물은 사용하는 시간의 상당 부분을 차지하도록 설계되었어요. 못을 뽑아내고 판자에서 못을 뽑아내는 거죠.하지만 한 번은 살인 무기로 사용되기도 했는데 정말 효과적이었죠.살인 무기로 설계된 건 아니에요.거기 앉아서 처음으로 발톱 망치를 만들던 어떤 친구도 “글쎄, 난 못을 박고 싶은데 이걸 이용해서 사람을 죽일 수 있을 것 같아.” 라고 말하지 않았어요.이것이 API의 특성입니다.API는 특정 작업을 수행하도록 설계되었습니다.하지만 API는 여러 가지 나쁜 일을 포함하여 다른 많은 일에도 활용할 수 있습니다.그리고 이러한 원칙을 인식하지 못한다면 기업 환경에서는 제로 트러스트가 가능하지 않을 수 있습니다.사용자 환경에 널리 퍼져 있는 신뢰할 수 있는 API보다 권한이 부여되고 권한이 지나치게 높은 API를 설계하게 될 것이기 때문입니다.그나저나, 그들이 해야 할 일을 하고 있는 것처럼 보이기 때문에 그들로부터 자신을 보호하기 위해 다른 어떤 것도 할 수 없습니다.기술 분야에는 뼈째 고기가 더 많이 들어가길 원하는 사람들이 많이 있습니다. 알겠어요.그들은 디자인 사양과 엔지니어링 사양에 대해 자세히 알아보고 제게 이 작업을 수행하는 방법을 알려주길 원하며, 저는 이것이 필요하다는 데 동의하지 않습니다. 그리고 그런 것들이 많이 있습니다.하지만 여기서 진짜 문제는 이것이 문제라는 근본적인 최상위 합의에 도달하지 못했다는 것입니다.하루 종일 API를 보안화하는 방법을 말씀드릴 수 있습니다.준비가 안 되더라도 상관없습니다.운영되지 않으면 존재하지 않는 거죠.그리고 저는 오늘 논의의 많은 부분이 사람들에게 단지 문제가 있는 것이 아니라는 것을 다시 한 번 확신시켜 주고 있다고 생각합니다.하지만 이 문제는 실존적입니다.이 문제는 치명적인 결과를 초래할 것입니다.만약 제가 단지 두려움, 불확실성, 의심을 팔고 있을 뿐이라고 주장하고 싶으시다면, 지난번에 확인해 본 이후로 관심을 기울이지 않으셨다면, 우리 모두 겁을 먹어야 합니다.오늘날 보안 실패로 인한 결과를 보면 우리 모두 겁에 질릴 것입니다.그리고 그것이 우리가 지적 호기심을 더 많이 가지게 하는 원동력이 될 필요가 있습니다.또한 제로 트러스트와 같은 보안 전략을 추구하기 위해 이 모든 것을 단단히 묶을 생각이에요.사람들이 제로 트러스트에 대해 저와 논쟁을 벌일 때처럼요.너무 과하고 매우 복잡합니다. 어떤 주장이 있든 상관 없습니다.제 대답은 항상 같습니다. “묵시적이고 끈질긴 신뢰가 여러분에게 어떻게 작용할까요?”맞아요, 왜냐하면 현재 상황에 대한 대안이 없다면 제로 트러스트가 얼마나 어려운지 저랑 논쟁하지 마세요. 그 여정을 시작하기 전까지는 그게 어떤 모습일지 알 수 없으니까요.그렇지 않으면 이론을 세우는 것일 뿐이죠.그리고 지금 당신이 어떤 일을 하고 있는지, 어떤 기본 가정을 가지고 작업하고 있는지 알아요. 그건 효과가 없어요.

56:07 라구 난다쿠마라

API 보안에 대해 말씀하신 내용을 요약하자면, API 보안에 대해 설계된 것과 실제로 수행되고 있는 작업을 구분하는 것과 같습니다.존 킨더바그가 일종의 방화벽 규칙에 대해 자주 인용하는 것과 비슷한 점을 떠올리게 됩니다.허용 범위 내에서 나쁜 일이 발생할 수 있습니다. 공격자가 이를 악용하기 때문이죠.마무리하기 전에 제로 트러스트와 API 보안의 미래는 어떤 모습일까요?

56:52 리처드 버드

글쎄요, 제 생각에는 미래를 생각해요. 그리고 제가 공유할 준비가 된 것에 대해 지나치게 낙관적이라는 주장이 있습니다.하지만 저는 제로 트러스트와 함께 미래에 대한 잠재력이 있다고 믿습니다. 즉, 제로 트러스트를 적용할 수 있다면 디지털 자산, 모든 계층, 하이브리드 아키텍처가 무엇이든, 온프레미스에 제로 트러스트를 적용할 수 있다면 그건 중요하지 않다는 유토피아적 상태입니다.제로 트러스트 원칙을 구성 요소의 모든 부분에 적용할 수 있습니다.그리고 모든 것을 궁극의 가상 계층인 계층 7 공간으로 몰아넣습니다.저는 우리가 실제로 성공할 수 있다고 생각합니다. API 보안에 있는 계층 7의 보안화는 그 점에서 매우 중요한 역할을 할 것입니다.고급 차세대 아이덴티티 컨트롤이 그 부분에서 큰 역할을 할 것이라고 생각합니다.레이어 7에서는 다른 부분에도 초점을 맞출 것으로 생각됩니다.하지만 주요 구성 요소가 제로 트러스트 프레임으로 완전히 고정된 상태에 이르면 모든 리소스를 투입하고 계층 7에 크게 집중할 수 있을 것입니다.제 생각에 우리는 랜섬웨어로 인해 서버가 잠겼다는 또 다른 뉴스보다 악의적인 공격자와 더 동등한 입장에 서 있는 것 같아요.

58:30 라구 난다쿠마라

정말 좋아요.그리고 말씀하신 것 같은데요.오늘날 랜섬웨어 공격자는 사실 그렇게 잘할 필요조차 없습니다.따라서 실제로 공격자가 훨씬 더 열심히 작동하도록 만들어 보겠습니다.그래서 그들이 성공하려면 아주, 아주 잘하는 게 좋겠죠.

58:49 리처드 버드

다른 날을 위한 또 다른 주제이지만 중요한 것은 물리적 패턴과 보안을 살펴본 다음 디지털에서 살펴보도록 하겠습니다.사람들이 원하는 대로 논쟁을 벌일 수 있지만 악의적인 공격자를 더 힘들게 하면 보안도 향상되고 위험도 줄일 수 있습니다.네, 동의하지 않으신다면, 얼마나 많은 법원을 거쳐왔는지 물어보세요. 대형 시멘트 장벽과 철탑, 기타 모든 종류의 물리적 보안 장치가 현재 이들을 막고 있지 않은데요.사람들이 그 건물에서 나쁜 짓을 하기 전에 속도를 늦춰야 한다는 교훈을 얻었기 때문이죠.우리도 같은 종류의 패턴을 적용해야 합니다.그리고 당신이 표현한 방식이 정말 마음에 들어요.나쁜 놈들을 더 힘들게 해줘보안상의 관점에서 그들을 상대로 싸울 수 있는 공간으로 몰아넣으세요. 하지만 그들에게 쉬운 상황을 주지 마세요.그게 바로 제로 트러스트가 하는 일이라고 생각해요.저는 제로 트러스트가 쉬운 기반을 없애준다고 생각합니다.

59:42 라구 난다쿠마라

정말 마음에 들어요.가장 좋아하는 제로 트러스트 비유를 들려달라고 부탁하려고 했는데, 끝으로 끝내면 정말 강력한 발언인 것 같아요.정말 고맙다고 해야겠네요, 리처드여러분과 이야기를 나눌 수 있어서 정말 즐거웠고, 우리가 얼마나 오랫동안 대화를 해왔는지만으로는 충분하지 않다고 생각합니다.다시 한 번 감사드립니다, 트레이서블 AI의 최고 보안 책임자인 리처드 버그누구나 Tracable AI 웹 사이트에서 제공되는 API 보안 현황 보고서를 통해 API 보안의 현황과 제로 트러스트와 제로 트러스트 애플리케이션이 이를 개선하는 데 어떻게 도움이 될 수 있는지 자세히 알아보시기 바랍니다.리처드, 감사합니다.

1:00:25 리처드 버드

정말 즐거웠습니다. 감사합니다.

1:00:27 라구 난다쿠마라

이번 주 세그먼트의 에피소드를 시청해 주셔서 감사합니다.2주 후에 다음 에피소드로 돌아오겠습니다.앞으로 제로 트러스트에 관한 더 많은 자료를 보려면 저희 웹 사이트 www.illumio.com을 방문하셔서 쇼 노트의 링크를 통해 LinkedIn과 X에서 저희를 찾아보시기 바랍니다.오늘은 여기까지입니다.저는 여러분의 호스트 라구 난다쿠마라입니다. 곧 더 많은 소식을 전해 드리겠습니다.

‍