


CISO의 플레이북
이 에피소드에서는 호스트 라구 난다쿠마라가 넷스코페의 EMEA CISO인 닐 태커와 이야기를 나눕니다.Neil은 쇼에 참여하여 CISO의 진화하는 역할과 새로운 기술의 맥락에서 CISO가 직면한 과제와 기회에 대해 이야기했습니다.
성적 증명서
00:00
자, 이제 The Segment 시즌 2를 마무리하고 올해 사이버 보안 인식의 달이 막바지에 다다랐네요.이번 시즌의 마지막 게스트로 닐 태커 (Neil Thacker) 라는 Netskope 출신의 EMEA 지역 최고 정보 보안 책임자 (CISO) 를 모시게 되어 정말 기쁩니다.닐, 오늘 함께 해주셔서 정말 기쁩니다.
00:21
글쎄요, 여기 있는 건 제 특권이에요.초대해 줘서 고마워요, 라구
00:26
우리의 기쁨입니다.저희 파트너 중 한 명으로부터 대리인을 받을 수 있다는 것은 언제나 좋은 일입니다.다시 한 번 감사드립니다.CISO, CSO (최고 보안 책임자), 맞아요. 정말 세간의 이목을 끄는 직함이고 오늘날 모든 규모의 조직에서 매우 중요합니다.하지만 닐, 어떻게 해서 결국 CISO가 되었나요?
00:50
글쎄요, 긴 여정이었어요.제가 컴퓨터 시대에 자랐다고 해봅시다. 그렇죠?그래서 어렸을 때 저는 컴퓨터에 익숙해졌습니다.컴퓨터는 가정이나 사무실 등에 새로 등장한 물건이었죠.그래서 저는 자라면서 컴퓨터를 다루고 통근하는 나이를 다루는 것과 같은 모든 것에 익숙해졌습니다.그리고 제가 맡은 첫 역할 중 하나는 사람들을 인터넷에 연결하는 일을 맡았다는 것이었습니다.제 첫 커리어 단계는 인터넷 시대였어요.예전에는 다이얼업 모뎀이나 그런 것들이 있었죠.물론 시간이 흐르면서 보안이 강화되었죠?사람들을 서비스 등에 연결하는 방법을 보호해야 했고, 이제 원격 근무자와 그런 모든 것들이 생겼습니다.그래서 저도 그런 삶을 살았던 것 같아요.그리고 2000년대 중반이 되어서야 비로소 기술적인 측면보다는 경영진 쪽에 더 가까워졌습니다.저는 아직 기술적 배경을 가지고 있습니다.네, 저는 경영진으로 자리를 옮긴 것 같아요.클라우드 시대에 접어들면서 점점 더 많은 조직이 대규모 하이퍼스케일 조직으로 이동하기 시작했습니다. 데이터 센터, 그 종류, 미래, 전략은 클라우드에 있습니다. 그렇죠?그리고 SaaS가 폭발적으로 증가했고, 결국 다시 말씀드리지만, 당시 제가 일하고 있던 조직의 보안을 위해 클라우드 도입을 보호하는 또 다른 일을 하는 것이 다시 한 번 큰 도전이 되었습니다.그게 바로 그 시대에 제가 맡은 첫 CISO 역할 중 하나였죠.그리고, 네, 그 시대에 경험을 쌓는 것이 정말 중요했어요.네, 그렇게 저는 이사를 해서 CISO가 되었습니다.하지만 제 배경을 돌이켜보면 저는 서비스 데스크에서 일했고 그곳에서 의사소통과 문제 및 사고 처리 측면에서 정말 좋은 기술을 배웠습니다.그리고 분명히, 이것이 오늘날 CISO로서 갖추는 것도 좋은 일이죠.저는 주로 역할을 맡아왔는데, 다시 말씀드리지만, 리스크에 관한 일이었죠.저는 리스크를 다루는 대규모 금융 서비스 조직에서 일해요. 재보험은 리스크가 전부인 것처럼 말이죠.그래서 저는 해당 조직에서도 그런 역할을 맡아 일한 적이 있습니다.그래서 저는 지난 25년 동안 이 모든 것을 배웠어요.저는 아직도 이런 것들을 매일, 제가 배운 것들을 CISO로서 제 역할에서도 매일 사용하고 있습니다.
02:58
듣고 싶어요, 그렇죠?처음에는 사람들을 인터넷에 연결하는 일로 시작하셨는데, 지금은 사람들이 인터넷에 액세스하는 방법과 인터넷을 통해 업무에 액세스할 때 보안을 유지하는 방법을 알려주는 회사에서 일하고 있습니다.거의 모든 것이 완성되었습니다.그럼 CISO의 역할에 대해 이야기해 보죠.경험에 비추어 볼 때, 이 역할에서 몇 년 동안 성숙해지고 발전하면서, 그 기능은 어떻게 바뀌었고, 근본적으로 얼마나 변했을까요?
03:32
네, 제 생각에는, 확실히, 클라우드 시대를 거치면서 상황이 확실히 바뀌었다고 생각합니다. 그렇죠?그 전에는 경계선 보안, 조직 보안이 전부였죠.다시 말씀드리지만, 경계선을 이용하여 우리가 할 수 있는 것을 확보하는 것이 전부였습니다.그런데 재미있네요. 사실 앉아서 있었던 게 기억나요. 2000년대 중반에 어떤 행사에 갔었죠.예리코 포럼 때 둘레가 무너지는 것에 대해 이야기를 나눴어요.그 사람들은 클라우드에 대해 이야기했습니다. 그 당시에는 클라우드라고 부르지는 않았지만, 구름 이전과 같았죠.하지만 결국 이런 일이 벌어졌죠.조직들은 이 경계선이 무너지는 것을 목격하고 있었습니다.어쨌든 제 생각에는, 제 생각에는 좀 더 기술적인 측면과 기술적 능력보다는 일종의 계약과 계약, 이용 약관을 더 잘 이해하는 데 더 초점을 맞췄다고 생각합니다.하지만 궁극적으로는 위험도 중요하죠, 그렇죠?그래서 그 당시에는 이런 문제가 있었다는 것이 흥미로웠습니다. 이전 조직 중 한 곳에서 내부적으로 논의를 했었는데, 클라우드를 신뢰할까요?물론 다른 사람의 데이터 센터만 놓고 같은 논의를 하게 되죠. 그 전에는 써드 파티를 이용했지만 지금은 우리가 예측하지 못했던 규모로 성장하고 있고 정말 빠르게 진행되었습니다.오늘날에도 제가 흔히 볼 수 있는 부분이 바로 그것 같아요.다시 말씀드리지만, CISO의 역할은 리스크에 초점을 맞추고 새로운 기술, 새로운 혁신을 모색해야 한다는 것입니다.물론 우리는 수년간 AI를 다루어 왔습니다.물론 지난 몇 년 동안 AI 사용이 폭발적으로 증가했습니다.다시 말씀드리지만, 이 모든 것은 결국 위험으로 귀결됩니다.또한 데이터를 더 잘 이해해야 합니다.항상 이 얘기를 하잖아요, 그렇죠?데이터에 관한 것이고 위험에 관한 것입니다.할 수 있다면, 오늘날 CISO로서 데이터와 관련된 위험을 잘 이해하고 있다면 이미 CISO로서 좋은 기회이자 경력을 쌓을 수 있는 셈이죠?CISO가 되고자 한다면 그 지식을 갖추는 것만으로도 정말, 정말 큰 영향을 미칠 수 있습니다.
05:33
전적으로 동의합니다.제 생각에 데이터를 이해한다는 것은 데이터가 비즈니스 목표와 어떻게 연결되는지를 제대로 이해하는 것을 의미한다고 생각합니다. 그렇죠?보호하고 있는 것들을 이해할 수 있다는 게 비즈니스에 왜 중요할까요?이것이 오늘날 CSO 역할의 핵심 부분임에 틀림없습니다.
05:53
네.그러니까, 뭐랄까, 항상 그런 논의였어요.모든 데이터를 보호할 수 있느냐는 거였어요.이 조직이 매일 처리하는 모든 데이터.네.궁극적으로, 너바나는 그렇게 하려고 노력한다는 것입니다.하지만 요약하자면, 이를 위한 유일한 진짜 방법은 우선 순위를 정하는 것입니다.위험 우선 순위를 살펴보는 것입니다.따라서 가장 큰 위험은 무엇이고, 어디서 가장 큰 위험이 발생하는지, 예를 들어 해당 데이터에 대한 액세스 권한을 상실할 경우 조직에 어떤 영향을 미치는지 살펴보겠습니다.더 이상 해당 데이터에 액세스할 수 없습니다.물론 랜섬웨어와 함께 이런 일을 여러 해 동안 해봤죠.하지만 여기에도 문제가 있습니다. 그 데이터의 가치는 무엇일까요?왜냐하면 제가 그 데이터를 잃어버리면 재정적인 관점에서 볼 때 실제로 어떤 영향이 있을까요? 예를 들어 그 데이터와 관련해서 벌금이나 과태료뿐만 아니라 궁극적으로는 지적 재산권을 잃게 되는 것일까요?제가 평판을 잃고 있는 걸까요?그걸로 인한 피해가 있나요?다시 말씀드리지만, 저는 항상 가능한 한 데이터 주변에 제어를 두는 것에 대해 이야기합니다.그리고 요점을 말씀드리자면, 네, 물론이죠. 그 데이터를 식별하는 데 아주 능숙해지고 있습니다.많은 조직에서 이 작업을 정말 잘 하는 것을 봤어요.제 말은, 저는 데이터 분류 및 데이터 손실 방지 툴에 수년간 종사해 왔는데, 이 문제에 관해서라면 규칙서를 거의 찢어버릴 뻔한 것 같아요.네, 거의 그렇습니다. 분류는 정말 좋은 일이죠.데이터 분류를 살펴봐야 합니다.그럼, 어떤 범주의 데이터에 대해 말씀하시는 건가요?하지만 다시 말씀드리지만, 데이터에 대한 제어 기능을 두어 궁극적으로 데이터가 어디에 있든 제어 기능이 해당 데이터를 추적할 수 있도록 하고, 데이터 주변에 일종의 경계를 유지할 수 있게 하는 거죠.보안 팀의 역할과 책임이 어떻게 변하고 있는지를 알 수 있겠죠.물론 그 팀을 이끄는 CISO로서 여러분은 혁신을 거듭하고 그 분야의 선구자가 되어야 합니다.
07:39
물론 분류, 분류라는 이 모든 과제는 제가 생각하기에 원하는 결과를 이끌어 낼 수 있는 기반이 되는 것 같아요.일종의 토대인 셈이죠.이제 여러분의 관점에서 여러분이 맡은 역할에서 극복해야 했던 어려움에 대해 이야기해 봅시다.업계 전체가 당면한 난관에 부딪히겠지만 CISO로서 자신의 개발 경로와 극복해야 했던 것들에 대해 다시 한 번 이야기해 보죠.
08:09
네, 제 생각엔, 제 생각엔 첫 번째였어요.몇 년 전에 제 첫 이사회에 다시 참석했던 기억이 나요.제가 역할을 맡았는데, 기본적으로 이전 사람이 여러 해 동안 발표했던 내용을 발표했습니다.그리고 그 때가 이사회에서 “왜 이걸 발표하는 거지?” 라고 질문할 수 있는 기회였던 것 같아요.그리고 제가 말했죠. “음, 계속 이어지겠네요.”저는 비교적 신입이었어요. 이번 이사회를 준비하는 역할을 6~7주 정도 맡은 것 같아요.이것이 오늘 발표된 내용인데, 저는 이사회에 가서 발표할 기회가 있었습니다.다시 말씀드리지만, 첫 번째 질문은 “왜요?이 모든 것의 중요성은 무엇일까요?”그래서 그 질문은 이전에 한 번도 해본 적이 없는 것 같아요.그리고 저는 아주 분명했어요.저는 정말 솔직했어요.다시 한 번 말씀드렸는데, 이전에 말씀드린 내용이 바로 이것입니다.하지만 네, 다른 지표에 관심이 있다면 변경할 수 있습니다.그리고 나서 이렇게 논의했습니다. 보안팀의 가치는 무엇일까요?그래서, 제 말은, 아주 멋진 첫 이사회 회의였죠?저는 막다른 골목에 몰렸어요.하지만 물론 제게는 지표와 측정에 대해 좋아해야 한다는 점을 강조해 주었죠. 비즈니스를 좀 더 잘 조율해야 한다는 점이었죠.그게 제 것이었어요. 그게 제가 처음 찾은 것이었죠.얼마나 많은 시스템을 패치하고 얼마나 많은 사건을 겪었는지에 관한 것이 아니었어요.예를 들어 보안 팀이 비즈니스를 지원하고, 비즈니스를 주도하고, 비즈니스 발전을 지원하는 방식이 궁극적인 문제였습니다.저는 분명히 다음 이사회 회의에 다시 와서 그것과 관련해 완전히 다른, 완전히 다른 일련의 지표를 제시했습니다.그게 제 첫 발견이었죠.그리고 꽤 빨리 깨달았어요. 물론 커뮤니케이션에서는 그런 환경에서는 유행어나 두문자어를 절대 사용할 수 없죠.아마 지난 10~15년은 그런 용어들을 다루면서 보냈을 거예요.그래서 의사소통을 빨리 개선해야 했어요.물론 좀 더 비즈니스 가치 중심적인 의사로 만들었죠.그리고 궁극적으로는 다시 비즈니스 지원으로 돌아가는 거죠.새로운 수익원, 새로운 아이디어, M&A 유형 계약 등의 측면에서 비즈니스를 지원하려면 우리가 거쳐가고 인수한 조직을 얼마나 빨리 가동하고 보호할 수 있을까요?그리고 궁극적으로는 비즈니스 리더가 다시 그 모습을 보여줄 수 있을까요?이것이 아마도 제가 CISO로서 해야 한다고 느꼈던 첫 번째 과제와 개선 사항 중 일부였을 것입니다.다시 말씀드리지만, 지난 10~15년을 돌이켜보면 기술적인 측면보다는 이러한 유형의 토론을 통해 가치를 알게 되었습니다.
10:30
좋은 지적입니다. 왜냐하면 그 경험이 CISO 경력 초창기, 즉 10년 이상 거슬러 올라가는 경험이었기 때문입니다.거꾸로 된 댓글, 사고 리더십 기사, 이사회 우선 순위에 더 부합해야 한다는 CISO/CSO에 대한 논평이 있을 때마다 보면 여전히 꽤 피곤합니다.이사회와 더 잘 소통하고 그 이유를 이해하도록 해야 합니다.10~15년 전에 이런 질문을 받았는데 왜 아직도 대화가 오가는 거죠?우리는 이 문제를 넘어섰어야 했고, 그 필요성이 대두되었어야 했습니다. 그리고 그 누구에게도 이것이 중요하다고 말하거나 다시 말할 필요가 없죠.주어진 대로 받아들여야 합니다.왜 아직도 이런 논쟁이 벌어지고 있는 걸까요?
11:18
네, 정말 좋은 지적입니다.그나저나 저는 여전히 우리가 다시 한 번, 듣고 있다고 믿어요.우리는 이사회에서 조직 교육을 받고 있습니다.저는 여전히 많은 C 레벨과 마찬가지로 다른 많은 역할들도 교육을 받고 있다고 생각합니다. 그렇죠?마치 제가 이사회 회의에 참석해 본 적이 있는데, 여러분이 보고 싶어하는 올바른 유형의 정보를 제공하지 않았다는 이유로 부름을 받은 적이 없는 것 같아요.그래서 항상 배우는 데 시간이 걸린다는 거죠.예를 들어, 항상 학습자가 이 세션에 참여하죠.제 생각에는 다음 역할이 필요하다는 점이기도 하다고 생각합니다. 제 다음 역할은 같은 유형의 정보, 같은 유형의 지표를 가지고 들어가지 않고 그냥 첫 회의에 가서 “이 조직을 지원하고 이사회로서 개선에 필요한 정보를 제공하는 데 어떻게 도움을 줄 수 있나요?” 라고 물어 보는 것이었습니다.그래서 우리 모두가 아직 배우고 있는 부분인 것 같아요, 그렇죠?아니, 제 생각엔 답이 없는 것 같아요.이사회 참여에 대한 답은 하나도 없습니다.이는 조직마다 다르고, 조직마다 요구 사항이 다르며, 모든 조직에는 저마다의 당면 과제가 있거나 고유한 전략을 가지고 있습니다. 네, 그렇다고 해서 그냥 다음 조직에 적용할 수는 없습니다.아마 그 이유가 바로 그것 때문인 것 같아요.이게 문제가 되지 않는다는 논의가 더 늘어날 것 같아요.하지만 이에 대해 들어본 몇 가지 예가 있습니다. 우리가 이야기해야 할 것은 비즈니스 언어를 말하고 사용해야 하고 이런 수준의 의사소통을 사용해야 한다는 것입니다.하지만 아무도 실제로 예를 들어주지 않아요.그나저나 거기 몇 개 있어요.하지만 네, 우리는 이를 최전선으로 밀어붙여야 합니다. 그래야 사람들이 이사회와 소통하기 좋은 지표가 무엇인지 이해할 수 있도록 말이죠.
12:55
네, 물론이죠.예를 들자면 “일을 더 잘하라”는 당연한 이야기를 하는 것보다 훨씬 더 좋을 것 같아요.하지만 저는 당신의 성격이 마음에 들어요. 처음 시작했던 일로 돌아가서 우리는 거의 이사회 멤버가 된 셈이죠. 제가 왜 이런 일에 신경을 써야 할까요?제 생각에 이 질문은 이사회 프레젠테이션뿐만 아니라 거의 모든 프레젠테이션에서 항상 머릿속에 떠올려두면 좋은 질문이라고 생각합니다. 그래서 청중이 제가 말하는 것에 관심을 가져야 하는 이유는 무엇일까요?세상에서 가장 훌륭한 아이디어일지도 모르지만 청중이 신경 쓰지 않는다면 상관없습니다.
13:28
그 책이잖아요, 그렇죠?우선, 왜요?슬라이드 데크를 사용하여 발표하거나 토론을 진행한다면 그게 전부인데 왜 이런 이야기를 할까요?왜요?이것이 왜 중요할까요?다시 말씀드리지만, 왜 우리는 여기에 시간과 에너지를 투자하는 걸까요?이는 언제나 좋은 출발점입니다.그러니까, 저는 이걸 새로운 비즈니스 기회 같은 측면에서 얘기하는데, 우리가 이것에 대해 생각하기 시작할 때, 예를 들어, 미래의 비즈니스를 바라보는 것과 같이, 음, 이 측면에서 우리가 해결하고자 하는 것은 무엇일까요?네, 시작해보는 건 언제나 좋죠.왜요?
13:53
네, 물론이죠.그래서 이 대화를 시작하기 전에 우리가 토론을 할 때는 많은 시간을 할애한다는 걸 알아요.물론 여러분은 Netskope의 CISO이기도 하지만 고객의 CISO와 대화하는 데도 많은 시간을 할애합니다.그럼, 그들은 무엇에 열광하는 걸까요?그리고 그들은 “이봐, 사실, 우리가 제대로 하고 있잖아.” 라고 느끼나요?왜냐하면 긍정적인 메시지도 중요하다고 생각하거든요. 사이버 세상에서는 부정적인면이 충분히 있기 때문이죠.
14:20
네, 맞아요.사실, 지난 주에 고객 자문위원회가 있었는데, 이 위원회에서 다시 한 번 말씀드리지만, 업계의 동료들, 다른 멋진 조직의 CISO들과 이야기를 나눌 수 있는 좋은 기회가 생겼습니다.양측의 당면 과제에 대해 듣는 것은 언제나 흥미롭습니다. 하지만 실제로 효과가 있는 것은 무엇이고, 사이버 보안 측면에서의 혁신과 같은 위대한 것들에 관해서도 그들이 보고 있는 것은 무엇일까요?그리고 저는 많은 조직들이 긍정적으로 생각하고 많은 경우 복잡하고 관리하기 어려웠던 과거에는 이미 가지고 있었을 수도 있는 보안 스택과 같은 많은 기술을 실제로 통합하기 시작했다는 사실을 알게 되어 정말 좋다고 생각합니다.예를 들어, 우리는 기업 네트워크에서 벗어나는 것에 대해 잠깐 논의했습니다. 20년 전으로 거슬러 올라가면 예리코 포럼이나 클라우드 보안 얼라이언스 같은 곳과 이에 대해 이야기하면서 경계가 없는 세상으로의 전환에 대해 이야기했습니다.그리고 흥미로운 점은, 지금 그런 일이 벌어지고 있다는 거죠, 그렇죠?이제 점점 더 많은 조직들이 이런 일을 하고 있습니다. 우리의 목표가 아직 마련되어 있지 않다면, 궁극적으로는 기업 네트워크를 제거하고, 다시 직원과 직원들이 원하는 디바이스를 사용하고자 하는 서비스에 직접 연결할 수 있도록 하는 것입니다. VPN을 이용해서 네트워크에 다시 연결할 필요 없이 말이죠.아직 몇 가지 사용 사례와 특정 산업이 이를 유지해야 할 수도 있습니다. 하지만 지난 주에 가장 큰 금융 서비스 조직 중 한 곳과 이야기를 나눴는데, 그것이 그들의 목표였다는 것을 알게 되어 기쁩니다.그들은 관리하기가 어렵고 확장하기 어려운 기업 네트워크에서 벗어나고자 합니다.이는 좋은 일이었으며, 조직이 이를 어떻게 해왔는지, 어떻게 할 수 있었는지에 대한 보다 일관된 메시지를 보게 되었습니다. 또한 비용 절감, 여러 분야에서의 비용 통합, 위험 감소, 궁극적으로 직원 및 최종 사용자의 전반적인 생산성 향상 방안과 같은 모든 이점을 살펴보고 있습니다.
16:16
정말 흥미로워요. 전체가 경계선이 없든, 아니면 마이크로 경계선을 향해 움직이든, 어떤 방향으로 움직이든, 원하는 방향으로 움직인다고 생각해요.제 생각에 이 둘은 근본적으로 같은 동전의 양면이라고 생각해요.제 생각에 이게 보안적인 측면에서 효율적인 이유는 이걸 신뢰할 수 있는가라는 문제가 생기지 않기 때문인 것 같아요.이거 신뢰할 수 없나요?그런 건 없어지죠. 왜냐하면 이게 제로 트러스트에 대한 단서가 아니라면 그건 나중에 올 테니까요. 그렇죠?하지만 제 생각에 그게 최고라고 생각해요. 그러면 갑자기 인터넷을 통해 모든 것에 접속할 수 있다고 말할 수 있다는 거죠.저는 모든 것을 그렇게 대하고 있어요.그러면 보안을 적용할 때 매우 일관된 방법을 제시할 수 있을 거예요.모든 컨텍스트 등을 사용할 수 있잖아요, 그렇죠?그리고 스타벅스에서 오는 것은 호텔 라운지에서 오는 것과 다르게 취급될 수 있겠죠?하지만 굳이 가정을 하지 않아도 여전히 동일한 원칙을 적용할 수 있습니다.제 생각에 이곳은 정말 강력한 존재라고 생각해요.
17:20
네, 그래요.제 생각엔 당연하죠.일반적으로 채택되고 있는 제로 트러스트 원칙에 대해 이야기할 때 생각나는 것 같아요.예를 들자면, 저는 제 친한 친구와 함께 크고 규모가 큰 조직의 CIO로 일했는데 그 친구가 멋진 이야기를 들려주었습니다.분명히, 팬데믹 기간 중에는 모두가 원격으로 일하고 있었고, 원격 근무자의 보안을 강화하기 위해 제로 트러스트 원칙과 정책 전체를 세웠습니다.흥미로운 점은 그가 이렇게 말했을 때였습니다. “모두가 오피스로 돌아오기 시작했을 때, 우리가 적용한 변경 사항 덕분에 모두가 원격으로 근무할 때 보안이 더 우수하다는 것을 깨달았습니다.그래서 우리는 이와 동일한 원칙을 내부 네트워크에도 적용하고 싶었습니다.그리고 나서 우리는 다시 한번 우리의 내부 네트워크, 즉 기업 네트워크를 없앨 수 있을까 하는 것을 깨달았습니다. 그리고 궁극적으로는 그들의 목표가 바로 그것입니다.이 예에서, 이 조직은 이러한 접근 방식으로의 전환, 이러한 접근 방식으로의 전환을 정당화할 수 있는 좋은 방법이라고 생각했습니다. 다시 한 번 보안 태세와 보안 제어를 살펴본 결과 원격 작업자에 대해 더 세분화되고 구체적인 제어 기능이 있다는 것을 깨달았기 때문입니다.하지만 그들이 이 일을 해냈고 이제 거의 기본이 되어가고 있는 것은 정체성이 단순한 수단으로서의 정체성에 그치지 않고, 제로 트러스트의 일부로서 신원을 평가하거나 신호로만 사용하는 것입니다.물론 그 사람이 어떤 기기를 사용하고 있는지를 고려한 것이죠.기업용인가요?개인용 장치입니까, 아니면 노트북이나 모바일 장치 등을 제외한 다른 유형의 장치입니까?하지만 장치 자체에 대해 조금 더 이해하고, 장치의 상태를 점검하고, 장치를 이해하고, 위치를 살펴보는 것이죠.그럼 그 사람이 어디서 연결하고, 어디에 연결하는지, 그리고 어떤 애플리케이션에 대한 세부 정보도 알아볼까요?이제 모든 것이 애플리케이션에 관한 것이기 때문이죠.실제로는 아니에요. 네트워크에 연결하지 않는 거죠.애플리케이션에 연결 중입니다.그 다음은 애플리케이션의 어떤 인스턴스였을까요?애플리케이션의 기업 인스턴스는 개인용 인스턴스와 매우 다르며, 물론 어떤 경우에는 동일하기 때문입니다.원드라이브나 구글 드라이브 같은 당연한 예시를 보면 말이죠.어떤 유형의 인스턴스에 연결하는지는 정말 중요합니다.회사 데이터를 개인용 OneDrive 인스턴스로 옮기는 경우 큰 문제가 될 수 있습니다. 그렇죠?다음은 활동입니다.그럼, 전후에 무슨 일이 있었나요?그리고 물론, 다시 데이터 부분으로 돌아갑시다.지난 주에 저희 자문위원회에서 이에 대해 이야기를 나눴는데 이에 대한 의견이 나왔는데 시간이 어떻게 될까요?시간, 데이터, 특정 시기의 데이터 액세스는 분명히 예외일 수 있기 때문입니다. 하지만 궁극적으로 제로 트러스트 원칙을 구축할 때는 데이터에는 고유한 라이프 사이클이 있기 때문에 시간도 고려해야 합니다.따라서 데이터, 특정 데이터 자산 등이 특정 시점에 매우 기밀로 유지될 수 있습니다. 예를 들어 M&A 유형의 활동에 대한 모든 종류의 작업과 같지만 그 시점 이후에는 더 이상 기밀이 아닐 수도 있습니다.따라서 시간은 우리가 그 일환으로 고려해야 할 일종의 신호이기도 합니다.하지만 제가 말씀드렸듯이 제 눈을 뜨게 해준 것은 정체성 너머에 있는 이 문제에 대해 생각할 수 있게 해주었죠.다시 말씀드리지만, 이것은 물론 Netskope에서 내부 보안 기능의 일부로 채택한 것인데, 완전한 제로 트러스트입니다.그리고 성숙도 모델을 살펴보면서 최적의 자세를 향해 나아가겠습니다. 모든 신호를 포함해서 말이죠. 모두 중요하기 때문이죠.
20:41
네, 아니요, 전적으로 동의합니다.제 생각에 그들은 정체성이 중요하다고 생각해요. 하지만 여러 면에서 정체성에 초점을 맞추고 다른 신호와 다른 기둥에 충분히 초점을 맞추지 못했기 때문인 것 같아요.말씀하시면서 네트워크, 애플리케이션, 기기 등 다양한 신호 소스를 살펴보셨을 때 제로 트러스트의 기둥에 대해 생각하게 되었는데 장치, 애플리케이션, 사용자, 네트워크 같은 것이 워크로드나 데이터인 것 같은데 기억이 안 납니다.그리고 우리는 종종 성숙함에 대해 이야기합니다. 각 기둥에서 통제력을 성숙시키는 거죠.하지만 말씀하신 것처럼 사실 각 기둥은 신호의 원천이기도 합니다.여러분은 이 두 가지 모두를 모든 것의 속성이라고 생각하는 것 같지만, 보호하고 있는 것이기도 합니다. 제로 트러스트 전략을 구축하고 발전시키면서 이 둘 사이에는 많은 상호 관계가 있습니다. 네, 저도 동의하죠?이런 신호를 생각할 때는 아이덴티티를 넘어서서 생각해 보세요.
21:48
저는 보안 운영 팀을 여러 해 동안 운영했는데, 여러분은 항상 컨텍스트를 원했습니다.다시 말씀드리지만, 이건 정말 조잡한 예시지만, 누군가 정말 중요한 기밀 데이터를 가져다가 USB 드라이브에 저장했습니다.그 사람들이 막 조직을 떠나려고 했는데 우리가 전화를 해서 알아냈죠.우리가 말했죠. “좋아, USB 드라이브를 안전하게 지워야 하니까 다시 가져와야겠어.”분명히 백업 용도로 사용하고 있었는데 이미 알람 벨이 울렸어요.파일 서버 등과 GitHub 리포지토리 같은 것들이 있는데 왜 USB에 백업하겠습니까?다시 말씀드리지만, 이전 역할이었는데 흥미로웠어요. 기기가 돌아왔을 때 실제로 데이터를 복사하는 데 사용하던 기기와는 다른 기기였기 때문이죠.다시 말씀드리지만, 즉각적인 경보가 울렸고 우리는 실제로 그 사람을 멈췄습니다.그 사람들이 말했죠. “아, 네, 다른 USB 드라이브를 돌려줬어요.”하지만 다시 말씀드리지만, 이건 정말 조잡한 예일 뿐이고, 이러한 컨텍스트가 정말 중요한 이유에 대한 것입니다. 조직에서 중대한 데이터 침해로 간주되는 시점에 실제로 중단했기 때문입니다.우리는 이런 일이 일어나지 않도록 막았습니다.물론 보안 전문가로서 가능한 한 많은 보안 침해를 막고자 한다는 사실을 잘 알고 있습니다. 복구에 대한 대응 등의 일환으로 어떤 일이 발생하는지 알고 있기 때문입니다. 또한 많은 시간과 노력이 필요합니다.다시 말씀드리지만, 보안 운영 팀에게 제가 함께 일하고 만나고 있는 보안 운영 팀에 부탁하는 이유이기도 합니다. 이러한 것들을 통해 어떤 상황을 얻을 수 있는지 살펴보겠습니다.그리고 이벤트의 영향과 평가를 제대로 파악하려면 최소한 8~9개의 신호가 필요한 경우도 있습니다.
23:22
내 생각엔 네가 이 사람한테 의심의 여지를 주지 않았나 봐제 생각에 그들은 USB를 가져가서 다른 USB에 백업한 것 같아요. 그게 바로 그들이 준 것입니다.그래서 만일을 대비해서 백업을 중복해서 만들고 있었다는 거죠.
23:34
물론, 네, 그들이 가지고 있던 이 데이터를 가지고 있다는 사실을 숨기기 위해서였죠.물론 우리는 그들이 기업 데이터를 가져가는 것을 원하지 않았습니다.이것이 궁극적으로는 우리가 가진 시나리오였고, 네, 우리는 그 상황을 완화할 수 있었습니다.하지만 다시 말씀드리지만, 상황에 따라 기기를 보면 마치 이 기기가 경고를 트리거한 기기가 아닌 것 같았습니다.따라서, 아시다시피, 즉시 더 큰 문제가 생겼습니다.네, 오늘날의 클라우드도 마찬가지라고 생각합니다.저는 많은 다른 CISO들과 클라우드의 문제에 대해 이야기를 나누었습니다. 마치 우리 조직에서 어떤 클라우드 서비스를 사용하고 있는지, 무엇이 승인되었는지, 공급업체 평가와 타사 평가를 거쳤는지 등에 대한 완전한 가시성을 항상 가지고 있지는 않았거나 초기에는 그랬던 것과 같습니다. 그리고 저는 오늘날에도 여전히 많은 조직에서 그러한 문제를 안고 있다고 생각합니다. 이것이 바로 그들이 저에게 주는 피드백입니다.정확히 무엇이 사용되고 있는지는 알 수 없습니다.Azure, AWS 또는 GCP처럼 승인된 퍼블릭 클라우드 서비스를 보유하고 있지만 SaaS의 경우 제가 주로 받는 피드백은 SaaS 측면에서 무엇을 사용하고 있는지 잘 모른다는 것입니다. 클라우드 서비스 측면에서 매일 사용되는 항목에 대한 포괄적인 인벤토리를 얻을 수 없기 때문입니다.하지만 물론 Netskope와 같은 도구는 조직이 이를 식별하고 이에 대한 제어를 설정하는 데 도움이 될 수 있습니다.저는 이것이 정말 좋은 출발점이라고 생각합니다.하지만 다시 데이터로 돌아오게 되죠.좋아요, 그럼, 해당 서비스에는 어떤 데이터가 들어갈까요?예를 들어 해당 서비스에 액세스할 수 없게 되면 해당 서비스를 이용할 수 없기 때문이죠.어떤 영향이 있나요?다시 한 번 이사회 차원의 논의로 돌아가서 말씀드리자면, 우리가 이 데이터에 액세스할 수 없게 되면 그것이 조직으로서 우리에게 어떤 영향을 미칠지, AI 서비스에 대해 지금 같은 논의를 하고 있습니다.AI 서비스가 비즈니스 프로세스에 점점 더 많이 포함되면서, 서비스를 더 이상 사용할 수 없게 되면 어떤 영향이 생길까요?네, 이제 그런 방법들에 대해 생각해 봐야겠네요.물론 복원력의 한 형태이긴 하지만 이제는 제 서비스가 얼마나 복원력이 좋은지 알고 있는지, 서비스를 사용할 수 없게 되거나 보안이 침해되면 어떻게 될까 하는 생각이 들어요.
25:35
섀도우 IT 사용에 대해 말씀하신 내용으로 돌아가 볼까요?어쨌든, 2010년대 중반이 CASB 시장의 초기 단계였다고 가정해 봅시다.실제로 방갈로르에 있는 개발 센터를 방문하여 제품 팀원들과 함께 앉아서 이렇게 말한 것을 기억합니다. “평가 중인데, 이, 이것, 이것, 이것 등을 할 수 있다면 좋을 것 같아요. 그러면 SaaS 사용에 대해 필요한 모든 가시성을 얻을 수 있기 때문입니다.”하지만 앞서 말씀드린 것처럼, 일종의 AI에 대해 말씀드렸는데, AI 사용법에 대해 말씀드린 것 같은데요?저는 이것이 정말 흥미롭다고 생각합니다. 왜냐하면 제 생각에 AI가 AI 모델이 비즈니스 애플리케이션의 핵심 구성 요소가 되면서 이제 AI 모델은 중요한 애플리케이션으로 자리 잡았기 때문입니다.그러니까, 제가 핵심 뱅킹 시스템인 뱅킹 제공업체였을 때 적용했을 것과 같은 방식으로 이를 어떻게 보호할 수 있을지 생각해 볼 필요가 있겠죠?제 AI 모델은 이제 A, I, C 모두의 기본이 되었죠?AI 모델에서 세 가지를 모두 보호해야 합니다.
26:43
네.다시 말씀드리지만, 말씀드렸듯이 저는 컴퓨터 시대, 인터넷 시대, 클라우드 시대, AI 시대 등 여러 시대를 거쳐왔습니다.솔직히 제 나이가 또 있는지는 모르겠어요.제가 인공지능으로 대체될 수도 있겠지만, 잘 모르겠어요.하지만 제 생각에 당신 말이 맞아요. 새로운 시대로 접어들거나 다른 시대로 넘어갈 때마다 우리는 다시 한 번 생각하기 시작하죠. 분명히, 어떻게 하면 그걸 더 잘 보호할 수 있을까요?인터넷 시대와 같은 논의를 했었는데, 사실 특정 사람들에게만 인터넷 접속을 허용하자는 것이었습니다.물론 몇 달 만에 모든 사람들이 접속할 수 있게 되었죠.클라우드도 마찬가지죠.마치 우리가 사용하는 클라우드 서비스의 수만 제한하려는 것과 같습니다.그리고 몇 달 만에 섀도우 IT 문제가 생겼습니다.물론 우리는 지금 AI 시대에 살고 있다고 생각합니다.한 가지, 저희가 집중적으로 집중하고 있는 것이 하나 있습니다.그래서 저는 AI 거버넌스 위원회의 일원이고 책임 있는 AI 정책과 AI 보안 표준을 공동 작성했으며 Netscape 전반에서 우리 팀과 긴밀하게 협력하고 있습니다.다시 말씀드리자면, 회사 관점에서뿐만 아니라 제품 내에 있는 기능에서도 AI를 사용하는 관점에서요.우리는 기록을 가지고 있고, 정확한 사용 기록을 가지고 있으며, 이 모든 것을 예를 들어 사용 사례와 연계시킵니다.네, 우리가 제대로 할 수 있는 훌륭한 능력을 가지고 있는 걸까요?우린 이걸 하나의 조직으로 가지고 있어요.AI는 AI 사용을 식별하고 이를 효과적으로 보호하기 위한 통제 수단을 마련하는 데 중점을 두고 있습니다.물론 저는 위협 연구팀과도 긴밀하게 협력하고 있습니다. 물론 위협과 공격을 시작하고 새로운 유형의 기술을 사용하는 등의 측면에서 혁신을 주도하기 위해 AI를 사용하는 사례가 증가하고 있습니다. 그래서 우리는 이미 이를 목격했습니다.방어의 관점에서 보면, 다시 말씀드리지만, 제품 팀이 AI로 돌아가는 방어 체계를 구축할 수 있도록 지원하고 있습니다. 네, 이미 그런 상황을 목격하고 있습니다.하지만 앞서 말씀드렸듯이, 우리 조직의 관점에서는 이에 대해 포괄적인 접근 방식을 취해야 합니다.이러한 다양한 사용 사례를 모두 살펴봐야 하고, 그러한 사례가 영향을 받을 경우 어떤 영향을 미치는지도 살펴봐야 합니다.다시 말하지만, AI 사용을 통제하고 통제하는 측면에서 볼 때 이미 조직으로서 우리에게는 매우 중요합니다.그리고 규제도 있고, 지금도 마찬가지입니다.우리는 8월에 발효된 EU AI 법을 가지고 있습니다.또한 흥미롭네요. 정기적으로 다른 조직과 이야기를 나누는데 가끔 피드백을 받으면 “괜찮아, 3년 동안 아무것도 할 필요가 없어.”제 대답은 이랬습니다. “음, 아니, 사실 첫 번째 이정표이자 첫 번째 조치인 첫 번째 시행이 곧 2025년 2월에 있을 거예요. 그렇죠?그래서 기다릴 수가 없어요.”실제로, 금지된 AI, 시스템 및 서비스의 사용에 관한 첫 번째 이정표를 맞이할 준비가 되어 가고 있습니다.그러니까, 네, 제 생각엔 규제가 중요한 역할을 할 거라고 생각해요. 하지만 궁극적으로는 우리가 알고 있는 사실로 되돌아가는 거죠, 그렇죠?우리가 가지고 있는 게 뭐야?어떻게 보안을 유지할 수 있을까요?거버넌스가 적용되도록 하려면 어떻게 해야 할까요?
29:35
네, 물론이죠.이 AI 대화를 다시 CISO와 나누고 있는 대화와 연결시켜서 CISO가 흥미롭고 긍정적으로 생각하는 몇 가지 사항에 대해 이야기를 나눴습니다.그들은 어떤 어려움을 겪고 있는 걸까요?그들은 무엇에 대해 좌절하는 걸까요?
29:52
네, 제 생각에 제 생각에 제 생각에 여전히 가장 중요한 것은 현재의 규제 환경이 안고 있는 과제라고 생각합니다.그리고, 네, 곧 있을 새로운 규정과 표준과 프레임워크에 대한 변경도 있고요.그러니까, 우리는 오랫동안 그런 삶을 살아왔잖아요, 그렇죠?하지만 네, 지금은 많은 규제가 시행되고 있는 것 같습니다.이 모든 것들이 서로 어떻게 조화를 이룰까요?예를 들어, 겹치는 부분이 있나요?그게 뭐고, 무엇이 우선순위인지, 그런 것들이요.그리고, 네, 저는 이런 것들을 정기적으로 다루고 있어요.예를 들어 저는 NIS2와 DORA가 처음 발표되었을 때부터 계속 사용해 왔습니다.그리고 EU의 인공지능에 관한 법도 다시 말씀드리지만, 저는 지난 8월에 이에 관한 논문을 작성했습니다. 그 텍스트가 EU 저널에 정식으로 게재된 후였죠.이런 모든 것들이요.그래서 이런 것들은 알고 있지만 어렵네요.오늘날 CISO에 속한 조직은 규제와 관련하여 무엇을 해야 하는지 이해하기가 정말 어렵습니다.그래서 저는 이 문제를 어떻게 해결해야 할지 생각해요. 왜냐하면 저는 문제와 당면 과제에 대해 기꺼이 이야기할 수 있으니까요. 하지만 어떻게 하면 문제를 빨리 해결할 수 있을까 하는 생각도 들거든요.다시 말씀드리지만, 제가 일반적으로 이 문제에 접근하는 방식은 현재의 표준 제어 프레임워크를 구축하거나 개선하는 것입니다.따라서 적용할 수 있는 일련의 공통 제어 항목이 있습니다. 예를 들어, 앞으로 도입될 많은 규정과 표준 및 프레임워크의 요구 사항을 충족할 수 있습니다.그리고 조직적 통제나 기술적 통제 같은 것을 적용함으로써 우리는 그 요구사항을 충족할 수 있습니다.하지만 규정이나 표준 프레임워크에 따라서만 적용하는 것은 아닙니다.이걸 적용하면, 따라서 여러 곳에 적용되죠.이것이 제가 실제로 공유하고 있는 방식입니다.저는 Netscape에서 함께 일하는 팀에서 일련의 글을 작성했습니다. 우리 모두는 조직이 해야 할 일을 이해하는 데 궁극적으로 도움이 될 수 있는 이 규정 준수 가이드 시리즈를 작성해 왔습니다.반면 앞서 말씀드린 것처럼 쉽게 얻을 수 있는 성과는 무엇일까요? 또한 이러한 통제 수단을 적용하고 적용하면 규제 환경 전반에 어떤 영향을 미치게 될까요?네, 제가 듣고 있는 문제들은 이것입니다. 그리고 이러한 문제들 중 일부를 해결하는 데 도움을 주고자 하는 우리의 생각이기도 합니다.
31:53
네, 그리고 근본적으로 해결해야 할 다양한 규정이 있을 때 얼마나 번거로워질 수 있는지 확실히 알 수 있습니다. 그렇죠?그리고 각자가 요구하는 것은 같은 종류이지만 색깔이 약간씩 다릅니다.그리고 당신은 “모든 색상을 해야 하나요, 아니면 일부만 해야 하나요?” 라고 말하는 거예요.하지만 저는 동의합니다. 맞아요. 일정한 프레임워크를 기반으로 그 위에 일종의 규정을 구축하거나 아니면 단지 확장을 하면 “좋아, 음, 내가 이 프레임워크를 채택한다면, 이제 기본적인 것은 다 다루었어.” 라는 의견을 받을 수 있을 것입니다.그리고 저는 DORA에 대해 어느 정도 고개를 끄덕이게 됩니다. 특히 이 경우에는 DORA가 ISO 27001과 NIST 사이버 보안 프레임워크를 본질적으로 영감의 원천으로 지목하고 있다는 생각이 듭니다.이를 기반으로 구축되었습니다.우리가 희망을 좀 가질 수 있는 부분이 보이시나요? 규제 기관이 굳이 재발명할 필요가 없다고 말하고 있는데, 표준이나 프레임워크 같은 좋은 것들이 많이 있습니다. 그리고 그것이 바로 우리가 발전할 수 있는 방법입니다. 우리 스스로 만들어가는 것이 아니라 말이죠.
33:04
네, 성숙도이기도 하죠.그리고 이러한 표준과 프레임워크의 새 버전도 출시되면 항상 보기 좋습니다.저는 수년 동안 웹과 클라우드, 데이터 보안 등을 포함하는 ISO 270001 업데이트를 지지해 왔습니다.이것이 실제로 무엇을 의미하는지에 대해서는 자세히 다루지 않았습니다.그래서 저도 새롭고 업데이트된 표준이 출시되면 흥분을 느끼는 사람들 중 한 명이었을 때 정말 기뻤습니다.2022년에 출범했을 때 저는 그들이 마침내 웹 보안, 클라우드 보안, 데이터 보안 문제를 해결했다는 생각이 들었습니다.QSA가 들어와 DLP가 카드 데이터 환경 외부의 카드 데이터를 식별하는 데 어떻게 도움이 되는지 보여준 이후로 저는 수년 동안 DLP를 옹호해 왔습니다.그는 이렇게 말했습니다. “좋아, 그 기술의 이름은 뭐지?”제가 말했죠. “DLP라고 해요.”그는 이렇게 말했습니다. “흥미롭네요. 아마도 이를 보완하는 대조군으로 볼 수 있을지도 몰라요.”그래, 그래야지, 그래야지, 정말, 안 되겠다 싶었어.” 라고 생각했죠.다시 말씀드리지만, 제 나이는 2000년대 중반이었죠.하지만 네, 표준과 프레임워크가 사용 가능한 제어 기능을 따라잡을 수 있다는 것은 대단한 일입니다.다시 말씀드리지만, 가능하다면 항상 보안을 단순화해야 한다는 점에 전적으로 동의합니다.제 말은, 복잡성은 언제나 우리의 적이라는 거죠.다시 볼의 재량에 대해 말씀드리자면, 정답은 없습니다. 완벽한 핏이란 없습니다.따라서 우리가 나아가더라도 수많은 규제 표준과 프레임워크를 준수해야 한다는 것을 받아들일 수 있습니다. 대부분의 경우 이러한 표준과 프레임워크는 여전히 우리와 우리 조직에 고유할 것입니다.네, 그게 우리가 그것들을 어떻게 적용하고 또 어떻게 고려하느냐입니다.네, 하지만 규정 준수 요구 사항을 충족하는 데 대부분의 시간을 할애한다면, 안타깝게도 그렇지 않습니다. 혁신과 최신 위협 및 데이터, 그리고 다른 분야의 발전도 살펴볼 시간이 항상 있는 것은 아닙니다.그래서 제 생각에, 네, 네, 규정 준수 부분을 단순화하면 다른 일에도 집중할 수 있다는 측면에서 회비를 지불하게 될 것입니다.
34:56
물론이죠, 그렇죠?규정 준수를 완전히 단순화하면 누구나 환영할 것 같아요.하지만 규정 준수가 단순히 규정 준수에 대해 보고하기 쉽게 만드는 것 이상으로 혁신을 주도한다는 것도 흥미로울 것 같아요.이는 혁신이 아니라 단지 더 나은 보고 기능일 뿐 아니라 보안 분야에서 더 많은 혁신을 주도하기 위한 방법으로서의 규정 준수를 의미합니다.그럴 수 있는 기회가 있다고 생각합니다.어떻게 생각하세요?
35:20
네.다시 말하지만, 저는 EU AI 법을 여러 번 읽어 본 적이 있습니다. 다시 한 번 말씀드리지만, 요구 사항을 충족하기 위해 이를 조직에서 어떻게 활용할 수 있는지 제대로 이해하기 위해서죠.또한, 예를 들어 사이버 보안 제어를 구현하려는 경우 해당 법률을 준수하는지 확인하는 것도 중요합니다.물론 그런 점에서는 매우 높은 수준입니다.특정 영역에서는 매우 모호하지만 특정 유형의 활동, 특정 유형의 모니터링 등에 대해 이야기하기도 하는데, 사람이 특정 사물을 검사하는 것이 아니라 기계를 기반으로 한다면 궁극적으로는 그렇게 할 수 있겠죠?물론 혁신의 관점에서는 이해하는 것이 중요하지만, 조직에서 AI/ML을 사용하여 조직의 보안을 유지할 수 있다는 점도 이해해야 합니다.아닙니다. 예를 들어 프로파일링이나 이와 비슷한 것으로 간주되기 때문에 그렇게 할 수 없다고 강조하고 집중하려는 것이 아닙니다. 그렇죠?그래서 그게 정말 중요하죠.오늘날에도 항상 훌륭한 모범 사례 가이드가 있다고 생각합니다.행사에 가서 기조 연설자 중 한 명이나 제가 관심 있는 세션에 참석하면 항상 많은 사람들이 이 일을 겪고 혁신을 이루었습니다. 그들은 특정 규정 준수 요구 사항을 충족하는 플랫폼을 사용했을 수도 있지만, 예를 들어 조직이 규정 준수 요구 사항을 충족하도록 돕기 위해 할당된 예산을 어떻게 활용하고 충족했는지 알게 될 것입니다. 규정 준수 요구 사항을 충족한 후 지출의 일부를 사용하거나 용도를 변경했으며 기술 투자도다른 일들도 하세요.다시 말씀드리지만, 어떤 조직에서든 이 점을 고려하는 것이 정말, 정말 중요하다고 생각해요, 그렇죠?제가 겪은 또 다른 변화입니다.다시 말씀드리지만 CISO들은 통합을 모색하고 있다는 이야기를 들었습니다.그들은 비용 절감을 기대할 수 있는 부분을 찾고 있습니다.그리고 저에게는 그렇게 할 수 있는 좋은 기회가 몇 가지 있습니다.70개 정도의 기술을 가진 조직을 만들었던 기억이 납니다. 그리고 팀을 둘러봤더니 10명 정도였죠.저는, 좋아요, 각각 일곱 명이었어요.좋아요, 그냥 패치하고 업데이트해서 규칙과 구성을 최신으로 유지한다고 해도 불가능하겠죠?우리가 보유한 기술의 수, 다양한 공급업체 등을 줄이기 시작해야 할 것입니다. 정말 관리가 용이한 기술 스택으로 통합해야 합니다. 그래서 좋은 기회를 봤어요. 좋아요, 이걸 갖추기 위한 규정 준수 요구 사항이 무엇일까요?위협 또는 데이터 보호 관점에서 볼 때 어떤 도움이 될까요?이를 통해 인프라를 어떻게 보호할 수 있을까요?이게 우리 직원들을 어떻게 보호할까요?왜냐하면, 네, 사람들을 보호하는 데도 도움이 필요하니까요.교육과 인식 제고에 어떤 도움이 되나요?그래서 핵심적이고 핵심적인 영역에 꼭 맞는 요구 사항을 선정했습니다. 그리고 나서 제가 사용하고 있는 기술 공급업체의 수를 줄이고 궁극적으로는 더 쉽게 관리할 수 있는 방안을 모색할 수 있었습니다.제가 가입한 모든 조직에서 그 일에 집중하기 위해 그렇게 하려고 노력했어요.이러한 요구 사항을 충족하기만 하면 좋지만 기술적 부채도 많기 때문입니다.이것이 우리 모두가 가장 큰 어려움 중 하나로 자주 언급하는 표현이라고 생각합니다.이러한 복잡성을 확실히 줄일 수 있는 방법이 많이 있습니다.복잡성을 줄이면 더 많은 시간을 집중할 수 있다고 생각합니다.업데이트가 예정되어 있기 때문에 기술 업데이트를 하러 갈 필요 없이 팀 전체가 기술 튜닝, 구성, 개선, 이벤트 검토, 지표, 추세, 분석 및 분석 등에 더 많은 시간을 할애하는 등 다시 한 번 더 집중하고 싶습니다.이런 것들을 정말 원하고 있습니다. 물론 SSC와 SASE의 즐거움이자 기쁨은 궁극적으로 공급자가 그렇게 하도록 내버려 두고 이러한 정책을 유지 관리하고 구성하는 데 소요되는 시간을 활용할 수 있다는 것입니다. 제 관점에서는 이것이 정말, 정말 중요합니다.다시 말씀드리지만, 우리가 우리의 용어로 리소스를 관리하는 방식에 대해 말씀드리겠습니다.
39:17
제 생각에 이러한 통합과 관련된 한 가지 중요한 점은, 특히 공급업체가 와서 “이봐, 우리한테 이런 역량이 있잖아.” 라고 말하는 경우에는 더욱 그렇습니다.제 생각에는 벤더 측에서 잠재 고객이 고객에게 “음, 이미 30개의 다른 툴이 있습니다.” 라는 반발을 하는 경우가 많다고 생각합니다. 또는 귀하의 경우에는 70개의 다른 툴을 말씀하셨죠?하지만 통합 작업을 통해 정확히 어떤 기능을 보유하고 있는지 파악할 수 있다고 생각합니다. 새로운 기술을 접할 때 조직이 당면한 가장 큰 어려움은 현재 스택이 어떤 역할을 하는지 제대로 이해하지 못한다는 점이기 때문입니다. 그렇죠?가치를 제공하는 부분과 실제로 있는 부분은 70개이지만 역량과 핵심 기능에는 여전히 격차가 있습니다.그리고 저는 이것이 근본적으로 그러한 것들을 발견하고 “아, 좋아, 이제 이게 왜 필요한지 알겠어.” 라고 말할 수 있는 기회라고 생각합니다.
40:11
네, 맞아요.그러니까, 제가 가장 먼저 한 일 중 하나는 공급업체 파트너를 이전 직무에 참여시키는 것이었습니다.제 말은, 제가 넷스코페에 입사한 것은 분명 6년 반, 7년 전에 네스코페에서 일했다는 것입니다.우리는 기술에 제품을 공급하는 클라우드 회사입니다.그래서 그런 문제는 없었어요.하지만 이전 조직에서도 그렇게 말씀드렸어요. 왜냐하면 저는 이것이 큰 도전이라는 것을 알고 있기 때문입니다.하지만 저는 공급업체와 파트너를 불러들여 “좋아요, 6개월 후에 리뉴얼이 다가왔어요.” 라고 말하곤 했습니다.그들이 항상 가장 먼저 하는 말은 “좋아요, 시간이 가까워지면 연락드리겠습니다.” 라는 것이었습니다.제가 말했죠. “아니요, 왜 우리가 지금 이 기술을 사용하고 있는지 알아야겠어요.이 기술을 통해 얻을 수 있는 이점은 무엇일까요?”이미 논의가 진행되었는데, 물론 다시 돌아가서 말씀드리죠. “네, 통합에 대해 생각해 볼 수 있을 것 같아요.”그리고 워크시트도 아직 가지고 있는데, 실제로 Netskope의 여러 다른 조직들과 함께 일해봤는데, 같은 문제를 겪은 적이 있습니다.제가 말씀드린 바로는 250개 정도의 다양한 기술이 정리되어 있습니다. 궁극적으로는 어떻게 통합될 수 있는지, 단계적으로 어떻게 통합할 수 있을지에 대해 말씀드린 바 있습니다.따라서 첫 번째 단계는 이 단계, 두 번째 단계, 세 번째 단계가 될 것입니다.이제 통합을 시작할 수 있습니다. 서로 겹치는 부분이 많으니까요. 그렇죠?이미 보유하고 있는 다른 기술과 잠재적으로 중복될 수 있는 중요 기능을 살펴보면 많은 기능이 있다는 점에 전적으로 동의합니다.그렇지 않습니다. 항상 다른 사람이 볼 수 있는 것은 아닙니다.이 새롭고, 반짝이고, 새로운 것에 대해 듣게 되면, 좋아, 그럼 그걸 가져올 수 있을 것 같다고 생각할 수도 있어요. 하지만 사실 이제 제가 가진 다른 것과 겹칠 수도 있어요.그럼, 교체해야 하는 건가요?비유로 말씀드리자면아내와 같은 것을 가지고 있는데 제 옷장은 “더 이상 들어갈 수 없어요. 그래서 새 것을 가져오려면 뭔가 치워야 해요.”그래서, 지금은 그거랑 아주 비슷하죠?하지만 이 경우, CISO인 우리의 관점에서 보면, 뭐, 한 가지를 가져오면 세 가지를 없애야 할 것 같아요.결론적으로 말씀드리자면, 지난 주에도 고객 자문위원회에서 좋은 논의를 했었죠. 좋은 점은 10점 미만으로 떨어진다는 것이죠. 그렇죠?10개 미만의 기술을 사용할 수 있다면 모두 할 수 있는 일을 하고 있는 것입니다. 다시 말씀드리지만, 모두 통합되어 있고, 개방적이며, 서로 소통하고, 물론 이런 종류의 최신 이점을 활용하고 있습니다.그러니까 기술 스택에서 이 문제를 다루고, 좀 더 관리하기 쉬운 수준으로 축소하는 거죠.정말 좋은 지점이죠.다른 조직에서는 이렇게 말할 거라는 걸 알아요. “음, 네, 절대 10개까지는 못 하겠지만 그래도 20개로 낮추려고 노력할게요.”궁극적으로는 여러분이 원하는 곳이 바로 그곳입니다.제 생각에는 특정한 사용 사례가 있다면 포인트 제품이 여전히 필요하다고 생각합니다. 하지만 이제 우리가 이야기하고 있는 것처럼 이 모든 통합과 플랫폼 플레이를 볼 수 있을 것입니다.모든 것이 마이크로서비스를 기반으로 하는 이 기능이 있기 때문에 궁극적으로는 플랫폼에서 마이크로서비스를 실행할 수 있습니다.이런 일을 더 스마트하게 할 수 있는 방법이죠.
42:57
네, 물론이죠.이제 몇 분 남았으니 이제 끝까지 갑시다.흥미진진하고 도전적인 것들에 대해서도 분명히 말씀드렸어요.하지만 예상치 못한 일들은 어떨까요?작년이나 그 이전에 어떤 경험을 했나요?마치 보고 이렇게 생각하는 것 같아요. “흠, 제가 예상했던 것과 완전히 반대였어요.”
43:22
네, 제 생각엔, 인공지능으로 돌아갈 수 있을 것 같아요. 그리고 저는 인공지능이 폭발할 거라는 걸 어느 정도 알고 있었죠.AI가 도약할 거라는 걸 알았어요.저는 AI 시대에 대비한 2014년 쯤에 이에 관한 기사를 썼던 것 같아요.네, 우리 모두는 그걸 기다리고, 기다리고, 또 기다렸어요. “곧 일어날 거야, 곧 일어날 거야.”제 생각엔, 올해는 아니었던 것 같아요. 하지만, 네, 지난 몇 년 동안은 전혀 예상하지 못했어요. 그랬던 것 같았어요. 아마도 그런 일은 절대 일어나지 않을 것 같았어요.마치 ML에 대한 사용 사례가 존재하지 않는 것 같았어요. 네, ML은 오랫동안 사용해왔습니다.아시다시피, 예를 들어 우리는 거기서 가치를 보았습니다.하지만 전체적으로 GenAI 같은 것에 대해 이야기할 때, 사실 저는 오래 전에 GenAI 서비스를 사용해 본 적이 없었는데, 정말 도움이 되었습니다.저는 노트 관점에서 볼 때 도움이 되었고 그런 모든 것들을 일기로 기록하는 데 도움이 되었습니다.정말 큰 도움이 됐어요.그리고 전 정말, 멋지다고 생각했어요.이것은 훌륭한 사용 사례입니다.하지만 갑자기 이런 식으로 GenAI와 AI 사용량이 폭발적으로 증가할 것이라고는 전혀 예상하지 못했습니다.그리고 이런 일이 일어날 줄 알았을 때 정말 놀랍고 순식간에 일어났습니다.하지만 그건 좀 예상치 못한 일이었다고 생각해요. 몇 주 만에 전체 조직이 원래처럼 클라우드 서비스 제공업체에 대한 공급업체 평가 등을 하고 있는 것처럼 느껴졌어요.그리고 2주가 지난 지금, 그들은 새로운 공급업체를 대상으로 이 작업을 진행하고 있고, 기존 공급업체들도 계속해서 새로운 기능을 추가하고 있는데, 이것이 가장 큰 과제 중 하나라고 생각합니다.그래서 지금처럼 다른 CISO와 이야기를 나눠보면 우리 팀에는 새로운 기술이나 이를 추가한 기존 기술이 넘쳐나고 있다고 말하기만 합니다.그냥, 방금 폭발이 일어났어요.그러니까, 그게 가장 최근에 일어난 예상치 못한 도전이었던 것 같아요.하지만 네, 그랬어요. 몇 년 전 일이었죠.몇 년 전만 해도 그렇게 살 수 없었지만 아직도 살아있어요.
45:15
멋져요, 멋지네요그런 예측을 하셨으면 좋겠어요. 여러분도 그 당시에 엔비디아 주식을 많이 사서 지금 잘 활용하고 계셨으면 좋겠어요.이제 마무리하겠습니다, 그렇죠?CISO로서 멋진 경험을 하셨군요.다른 CISO, CIO, 주요 의사 결정권자와 채팅하는 데 많은 시간을 할애합니다.사이버 분야에서 경력을 시작하고 언젠가는 CISO 또는 CSO처럼 되겠다는 야망을 가진 사람에게 적합합니다.그들에게 해주고 싶은 조언은 무엇인가요?
45:43
제 생각엔, 기회가 주어지면 항상 '예'라고 말해야 할 것 같아요. 자신의 경력 경로에서 자신의 성격이 아니라고 생각하더라도, 어쩌면 '예'라고 대답할 수도 있습니다.다시 한 번 말씀드리지만, 꼭 밖으로 나가세요.다른 CISO와 대화하고 다른 CISO로부터 배우세요. 그렇죠?제가 이 일을 시작했을 때는 제가 부탁할 수 있는 CISO가 없었으면 좋았을 텐데요.우리는 일을 하면서 배워야 했어요.네, 이제 좋은 기회가 생긴 것 같아요. 제 생각에 대부분의 CISO들은 꽤 개방적이고 기꺼이 생각을 나눌 수 있는 것 같아요. 그렇죠?제 말은, 음, 이 팟캐스트에서 말이죠, 그렇죠?생각이나 경험, 이런 것들을 공유하면 우리 모두 저인 것 같아요. 어쨌든 제 개인적으로는 이 업계에 들어왔을 때보다 더 좋은 곳에서 이 업계를 떠나고 싶어요. 그렇죠?보답하려 한다는 건 언제나 좋은 신호죠.그래서 제 생각에는, 네, 정말 CISO가 되고 싶으면, 다른 CISO와 이야기를 나누고 그들과 최대한 많은 시간을 보내도록 노력하는 것이 좋을 것 같아요.하지만 이벤트에도 가보세요.저녁 식사나 이런 식사에 참석할 기회가 생긴다면 가보세요. 그 방법을 이해하고, 당면 과제에 대해 듣고, 이러한 문제를 해결하는 데 어떻게 도움을 줄 수 있을지 생각해 보세요.이 업계에는 문제 해결사가 꼭 필요하죠?문제 해결사가 많을수록 더 좋습니다.당신이 그런 기술이나 욕구, 해당 분야에 관심이 있고 훌륭한 문제 해결자라면 이 직업이 분명히 당신을 위한 직업입니다.
47:05
멋지네요.닐, 그럼 오늘 시간을 내주시고 지혜를 얻어주셔서 정말 감사합니다.이렇게 대화를 나눌 수 있어서 정말 좋았어요.정말 고마워요.건배.
47:15
네, 아니요.고마워요, 라구