진화하는 CISO

왜냐하면 그들은 그걸 가지고 있지 않고, 그렇게 자세히 볼 수도 없고, 비즈니스 리더로서 그들을 이끌어 간다면 그것은 어찌 보면 피상적입니다.무슨 일이 벌어지고 있는지 깊이 있게 이해할 수는 없을 거예요.그래서 CISO나 실무자로서 운영하는 것이 아니라 기업 차원에서 운영하는 거죠.하지만 구체적인 질문에 대한 답을 드리자면, 저는 깊은 공감 능력 덕분에 양쪽 모두를 조율할 수 있는 것 같아요.

10:28 비샬 살비 (Vishal Salvi): 예를 들어 우리가 사이버 보안 분야의 혁신을 주도하기 위해 내부적으로 많은 혁신을 할 때, 예를 들어 5~6년 전부터 우리는 Infosys 내에서 완전히 다른 메트릭 측정 프로그램을 운영했고, 이를 위해 초자동화를 했고, 이를 중심으로 많은 IP를 구축했고, 4년 동안 성공적으로 운영한 후 우리가 고객에게 제공할 수 있는 단계에 이르렀다고 생각했고, 우리는 일종의 리버스 엔지니어링을 했습니다.전체 코드와 전체 솔루션을 실무 팀으로 마이그레이션했습니다.그리고 이제 실무 팀은 이를 확장하고 현재 일어나고 있는 모든 혁신과 변화에 대해 시행을 지원하고 있습니다. 왜냐하면 고객으로부터 이를 감지하고 피드백을 받을 수 있었기 때문입니다.

11:16 비샬 살비 (Vishal Salvi): 다른 분야에서도 그런 일이 많이 일어나고 있습니다. 예를 들어, 어떤 사례를 인큐베이팅할 때 팀에서 리소스를 좀 가져와서 내부적으로 들어가서 그것을 인큐베이팅하고 특정 성숙도에 도달시킨 다음 다시 가져와 고객에게 돌려줄 수 있습니다.이는 우리에게 많은 가능성과 이점을 제공합니다. 그리고 모든 고객에게 무슨 일이 일어나고 있는지 폭로할 수 있다는 사실도 말이죠.감지하고 이해할 수 있다는 지각력이 있기 때문에 우리는 이러한 지식을 사용하여 위협 환경에서 일어나는 일에 대한 이해를 강화하고 Infosys 내부적으로도 활용할 수 있습니다.

11:57 라구 난다쿠마라 (Raghu Nandakumara): 저는 당신이 표현하는 방식이 정말 마음에 듭니다. 반대편에서는 개선을 위한 인큐베이터이기도 하고 여러분이 가지고 있는 매우 풍부한 피드백 루프이기도 하죠.자, 이제 방향을 바꿔서 제로 트러스트가 인포시스의 CISO에게 어떤 의미인지 다시 얘기해 보죠?

12:14 비샬 살비: 네, 그럼 한 걸음 물러나 봅시다.사이버 보안은 위험, 취약성, 위협에 관한 것입니다. 사이버 보안의 범위를 확장하려면 사고에 대해서도 이야기할 수 있습니다.결국 우리는 항상 사고에 대처하고 있습니다.우리는 취약점을 다루고, 위협에 대처하고, 위험에 대처하고 있습니다.우리가 다루고 있는 것은 이 네 가지뿐입니다.이건 돌이킬 수 없어요. 그건 아니에요. 수십 년 동안 절대 변하지 않을 거예요.그렇게 시작되었고 앞으로도 그럴 것입니다.방법론 측면에서 우리가 하는 일은... BS 7799와 ISO 27001, 그리고 다양한 표준을 가지고 있죠.그리고 NIST, FISMA 등과 같은 다양한 위험 측정 방법론이 있습니다.그리고 우리에게는 너무나 다양한 표준이 있습니다. 이 모든 것이 우리가 이 문제를 해결하는 방식을 발전시킨 것입니다.하지만 결국에는 여전히 위험, 취약성, 사고 및 위협이 관건입니다.따라서 정보 보안의 기본 원칙은 여전히 그대로 유지되며 기본 원칙은 계속 존재할 것입니다.

13:16 비샬 살비: 그렇다면 제로 트러스트와 같은 것을 볼 때, 그것은 실제로 무엇을 의미할까요?2008년, 2007년까지 우리는 이 직업을 “정보 보안”이라고 불렀습니다.갑자기 사이버 보안이 되었고 이제는 모두가 이를 사이버 보안이라고 부릅니다.내일은 이를 디지털 보안이라고 부르기 시작할 것입니다.따라서 명칭은 바뀔 수 있지만 직업은 발전하지만 기반은 변함이 없습니다.기본은 변함이 없습니다. 그래서 제로 트러스트는 우리가 이를 향해 진화해온 바로 그 발전이라고 말하고 싶습니다.제로 트러스트는 새로운 개념입니다. 내일은 또 다른 무언가가 등장할 것입니다.그냥, 사이버 보안이라는 단어가 지난 10년 동안 자리를 잡았던 것처럼, 제로 트러스트도 아마도 다른 무언가가 나오기 전에 좀 더 오래 머무를 것입니다.하지만 이는 단순한 마케팅이 아닙니다.제 생각에 이것이 하나의 철학으로 떠오르고 있는 것 같아요. 언더후드 철학은 “좋아, 그럼 왜 우리가... 에 대해 얘기하는 거지?” 라고 보는 것이 전부라고 생각해요.

14:26 비샬 살비: 거의 모순 같네요.왜냐하면 우리가 사이버 보안 전문가로서 제로 트러스트를 다루고 있는데 왜 제로 트러스트에 대해 이야기하고 있는 걸까요?이것이 실제로 의미하는 바는 경계가 더 이상 우리가 사용하던 전통적인 경계가 아니며, 클라우드를 도입했고 모든 엔드포인트가 분산되어 있다는 사실을 고려할 때, 이제 우리는 언제 어디서나, 모든 장치 액세스와 연중무휴 24시간 연중무휴에 대해 이야기하고 있다는 것입니다.컴퓨터를 연결하는 방식이 근본적으로 바뀌었다고 생각합니다. 오늘날 환경에서 이러한 연결을 진정으로 신뢰하려면 제로 트러스트를 수용해야 합니다. 이러한 연결의 올바른 게이트에서 추가적인 견제와 균형을 구축하여 이러한 연결이 신뢰할 수 있다고 느낄 수 있도록 하겠습니다.따라서 제 관점에서는 누군가가 들어오면 저는 제로 트러스트를 유지할 것입니다. 그러면 저는 이러한 연결이 신뢰할 수 있다고 확신할 때까지 이를 기반으로 다양한 모델을 구축하여 제대로 작동하도록 하는 것입니다.이것이 제로 트러스트의 진정한 의미를 설명할 수 있는 가장 간단한 방법이라고 생각합니다.

15:45 라구 난다쿠마라: 전부 듣는 것만으로도 좋아요.먼저, 감사합니다. 이 모든 것에서 여러분이 전한 정말 강력한 메시지는 모든 시대가 저마다의 새로운 접근 방식과 새로운 전략을 가지고 있다는 것입니다.하지만 제 생각에 가장 눈에 띄었던 것은 “하지만 기본은 변함이 없습니다”라고 말씀하셨을 때라고 생각해요. 정말 중요한 교훈이라고 생각해요.제로 트러스트가 말 그대로 그렇게 말하고 있는 것 같아요.이건 정말 기본에 관한 것이죠. 여러분이 월간 뉴스레터에서 말씀하셨던 몇 가지 항목에 대한 발판 삼아 보고 싶습니다. 이 글은 훌륭한 읽을거리입니다. 모든 사람들이 가서 살펴보길 권합니다.보안 위생의 중요성에 대해 말씀하셨는데 제가 제로 트러스트를 펀더멘털과 동일시하는 이유는 제가 좋은 보안 위생은 훌륭한 보안 펀더멘털과 동일하며, 그 기본 중 하나는 어떤 것에도 묵시적 신뢰가 부여되어서는 안 된다는 것입니다. 이것이 바로 제로 트러스트가 말하는 바입니다.따라서 보안 위생은 매우 중요합니다.훌륭하게 표현하셨어요.그런데 왜 이런 일이 자주 발생할까요? 새로운 랜섬웨어 공격, 모든 종류의 새로운 보안 침해에 대해 읽을 때마다 파헤쳐보게 되는데, 그 근본 원인은 보안 위생의 부재인 경우가 많습니다.크고 작은 조직에서 여전히 이러한 문제가 발생하는 이유는 무엇일까요?

17:11 비샬 살비: 저는 이것을 “지루한 일을 하는 것”이라고 부르는데, 그렇게 많은 관심을 받지 못하는 이유는 너무 지루하기 때문인 것 같아요.하지만 지루할 뿐만 아니라 보람도 없는 일이죠.즉, 다른 부분인 것 같은데, 세 번째 부분은 어려운 문제인 것 같아요.이 세 가지 문제 때문에 대부분의 조직이 틀리는 이유를 짐작하실 수 있을 겁니다.지루한 것들을 미화해야 한다는 걸 사람들이 이해할 수 있도록 뭔가 해야 한다고 생각해요.이것들은 기본적인 것들이에요.둘째로, 우리는 사람들에게 인센티브를 줄 수 있는 방법을 찾아야 합니다. 그래야 감사할 줄 몰라요. 그리고 파수꾼들을 보상하고 인정해 주어야 합니다.그리고 사이버 팀이 아니라 기술 팀, IT 팀들이 끊임없이 이 일을 해줘요. 왜 그런가요?저희는 이전과는 전혀 다른 방식으로 취약점과 패치를 공개하고 있습니다.그리고 제대로 이해해야 해요. 이건 비대칭적인 전쟁이죠.항상 제대로해야 하는데, 나쁜 놈들은 딱 한 번만 바로잡아야 합니다.그러니까 이런 일이 일어나는 방식에는 상당한 비대칭성이 있죠.세 번째는 제로 트러스트에 대해 말씀하신 것처럼 기본적인 기술 위생에 대해 무관용을 가져야 하는 시대가 왔다는 것입니다.

18:29 Vishal Salvi: 예를 들어, IT 환경이 아무리 역동적이더라도 조직에 자산이 얼마나 있는지, 조직에 애플리케이션이 몇 개 있는지, 섀도우 데이터의 양과 섀도우 IT가 얼마나 있는지 정확히 알아야 합니다.현재 얼마나 많은 변화가 일어나고 있으며, 변경 관리 프로세스를 통해 어떤 부분에서 변경이 일어나고 있으며, 그러한 변경을 관리하는 데 필요한 적절한 방법을 알고 계신 곳은 몇 군데입니까?기술이 발전함에 따라 우리는 이러한 통제력과 전통적으로 기술 및 IT 팀에서 매우 강력했던 후크를 버려야 했습니다. 전체 비즈니스 팀, 사업부가 자체 기술 스택을 주도할 수 있게 되었기 때문입니다.하지만 그렇게 하다 보면 다리가 여러 개 달린 히드라가 되기 때문에 통제할 수 없다는 느낌을 받게 됩니다.

19:19 비샬 살비 (Vishal Salvi): 무관용 접근 방식을 취하기 시작하면 “이걸 어떻게 관리할 수 있을까요?” 라는 거버넌스에 대해 좀 더 이해하기 시작해야 합니다.우리는 사람들의 역량을 강화하고 싶지만 속도와 민첩성을 원하지만 IT 위생을 희생시키면서 보안 침해 위험을 감수할 수는 없습니다.따라서 이러한 요소들이 공격 시 살펴봐야 할 몇 가지 중요한 요소라고 생각합니다. 그리고 앞서 말씀드렸듯이 지금까지 목격한 대부분의 보안 침해와 대부분의 공격은 공격자가 기술 집약적이거나 매우 정교한 공격 메커니즘을 사용하고 있기 때문에 발생하지 않았다고 생각합니다.이런 것들은...사실, 일부 공격은 실제로 눈에 잘 띄는 곳에서 일어나고 있습니다.그들은 심지어 가서 무언가를 악용할 필요도 없습니다.그들은 이미 다른 곳에서 가져온 자격 증명을 가지고 있습니다. 그냥 로그인해서 측면 이동을 하죠.

20:13 라구 난다쿠마라: 네, 물론이죠.그건 그렇고, 보안 위생에 대해 이야기하던 시절로 돌아가 보자면, 지루하고, 보람 없고, 어려운 일이었죠.우리 애들한테 숙제를 시키려고 했던 게 생각나네요. 아이들이 숙제를 이 세 가지 모두와 연관지어서 흥미롭게 만들어야 하기 때문이죠.아이들이 그 가치를 알게 해주고 인센티브를 줘야 해요.하지만 말씀하셨듯이 공격자는 결국 공격자를 위한 것이고, 공격자는 자신을 위한 사업이기 때문에... 이상적으로는 적은 노력으로 높은 수익을 내고 싶어하죠.그래서 그들은 항상 성과가 적은 것들을 공격하는 거죠.근데 넌 정말...답변에서 정말 화제가 되었던 내용을 소개하셨는데, 말씀하신 것처럼 이제는 자체 기술 스택을 운영하는 비즈니스 팀이 점점 더 많아지고 있습니다.따라서 “좋아, IT, 인프라를 운영하고, 가서 패치를 해봐”라고 말할 필요는 없습니다.모든 사람을 그 여정에 참여시켜야 합니다.여러분의 진정한 관심 분야 중 하나가 보안의 민주화라는 것을 알고 있습니다.그렇다면 CISO로서 그리고 실무 리더로서 보안을 민주화하는 모델을 어떻게 마련할 수 있을까요? 보안에 이해관계자나 이해관계자가 어느 정도 있는 이 다양한 그룹 모두가 사이버에 대한 공통된 접근 방식을 바탕으로 어떻게 단합할 수 있을까요?

21:38 비샬 살비: 네, 제 생각에는...이건 문화의 문제예요.모든 이해 관계자가 사이버 보안에 대한 책임과 책임의 측면에서 각자의 역할을 이해할 수 있도록 하는 문화를 구축하는 것입니다.직업으로서 우리는 이 직업을 잘 홍보하지 못했습니다. 왜냐하면 스스로를 사이버 보안 팀이라고 부를 때 일반적으로 이 팀이 마법처럼... 이 팀이 제 위험을 해결하고 관리할 것이고 저는 아무것도 할 필요가 없다는 인식과 기대가 있기 때문입니다.하지만 사실 진실은 정반대입니다.사이버 보안 팀은 이러한 변화의 적극적인 촉매제입니다. 하지만 실제 변화는 이해 관계자, 비즈니스 리더, 이사회, 조직 리더십, 직원, 기술 팀, IS 팀 및 기타 모든 이해 관계자이며, 각자 자신의 역할과 책임을 이해하고 이를 실천해야 합니다.보안의 나쁜 점은 작동하지 않을 때만 볼 수 있고 작동 중일 때는 보이지 않는다는 것입니다.

22:48 비샬 살비 (Vishal Salvi): 아무도 당신의 나쁜 보안을 악용하지 않는 한, 아무도 당신을 공격하지 않기 때문에 실제로 당신은 안전하다는 잘못된 생각에 빠질 수 있습니다.이것이 바로 랜섬웨어의 경우에 일어난 일입니다. 처음으로 WannaCry와 NotPetya와 함께 랜섬웨어가 들어왔을 때 업계 전반에 걸쳐 보안 취약점이 무차별적으로 영향을 미친 것은 처음이었습니다.그리고 다른 방법으로는 존재하지 않았던 모든 불안정성이 갑자기 드러났습니다.이것이 바로 금융 산업이 그토록 규제가 심하고 훨씬 더 성숙해진 이유라고 설명할 수 있는 이유이기도 합니다. 랜섬웨어가 나타나기 시작할 때까지 대부분의 사기 행위가 발생했기 때문입니다.랜섬웨어는 접촉하는 모든 사람에게 영향을 미칠 뿐입니다.인터넷에서는 모든 사람이 모든 사람과 접촉합니다.다시 말씀드리자면, 먼저 그런 관점에서 바라보아야 합니다. 그래야 우리가 이를 민주화하고 모든 이해관계자가 자신의 역할을 아주 명확하게 이해할 수 있도록 말이죠.그것은 하나의 문화로서 이루어져야 하며 기회가 생길 때마다 그것이 문화적인 문제가 되도록 이끌어 나가야 합니다.

24:01 비샬 살비 (Vishal Salvi): 라구 (Raghu), 솔직히 말씀드리고 싶은 것은 사이버 보안이 문화적인 문제라는 것을 이해하는 데 있어 우리는 아직 초기 단계에 있다는 것입니다.여러분, 지금도 대부분의 이해관계자들이 그것을 외부화하고 있습니다.그들은 그것이 자신들의 문제라고 생각하지 않습니다. 그리고 우리가 겪는 문제는 항상 존재합니다.사이버 보안은 마치 로켓 과학처럼 보입니다.전문가만이 할 수 있는 것으로 여겨지고 있습니다.그렇지 않아요.아주 상식적인 일인 것 같아요.기술의 기초를 이해하는 사람이라면 누구나 사이버 보안의 원칙과 기본을 이해하는 데 많은 시간이 걸리지 않을 것입니다.사실 문제 해결은 관리자 권한을 가진 사람들이 해야 하는 일이지 사이버 보안 전문가는 할 수 없습니다.그들은 기껏해야 그 위험과 취약점을 찾아내어 여러분에게 알려줄 수 있습니다.하지만 해야 할 일은...액세스 권한이 있는 팀이 이를 실행해야 하며 시스템을 안전하게 구성하는 방법을 알아야 합니다.이것이 바로 우리가 주도해야 할 변화이고, 사이버 민주화라는 뜻입니다.

25:06 라구 난다쿠마라: 방금 다룬 내용에는 좋은 내용이 너무 많습니다.너무 많아서 좀 더 깊이 파고들 수 있겠네요...말씀하신 내용의 모든 부분에 대한 팟캐스트 에피소드를 만들 수 있을 것 같아요.그럼 먼저 물어보고 싶은 것은 사이버 보안입니다. 요약하면 상식입니다.다양한 기술 및 정보 문제에 상식을 적용하는 것이 바로 사이버 보안의 근본적인 의미이며, 이러한 문화의 변화와 사이버 보안에 관련된 모든 사람과 관련해서도 마찬가지입니다.진부한 말처럼, 1차 방어선은 사람이며, 이들은 사이버 프로그램에 참여해야 합니다.제로 트러스트 전략을 채택하고 있는 조직의 경우 보안을 민주화하는 것이 성공적인 제로 트러스트 도입의 핵심 요소일까요?어떻게 생각하세요?

26:06 비샬 살비: 아니요, 물론이죠.제로 트러스트는 보안 아키텍처를 배포하는 방법론이며, 보안 아키텍처를 성공적으로 배포할 수 있는 유일한 방법은 모든 이해 관계자가 참여하는 것입니다.예를 들어 제로 트러스트에 대해 이야기할 때 일어나고 있는 중요한 변화 중 하나는 다음과 같습니다.

26:29 비샬 살비 (Vishal Salvi): 보안과 네트워크 사이에 융합이 일어나고 있습니다. 아키텍처를 실제로 통합할 수 있으려면 네트워크 팀이 논의해야 합니다. 왜냐하면 그것이 보안과 네트워크의 미래가 될 것이기 때문입니다.따라서 기존 연결 모델인 기존 연결 모델은 상당한 어려움을 겪고 있습니다.그리고 네트워크 팀의 사고방식을 바꾸어 이 소프트웨어 정의 보안과 소프트웨어 정의 네트워크를 채택하지 못하면 점점 어려워질 것입니다.따라서 협업과 파트너십이 중요하다고 생각합니다.그들이 아키텍처 수준에서 그렇게 할 때만 우리는 그 구현을 성공적으로 추진할 수 있습니다.따라서 기술적인 측면인 동시에 인간적인 측면도 중요하다고 생각합니다.그래서 저는 이 두 가지 일이 동시에 이루어져야 성공적인 프로그램을 만들 수 있다고 생각합니다.

27:21 라구 난다쿠마라: 저는 종종 이런 질문을 받습니다. “좋아요, 어떻게 하면 정말 빨리 뭔가를 할 수 있을까요?어떻게 하면 변화를 정말 빠르게 추진할 수 있을까요?새로 출시하고 싶은 기능이 생겼어요.”제가 말씀드리는 것은 우리는 언제나 기술을 찾을 수 있고 기술을 활용할 수 있다는 것입니다.심지어 그 기술을 사용하기 위한 프로세스를 만들 수도 있습니다.그러나 A) 채택이 필요한 이유에 대한 강력한 권한이 있고 B) 이해 관계자가 모두 참여하고 있는 경우에만 빠른 채택을 유도할 수 있습니다.그리고 그들은 그 안에 담긴 가치를 알게 되죠.이 두 가지, 즉 위임과 이해관계자의 참여가 없다면 빠른 채택은 불가능할 것입니다.이는 어디에나 적용됩니다.하지만 제가 실제로 물어보고 싶은 것은, 앞서 말씀하신 보안 투자의 가치가 결코 명백하지 않다는 것과 연관지어 말씀드리고 싶기 때문입니다.

28:13 라구 난다쿠마라: “X가 있었기 때문에 타협하지 않았어.” 라고 절대 말하지 않는 것과 같으니까요.“우리가 타협을 당했고, Y가 없어서 침해를 당한 거야.” 라는 경우에 더 가깝죠.CISO와 실무 책임자의 의견을 듣고 싶은 부분은 보안 투자로 인한 실질적인 ROI를 어떻게 입증할 수 있느냐는 것입니다.둘 다 이사회로부터 투자에 대한 약속을 받기 전이지만, 6개월 후, 12개월 후에 누군가가 “좋아, 우리가 X를 썼는데, 그 대가로 무엇을 얻는지 보여줘”라고 묻는다고 가정해 봅시다.어떻게 할 수 있나요?

28:55 비샬 살비 (Vishal Salvi): 이에 대한 제 견해는 보안 제품에 대한 재무 담당자를 설득하는 데 어려움을 겪어서는 안 된다는 것입니다.양쪽에서 논쟁을 벌일 수는 있지만 결코 동의할 수 없기 때문입니다.원하지 않으신다면그러니까 그건 쓸데없는 운동인 것 같아요.사람들이 그렇게 하는 건 알지만 그렇게 하면 안 될 것 같아요.모델의 작동 방식은 다음과 같다고 생각합니다. 사이버 보안으로 인해 조직에 미칠 수 있는 위험은 무엇이고 얼마를 투자할 의향이 있는지를 조직으로서 결정해야 합니다.이것이 첫 번째입니다.그리고 제 생각에 보안은 매일 개선되는 것이 전부라고 생각합니다.따라서 오늘날 우리가 있는 곳에서는 내일 더 나아져야 하고, 그 다음날은 내일보다 나아져야 합니다.이것이 바로 여러분이 해야 할 일이죠.

29:48 비샬 살비: 오늘은 절대 0이 될 수 없고, 내일은 백 살이 될 거예요. 그냥 그런 일은 일어나지 않을 거예요.따라서 일정 수준의 신뢰가 있어야 합니다. 일단 그 일을 해낼 팀, 전문 팀이 생기면, 이 돈을 어떻게 써야 하는지 알 수 있다는 거죠.가서 최대한의 가치를 가져오면 그에 대한 책임을 묻겠습니다.그 돈을 어떻게 쓰고 싶은지 스스로 정당화하면 되는 건 보안팀뿐이기 때문이죠.그리고 그들은 그것이 가치를 제공하는지 아닌지를 가장 잘 알고 있을 것입니다.자신이 무엇을 하고 있는지 제대로 이해할 수 있는 외부 인력은 없습니다. 특히 재무 분야에서는 더욱 그렇습니다.그래서 저는 이렇게 생각합니다. 솔직히 말해서 ROI를 수학적으로 계산하느라 시간을 낭비하지 말고 팀이 스스로 ROI를 이끌어낼 수 있도록 힘을 실어주어야 합니다.따라서 보안팀 내에서는 확실히 ROI를 달성할 수 있습니다.투자한 금액과 제어 방식, 해당 제어의 효율성과 효과를 알 수 있습니다.여러분은 할 수 있습니다.하지만 다른 사람이 와서 그 과정에 도전하고 이의를 제기하는 것을 허용하지 마세요. 하루가 끝날 무렵에는 실제로 조직을 보호하는 데 시간을 할애하기보다는 제 3자에게 설명하는 데 더 많은 시간을 할애하게 될 것이기 때문입니다.

31:05 라구 난다쿠마라: 제가 웃고 있는 이유는 많은 영업 책임자들이 그 말을 들었을 거라고 확신하기 때문입니다.그리고 경제적인 구매자 앞에서 테이프를 눌러서 이렇게 말할 것입니다. CISO Infosys가 이 투자의 가치를 여러분께 납득시키려 하는 것에 대해 뭐라고 하는지 보세요.

31:20 비샬 살비 (Vishal Salvi): 저는 우리가 맡은 일을 그만둔 성숙한 조직에서 일한다는 사실을 다시 한 번 영광스럽게 생각합니다.

31:27 라구 난다쿠마라: 네.

31:27 비샬 살비: 그리고 이 돈을 어디에 쓰는지, 왜 여기에 쓰는지 묻는 데 너무 많은 시간을 할애하지 마세요.왜냐하면 그렇게 하면 결국 우선순위가 낮은 통제에 돈을 쓰게 될 것이기 때문입니다. 왜냐하면 여러분에게 더 중요한 것에 비해 재무 담당자들이 이를 확신했기 때문입니다.그렇죠?그게 문제가 되는 부분이라고 생각해요.따라서 이런 식으로 하는 것이 더 낫습니다.

31:49 라구 난다쿠마라: 표현하신 방식이 정말 마음에 들어요. 그럼 관련 질문을 하나 할게요.보안 전문가로서, 위험 평가를 완료하셨군요.이제 환경을 위협 모델링하고 격차를 파악했습니다.이제 어디서 “좋아, 나 돈 엄청 많아.그리고 있어요. 어디에 투자할지는 저에게 달렸어요.”“역량 X” 또는 “역량 Y”라고 하는 투자의 원동력은 무엇일까요?그러면 이를 통해 가치를 얻고 있다는 것을 어떻게 측정할 수 있을까요?

32:22 비샬 살비 (Vishal Salvi): 네, 위험 평가를 검토하는 방법론이 전부라고 생각합니다. 우리는 분명히 매년 그렇게 하고 있습니다. 여러분이 그렇게 하는 가장 좋은 방법은 모든 위험을 살펴보고 어떤 것이 위험도가 높은지, 그리고 개선의 우선 순위를 어떻게 정할 것인지를 살펴보는 기업 위험 평가의 토대를 마련하는 것입니다.

32:43 비샬 살비: 자, 그럼, 밖에 무엇이 있고 무엇을 해야 하는지, 제가 살펴봐야 할 중요한 요소가 무엇인지 보세요.그런 다음 여러분은 “좋아요, 분류를 하고 이렇게 말하죠. 좋아요, 이것들이 제가 정말 필요로 하는 것들이에요. 물론, 경제성을 살펴봐야 합니다. 왜냐하면 예를 들어, 모든 것에 필요한 돈을 다 얻더라도, 실제로 그것을 실행하는 것조차 비현실적이기 때문입니다.그러면 실제로 그 돈을 쓰는 데 어려움을 겪게 될 것입니다.따라서 조직의 상황과 비즈니스 상황을 고려할 때 실제로 구현할 수 있는 금액과 조직의 경제성 사이에서 균형을 맞출 수 있어야 하며 현실적으로 접근해야 합니다.바닥이 없는 상황을 바랄 수는 없습니다.

33:24 비샬 살비: 그래서 제 생각에 이 두 가지를 다 할 수 있고 잘 조정할 수 있다면 많은 돈을 벌 수 있을 것입니다. 그리고 분명히 프로그램을 정의하고 팀에 주고 이렇게 말할 수 있습니다. 좋아요, 이제 이걸 얻었으니 이제 실행해 보세요.하지만 더 중요한 것은 투자에 대한 구현 후 검토를 수행하고 해당 피드백을 팀에 다시 제공하여 우리가 적시에 정의된 대로 프로그램을 실행하고 목표를 달성할 수 있었다는 확신을 얻을 수 있도록 해야 한다고 생각합니다.그러면 신뢰가 더 쌓이게 되죠.

34:01 라구 난다쿠마라: 네, 100%, 100%.그렇다면 제로 트러스트 전략을 채택한 고객의 성공률이 어느 정도라고 생각하시나요?이미 그 길을 택했고 그 길을 걷고 있는 사람들, 여러분이 그들을 도울 수 있는 잠재력이 있는 사람들.어떤 점에서 성공과 실패를 경험하고 계신가요?

34:21 비샬 살비 (Vishal Salvi): 그것을 채택하는 데 따르는 어려움은 우리가 실제로 현재 매우 복잡한 종류의 건축 세계에 있다는 것입니다.완전한 솔루션과 다양한 도구가 있는 곳이죠.일부는 통합되어 있고, 대다수는 사일로 (silo) 에서 작동하며, 마치 여러 기술이 복잡하게 조합된 것과 같습니다.그리고 통합이 필요합니다.통합이 필요합니다.기술 스택과의 통합을 통해 이를 깊이 살펴볼 필요가 있습니다.그리고 저는 우리가 그런 것과는 거리가 멀다고 생각합니다.이것이 매우 중요한 과제 중 하나인데, 구현이 성공하지 못하는 이유 중 하나는 바로 이것 때문입니다.또 다른 한 가지는, 레거시가 너무 많아서 무엇을 우선시하고 어떻게 현대화해야 하는가입니다.그리고 심장 개복 수술을 해야 할까요, 아니면 약을 먹어야 할까요?

35:08 비샬 살비 (Vishal Salvi): 저는 이러한 질문들이 매우 중요하다고 생각합니다. 왜냐하면 엄청난 양의 유산 때문에 일을 바꾸고 새로운 방식으로 전환하는 것은 그리 쉬운 일이 아니기 때문입니다.기술 및 보안 스택의 대대적인 혁신과 대대적인 현대화를 위해 완전히 다른 접근 방식을 취하는 미래 지향적인 조직들이 있습니다. 일단 그것을 하나의 프로그램으로 보고 총체적으로 추진한다면, 이러한 조직은 이런 방식보다는 성공할 가능성이 더 높다고 생각합니다. 그렇죠?특히 우리는 하이브리드 세계와 클라우드 도입에 많은 시간을 투자하고 있기 때문에 이는 사소한 변화가 아닙니다.이는 엄청난 혁신이며 보안 아키텍처 변경의 중요성은 아무리 강조해도 지나치지 않습니다.

36:00 라구 난다쿠마라: 네.한 가지 변화, 이 모든 종류의 아키텍처 변화, 소비 모델, 심지어 애플리케이션 구축 방식까지도 변화한다고 생각하시나요? 보안 혁신이 일어나기 전에 이러한 변화가 성숙해져야 할까요?아니면 동시적으로 함께 진행되어야 하는 아주 평행적인 트랙이라고 생각하시나요?

36:23 비샬 살비: 제 생각에 필요한 것은 협력적인 노력이 필요하다는 것입니다.예를 들어, 새로운 애플리케이션을 개발해야 할 때는 위협 모델링을 살펴보세요.먼저 다른 작업을 수행하는 것 외에도 API 보안, 보안 SDLC, 보안 CI/CD 파이프라인도 살펴봐야 합니다.해야 할 일이 너무 많습니다.그래서 저는 해야 할 일이라고 생각합니다.모든 일이 동시에 일어날 거라고 기대하는 건 비현실적이라고 말하고 싶어요.제 생각에 중요한 것은 Secure by Design을 향한 협력적인 노력과 접근 방식이라고 생각합니다.따라서 모든 작업을 수행할 때는 항상 보안을 고려해야 합니다.오늘날 디지털이 없는 세상은 상상할 수 없기 때문에 보안을 무시하지 마십시오.그리고 디지털이 있는 곳이라면 보안이 반드시 있어야 합니다.이것이 미래에도 사용할 수 있는 아키텍처를 만드는 기본 토대라고 생각합니다.그리고 이러한 변화는 중요합니다. 누군가가 신용카드를 사용하고 클라우드 워크로드를 구입한 후 비즈니스 코드를 입력하고 무언가를 하려고 하면 모든 보안 제어를 뻔뻔스럽게 무시하고 재해가 일어나기를 바라는 셈이 됩니다.제가 말하고자 하는 바는 바로 이것입니다.

37:47 라구 난다쿠마라: 네.당신은 그걸 몇 번 본 것처럼 말하잖아요.정말 재미있었던 글 중 하나를 읽었는데, 제목이 “제로 터치의 제로 트러스트”였던 것 같아요.그리고 ML과 어쩌면 미래에는 좀 더 다양한 범용 AI가 제로 트러스트 컨트롤의 구현에 실제로 어떻게 도움이 될 것인지에 대한 아이디어를 소개하셨는데, 저는 이를 상시 보안 또는 설계상 보안이라고 부르겠습니다.머신 러닝, 그리고 더 일반적으로 AI가 제로 트러스트에 적용된다고 생각하시나요?그게 뭐죠?

38:30 비샬 살비 (Vishal Salvi): 네, 라구 씨, 사실 “제로 터치를 통한 제로 트러스트”라는 말이 실제로 의미하는 바는 하이퍼 오토메이션을 하겠다는 비전입니다.그게 바로 그 의미죠.보안 운영 문제를 해결할 정도로 상황이 확장되지 않기 때문이죠.

38:47 비샬 살비: 우리는 도저히 찾을 수 없기 때문에 항상 실수를 하게 될 거예요.이제 자동차가 완전히 자동화되고 봇이 자동차를 만드는 것처럼 보안 작업을 수행할 로봇이 필요합니다.그게 바로 그 의미죠.하지만 이것이 바로 비전입니다.우리가 가야 할 곳이 바로 그곳입니다.지금은 준비가 안 된 것 같아요.ML을 사용하지 않았다면 보안 혁신을 이룰 수 없었을 것입니다. 왜냐하면 우리가 하는 모든 일에는 상당한 양의 ML이 포함되어 있기 때문입니다.ML이 없었다면 스팸의 92% 를 막을 수 없었기 때문에 오늘날 보안 또는 기술의 모든 측면에서 많은 것을 배울 수 있습니다.앞으로 AI의 활용과 그 활용 방식이 주목해야 할 중요한 측면이 될 것이라고 생각합니다.

39:34 비샬 살비: 우리가 할 수 있는 사용 사례의 예가 많이 있습니다.예를 들어, 테스트, 모니터링 측면에서 보면 이 모든 것에 대한 AI 알고리즘을 실제로 만들 수 있습니다. 그러면 그 알고리즘은 점점 더 성숙해질 것입니다.이와 동시에 적대적 AI에 대해서도 살펴보고 이를 우회하기 위한 통제 수단을 어떻게 완화하고 구축할 수 있을지도 살펴보겠습니다.그리고 세 번째가 있습니다.설계에 의한 보안, 프라이버시 중심 설계, 윤리적 AI 기반 설계가 미래의 중요한 요소가 될 것입니다.

40:00 Vishal Salvi: 그래서 우리는 그것이 사이버 보안 세계에 어떤 영향을 미치는지 면밀히 관찰해야 할 것입니다.저는 그것을 설계하는 주체가 바로 사람이고 모든 인지 작업은 일상적인 활동보다는 사고에 집중해야 한다고 생각합니다. 지금 우리는 인간에게 가치를 더하지 않는 일을 하기 위해 매우 인지적인 대역폭을 활용하고 있습니다.어쨌든 우리는 수요와 공급의 측면에서 심각한 문제를 안고 있습니다.따라서 우리가 할 수 있는 모든 자동화에도 불구하고 사이버 보안 전문가들의 실업률이 전혀 없는 상황에서 결코 벗어날 수 없을 것이라고 생각합니다.따라서 우리가 걱정할 필요는 없는 위험이라고 생각합니다.저는 항상 인지적 작업을 더 많이 하고, 별로 도움이 되지 않는 모든 것을 완전히 자동화하기 위해 노력해야 한다고 생각합니다.

40:46 라구 난다쿠마라: 네.우리 사이버 전문가들이 영원히 직업을 가질 수 있다는 사실을 기억하세요.이야기를 마치기 직전, 사이버 실무 리더로서 앞으로 펼쳐질 일들에 대해 어떤 점이 기대되시나요?보안 전문가로서 고객으로부터 어떤 점을 보고 정말 흥미를 느끼시나요?

41:05 비샬 살비 (Vishal Salvi): 한편으로는 우리가 이 문제를 해결할 수 있고 보안 침해와 사고가 줄어들기를 항상 바라고 있습니다. 왜냐하면 그것이 바로 우리가 목표로 하는 세상이기 때문입니다.그리고 우리는 더 많은 사고가 일어나기를 기다려야 더 많은 일자리를 확보하거나 더 많은 수익을 올릴 수 있는 상황을 원하지 않습니다.적어도 저는 그 말에 동의하지 않아요.그래서 저는 디지털 방식으로 더 안전한 세상을 만들고 싶습니다. 항공 여행과 다른 많은 활동에서 위험을 전혀 용납하지 않는 문제를 해결할 수 있었던 것처럼 말이죠.

41:40 비샬 살비 (Vishal Salvi): 저는 사이버가 언젠가는 모두가 깨어나고 모든 사람들이 심각하게 받아들이기 시작하는 전환점에 도달할 것이라고 생각합니다. 그러면 우리는 진정으로 사이버를 민주화했을 것입니다.제 생각에는 그때가 실제로 기울었다가 다시 내려가기 시작할 때 문제가 되지 않을 것이라고 생각합니다.결국에는 더 이상 뉴스가 되지 않을 것이고 일을 하는 방법이 될 것입니다. 하지만 우리는 그런 것과는 거리가 멀고, 어쩌면 지금으로서는 수십 년이 걸릴 수도 있습니다.지금도 헤드라인 뉴스에서 누군가가 보안 침해를 당하고 있습니다.해야 할 것 같은데...그래서 저희는 설계상 좀 더 안전한 시스템을 만들 거예요. 그래야 매번 밴다이드를 패치하고 붙여서 전체 배관이 엉망이 되는 이런 문제가 발생하지 않겠죠.

42:18 라구 난다쿠마라: 네.정말 흥미롭다고 생각해요. 사이버 레질리언스에 대한 우리의 실제 추진력에 잘 맞아떨어졌기 때문이죠.보안 침해가 거의 일어날 것 같다는 거죠.가능한 한 최적의 기능을 계속 유지할 수 있는 방식으로 인프라, 제어 장치 등을 구축하면 근본적으로 불편할 수밖에 없습니다.매번 같은 일이 일어날 때마다 헤드라인 뉴스가 되는 것은 아닙니다.

42:47 비샬 살비: 아니요, 사이버 레질리언스는 오늘날의 상황에서 매우 중요한 주제라고 생각합니다. 왜냐하면 보안 침해가 일어날 것이라고 가정해야 하기 때문입니다.그리고 알아두셔야 할 것은, 여러분의 조직이 침해를 억제하고 복구할 수 없는 방식으로 침착하고 냉정하게 대응할 수 있는 방법이 있어야 한다는 것입니다. 또한 매우 신속하게 업무 재개에 돌입하여 매우 전문적이고 침착한 방식으로 처리할 수 있어야 합니다.그리고 모든 사람이 각자의 역할과 책임을 이해하고 이를 실행하기 위한 적절한 플레이북을 가지고 있어야 합니다.

43:18 비샬 살비: 그래서 저는 이것이 매우 중요한 주제라고 생각합니다. 대부분의 많은 조직에서 이 주제를 다루고 있습니다.그리고 저는 이것이 앞으로의 전략에서 매우 중요한 요소라고 생각합니다.

43:27 라구 난다쿠마라: 네, 차분하고 멋진 말들이 좋아요.사이버 레질리언스는 보안 침해 이후에도 조용하고 냉정하게 운영을 지속할 수 있다는 뜻입니다.네, 청취자에게 좋은 소식을 전할 수 있어서 좋네요.Vishal, 시간을 내어 여기 The Segment에서 이 대화를 나눌 수 있게 해줘서 정말 고마워요.잘 듣고 계신 여러분, LinkedIn에서 Vishal의 월간 뉴스레터를 확인해 보세요.훌륭합니다. 비샬이 직접 CISO로부터 얻은 놀라운 통찰력이죠.“CyberTalks: 사이버 보안에 관한 모든 것에 대한 CISO의 견해”라고 불립니다.비샬, 정말 고마워요.정말 기뻤어요.

44:03 비샬 살비: 감사합니다.여기도 마찬가지예요.라구, 오늘 이 자리에 초대해 주셔서 정말 감사합니다. 오늘 이야기할 수 있어서 즐거웠고 이 대화가 정말 즐거웠습니다.

44:13 라구 난다쿠마라: 이번 주 더 세그먼트 에피소드를 시청해 주셔서 감사합니다.더 많은 정보와 제로 트러스트 리소스는 저희 웹 사이트 illumio.com을 참조하십시오.LinkedIn과 트위터 Illumio를 통해서도 저희와 연락하실 수 있습니다.오늘의 대화가 마음에 드신다면 팟캐스트를 어디서 구할 수 있든 다른 에피소드도 찾아보실 수 있습니다.제가 호스트인 라구 난다쿠마라입니다. 곧 다시 찾아뵙겠습니다.