리스크를 레질리언스로 전환

00:16 라구 난다쿠마라

안녕하세요, 여러분.더 세그먼트: 제로 트러스트 리더십 팟캐스트의 또 다른 에피소드에 다시 오신 것을 환영합니다.오늘, KPMG UK의 금융 서비스 사이버 파트너인 Indy Dhami와 대규모 금융 서비스 조직의 사이버 전략 및 사례 구축을 다년간 지원한 경험이 있는 인디 다미 (Indy Dhami) 와 함께하게 되어 매우 기쁩니다.오늘 그와 이야기를 나누고 그의 경험을 통해 배울 수 있어서 정말 기쁩니다.인디, 더 세그먼트에 오신 걸 환영합니다.

00:48 인디 다미

고마워요.초대해 줘서 고마워요.정말 기쁘고 영광입니다.저는 오랫동안 일루미오의 이야기를 지켜봐왔어요.네, 참여해서 제가 배운 것들을 기여하고 싶어요.

1:01 라구 난다쿠마라

오늘은 분명 당신의 이야기를 들으러 왔어요, 인디그럼 먼저 사이버 분야에서 쌓은 배경과 현재 커리어에서 쌓은 경험에 대해 말씀해 주시지 않겠습니까?

1:13 인디 다미

네, 물론이죠.그래서 저는 보안 업계에서 21년 동안 다양한 역할을 맡아 일해왔습니다.그래서 건축가 회사에서 IT 부서를 관리하면서 경력을 시작했습니다.여기에는 네트워크 관리부터 백업 실행에 이르기까지, 전체 네트워크에서 확산되고 있는 성가신 바이러스와 멀웨어를 모두 제거하는 것까지 모든 것이 포함되었습니다.그리고 지금은 2000년대 초반입니다.보안이 중요한 의제가 아니었음을 짐작하실 수 있습니다.하지만 제가 정말 공감했던 것은 이런 것들을 관리할 수 있다는 점이었죠.하지만 많은 조직이 네트워크와 전체 네트워크를 잃게 될 경우 발생할 수 있는 최악의 상황에 대비하지 못했다는 사실도 있습니다. 비상 계획도 마련되어 있지 않았습니다.그래서 보안에 정말 관심을 갖게 됐어요.저는 대학에서 InfoSec의 주요 원칙 중 일부를 공부했습니다. 그 당시에는 InfoSec의 주요 원칙 중 일부를 공부했고, 그 후 밀턴 케인즈에 있는 Mercedes Benz로 옮겼습니다. 보안, 비즈니스 연속성, 엔터프라이즈, 위험 관리 등 생각할 수 있는 모든 것에 대해 매우 잘 아는 사람과 함께 일하게 되었기 때문에 아마도 제 경력에서 중추적인 지점이었을 것입니다., 물리적 보안, 모든 것.이것이 바로 보안 분야에서 제 커리어를 시작하게 된 계기였습니다.

정보 보안 관리 시스템을 구축했습니다.이 시스템은 메르세데스 벤츠에서 전 세계 최초로 ISO 27001 인증을 획득했으며 ISO 9000 인증을 받은 품질 관리 시스템을 갖추고 있었습니다.정말 멋진 일이었어요. 정말 흥미로운 일을 하고 있었죠.대략 2004년, 2005년쯤에 모회사인 다임러는 우리가 만든 것을 보고 우리 팀에게 우리가 독일에서 만든 것을 복제해 보자고 했습니다.그래서 저는 2년 반 동안 슈투트가르트를 드나들며 그곳에서 시간을 보냈습니다.그래서 근본적으로 글로벌 운영 모델 혁신 프로그램에 대한 훌륭한 경험을 했고 거기에는 보안이라는 요소가 있었습니다.하지만 이는 대규모 프로세스 혁신입니다.우리가 영국에서 이룬 위대한 업적과 제 독일 친구들을 바탕으로, 저는 항상 그 무렵에 독일인들이 영국인들에게 나가서 과정을 가르쳐 달라고 부탁한다는 것을 상기시켜줍니다.그들은 제가 말하는 걸 싫어해요.

03:34 인디 다미

그래요, 메르세데스를 떠나 액센츄어로 옮겼죠그리고 헤이그에서 1년을 보냈죠.이건 정말 흥미로운 프로젝트였어요. 거기 기반을 둔 저명한 조직의 대규모 정부 침해였죠.누군지는 말하지 않겠습니다. 아마 많은 사람들이 짐작할 수 있을 테니까요.우리의 역할은 이 나라가 네트워크에서 무엇을 하고 있는지 알아내도록 도와주는 것이었습니다.이상하게도 처음에는 엑셀 CSV 파일을 보고 알아내려 했습니다. 로그를 보고 실제로 무슨 일이 벌어지고 있는지 알아내는 것이었죠.궁극적으로는 SIEM 솔루션으로 전환하세요.이를 통해 더 많은 로그 소스를 온보딩하고 플랫폼을 몇 번 망가뜨릴 수 있었습니다. 로그의 엄청난 크기와 규모에 대비하지 못했기 때문입니다.하지만 멋진 경험이었죠.그곳에서 PwC로 옮겨 코펜하겐에서 2년간 근무하면서 대규모 해운 대기업과 함께 일했고, 정책 개발부터 실제 위기 시뮬레이션 실습에 이르기까지 생각할 수 있는 모든 것을 포괄하는 대규모 보안 혁신 프로그램과 그에 따른 완전한 엔드-투-엔드 보안 혁신 프로그램을 거쳐 제 회사를 운영하게 되었습니다.저는 제 사업을 시작했고, 기본적으로 컨설팅 서비스를 제공하든 펜 테스팅 서비스를 제공하든 매트릭스 형태의 조직을 운영했습니다.영국과 파리의 금융 서비스 기관 몇 곳과 함께 일한 것은 정말 멋진 경험이었습니다.

IBM으로 옮긴 후 저는 4년 동안 FS 혁신 팀을 이끌었습니다. 주로 대규모 관리형 보안 서비스, 계약, 엔드-투-엔드 SOC 운영 등을 담당했지만, 그 다음에는 보안 평가 및 컨설팅 유형의 작업도 수행했습니다.그 후 저는 히스토릭 글로벌 (Historic Global) 이라는 회사에서 1년을 보냈는데, 이 회사는 싱가포르 정부로부터 자금을 지원받아 다른 사이버 회사에 투자했습니다.거기서 정말 좋은 경험을 했어요.그리고 작년 1월에 FS 고객 (주로 은행 업무) 을 확보하는 일을 맡아 KPMG에 입사했습니다. 하지만 사이버 레질리언스 역량을 운영하는 업무가 조금 더 넓어졌고, 그 결과 다양한 부문에 걸쳐 활동할 수 있게 되었습니다.

05:49 라구 난다쿠마라

내 생각엔... 그런 경험을 담은 팟캐스트 에피소드를 받을 자격이 있는 것 같아요, 그렇죠?

5:55 인디 다미

저마다 흥미로운 이야기가 있습니다. 아마도 제가 본 것들 중 몇 가지를 책으로 써서 사람들이 눈을 굴리고 “네, 저도 비슷한 일을 경험했습니다.” 라고 말하게 만들 수 있을 것입니다.

6:06 라구 난다쿠마라

글쎄요, 제 생각에 이 세그먼트의 시즌 3인 인디는 여러분이 이야기를 들려주는 12개의 에피소드가 될 것 같아요.멋지네요.그리고 저는 어떤 것부터 시작해야 할지 고민하고 있어요. 왜냐하면 이 모든 것들이 오늘날 여러분이 하는 역할뿐만 아니라 어떤 식으로든 실제로 어떤 식으로든 정립된 것 같기 때문이죠.하지만 실제로 앞서 말씀드렸듯이, 초점은 InfoSec이었습니다.네, 맞아요.그래서 만족스러웠어요.그리고 지금은 일종의 사이버 보안으로 바뀌었죠.그리고 지금은 사이버 레질리언스라는 용어입니다.처음에 말씀하신 내용을 연결해 보려고 하는데, 마치 그곳에 계신 것 같았죠?여러분은 다양한 종류의 IT 지원을 하고 있었으며, 예를 들어 네트워크를 관통하는 바이러스가 다운되는 것을 막으려 했었죠. 만일의 사태는 없습니다.이제 사이버 복원력뿐만 아니라 운영 복원력도 중요하죠. 예상치 못한 일들이 벌어지더라도 어떻게 하면 제 기능을 계속 유지할 수 있느냐가 관건이죠.이러한 변화가 일어난 시점은 언제부터라고 생각하시나요? 복원력에 정말 집중해야 한다고 생각하시나요? 단순히 문제를 해결할 수 있는 능력이 중요한 것이 아니라 문제를 해결하는 동시에 제대로 기능할 수 있어야 한다는 뜻인가요?

7:26 인디 다미

네, 정말 흥미로운 질문이 하나 있는데, 제가 처음 겪었던 경험으로 돌아가서 최근에 제 서류 중 일부를 살펴보다가 실제로 조직의 탄력성을 높이는 데 도움이 된다는 용어를 사용했기 때문입니다.운영 레질리언스 또는 사이버 레질리언스에 대해 생각해보기 훨씬 이전이었을 겁니다.그리고 메르세데스의 예를 들자면, 우리는 아이덴티티 및 액세스 관리와 관련하여 엔터프라이즈 레질리언스와 관련하여 이 모든 것을 하나로 통합하는 것에 대해 이야기했습니다.보안이든, 물리적 보안이든, 환경적 보안이든, 사기이든 상관 없습니다.그리고 안타깝게도 그 시점에서는 일어나지 않았습니다. 아마도 지난 5~6년 사이에 나타난 것일 수도 있습니다.여기에는 여러 가지 원인이 있을 수 있습니다.사이버 공격이나 서비스 중단의 수가 증가했을 수 있습니다.영국에서 발생한 몇 가지 대규모 사건을 떠올리면 번스필드가 떠올랐습니다.아시다시피 큰 폭발이 있었거나 아이슬란드의 화산 폭발이 그 때문이었죠.

그래서 이런 것들은 고려되지 않는 경우가 많았고, 기내에서 위기 시뮬레이션 연습을 했던 기억이 납니다.그러자 그들은 제게 이렇게 말했습니다. “인디, 우리한테는 이런 일이 절대 일어나지 않을 거예요.”제가 만든 시나리오는 조류독감, 퇴치 조류독감에 관한 것이었죠, 그렇죠?이제 사람들이 이러한 작전 유형의 사건이 더 널리 퍼지고 있다는 사실을 더 잘 알게 되었고 사이버 공격도 증가하고 있습니다.뉴스만 놓고 생각해보면 사이버 공격이 한 번, 두 번, 세 번 뉴스에서 발생할 수 있는 사이버 공격이 점점 더 널리 퍼지면서 사람들이 보안 책임자에게 더 어려운 질문을 던지고 있기 때문에 그 인지도가 급격히 높아졌습니다.

9:14 라구 난다쿠마라

잠깐 여담인데요, 그렇죠. 뉴스에서 사이버 공격이 점점 더 많이 나오고 있다고 말씀하셨잖아요.그렇죠?그리고 그 뉴스가 보도될 때 거의 비슷하다는 걸 느끼셨나요?그래서 당신만큼 정보를 잘 모르는 사람으로서 뉴스를 보는 것을 좋아하는 사람들이 “아, 또 다른 사이버 공격이네요.” 라고 말하죠.회복력에 대해 생각할 때 실제로 어떤 결과가 초래되는지, 그리고 우리가 회복력에 초점을 맞추는 이유는 DORA와 같은 것들에 대해 말씀드리죠. 예를 들어, 하이 스트리트 은행이 영향을 받을 때 생기는 연쇄 효과가 크기 때문이죠, 그렇죠?이런 것들이 충분히 보고되지 않아서 일반 대중들만 봐도 사이버 보안이 왜 그렇게 중요한지 알 수 있는 순간이 아직 없습니다.

10:09 인디 다미

네, 정말 좋은 지적입니다.그리고, 알다시피, 저는 이런 어려운 질문들을 겹겹이 뜯어내려 노력했는데, 그 이유는 무엇일까요?많은 사람들에게 개인적으로 영향을 미치기 전까지는 일반적으로 사이버 보안과 그 중요성에 대해 잘 모르고 있습니다.가족 행사나 가족 파티에서 이 대화를 나눈 기억이 납니다. 의사와 이야기를 나누던 중이었죠.아시다시피, 그는 여기서 대화를 나누었습니다. “그럼 이게 뭐야, 무슨 일을 하는 거지?”그리고 제가 하는 일의 종류에 대해 조금 설명해 드렸죠.공포에 질린 그의 머릿속을 스쳐 지나가는 것을 볼 수 있습니다. 음, 사실 우리에겐 민감한 데이터가 많이 있고, 꽤 노출되어 있는데, 사실 저는 제 업무가 우리가 가지고 있는 이 모든 민감한 정보를 어떻게 관리하는지 전혀 모릅니다.그리고 복구할 수 있을지 전혀 모르겠어요.재미있게도 약 1년 정도 후에 우리는 워너크라이 사건을 목격했습니다. 페트야가 아니라 NHS에 영향을 미쳤죠.제 생각엔, 꽤 오래 전부터 꽤 널리 퍼져 있었죠. 사람들이 정말 걱정했었죠.하지만 그 후엔 사라지죠.모든 것이 정상으로 돌아옵니다.다시 말씀드리지만, 사람들은 제가 말씀드린 것처럼 이자가 그렇게 많지 않을 수도 있습니다. 무언가 영향을 받아 은행 계좌가 도용되어 돈이 이체될 수 있기 전까지는 말이죠.그래서 이곳은 여전히 외출된 것으로 여겨지는 곳 중 하나인 것 같습니다. 아시다시피 어두운 방에 후드를 두르고 앉아 물건을 훔쳐가는 사람들이죠.하지만 사실 세상에는 다양한 위협 행위자들이 있습니다. 출처를 불문하고 말이죠.네, 틀에 박힌 아주 똑똑한 꼬마가 집에 앉아서 고도로 조직되고 고도로 조직되고 수익성이 높은 기업을 해킹할 수 있습니다.아시다시피 이런 조직들 중 몇몇은 스크립트 꼬마들에 대해 상당히 불만을 품고 자신들의 평판을 훼손하는 것을 볼 수 있습니다. 아시다시피, 그들은 랜섬웨어로 조직을 공격하면 유명하다는 평판을 얻고 있습니다.그들은 돈을 지불하면 암호 해독 키를 돌려준다는 것을 알고 있을 겁니다.반면 다른 조직들은 그렇게 윤리적이지 않을 수도 있겠죠?생각해보면 정말 말도 안 되는 일이죠.하지만 우리가 볼 수 있는 이 어두운 지하 세계는 많은 사람들이 대낮에 운영된다는 사실을 잘 모르고 있습니다.

12:23 라구 난다쿠마라

네, 물론이죠.제 생각에 랜섬웨어, 즉 악의적인 행위자의 윤리에 대해 생각하는데, 일부 악의적인 행위자들은 자신이 보여주는 윤리를 매우 자랑스럽게 여깁니다.반면에, 다른 사람들은 여러분이 몸값을 지불하면 우리가 당신의 데이터를 공개한다는 개념을 잘 모르실 겁니다.제가 걱정했던 건, 만약 그들이 당신의 데이터를 가지고 있다면, 맞아요, 당신이 몸값을 지불하든 말든, 그들이 그걸로 무엇을 할 건지 하나님은 아신다는 거예요.그럼 오늘 여러분의 역할을 좀 설명해 보죠.맞아요.그리고 고객과 소통할 때도 그렇죠.이것은 매우 광범위한 질문입니다. 일반적으로 고객이 가장 먼저 묻는 질문은 무엇일까요?

13:09 인디 다미

일반적으로 그들이 제게 던지는 첫 번째 질문은 다양한 시나리오에 따라 달라지지만, 지금 제 마음 속에 가장 눈에 띄는 질문 중 하나는, 아시다시피, 사이버 보안과 관련해서는 우리가 위험 감수 범위를 벗어났다고 생각한다는 것입니다. 그렇죠?다시 관용 범위로 돌아갈 수 있도록 도와주실 수 있나요?제가 자주 묻는 첫 번째 질문은, 여러분의 위험 성향을 어떻게 정의할 것인가입니다.그리고 두 번째로, 여러분이 해당 허용 범위 내에 있는지 아니면 벗어났는지를 측정할 수 있는 데이터 포인트는 무엇일까요?하지만 제가 볼 수 있는 약간 논란의 여지가 있는 진술은, FS뿐만 아니라 많은 조직에서 볼 수 있는 사실인데, 데이터가 부실하면 그 시점에 대한 대응에 근본적인 결함이 생긴다는 것입니다. 우리가 식욕이 내적이든 아니든 말이죠.여기에는 여러 가지 이유가 있습니다.적어도 사이버 관점에서는 일반적으로 제어 및 로그 소스에 대한 적용 범위입니다.SOC 또는 SIEM을 통해 자산을 운영하고 모니터링할 수 있습니다.하지만 많은 선배들이 깨닫지 못하는 사실은, 실제로 특정 기술을 이용할 수 없기 때문에 적용 범위가 극히 적다는 것입니다.중요한 애플리케이션 중 일부는 개발된 지 너무 오래되었으므로 누군가가 네트워크에 침입한 후 옆으로 이동할 수 있는지 여부를 명확하게 파악하는 데 필요한 로그를 생성하지 못할 수 있습니다.따라서 운영 레질리언스 관점에서도 위험 관리와 동일한 내용이 적용됩니다.하지만 자신의 자산에 대해 이해하지 못한다면 기업 내 모든 것은 물론 제3자와 제삼자의 상황을 더 명확하게 파악할 수 있는 정확한 데이터를 갖고 있는 것이 아닙니다.그렇다면 어떻게 해야 이러한 적절한 위험 관리 결정을 내릴 수 있을까요?근본적으로 결함이 있습니다.

14:53 라구 난다쿠마라

네, 물론이죠.그리고 마지막 부분이 맞다는 말을 들으셨을 때 들으셨는데, DORA와 같은 규정은 이제 막 시행되고 있고, 내년쯤이면 내년 초까지 진정으로 활성화될 것입니다. 방금 말씀하신 것을 한 단어 한 마디로 요약할 수 있죠, 그렇죠?먼저 환경의 사물이 어떻게 상호 작용하는지뿐만 아니라 모든 공급업체, 모든 업스트림 및 다운스트림 종속성이 시스템 수준에서 상호 작용하는 방식을 잘 이해하는 것부터 시작해야 합니다. 그렇죠?이는 단순한 비즈니스 프로세스 수준이 아니라 시스템 수준입니다. 이를 통해 위험 노출 현황을 파악하고 적절한 통제 수단을 마련할 수 있습니다.

15:37 인디 다미

네.제 말은, 그리고 도라에 대해서도 말씀하셨잖아요.엄청 많죠?그리고 제가 보고 있는 한 가지 사실은 사람들이 엄청난 양의 규제에 거의 지쳐 있다는 것입니다. 사이버 복원력이든 운영 탄력성이든 간에 중복되는 부분이 많다는 것입니다.아시다시피, 일부 조직에서는 재미있게도 오늘 뉴스에서 방금 봤다고 말하는 전환점에 다다랐을 수도 있습니다.영국의 한 하이 스트리트 은행은 실제로 많은 리스크 기능을 포기하고 있다는 성명을 발표했습니다. 혁신 능력이 저해되기 때문이죠. 저한테는 정말 이상하고 이상한 입장이죠.방금 말씀드린 것을 염두에 두시면, 위협의 수와 취약성 환경은 매일 기하급수적으로 증가하고 있습니다. 그렇죠?그러면 시스템 위험과 전염 위험에 연쇄적인 영향을 미치게 되는 거죠.그래서 지금 우리가 처한 상황은 정말 흥미롭습니다.왜냐하면 우리는 점점 더 많은 공격을 받고, 더 많은 조직에서 운영 중단이 발생하고 있고, 몇 주 전에도 보았지만, 기억하시겠지만, 한 번가 소매업체가 있었고, 몇몇 하이 스트리트 소매업체들이 결제 처리에 문제를 겪고 있었습니다.사이버 공격인지 여부는 아직 확인되지 않았지만, 여기에는 전염 위험이 도사리고 있는 시스템적 위험이 있습니다. 중요한 인프라 제공업체가 여러 조직에 서비스를 제공할 수 있는 경우 운영 중단이 발생할 경우 궁극적으로 일부 조직에는 비상 계획이 없다는 것을 알 수 있습니다.

17:08 라구 난다쿠마라

네, 몇 주 전에는 Greg's에서 비건 소시지 롤을 살 수 없었어요.그날은 정말 힘든 날이었어요.

17:20 인디 다미

살이 꽉 찬 것을 먹어야 합니다.

17:23 라구 난다쿠마라

이제 규제에 대해 이야기해 봅시다.그리고 저는 당신의 말이 전적으로 옳다고 생각합니다. 그리고 저는 현재 직책을 맡기 전부터 금융 서비스 산업에 종사했습니다. 그리고 규정 준수를 위한 끊임없는 도전과 규제 압력은 특히 글로벌 규제 기관의 모든 규정을 준수해야 하는 글로벌 조직에서 일할 때 엄청난 도전이라고 생각합니다.따라서 규제의 변화나 진화가 좀 더 통일되어 약간 다른 단어를 사용하게 될 수도 있지만 그들이 요구하는 것은 거의 동일하다고 생각하시나요?

18:00 인디 다미

네, 전적으로 동의합니다.몇 주 전에 친구와 DORA 같은 것의 목적에 대해 대화를 나눴는데, 그 전제가 맞는 것 같아요, 그렇죠?단순히 재무 건전성을 유지하고 운영적이고 탄력적인 운영 서비스를 유지하는 것에만 초점을 맞추고 있습니다.ICT 문제, 사이버 공격 등으로 인한 이러한 혼란에도 불구하고 운영 중단이나 사이버 공격으로 인한 심각한 스트레스를 견디고 복구하거나 복구하지 못하더라도 운영을 계속할 수 있었습니다.그리고 제가 보기에 이러한 규정 중 일부는 규제 요구 사항을 해결하기 위한 매우 사일로화된 접근 방식의 초점이 바뀌고 있습니다. 제가 말하자면 규정 준수를 팀 스포츠로 탈바꿈시키고 있습니다. DORA를 위해 CIO 정보 보안 책임자를 앉혀야 합니다.하지만 모든 인적 자원을 책임질 사람, 비즈니스 운영을 책임지는 사람 또는 중요한 비즈니스 서비스를 책임질 사람도 있어야 합니다.그리고 제가 일하고 있는, 함께 일하고 있는 성숙도가 높은 조직일수록 그런 식으로 접근하고 있습니다.저는 주요 이해관계자들을 모두 논의하고 있습니다.그들은 각 기능에 대해 특정한 역할이 있다는 것을 이해했고, 서로 협력하고 있습니다.그러니까, 이게 이 씬의 가장 큰 성공이었다는 거죠.제 말은, 많은 단체들이 DORA와 기타 규정을 그저 눈을 떼거나 우리가 준수해야 할 또 다른 로타리 활동으로 여깁니다.문화적 관점에서 보면 훨씬 더 긍정적인 영향을 미치고 있다고 생각합니다.글쎄요, 내년 1월이 되면 그 말이 얼마나 정확한지 알게 될 거예요.하지만 적어도 격차 분석과 문제 해결 프로그램을 통해 현재 진행 중인 작업에서는 주요 이해관계자 중 일부가 마침내 테이블에 서서 동료들이 보안 부서, 심지어 사이버 관점에서 무엇을 하고 있는지 실제로 이해하고 더 많이 알게 되었습니다. 일부 CISO는 더 많은 것을 배우고 궁극적으로 고객, 즉 서비스를 제공하는 비즈니스 이해 관계자와 더 많이 소통하고 있습니다.

20:16 라구 난다쿠마라

방금 DORA가 실제로 운영 레질리언스, 사이버 레질리언스를 팀 스포츠로 승화시킬 수 있는 이유에 대해 사용한 용어가 마음에 듭니다. 왜냐하면 보안 실무자로서 말하자면 제가 CISP를 받았을 때가 기억납니다. 이론에서 말했듯이 보안 인포섹은 팀 스포츠여야 했기 때문에 모두가 참여해야 하기 때문입니다.하지만 조직 내에서는 너무 오랫동안 보안 기능을 가지고 있었고 그 다음에는 애플리케이션, 비즈니스 개발 기능을 갖게 되었습니다.어떤 대형 은행의 예를 인용하셨던 것 같은데요. 사실 우리는 리스크 팀을 줄이고 있습니다. 그들이 혁신을 가로막고 있기 때문이죠.맞아요.그래서.그래서 저는 대단하다고 생각합니다. 사이버 보안이 이제 팀 스포츠로 인식되고 있고, 규제가 이를 가능하게 한다는 사실은 아마도 규제에 대해 누구나 가장 먼저 들었던 긍정적인 말 같죠?이를 통해 얻을 수 있는 것이 무엇인지에 대해 말하자면 말이죠.그러니까 그건 신의 선물인 것 같아요.

21:24 인디 다미

하지만 이런 것들을 긍정적으로 봐야 합니다.맞아요.저와 함께 일하는 많은 조직들이 깨닫기 시작했습니다. 사실, 이런 규정을 보면 우리가 이미 많은 일을 하고 있다는 것을 깨닫게 될 것입니다.그렇죠?그냥 다른 방식으로 구조화되어 있을 뿐이죠.그리고 일부 다른 규정과 겹치는 부분도 있습니다.현명한 접근 방식만 있다면 이러한 주요 영역 중 일부를 이행하기 위해 새로운 것을 복제하고 다시 만들 필요가 없습니다.실제로 격차가 확인된 부분에는 더 많은 투자가 필요할 수 있는 부분이 강조됩니다.예를 들어, DORA에서는 전체 정보 공유가 가능한데, 이는 현재 매우 뜨거운 주제입니다. 다른 관할 지역에서 정보 침해를 당했을 경우 어떻게, 어떻게, 언제 정보를 공유할 것인지에 대한 규정이 다르기 때문입니다.아시다시피, 미국에서 신고해야 하는 경우 SEC의 요구 사항은 ICO에 대해 여기의 요구 사항과 다릅니다.사실 정보를 제공할 수 있다는 확신을 가지고 해당 정보를 안전하게 관리하는 것이 DORA가 당면한 가장 큰 과제 중 하나입니다.제 말은, 디지털 운영 레질리언스 테스트 요소에 대해 생각해보면, 아주 광범위한 표현인데, 펜 테스팅도 포함될 수 있습니다. 소프트웨어와 코드를 들여다보고 체크인과 체크아웃을 하고 개발자들이 잘못된 액세스 권한을 갖고 있지 않은지 확인하는 것일 수 있습니다.그런 다음 ID 및 액세스 관리와 같은 다양한 영역으로 넘어가서 네트워크 보안에 대해 이야기합니다. 매우 세분화되어 있습니다.하지만 업계에서 충분히 오랫동안 일해 왔다면 획기적인 것은 없습니다. 단지 규정에 포함된 규제 텍스트 표준의 일부 세분화된 수준의 조화와 초점이 드러났을 뿐이라는 점에서 획기적인 것은 없습니다.

23:16 라구 난다쿠마라

네, 동의합니다.물론이죠.맞아요.여러분처럼 저도 몇 시간 동안 규정의 세부 사항을 깊이 있게 살펴봤어요.그리고 저는 조직이 어떤 규정을 준수해야 하는지도 모른다는 데 동의하고 DORA에 대해 폭넓게 논의했지만 솔직히 말해서 DORA를 지난 몇 년 동안 전 세계적으로 제정된 다른 많은 규정으로 대체할 수 있습니다. 이 규정은 항상 예상치 못한 일이 일어날 것이라는 가정에 뿌리를 두고 있습니다. 그렇죠?화산 폭발과 같은 환경적 사건인지, 아니면 사이버 공격인지 아니면 주변 환경에서든 상관 없습니다.환경을 가장 잘 이해하려면 어떤 조치를 취하겠습니까? 환경의 영향을 억제할 수 있도록 제한할 수 있는 권리에 탄력적으로 대응할 수 있으려면, 이 작은 부분을 복구하는 동안에도 계속 생산성을 유지할 수 있으니까요.그리고 이제 이러한 규제가 더 좋다고 생각하는 것은 가장 중요한 목표가 훨씬 더 명확하다는 것입니다.그렇죠?조직이 왜 이런 일을 해야 하는지에 대해서는 훨씬 더 명확합니다.동의하시겠어요?

24:27 인디 다미

네.네, 전적으로 동의합니다.그리고, 알다시피, 우린 도라에 많은 시간을 보냈어요.하지만 이 두 가지를 예로 들어 보면 위험 관리, 기업의 책임, 보고 의무, 비즈니스 지속성, 그리고 최소한의 조치, 즉 반드시 취해야 할 사항에 초점을 맞추는 부분이 크게 겹칩니다.그리고 저는 DORA와 NIST2 제품을 살펴본 다음 2004년으로 돌아가서 메르세데스에 근무했을 때 ISO 2700 1을 구현하고 있었습니다.솔직히 말해서 근본적으로 다른 것은 없습니다. 관리 책임에 대해 언급한 표준의 한 부분이었는데, 다시 말하지만, 기업의 책임에 대해 Nizza가 말한 것과 정확히 밀접하게 연관되어 있습니다.최고위층부터 분위기를 조성하고, 적절한 리더십과 거버넌스 메커니즘을 마련하고, 사람들을 교육시켜 최악의 상황이 닥쳤을 때 어떻게 해야 할지 알 수 있도록 하는 거죠.즉, 우리가 업계에서 충분히 오랫동안 존재해 온 것들 중 하나인데, 이제는 표준과 통제가 서로 다르게 침투하여 전면에 대두되고 있습니다. 일부 조직에서는 해당 산업에 특별히 적용되는 수많은 규정을 준수하지 않을 경우 벌금이 부과될 수 있다는 새로운 위험을 안고 있는 것을 매우 두려워합니다.그리고 제 생각에 이 문제는 오랫동안 많은 사람들이 카펫 밑에 깔려 있었던 것 같아요.제가 말씀드렸듯이 저와 함께 일해 본 단체들이 있습니다. Indy, 우리에게 이런 일은 일어나지 않았습니다. 제가 좀 더 탐구적인 질문을 하기 전까지는 아무도 우리가 보유한 데이터에 관심을 갖지 않을 것입니다. “좋아, 당신의 비즈니스가 무엇을 하는지 상기시켜 주고, 당신의 고객이 누구인지 상기시켜 주고, 그 정보에 액세스함으로써 잠재적으로 이익을 얻을 수 있는 사람이 누구인지 생각해 보고 다른 목적으로 사용할 수 있는 사람이 누구인지 생각해 보세요.”그러니까, 알다시피, 그리 오래되지 않은 일이고 아마도 지난 10년 전의 일이라는 점을 고려하면 말이죠.하지만 상황이 바뀌었습니다.그리고 많은 이사회 및 사외이사들이 필요한 것, 즉 CISO에게 물어보기 어려운 질문에 대해 더 잘 알고 있다는 점을 말씀드리고 싶습니다.아시다시피, 거기에 도달하기까지는 다소 고통스러운 과정이 필요합니다.하지만 이제 여기까지 온 것 같아요.하지만 여기서 강조할 수 있는 것은 많은 조직이 오랜 세월 동안 단순히 보안에 대한 투자를 제대로 하지 못했다는 것입니다. “자, 개선 프로그램을 만들어 6~9개월 내에 위험 감수 범위 내로 다시 돌아오도록 합시다.” 라는 단박으로 해결할 수 없습니다.수년 동안 기술 인프라가 구축되어 왔지만 그 중 일부는 많은 조직에서 지원을 중단했다는 점을 고려하면 말이죠.따라서 Microsoft는 이러한 조직이 보유한 일부 서버에 대해 패치를 적용하지 않을 예정입니다.따라서 일부 CISO를 위한 개선책을 찾는 것은 거의 불가능한 일입니다.

27:09 라구 난다쿠마라

네, 동의합니다.그렇죠.그리고 맞아요, 하지만 정말 대단한 것 같아요.제가 생각하기에 말씀하신 것은 경영진 같은 분들인데 훨씬 더 많은 정보를 가지고 있고 올바른 질문을 하기 시작하고 있는 것 같아요, 그렇죠.제 생각엔 그게 바로 그런 변화라고 생각해요.제가 연결하면 규정 준수에 초점을 맞추는 것에서 회복력과 생산성에 초점을 맞추는 것으로 여러 면에서 전환되는 거죠, 그렇죠?그리고 CISO에게 당신이 우리에게 제공하는 것이 생산성을 높이는 데 도움이 된다고 말하겠죠?그렇지 않아요.규정 준수도 중요하지만 생산성에 영향을 주지 않도록 하는 것이 정말 필요합니다.그래서 이 팟캐스트가 제로 트러스트 팟캐스트라는 것을 알게 되었는데, 제로 트러스트에 대해서는 언급하지 않았습니다.자, 이에 대해 얘기해 보죠.그렇죠?근본적으로, 우리가 말하는 모든 것은 제로 트러스트에 초점을 맞추는 것에 관한 것이고, 이는 규정에도 나와 있습니다.네, 그 길로 가보죠.

28:02 라구 난다쿠마라

괜찮아, 가자.자, 그럼 시작해 볼까요?그래서, 이 팟캐스트에는 다른 많은 분들이 참여했는데요. 모두가 제로 트러스트에 대한 해석이나 비유를 공유합니다.인디, 무대는 당신 것이에요.제로 트러스트 비유는 무엇인가요?

28:22 인디 다미

몇 주 전에 이 이야기를 나눴는데, 사우디아라비아의 네온 프로젝트를 진행하고 있는 친구, 동료들과 나눈 대화에서 나온 내용이었습니다.그리고 제게 떠오른 것은, 만약 여러분이 새로운 도시를 건설한다면, 도시를 처음부터 새로 건설할 기회가 있다면 어떻게 하면 신뢰와 프라이버시를 구축하고 거의 제로 트러스트와 비슷한 비유를 도시 건설에 적용할 수 있을까요?그래서 생각하게 됐어요. 영국을 생각해 보면 아주 전통적이고 오랜 세월에 걸쳐 전통적으로 세워진 나라이죠.하지만 그런 기회가 주어진다면 무엇을 하고 싶으세요?미국식 모델에 더 초점을 맞추신다면, 저는 밀턴 케인즈에 있는 메르세데스에서 시간을 보냈습니다.조금, 약간 이 모델을 그리드 시스템과 함께 사용하겠지만 도시 블록을 일종의 워크로드 세그먼트로 간주할 수 있습니다.상상력이 풍부한 도시에서는 각 블록이 서로 다른 워크로드 세그먼트를 나타냅니다.자, 아시다시피, 이 블록들은 하우징 사양일 것입니다.서비스나 업무량이 될 수 있습니다. 하지만 도시 블록에 주거 및 상업 산업 지역이 있는 것처럼 도시 블록의 용도도 다를 수 있습니다.웹 서버가 데이터베이스일 수도 있고 결제 게이트웨이가 될 수도 있습니다.그러고 나면 길거리도 생길 거예요. 도로에 대한 규칙도 있겠죠?도로들은 마치 네트워크 경로처럼 그 블록들을 연결하고 있는 거죠.그러면 트래픽, 즉 데이터 패킷이 생깁니다.블록 사이로도 흐르고 있잖아요.그럼 실제로 각 거리에 대한 구체적인 규칙을 설정하려면 제로 트러스트를 미세하게 세분화해야 한다고 생각하실 겁니다.일부 거리에서는 특정 유형의 차량과 데이터만 허용할 수 있지만 완전히 폐쇄된 거리도 있습니다.그리고 각 블록의 입구에는 보안 체크포인트가 있을 겁니다. 게이트키퍼로서 누구든 통과할 수 있도록 허용하거나 데이터 패킷이 통과하도록 허용하고 이제 확인이 필요하므로 신원을 확인하고 그 특정 구역을 통과하는 목적과 승인된 트래픽만 허용됩니다.그러다가 제가 생각한 것은 사실 제로 트러스트 레인을 가질 수 있다는 것이었습니다.도시 내에는 특별한 차선이 있습니다. 모든 교통 신호등을 통과하려면 명시적인 허가가 필요하기 때문에 매우 안전합니다.하지만 특정 블록에서 화재가 발생했을 경우에 대비한 격리 및 격리 기능도 필요합니다. 사이버 공격일 수 있습니다. 아시다시피, 다른 블록으로 확산되지 않도록 세분화할 수 있는 방법이 있나요?그리고 이러한 블록들은 영향을 받지 않고 그대로 유지됩니다.그리고 그 특정 도메인 내에서 보안 침해를 일으킨다는 걸 잘 알고 계신가요?

그리고 도시에 맞게 사이니지도 커스터마이징해야 합니다. 그러면 각 블록마다 자체 보안 정책이 적용됩니다.그러면 누가 들어오는지, 누가 가는지, 어떻게 소통하는지를 결정할 수 있죠.예를 들어, 데이터베이스 블록이 있는데 표지판에 인증된 데이터베이스 쿼리만 허용된다고 적혀 있을 수 있죠, 그렇죠?그래서 제가 보기에는 역시 동적이어야 한다는 거죠.도시가 발전함에 따라 역동적으로 계획자들이 거리와 체크포인트를 조정하고, 마이크로 세그먼테이션을 통해 워크로드, 애플리케이션의 변화에 적응할 수 있습니다. 새로운 클라우드와 새로운 클라우드 컨트롤이 등장합니다.요약하자면, 도시를 건설하고 제로 트러스트의 비유를 적용한다면 저는 그렇게 할 것이라고 생각합니다.자, 저는 도시 계획가는 아니에요. 그렇다고 주장할 수 없어요.하지만 알다시피, 흥미로운 비유일 수도 있겠죠.방금 제 머릿속에 떠올랐어요.얼마 전까진 아니에요.

32:11 라구 난다쿠마라

방금 말씀하신 내용을 바탕으로 제로 트러스트 에디션인 심시티를 상상하고 있습니다. 사이버 복원력, 사이버 보안, 정보보안 분야의 모든 사람들이 플레이할 수 있도록 하고 순위표를 만들고 누가 제로 트러스트 보호 도시를 가장 잘 설계할 수 있는지 봐야 한다고 생각합니다.어떻게 생각하세요?

32:31 인디 다미

네, 훌륭하고 멋진 게임이에요.예전에 저걸 플레이했었죠.그리고 테마파크도 있어요. 기억나시나요? 테마파크는 생각이 달라지죠.그리고 제 생각엔 그게 보안 전문가인 것 같아요.알다시피, 우리 모두 다 있는 것 같아요.리더들이 이사회 앞에 나서서 기술적인 언어로 말하기 시작하는 것을 여러 번 봤어요.그리고 거의 최고위급 임원들에게도 달라붙을 정도였죠.그럼 어떻게 하면 더 쉽게 이해할 수 있을까요?어떻게 하면 그들이 공감할 수 있게 만들고 그들이 우려하는 것에 적용할 수 있을까요?제가 경영진들과 이야기할 때 항상 하는 핵심 사항 중 하나는 무엇이 당신을 움직이게 하는지 말해보는 거예요.동기를 부여하는 것은 무엇인가요?무엇이 당신을 바쁘게 만드나요?그리고 보안팀의 책임은 우리가 치안 부서가 아닌지 확인할 수 있도록 도와주는 것이기 때문에 자신이 맡은 역할에 계속 집중할 수 있게 해줍니다.우리는 그냥 “아니요, 미안해요. 그럴 수 없어요.” 라고 말하는 게 아니에요.우리는 이걸 마치 엄밀히 따지자면 보안에 대해 아는 똑똑한 사람들인 것처럼 생각합니다.그렇죠?그렇다면 어떻게 하면 비즈니스 활성화를 도울 수 있을까요?어떻게 하면 그들과 공감할 수 있는 언어로 소통할 수 있을까요?제가 볼 수 있는 가장 큰 문제 중 하나는 여전히 보드에 취약점 스캔 보고서가 제출되고 있다는 점이라고 생각합니다. 그렇지 않습니다. 기술적 통제에 대한 관점은 다음과 같습니다.이들 중 다수는 단순히 관심을 갖지만 신경 쓸 필요는 없습니다.그들은 비즈니스 성과가 무엇인지 알아야 합니다.아시다시피, 이것이 우리가 다른 위치에 새로운 데이터 센터를 건설하는 데 어떻게 도움이 될까요?아니면 어떻게 하면 고객에게 새로운 서비스를 제공할 수 있는 새로운 모바일 디바이스용 애플리케이션을 구축할 수 있을까요?

34:04 라구 난다쿠마라

네, 전적으로 동의합니다.그렇죠?보안 전문가로서 정말 중요하다고 생각해요. 사실 저는 보안 공급업체로서 벤더에서 일하고 있어요. 우리가 하는 일처럼 연결할 수 있어야 하죠, 그렇죠?궁극적으로는 우리가 추진하고자 하는 목표를 좋아하는 것이 왜 중요한지 말이에요.조직에서는 괜찮습니다. 비즈니스 목표는 무엇일까요?그럼 우리 프로그램은 어떻게, 무엇을, 어떻게 하는 걸까요?이것이 비즈니스 목표와 어떻게 연결되나요?제로 트러스트 전략과 제로 트러스트 전략을 채택하고 있는 조직들이 그 전략이 비즈니스 목표에 어떻게 부합하는지에 대해 더 나은 이야기를 들려줄 수 있다고 생각하시나요? 아니면 여전히 존재할까요?

34:52 인디 다미

제 생각에는 두 가지, 아마도 두 가지 유형의 개인이 있을 것입니다. 이야기를 잘 전달하고 이사회가 이해할 수 있고 경영진이 이해할 수 있는 언어로 표현할 수 있는 사람들이죠.그리고 여전히 기술 통제에 초점을 맞추고 있는 사람들도 있죠.이제 저는 더 많은 것을 보고 있습니다. 다행스럽게도 저는 왼쪽에 있는 편으로 제로 트러스트가 무엇인지 분명히 말씀드리고 있습니다.중요한 것은 바로 그 장면을 설정하는 것입니다. 올바른 방식으로 틀을 잡고 리더들에게 공감대를 형성한다면 제로 트러스트 접근 방식을 성공적으로 실현할 수 있을 것이라고 생각합니다.

35:26 라구 난다쿠마라

그렇다면 제로 트러스트 전략의 채택 측면에서 어떻게 생각하시나요?그렇죠?그렇다면, 점점 더 많은 조직이 이를 최상위 이니셔티브로 추적하고 있는 것을 보고 계신가요? 예를 들어 CISO 수준에서 말이죠.아니면 CISO 프로그램의 모든 부분에 스며들어 있는 것이지 꼭 명시적으로 언급되지는 않는 것일까요?

35:49 인디 다미

이 두 가지가 결합된 것일 수도 있습니다. 일부 조직에서는 근본적으로 사이버 전략의 일부일 뿐만 아니라 운영 레질리언스에도 스며듭니다. 그렇죠?워낙 설득력 있는 방식으로 포지셔닝되어 왔기 때문이죠.당연한 얘기죠.그리고 다른 하나는 삼투압, 혹은 순전히 우연한 기회에 의한 것인데, 설계 초기 단계에서 개발되고 있는 여러 가지 변환 프로그램에서 이런 일이 일어나고 있습니다.그리고 조직들은 그런 방식으로 이를 관리하고 있습니다.따라서 모든 사람이 이해할 수 있는 단계는 아닐 수도 있습니다.올바른 이유로 구현되었습니다.

36:26 라구 난다쿠마라

여러분과 고객을 직접 만나서 그들이 제로 트러스트 전략을 수립하도록 도울 때 어떤 영향을 미치게 될까요?일반적으로 어떤 경로를 택할까요?

36:43 인디 다미

일반적으로 제가 접근하는 방식은 항상 비즈니스로서 무엇을 하려고 하는지부터 시작하라는 것입니다.맞아요.그리고 아주 오래 전에 이런 것을 배웠는데, 아직도 많은 전문가가 보이지 않습니다. 여러분의 비즈니스 전략을 세우고, 연례 보고서를 집어 들고, 비즈니스가 무엇을 하려고 하는지 이해한 다음, 여기에 그 내용을 오버레이합니다. 여기에는 보안과 제로 트러스트가 이 네 가지 전략적 기둥에 대해 우리를 어떻게 지원할 수 있는지가 나와 있습니다.설명해 주실 수 있다면, 아주 간단하죠. 언제나 가장 좋은 출발점이죠. 그래야 시작부터 시작할 수 있기 때문이죠. 그러니까, 각각의 요점에 대해 우리가 제공해야 할 기술 통제가 있기 때문이죠.소모품 방식으로 세분화하는 것이 관건입니다.

37:29 라구 난다쿠마라

그리고 제 생각엔, 우리가 들은 게, 그렇죠, 그런 종류의 제로 트러스트가 여전히 과잉 시장에 팔리고 있다고 생각하시나요?저도 동의해요, 그렇죠?제 생각에는 어느 정도 과장된 것 같아요.하지만 실제로 인정할 수 있는 부분이 있을까요?저는 일반적으로 실무자 커뮤니티에 속해 있습니다. 전략으로 보자면, 이 전략은 정말 강력합니다. 이제 기차에 올라타려면 어떻게 구현할지 생각해 보셔야 합니다.

38:03 인디 다미

안타깝게도 제로 트러스트 기능을 제공한다고 주장하는 다른 많은 유행어들과 마찬가지로 너무 많이 판매되고 있을 수도 있습니다.그들은 그렇지 않습니다.어떤 모습으로든 그럴 수도 있습니다.하지만, 알다시피, 안타깝게도 그 유행어 중 하나로 바뀌었죠.다시 말씀드리지만, 명확하게 설명해 줄 수 있는 누군가가 있다면, 실제로는 명시적으로 확인하거나, 항상 가지고 있는 정보를 기반으로 인증하고 권한을 부여합니다. 최소 권한 액세스에 초점을 맞춥니다.하지만 또 다른 용어가 하나 있는데, 아마도 그렇게 많이 사용되지 않을 수도 있고, 최소 기능의 원칙이기도 합니다.네, 최소한의 특권을 가진 셈이죠.하지만 특정한 접근 권한을 가진 사람들이 있고 그들이 특정 자격 증명으로 가질 수 있는 기능의 양을 제한하고 싶다면 말이죠.또한 많은 조직들이 타협을 하기 시작했다고 생각합니다. 그들은, 아시다시피, 그들이 알아차리기 시작했고, 안타깝게도 우리가 우리의 재산을 파악하기 위해 더 많이 추구하고 집중할수록 당신이 당면한 문제, 즉 그의 양날의 검을 더 많이 깨닫게 되기 때문입니다.

39:24 라구 난다쿠마라

좋은 명언이네요, 그렇죠?더 많이 가서 여러분의 부동산을 발견할수록, 여러분이 가지고 있는, 그리고 없었던 문제를 더 많이 깨닫게 될 것입니다.그리고 제 생각에 그것도 상당히 무섭습니다. 왜냐하면 그것은 단지 우리가 우리 재산에 대해 실제로 얼마나 잘 이해하지 못하는지를 가리키기 때문입니다.맞아요.많은 조직들이 이걸 시작했을 때 깨닫게 되는 게 바로 제가 무슨 일이 벌어지고 있는지 모른다는 거죠, 그렇죠?그럼 그 고비를 어떻게 극복할 수 있을까요?

40:00 인디 다미

제 말은, 가끔은 어려운 순간일 수도 있습니다. 많은 사람들은 제가 몇몇 CISO가 저에게 “차라리 포장용 석판을 들어 올리지 않겠다”고 말한 적이 있다는 사실을 모르고 회피하려고 합니다. 소름끼치는 기어가는 소름 끼치는 기어다니는 소리 때문이죠.그러면 제 책상 위에 떨어져서 문제를 해결해 볼 수 있을 거예요.한 고객이 이 회사에 합류했습니다. “2년 전에 입사했지만 지난 20년 동안 투자 부족과 부실한 기술 설계를 책임질 수는 없습니다.제가 말씀드렸듯이 양날의 검입니다. 하지만 올바른 방향으로 나아가서 우리가 가진 것을 이해해 봅시다. 밖으로 나가서 우리 기업이 어떤 상태인지 알아봅시다.그리고 이건 넓게 펼쳐진 스파게티 그릇입니다.솔직히 말해서 모든 기술 구성 요소를 식별하는 것은 쉬운 일이 아닙니다. 예전 ITIL 시대에는 CI를 구성 항목으로 사용하는 것이 여전히 이상적이었을 수도 있습니다.알다시피, 여러분이 거주하는 주의 모든 구성 항목에 대한 문서화된 지도와 인벤토리를 가지고 있다면 대부분의 조직에서는 아마 거절할 것입니다.

하지만 그 중 당신이 정말로 알아야 할 것이 얼마나 될까요?회복력이 있는지 확인하기 위해서요?80~ 90% 정도 차이가 있을 수 있겠죠.하지만 안타깝게도 대부분의 조직은 전체 자산에 대한 가시성이 80% 도 되지 않을 수 있습니다. 특히 클라우드를 중심으로 구성된 조직의 경우 더 간단할 수 있습니다.하지만 아직 성사된 것은 아닙니다. 왜냐하면 서드파티, 그 다음에는 제4자가 있기 때문이죠.그리고 일부 규정은 연결 당사자와 서비스 공급자가 자산과 관련하여 무엇을 갖고 있는지 파악할 수 있다는 기대치를 매우 세밀하게 반영하고 있습니다. 다시 말씀드리지만, 많은 조직에서 이를 받아들이고 나서서 중요한 공급자와 대화를 나눌 수 있는 역량을 갖추게 되는 것이죠.

41:57 라구 난다쿠마라

클라우드는 이러한 작업을 쉽게 수행할 수 있는 도구를 제공한다고 말할 수 있습니다.하지만 모범 사례를 따르지 않으면 잠재적으로 더 큰 문제가 발생할 수 있습니다. 단순히 모든 종류의 리소스를 매우 빠르게 가동할 수 있기 때문이죠. 적어도 데이터 센터의 게이팅 기능으로는 “아, 데이터 센터에 6주 후에 새 서버를 설치하면 좋겠어요.”

42:23 인디 다미

하지만 흥미롭게도, 지난 몇 년간 발생한 대규모 보안 침해 사례를 생각해 보면, 일부 보안 침해 사례가 클라우드에서 발생한 적이 있습니다. 권한 없는 사용자에 대한 액세스 권한, 액세스 권한 부족으로 인해 고아가 된 상태였기 때문입니다.그 다음에는 위협 행위자가 이러한 정보에 액세스하여 조직 전체로 이동하는 데 사용됩니다.흥미롭게도 여러분들이 이걸 보셨는지 잘 모르겠어요. 일부 조직에서 대화를 나누고 있는데 비용이 급증하고 있기 때문에 더 이상 클라우드에 있지 않는 것이 더 저렴할까요?특히 새로운 규정 중 일부는 클라우드 제공업체의 비용에 영향을 미치고 있습니다. 클라우드 제공업체도 이제 규제의 주목을 받고 있기 때문입니다.그리고 문제는 누가 책임을 질 것인가입니다.그리고 그 비용은 누가 부담하고 누가 그 비용을 감당할까요?그리고 클라우드 제공업체들이 그들의 고객들에게 엄청난 영향을 주지는 않을 가능성이 높습니다.그리고 클라우드에 남아 있거나 자체 데이터 센터를 다시 구축하는 것이 더 저렴할까요? 이는 정말 이상한 입장입니다. 수년 전의 모습으로 돌아가고 있기 때문입니다.어쩌면 조직의 규모와 규모에 따라 달라질 수도 있습니다.하지만 중소기업의 경우 수년 전에 그가 말했던 것만큼 비용 효율적이지 않을 수 있습니다.

43:45 라구 난다쿠마라

네, 저는 이러한 연구를 많이 접해봤고, 모든 것을 요약해서 말씀드리자면, 시장에 출시되는 클라우드 경제학의 이점을 얻기 위해서는 실행하는 애플리케이션 유형, 설계 방식을 매우 구체화해야 합니다. 그래야 진정한 최적화를 위해 온디맨드 방식의 이점을 누릴 수 있습니다.

말씀하신 내용으로 돌아가서 말씀드리자면, 진전을 이루기 위해 필요한 데이터의 양, 정보의 양에 대해 말씀하신 것입니다.맞아요.그리고 조직은 어려움을 겪고 있습니다.그리고 보통 그들은 자신의 재산에 대해 80% 정도 이해하지도 못하는 경우가 많습니다.그러니까 얼마나, 얼마나, 얼마나 많은 정보가 진전을 이루기 시작하기에 충분한지, 그렇죠. 그게 제로 트러스트 채택의 장벽이라고 생각하기 때문이죠.장벽 중 하나는 제가 적절한 데이터 포인트를 모두 가지고 있다고 생각하지 않는다는 것입니다.그럼 기다릴게요. 그럼 어떻게 반응하시나요?

45:00 인디 다미

네, 제 말은, 당신이 제기한 대단한 지적입니다. 왜냐하면 대부분의 경우 이제 모든 데이터를 가지고 있지 않아도 괜찮을 때가 되었으니까요. 그렇죠?정보에 입각한 결정을 내릴 수 있겠죠?우리가 가지고 있는 데이터 포인트를 사용하여 과거에 구축할 수도 있고, 경영진에게 물어볼 수 있는 네 가지 질문에 답할 수 있는 대시보드를 만들 수도 있습니다. 여러분이 정하셨고, 아시다시피, 우리는 얼마나 안전한지, 무엇을 보고 있는지요?우리가 가장 집중하고 있는 분야는 무엇일까요?그리고 대시보드는 기본적으로 데이터 포인트가 빨간색, 호박색, 녹색 상태라는 것을 얼마나 신뢰할 수 있는지를 기반으로 만들어졌습니다.우리가 얼마나 안전한지에 대한 질문에 자신 있게 답할 수 있는 이유는 제가 모든 데이터 포인트와 로그를 가지고 있기 때문입니다.하지만 다른 부분에서는 관심 분야를 모두 알고 있을 수도 있습니다. 앰버 상태이기 때문에 50% 수준으로만 답변하고 있습니다. 답변할 수 있는 정보는 부분적으로만 있습니다.사이버 위험의 수치화 같은 것들이 실제로 실제로 필요한 부분이죠.바로 지금이죠.많은 고객들이 와서 이런 질문을 하는 것을 보고 있습니다.그렇다면 모든 데이터 포인트가 없다면 어떻게 사이버 위험을 수치화할 수 있을까요?왜냐하면 이 연습은 위험을 진정으로 수치화하기 위해 필요한 모든 것이 필요하기 때문입니다.그리고 그건 올바른 접근법이 아니에요.우리가 가진 것을 가지고, 기존의 지식을 이용하고, 주관적인 판단을 통해 특정 지점까지 내려가는 거죠.하지만 아시다시피, 금융 업계가 수년 동안 사용해 온 것을 기반으로 하는 위험 정량화 모델로 넘어가면 시장이 어떻게 움직일지 예측하고 그 논리를 적용하여 금융 세계에서 비즈니스 언어를 구사할 수 있게 됩니다. 하지만 이를 사이버에 적용하는 것은 현재 매우 큰 영향을 미치고 있습니다.

46:47 라구 난다쿠마라

네, 그리고 제 생각엔, 정말 맞는 것 같아요. 왜냐하면 여러분이 통제할 수 없는 많은 미지의 것들과 함께 발전할 수 있는 방법이 필요하기 때문이죠.맞아요, 그렇지 않으면 보통 정체되어 있을 뿐이고 완벽은 진보의 적입니다.

그러니까, 그냥 앞을 내다보는 것과 비슷하죠?사실, 앞을 내다보기 전에 앞서 말씀드린 금융 서비스 조직의 어떤 조직이 사이버 위험을 근본적으로 줄이고 있다는 소식을 다시 한 번 말씀드리고 싶습니다.제가 잘못 인용했더라면 죄송합니다. 그냥 위험 함수일 뿐이죠, 그렇죠?초점을 맞췄어요. 마치 그들의 변화 능력을 방해하기 위해 위험 함수를 줄이는 것처럼요.네, 그리고 혁신하세요.물론 조직이 취해야 할 접근 방식은 이러한 기능을 더욱 긴밀하게 연결하는 것입니다.그래야 혁신이 안전한 방식으로, 올바른 방식으로, 안전하게 이루어질 수 있습니다.구축하려는 요소를 만들기 위해 보안이 초기에 개입되어 구축 당시부터 안전하다는 것을 알 수 있도록 하는 거죠.그건 아니에요. 나중에 승인을 구하지 않을 거예요.그거에 대해 어떻게 생각하세요?그게 받아들여졌나요? 왜냐하면 그것은 확실히 우리가 설교하는 모범 사례에 어긋나기 때문이죠.

48:26 인디 다미

그거야.그리고 화합할 수 있는 기회가 있다고 생각해요.이것이 제가 수년 동안 설교해 온 내용입니다.사실 제가 몇 년 전에 작성한 백서 중 하나는 사실 지금이 금융 서비스 관점에서 위험, 보안, 사기를 융합할 때라는 것이었습니다.그리고 안타깝게도 이러한 기능들은 여전히 위험과 보안이 합쳐지는 경우가 더 많을 것 같습니다.하지만 사기는 여전히 사일로화된 기능입니다.아시다시피 모니터링 대상이 사이버 보안 팀이 모니터링하는 항목과 겹칠 수 있기 때문에 이는 별로 의미가 없습니다.하지만 그들은 상당한 도구에 투자했습니다.아마도 문제의 일부일 것입니다. 사일로 기반의 접근 방식이 여러 도구에 상당한 지출을 초래했다는 점일 것입니다.하룻밤 사이에 한 고객이 제게 이렇게 말했습니다. 사이버 보안 시장에 있는 모든 도구를 생각하면 저는 각각 하나씩은 있는 것 같아요.그렇죠?네, 예산, 그렇게 큰가요?하지만 이들이 정말로 최대한의 가치를 얻고 있는 것일까요? 최적화는 아니죠.필자와 함께 일했던 일부 조직은 전 세계에 20개 가까운 SIEM 도구를 보유하고 있었습니다. 독일의 한 조직은 조달 업체에서 벗어나 자체 운영 시설을 구축했고 미국에 있는 누군가가 동일한 작업을 수행했기 때문입니다.그리고 아마도 여전히 우리가 살고 있는 상태일 것입니다.그러면, 아시다시피, 비즈니스 리더들이 생각하는 것처럼 비즈니스는 그렇지 않을 것입니다. 그 비용은 근본적으로 상당히 비쌉니다.답은, 이 리스크 팀의 일부를 없애자는 것이었습니다.비용을 어느 정도 절감할 수 있고 혁신할 수 있게 해주지만, 그러다 보면 아직 고려하지 않았거나 어쩌면 생각해 본 적이 없는 다른 많은 영역에 노출될 수 있습니다. 왜냐하면 일부 조직은 보안 위반이나 GDPR 벌금에 대비할 준비가 되어 있기 때문입니다.때로는 최악의 상황이 우리에게 닥칠 것이라는 사실을 비즈니스 판단으로 받아들이는 경우도 있습니다.그리고 언제, 언제, 그런 일이 일어난다면 그 즉시 대처해야 할 것입니다.왜냐하면 제가 전에 이런 말을 한 적이 있기 때문이죠. 하지만 아시다시피, “이 모든 사이버 관련 것들은, 일종의 보험 정책이죠, 그렇지 않나요?우리한테는 그런 일이 일어나지 않을 수도 있으니까요.우리는 투자에서 돈을 빼낼 수 없어요.”

50:31 라구 난다쿠마라

하지만 돈을 버는 데 도움이 됩니다. 가능한 한 최선을 다해 보호받을 수 있다는 사실을 알고 있으면 안심할 수 있습니다.

50:40 인디 다미

때로는 그것만으로는 충분하지 않습니다.

50:45 라구 난다쿠마라

때로는 그것만으로는 충분하지 않을 수도 있습니다.좋아요, 그럼 앞으로 출납원이 수정 구슬을 들여다보는 모습을 살펴보죠.그렇죠?사이버 관점에서 보면 향후 몇 년 동안 금융 서비스 업계가 직면하게 될 과제는 무엇이라고 생각하시나요?

51:00 인디 다미

따라서 탐정 관점과 통제 관점 모두에서 AI를 사용하는 것은 놀랄 일이 아닐 것입니다. 위협 행위자는 다양한 AI 도구, 기계 학습을 사용하여 일부 공격을 근본적으로 자동화하여 진입 비용을 낮춥니다.앞서 말씀드렸듯이 이들 중 일부는 고도로 조직화된 위협 행위자들로 인해 수작업을 하는 사람들이 있기 때문입니다.그러면 비용이 절감될 뿐만 아니라 공격 대상 영역도 늘어나 잠자는 동안에도 계속 공격할 수 있습니다.인공지능은 하나가 되고 양자 컴퓨팅의 등장은 모든 것에 연쇄적인 영향을 미칠 것입니다. 왜냐하면 인공지능은 모든 암호화 수단과 현재 사용하고 있는 것들을 무력화시킬 수 있기 때문입니다.제 생각에는 아마도 FS만의 문제가 아닐 수도 있습니다.이것이 모든 분야의 산업입니다.

52:01 라구 난다쿠마라

네, 그리고 비디오를 보시는 분들이 제가 뭘 하고 있는지 궁금해 하실 텐데요, 제 딸이 제 충전기를 뽑았기 때문에 끊기기 전에 가서 플러그를 꽂아야 했어요.네, 그리고 제 생각에 우리는 인공지능의 효과와 양자 컴퓨팅이 제공하는 잠재력에 대해 들은 것 같아요. 특히 그것이 현재의 암호 알고리즘을 근본적으로 쓸모없는 것이 아니라 일종의 취약점으로 만들고 측정 가능한 시간 내에 침입할 수 있게 만드는 방법에 관한 것입니다.하지만 인공지능에 대해서는, 물론 아주 화제가 되고 있습니다. AI 공격자들의 실제 공격 용도에 대해 말씀드리자면, 우리가 듣기로는, 알다시피, 그들은 딥 페이크를 만들 수 있고, 훌륭한 피싱 이메일을 만들 수 있습니다. 여러분과 제가 아빠가 받은 모든 것을 클릭하는 것을 잊어버릴 수 있는 훌륭한 피싱 이메일을 만들 수 있습니다. 하지만 위협은 어떨까요? 예를 들어, 일종의 차세대 AI에 액세스할 수 있는 조직의 랜섬웨어를 예로 들어 보겠습니다.실시간으로 적응하려면?저거 보이세요?예를 들어서 연구를 통해 본 적이 있는데, 그게 얼마나 현실적일 거라고 생각하세요?그거?

53:22 인디 다미

현실이 될 것 같아요. 저는 AI에 대해 몇 년 전부터 생각해 왔고 블로그 포스트를 썼습니다. 알다시피 AI가 판도라의 일자리를 창출하는 것이 박스가 아니라 어떻게 되는지에 대한 글을 썼습니다.엄밀히 따지자면 그건 직업이었으니까요.제 생각에 우리는 지금 이 단계에 와 있는 것 같아요. 사실 제 좋은 친구이자 동료 중 한 명이었죠. 그가 말하길, 인공지능의 활용에 대해 말했죠.그의 견해는 마치 뱀파이어를 집에 초대하는 것과 같다는 것이었습니다.그리고 거긴 너무 늦었어따라서 위협 행위자를 위한 것일 수도 있습니다.AI를 내부적으로 사용하는 것이죠.어떻게 믿을 수 있죠?기대했던 결과를 제대로 전달하고 있나요?변조할 수 있나요?그렇죠?그러면 모델이 전혀 예상치 못한 것을 만들어내고, 그 결과 다른 여러 비즈니스 구성 요소에 연쇄적인 영향을 미치나요?따라서 신뢰의 침해가 많은 조직의 큰 관심사로 떠오르고 있습니다. 딥페이크와 요소에 대해 말씀하셨는데, 말씀하신 것처럼 보안 전문가들이 쉽게 속일 수 있는 매우 정교한 딥페이크들이 나타나고 있습니다.

그래서 우리가 지금 살고 있는 것은 매우 걱정스러운 시대입니다.왜냐하면, 여러분이 정말로 어떻게 신뢰하는지, 그리고 예를 들어 이 팟캐스트의 반대편에서 당신이 말하는 사람이 당신이 기대하는 사람인지 아닌지를 어떻게 확인할 수 있을까요?

54:54 라구 난다쿠마라

정확히 말하자면, 저는 라구가 아닐 수도 있겠죠?그냥 딥페이크 버전이야.난 인디의 딥페이크 버전이랑 얘기하고 있는 거야.자, 이제 마치겠습니다.당신은 분명히 규제가 심한 산업, 즉 세계적으로 가장 규제가 심한 분야는 아니더라도 가장 규제가 심한 금융 서비스에 집중하고 계실 것입니다.어떤 점이 마음에 드시나요? 가까운 미래에 대해 두렵게 되는 것은 무엇일까요?

55:21 인디 다미

그래서 저를 흥분시키는 건 사실 사람들이에요.저와 함께 일하는 사람들, 저와 함께 일하는 고객들, 그리고 여러분들이 정말 흥미로운 일을 하고 있는데, 많은 혁신이 일어나고 있습니다.세상이 많이 변한 것처럼 말이죠.우리가 매일 모든 것을 다루고 있는 방식을 되돌아보면 기술은 우리 주변에 어디에나 있습니다. 정말 스마트한 목적, 정말 흥미로운 사용 사례, 건강상의 이점도 있습니다.아시다시피, 인간의 독창성과 혁신은 대단합니다. 저는 새로운 기술에 대해 읽는 것을 좋아하고, 우주를 더 멀리 볼 수 있게 해주는 몇 가지 기술에 대해 읽는 것도 좋아합니다.그 거대한 크기를 가늠할 수 없는 행성들을 발견했을 때 정말 놀라울 따름입니다.하지만 제가 무서워하는 것은 가끔씩 똑같은 일을 반복하면서 다른 결과를 기대하는 조직들을 볼 수 있다는 것입니다.제게는 이것이 광기의 정의입니다.

56:18 라구 난다쿠마라

네, 물론이죠.그러니까, 전적으로 동의해요.제 생각에는 사실 우리가 미래를 어떻게 보호할 것인가를 생각할 때 반드시 새로운 일을 해야 한다는 얘기는 아니라는 생각이 듭니다.정말 중요한 건 사이버처럼 오랫동안 그 토대가 되어 온 수많은 기본 사항을 확고히 하는 것입니다. 그렇죠?그리고 저는 실무자로서 제가 항상 걱정하는 부분이라고 생각합니다. 차세대 신기술을 볼 때마다 그게 대단하다고 생각해요.하지만 아직 고쳐야 할 것들이 너무 많아요.

56:57 인디 다미

기초, 사실 기초 요소, 아시다시피, 제가 메르세데스에서 했던 이야기로 돌아가 보겠습니다.우리는 모든 프로세스를 갖춘 품질 관리 시스템을 구축했고 보안이 내장되어 있었습니다. 저는 아직도 그곳에서 더 이상 일하지 않는 동료들이 있습니다. 우리는 그들을 데리고 인디 (Indy) 를 데려갔습니다. “그 당시 우리가 하던 일은 여러분보다 훨씬 앞섰지만 지금도 그렇게 생각하지 않습니다.”때로는 조직에 가서 문서화된 프로세스를 보여 주기도 합니다.아시다시피, 아주 많은 시스템이 시대에 뒤쳐져 있을 겁니다. 정책이 몇 년 동안 업데이트되지 않았거든요.자, 이제 새로운 은총알의 반짝이고 기발한 기술을 사려고 하기 전에 기초를 다지는 게 관건인 것 같아요.맞아요.하지만 토대를 제대로 마련할 수 없다면 어떻게 위험을 완화하고 위험 관리 통제를 마련할 수 있을지 생각해 보세요.이는 근본적으로 사이버 레질리언스란 무엇이고 운영 레질리언스란 무엇인지에 관한 것입니다.공격을 받거나 어떤 이유로든 사무실 공간을 잃은 경우에도 원점으로 돌아가기 때문에 비즈니스를 계속 운영할 수 있는 기본 요소가 마련되어 있습니까? 비즈니스의 핵심 목적은 무엇일까요?그렇죠.보안 리더로서의 여정에서 우리가 그들을 지원할 수 있다면 정말 환상적입니다. 그게 바로 저에게 동기를 부여합니다.

58:15 라구 난다쿠마라

네, 전적으로 맞아요.운영을 지속하고 혁신을 지속할 수 있도록 기반을 제대로 다지세요.

58:25 인디 다미

바로 그거야.

58:29 라구 난다쿠마라

오, 인디, 당신과 이야기할 수 있어서 정말 기뻤어요.아마 몇 시간 더, 아주 쉽게 몇 시간 동안 계속할 수 있도록 다룬 것 같아요.말씀드렸듯이, 그렇죠?여러분만을 위한 시즌 3 또는 12 에피소드를 준비해 드릴 수 있을 것 같아요.맞아요, 메르세데스의 선택을 취소하고 KPMG, 액센추어 등에서 시간을 보내세요. 하지만 정말 고마워요.

청취자 여러분, 쇼 노트에서 Illumio의 DORA 규정 준수 리소스 링크를 확인하세요. 여기에서 이 중요한 규정에 대해 알아야 할 모든 것을 찾을 수 있습니다.제로 트러스트 보안은 DORA를 준수하는 데 도움이 되며, 이는 EU 내에서 운영되는 모든 은행, 금융 서비스 및 보험 기관에 영향을 미칩니다.EU의 DORA 규정을 자세히 살펴보는 내용을 다룬 다음 에피소드도 기대해 주세요.

‍