최고 경영진이 보안 문화의 기준을 설정하는 방식

Clarke Rodgers:
우리는 보안이 AWS의 최우선 과제라고 늘 이야기하는데, 실제로 보안을 최우선으로 두려면 어떻게 해야 할까요? 먼저 최고 경영진의 승인을 얻고 조직 전체에 보안 문화를 구축하는 데서 시작됩니다.

저는 Clarke Rodgers입니다. AWS Enterprise Strategy Director이고, Executive Insights 시리즈인 AWS 보안 리더들과의 대화에서 진행을 맡고 있습니다.

오늘은 Sara Duffer와 이야기를 나눠보겠습니다. Sara는 이전에 Amazon CEO의 기술 자문으로 일한 경험 덕분에Amazon 보안에 대한 이해도가 깊습니다. Sara가 보안 리더이자 기술 자문으로서 경험에서 얻은 교훈을 여러분과 공유합니다. 즐거운 시간이 되시기를 바랍니다.

Clarke Rodgers:
오늘 나와 주셔서 감사합니다.

Sara Duffer:
초대해 주셔서. 저야말로 감사합니다.

Clarke Rodgers:
잠시 시간을 내어 그간의 경력과 현재 AWS에서의 역할에 대해 말씀해 주셨으면 합니다.

Sara Duffer:
저는 AWS에서 13년째 일하고 있습니다. 처음에는 AWS 인프라 팀에서 시작했는데, 데이터 센터에서 많은 시간을 보냈습니다. 그러다 얼마 후에 매우 작은 규모의 규정 준수 팀으로 자리를 옮겼는데 이 팀이 지금의 보안 보증 팀이 되었습니다.

Clarke Rodgers:
줄곧 보안 분야에서 일하셨나요? 아니면 AWS에 합류하면서 처음 보안에 입문하셨나요?

Sara Duffer:
항상 보안에 빠져있었죠. 저는 대학을 졸업하면서 커리어를 시작했고 곧바로 공격 및 침투 작업, 물리적 보안 업무를 맡았습니다. 합법적으로 조직에 침입하기 시작한 것이죠. 그런 다음 보안 솔루션 구현에 보다 집중하게 되었습니다. 사실상 제가 발견한 문제를 해결하는 것이었는데, 재미있는 분야라고 생각되었고, 결국 AWS로 옮기게 되었습니다.

Clarke Rodgers:
보안 관련 경력만으로도 매우 인상적이지만 AWS와 Amazon에서 또 다른 역할을 맡으셨는데 기술 자문이라는 상당히 독특한 역할입니다. 기술 자문이 무엇이고 이 역할은 어떤 일을 하는지 설명 좀 부탁드립니다.

Sara Duffer:
네, 저는 2020년 11월에 기술 자문으로 일하기 시작했습니다. 당시 AWS의 CEO였던 Andy Jassy의 기술 자문이었죠. Andy가 나중에 Amazon CEO로 이동했고, 저도 따라 옮겨 계속 그의 TA 역할을 맡았습니다. TA는 본질적으로 가르치는 역할입니다. 리더에게 이전에는 볼 수 없었던 속도의 확장과 실행에 대해 알려주는 것이 전부인 것이죠. 정말 환상적인 경험이었어요.

Clarke Rodgers:
그렇다면 TA 역할을 하면서 얻은 중요한 교훈은 무엇인가요?

Sara Duffer:
일상이 그런 교훈이었죠. 제가 TA 역할로 옮기면서 아주 초창기에 했던 일 중 하나는 계속 추가해나가는 목록을 작성한 것입니다. 제가 한 줄짜리 교훈이라고 부르는 것인데, 매주 이 목록에 새로운 내용을 추가하겠다고 다짐했었습니다. 근데 얼마 되지 않아 훌륭한 리더들이 어떻게 행동하고 어떻게 소통하는지에 대해 관찰한 내용만 거의 매일 추가하고 있다는 사실을 깨달았습니다. 그만큼이나 많은 교훈을 얻고 있었다는 거죠. 정말 기억에 남는 세 가지가 있는데, Andy를 관찰하고 함께 소통하는 것만으로도 배울 수 있었던 것입니다. 첫 번째 교훈은 시간이 매우 귀중한 자원이라는 것입니다. 시간을 투자할 대상을 선택할 때 아주 잘 생각해야 합니다.

이 문제는 다음 교훈과도 아주 연관성이 깊은데, “예”라고 말할 때는 분명한 의도를 가지고 “예”라고 해야 한다는 것입니다. 말과 의도가 분명히 일치해야 하고, 현재의 자신만이 아니라 미래의 자신도 고려해야 합니다. 그는 이런 식으로 말합니다. “물론이죠. 나중에 언젠가는 할 수 있게 될 거예요.” 아주 간단하게 들리지만 실제로는 실행하는 것은 훨씬 어렵습니다. 이 두 가지가 핵심 교훈입니다.

그리고 다음 교훈은 많은 뛰어난 리더들에서 반복적으로 확인되는 점인데, 바로 탐욕스러울 정도의 호기심입니다. Andy는 분명히 이 측면에서 특출난 사람입니다. 그가 던지는 유형의 질문은 일단은 건설적입니다. 하지만 어떤 미팅에 참여하든, 핵심적인 학습 장애물이 무엇이든, 팀이 어떻게 생각하든 간에 탐문을 통해 그 핵심 기반을 금새 이해할 수 있습니다. 이를 통해 팀의 사고 방식이 Amazon의 관점에 비추어 우리가 생각하는 바와 일치하도록 끌어나가고 팀으로부터 배울 수 있는 것은 무엇인지 확인하는 것이죠. 그리고 그 왕성한 호기심은 Amazon의 모든 고위 경영진에서 일관되게 반복적으로 나타났습니다.

Clarke Rodgers:
멋지군요. 그러면 현재 맡은 역할에 대해 말씀해 주세요. AWS CISO 서클에서 계속 떠오르는 주제 중 하나는 양자 내성 암호입니다. 어떻게 생각하세요?

Sara Duffer:
오늘날의 퍼블릭 키 암호 방식에서는 수학 문제를 활용하여 이산 로그와 타원 곡선 암호를 계산하도록 합니다. 그러니까 우리는 양자 컴퓨팅의 초기 단계에 있으며, 이를 통해 사회에 많은 혜택이 실현될 것입니다. 그 중 하나는 미래에 잠재적으로 의도하지 않은 결과가 발생할 수 있는 어려운 계산 문제를 훨씬 빠르게 해결할 수 있는 능력입니다. 오늘날 우리가 사용하는 퍼블릭 키 암호 체계를 잠재적으로 무력화할 수 있는 양자 컴퓨터가 등장할 수 있을 수 있습니다. 그래서 오늘날 양자 내성 암호(PQC) 그리고 양자 컴퓨팅이 등장하게 될 잠재적 미래에 대비하여 오늘 바로 도입을 고려해 볼 수 있는 데이터 보호 체계에 대해 많은 논의가 오가고 있습니다.

AWS는 현재 이 분야에서 많은 연구를 하고 있습니다. 우리에게는 PQ 키 계약 및 PQ 서명 체계에 실제로 기여해 온 암호학자가 있습니다. 이것은 이론에 그치는 것이 아닙니다. 세상에는 많은 이론이 있습니다. 예를 들어 NIST가 이 분야에서 많은 연구를 수행하고 있으며 AWS도 여기에 기여를 하고 있습니다. 하지만 현실에서도 진행되는 일이 있습니다. TLS-1.3 엔드포인트의 경우 바로 오늘 AWS Secrets Manager, KMS 서비스, 인증서 관리 서비스 내에 PQ를 구현했습니다. 지금 당장이라도 사람들이 시도해 볼 수 있는 멋진 기술이죠.

Clarke Rodgers:
지난 한 해 동안 생성형 AI는 다양한 형태와 방식으로 전 세계를 강타했습니다. 암호화폐 분야에 대해서는 어떻게 생각하시나요? 도움이 될까요, 방해가 될까요? 또는 너무 이른 것일까요?

Sara Duffer:
생성형 AI의 관점에서 볼 때 IP 노출 우려에 대한 논의를 많이 듣고 있습니다. 그 때문에 예를 들면 대량의 데이터를 계속 훈련하고 그와 관련된 IP를 보존할 수 있는 개인 정보 보호 기술에 대한 논의가 점점 더 많아지는 것이죠. 이는 저희 팀이 초점을 맞춰 우리에게 어떤 솔루션이 있는지 내부적으로 검토하면서 고민하고 있는 분야입니다.

Clarke Rodgers:
보안 트렌드와 예측은 AWS 고객의 주요 관심사입니다. 3~5년 정도 후에 보안 분야에서 어떤 일이 벌어질 것으로 보시나요?

Sara Duffer:
저에게는 지금 정말 관심이 가는 분야가 두 가지 있습니다. 하나는 아주 초기 단계이지만 CISO가 점차 가장 먼저 떠올리게 될 것이라고 생각되는 것이 있습니다. 바로 암호화 컴퓨팅의 개념입니다. 암호화 컴퓨팅은 여러 당사자가 정보를 비공개로 공유할 수 있도록 암호화 수단을 사용하는 방법입니다. 한 가지 예로 고객이 협업하고 정보를 공유하고 배울 수 있게 해주는 서비스인 AWS Clean Rooms가 있습니다. 실제로 Clean Rooms용 암호화 컴퓨팅이라는 것이 있습니다. 이를 통해 고객은 암호화 방식으로 정보를 공유할 수 있습니다. 아직 초기 단계라 많이 듣지는 못하시겠지만, 암호 컴퓨팅이라는 주제와 관련하여 갈수록 많이 언급되는 부분은 바로 이러한 개인 정보 보호 개념입니다.

사람들은 오늘날 전 세계가 점점 더 많은 데이터 분석을 수행하고 있고 어떻게 하면 데이터를 공유하고 학습하고 훈련할 수 있는지 등을 생각할 것입니다. 그리고 점점 더 많은 사람들이 개념을 갖게 되어, “어떻게 개인 정보 보호 기술을 확보하나요?”라고 질문할 것입니다. 그 방법 중 하나는 암호화 컴퓨팅을 사용하는 것입니다.

다른 하나는 제가 아주 소중하게 생각하는 것인데요, 실제로 저희 팀이 올해 출시한 새로운 서비스인 AWS Payment Crypto 서비스입니다. 이 팀이 하는 업무 중에서 흥미로웠던 점은 오늘날의 결제에 필요한 엔드투엔드 암호화를 사용하려면 주요 대형 프로세서가 사이트에 일종의 HSM을 계속 유지해야 한다는 것입니다. 하지만 AWS Payment Crypto를 이용함으로써, 이전에는 온프레미스 HSM으로 수행했던 키 관리 및 암호 기능을 AWS 클라우드를 활용하여 수행할 수 있습니다.

이 서비스는 아직 초기 단계입니다. 또한 완전히 새로운 개념이죠. 그리고 이 서비스의 가장 중요한 점은 절대적으로 중요한 PCI PIN 규정 준수 요구 사항도 충족했다는 것입니다. 고객이 온프레미스에서 클라우드로 전환할 수 있도록 지속적으로 지원할 수 있기 때문에 이 분야에서는 지켜봐야 할 부분이 많다고 저는 생각합니다. 정말 흥미로운 분야이고 계속 지켜보는 중입니다.

Clarke Rodgers:
이제 개발과 관련된 부분에 좀 더 초점을 맞춰 볼까요? 수년 동안 우리는 “보안을 애플리케이션 설계 단계부터 포함시키자”라는 이야기를 해왔고, 이후 이 문제는 규정 준수를 고려한 설계, 개인 정보 보호를 고려한 설계로 발전했습니다. 어떤 식으로 보상을 제시하나요? 개발팀이 실제로 그렇게 생각하도록 어떤 기대치를 설정하나요? 이상적으로는 이런 식의 반복 단계에서 “이런 걸 구축했으면 하는데요. 이 모든 것을 고려해 보죠.” 같은 식이겠지만, 구체적으로 기대치를 어떻게 설정하나요?

Sara Duffer:
모든 것은 문화에 달려 있습니다. 최고 경영진에서부터 시작되는 거죠. 몇 번이고 반복해서 얘기하는 것이지만, 정말로 맨 위에서부터 시작되어야 합니다. 보안, 개인 정보 보호, 규정 준수는 정말 가장 중요한 업무입니다. 그리고 문화의 일부로서 이러한 느낌을 AWS 내의 각 빌더에게서 받을 수 있습니다. 이것이 아마도 핵심 출발점이라고 생각합니다. 하지만 각 빌더, 팀, 고객 모두를 위해 또한 정말 중요한 것은, 개발자가 처한 상황을 이해하는 것입니다. 팀원을 위한 보안 또는 개인 정보 보호 관점에서 내부 서비스를 구축하고 있는 경우에도 그렇습니다.

실제 발생하는 사례는 훨씬 더 많지만, 간혹 이런 경우를 보실 겁니다. 이런 전술적 작업에서조차, 모든 엔지니어가 수행해야 하는 작업량을 측정한 다음 실제로 모든 빌더에게 이들 전술적 작업을 얼마나 분배할지 일괄 측정하는 것이죠. 이러한 모든 일회성 과제에 전술적으로 대응할 수 있는 능력이 전반적으로 미치는 영향이 크기 때문에, 엔지니어가 일상 업무의 일부로서 상당한 부담을 떠안고 있다는 사실을 갑자기 깨닫게 됩니다.

이 문제를 해결하는 방법은 여러 가지가 있겠지만, 이런 사실을 깨달으면 더 빨리 해결에 나서게 될 것입니다. 그래서 파이프라인이나 다른 경로를 통해 이런 특정 문제를 해결할 사전 예방적인 방법이 없는가를 알아내는 거죠. 아예 엔지니어를 고용할 필요가 없도록 이 문제가 발생하지 않게 하는 건 어떨까요? 훨씬 더 나을 것입니다. 그래서 저는 이것이 핵심의 하나라고 생각합니다. 덧붙이자면, 이는 맨 위에서부터 시작되어야 하고, 수행해야 할 작업을 정의하는 정책을 마련해야 합니다. 다음으로 일상적인 작업, 그리고 문제 식별로 이어지는 것입니다.

하지만 문제 관리 부분을 변경 관리 부분과 결합했을 때 개발자가 처한 상황을 이해하는 것이 무엇을 의미하는지 진정으로 파악할 수 있고, 모든 것을 버리고 고쳐야 하는 심각도 2도 또는 매우 높은 심각도에 해당하는 문제에서 균형을 잡을 수 있습니다. 동시에 우리가 사람들에게 해결을 요청하는 다른 모든 항목도 살펴보겠습니다. 시의적절하게 이 작업을 수행하고 해결할 수 있는 다른 방법이 있나요? 이것이 아마도 제가 아는 가장 흥미로운 영역 중 하나일 것입니다. 시간이 흐르면서 우리가 조직으로서 일관되게 살펴본 것 중 하나는 어떻게 하면 지속적으로 엔지니어의 부담을 줄이고 문제를 해결해야 하는 데 따르는 마찰을 줄일 수 있는 있는가라는 것입니다.

Clarke Rodgers:
말씀하셨듯이 그 중 큰 부분은 문화와 주인의식입니다. 제 이름표에 적혀 있지는 않지만 보안은 제 업무의 일부라는 것입니다.

Sara Duffer:
네, 정말 그렇습니다.

Clarke Rodgers:
그래서 커리어 전반에 걸쳐 멘토링이 매우 중요했다는 것을 알겠습니다. 이사님에게 다가가서 조언을 구하고자 하는 사람들을 돕기 위해 어떤 메커니즘을 마련하셨나요?

Sara Duffer:
저는 AWS에 합류하기까지 그리고 AWS에 있는 동안 정말 운이 좋았습니다. 언제든지 저와 대화를 나누고, 저를 격려하고, 제가 없을 때에도 저를 지지하는 훌륭한 멘토와 코치들이 항상 있었습니다. 저에게 흥미로운 점 중 하나는 제가 기술 자문으로 자리를 옮겼을 때인데, 정말 놀라웠습니다. 네, 받는 이메일 수가 늘어났긴 했지만, 실제로 교류하고 더 많은 것을 배우고 기회를 찾기 위해 연락하는 사람들은 줄어들었다는 것입니다. 사람들이 약간 부담스러워 한 것 같아요.

요새 제가 사용하는 가장 가치 있는 메커니즘 중 하나는 조직 내 어디에 있는 사람이든 제게 연락하는 사람에게는 항상 30분을 할애한다는 원칙을 고수하는 것입니다. 제가 TA 역할을 맡았을 때 좋은 점 중 하나는 빌더 커뮤니티 또는 풀필먼트 센터에서 일하는 회사의 가장 말단 직원들이 최고위직 직원들에게 연락하여 30분 동안 많은 것을 배우도록 할 수 있었던 것이었습니다.

저는 매달 멘토링을 위해 특별히 시간도 할애하고 있습니다. 보통 저도, 만날 상대도 각기 4건의 시간대를 할애해 둡니다. 이렇게 해서 4주 또는 4회 만나는 거죠. 그런 다음 멘토링을 계속할지 여부를 결정합니다. 이렇게 하면 사람들이 멘토링을 언제 끝낼지, 또는 서서히 줄여나갈지를 결정하기 좋습니다.

Clarke Rodgers:
멋지군요. 사람들에게 정말 소중한 기회를 주고 계시네요. 오늘 나와 주셔서 감사합니다.

Sara Duffer:
고맙습니다. 정말 좋은 시간이었습니다.