AWS CISO Circle 프로그램 살펴보기
AWS Worldwide Security Specialists Senior Manager인 Danielle Ruderman과의 대화
유능한 리더는 보안을 담당팀뿐만 아니라 사내 전반의 공동 목표로 삼아야 한다는 것을 잘 알고 있습니다. 이 인터뷰에서는 AWS CISO Circle 프로그램 팀장인 Danielle Ruderman이 지식 공유와 지원을 위한 글로벌 커뮤니티를 구축하는 보안 리더에게 AWS가 어떻게 도움이 되고 있는지 이야기합니다.
보안 리더를 위한 CISO Circle 이벤트는 전 세계 여러 지역에서 함께 모여 보안 환경 전반과 관련된 최신 주제, 당면 과제, 새로운 위협을 논의할 수 있는 장을 마련합니다. Danielle Ruderman과 함께 AWS Enterprise Strategy Director인 Clarke Rodgers가 진행하는 이 인터뷰에서 프로그램에 대한 자세한 내용과 가까운 CISO Circle에 참여하는 방법을 알아보세요.
CISO를 위한 가치 있는 커뮤니티 개발
Clarke Rodgers(00:10):
Danielle, 나와 주셔서 감사합니다.
Danielle Ruderman(00:11):
불러 주셔서 감사합니다.
Clarke Rodgers(00:13):
본인의 이력과 AWS에 입사하게 된 계기에 대해 말씀해 주시겠어요?
Danielle Ruderman(00:17):
물론입니다. 컴퓨터 프로그래머로 IT 경력을 시작했고 나중에는 프로그램 및 프로젝트 관리로 옮겼습니다. 그 후에 몇몇 보안 고객과 일했고 약 3년 반 후에 현재 제가 속한 Worldwide Security Specialist 조직에서 고객을 직접 만나는 역할을 맡게 되었습니다.
그리고 CISO Circle이라는 이름의 프로그램을 만들었습니다. 이 프로그램은 전 세계의 고객이 한 자리에 모여 중요한 주제에 대해 이야기하고 AWS Security 리더와도 만날 수 있는 기회였습니다.
CISO가 생각하는 우려사항과 이들이 정말로 공감하는 주제가 무엇인지에 대해 깊이 이해할 수 있었고, 대화와 열려 있는 의견 교환을 촉진하는 이벤트를 만들어내는 방법을 개발해 볼 수 있었습니다.
Clarke Rodgers(01:00):
고객 간의 만남과 보안에 관한 대화를 촉진하기 위해 어떤 노력을 기울였나요?
Danielle Ruderman(01:07):
고객을 한데 모아 배움과 만남을 장려할 기회가 있다는 것을 알았습니다. 팬데믹 기간에 AWS와 고객은 더 잘 소통하여 리소스와 정보를 더 많이 공유할 수 있는 방법을 찾고 있었습니다.
이 모임은 모든 참가자를 위한 NDA를 마련하고 채텀 하우스 규칙을 준수한 덕에 가능했습니다. CISO 그룹이 한데 모이는 자리에서는 모두가 열린 마음을 가지는 것이 좋습니다. 이런 것들은 안전하게 대화할 수 있는 공간을 마련하기 위해 필요한 사항들입니다.
CISO Circle만의
특징:
- 사전에 NDA에 서명
- 채텀 하우스 규칙 시행
- 솔직한 대화 장려
- AWS 보안 리더가 중재
- 회원이 토론 주제 선택
Clarke Rodgers(01:34):
그게 효과가 있었나요?
Danielle Ruderman(01:35):
굉장히 효과가 있었습니다. 채텀 하우스 규칙의 원칙은 비공개 토론에서 들은 정보를 허가 없이 사용할 수 있다는 것입니다. 모든 사람이 자유롭게 의견을 공유하고 솔직하게 말할 수 있는 것이죠. 솔직하게 말할 수 있다는 점은 보안 업계에 있어 매우 중요합니다. 적절하다고 생각되면 이 정보를 사용할 수 있습니다.
Clarke Rodgers(01:55):
최근 자주 거론되는 몇 가지 보안 주제로는 제로 트러스트, 생성형 AI와 보안이 있는데, CISO Circle에서 이와 관련된 주제가 나왔나요?
채텀 하우스 규칙
참가자는 회의 중에 수집한 정보를 자유롭게 사용할 수 있지만 발표자 또는 다른 참가자의 신원이나 소속을 공개해서는 안 됩니다.
CISO Circle의 일반적인 토론 주제는 무엇인가요?
Danielle Ruderman(02:06):
제로 트러스트는 특히 CISO가 지속적으로 관심을 가지는 영역입니다. 이사회도 그렇고 다른 경영진들도 이것에 대해 많이 묻습니다. 업계 추세이기 때문에 실제로 제로 트러스트에 관한 몇몇 세션과 패널 토론을 진행했었습니다. 예를 들어 제로 트러스트가 어떻게 해결되고 있는지에 대해서요.
물론 최근에는 설문조사와 토론에서 보안과 인공 지능에 대한 관심이 확실히 높아지는 것으로 나오고 있기 때문에 이 주제에도 이제 막 관심을 가지기 시작했습니다. 그 외에도 ‘AWS에서 새로운 위협 환경을 어떻게 보고 있는지 그리고 환경을 보호할 수 있는 실행 가능한 방법을 결정하는 데 도움이 될 수 있는 정보’에도 관심을 보이고 있습니다.
랜섬웨어의 영향, Log4j, 고객이 경험한 인시던트에 대한 논의가 자연스럽게 이어지면서 CISO들이 안전한 장소에서 비즈니스에 미치는 영향, 이러한 문제에 대한 경영진의 대처, 이사회의 반응에 대해 이야기할 수 있었죠. 닫힌 문 뒤에서 실제로 일어난 일에 대해 이야기하고 서로에게 조언하는 것입니다. 우리 모두 언젠가 어려운 상황에 처하게 된다는 걸 알고 있습니다. 이때 동료 커뮤니티에서 지원받을 수 있다는 사실은 매우 중요합니다.
2023년에 가장 많이 요청된 주제:
- 보안 영역의 AI
- 사전 예방적 보안
- 위협 인텔리전스 보고
- 제로 트러스트
- 데이터 개인 정보 보호/디지털 주권
Clarke Rodgers(03:11):
대단하군요. 다음으로, 주제는 어떤가요? CISO Circle의 주제는 어떻게 결정되나요?
Danielle Ruderman (03:18):
모든 이벤트에는 두 가지 사항이 포함됩니다. 하나는 서면 설문조사인데, 주제를 나열해 놓고 CISO들에게 응답을 요청했습니다. 필요한 경우 추가할 수도 있고요. 이 설문조사를 모든 토론에 포함시키고 주제에 대한 공개 토론으로 회의를 마무리합니다. CISO의 관심 주제와 그 이유에 대해 자세히 알아볼 수 있고 미처 생각하지 못한 부분을 알 수 있기 때문에 매우 유용했습니다.
이 시도는 서로에게서 배울 수 있는 환경을 만드는 것이지만, AWS가 고객으로부터 배울 수 있는 기회이기도 합니다. 그리고 AWS는 이 경험을 아주 중요하게 생각합니다. AWS의 서비스, AWS의 비즈니스 방식, AWS와 관련된 모든 것에 대한 피드백이 나올 때마다 경영진에게 다시 전달합니다. 다시 말씀드리지만, 채텀 하우스 규칙에 따라 그 출처를 설명하지 않습니다. 하지만 관심을 가져야 하는 가장 어려운 길을 꾸준히 따라갑니다. 그러면 이 피드백을 기반으로 모든 고객에게 더 나은 AWS 서비스를 제공할 수 있습니다. 이것이 바로 이 프로그램의 기본적인 목표입니다.
데이터를 다시 보면 전 세계 프로그램에서 어떤 주제가 고객에게 호응을 얻고 있는지 확인할 수 있을 뿐만 아니라 다양한 업종이나 다른 지역에서 어떤 주제가 공감을 얻고 있는지 더 잘 이해할 수 있습니다. 그런 다음 그 정보를 간직합니다. 그리고 가상 이벤트 일정을 세울 때 한 가지 주제를 고수합니다. 온라인에서 한 시간 또는 90분 이상 화면을 보려고 하는 사람은 없으니까요.
대면 CISO Circle 이벤트 내용
Danielle Ruderman(04:41):
대면 이벤트의 경우 반나절에서 1일 콘텐츠까지 다양한 콘텐츠를 제공할 수 있습니다. 고객의 반응이 좋았던 주제를 살펴보고 이러한 주제 중 몇 가지를 선정합니다. 그리고 주제당 최소 한 시간 동안 논의할 수 있도록 합니다.
일반적으로 첫 시간에 특정 주제에 대해 AWS 전문가를 초빙하여 시작한 다음 참가자들이 토론할 수 있도록 합니다. 이 형식으로 매우 활발하고 참여도가 높은 토론을 진행했습니다. 패널 토론이 아주 인기가 많았는데 언젠가는 AWS 리더와 고객 리더를 혼합하여 패널을 구성하려고 합니다.
Clarke Rodgers(05:19):
멋지네요.
Danielle Ruderman(05:20):
특정 주제에 대해 전체 고객 패널을 구성할 수도 있어요. 이렇게 하면 CISO가 동료들의 의견을 직접 듣고, 문제를 제기하고, 질문을 하면서 매우 열린 대화를 이끌어낼 수 있습니다.
Clarke Rodgers(05:30):
이 CISO Circle은 어떻게 나누어져 있나요? 모든 금융 서비스 CISO가 모이거나 소매 CISO가 모이나요? 아니면 섞여서 글로벌 지역별로 모이나요?
대면 방문이 가능한 지역
2023년 CISO Circle:
Danielle Ruderman(05:20):
실제로 모두 다 해당합니다. 차츰 다양한 업종으로 전문화하기 시작했죠. 예를 들어 에너지 부문에 대한 CISO Circle을 여러 개 만들었습니다. 자동차 산업, 금융 서비스 분야에 관심을 갖고 있기 때문에 앞으로는 이러한 분야가 더 많아질 것입니다.
대부분의 문제는 산업 전반에 걸쳐 매우 유사하기 때문에 이러한 혼합 코호트 그룹에서 성공을 거둘 수 있었습니다. 하지만 일부 산업에서는, 예를 들어 에너지 분야에서는 최근에 에너지 CISO Circle을 진행했는데, 당연히 중요한 인프라에 대한 주제가 논의되었죠. 따라서 이러한 문제 중 일부를 AWS가 어떻게 해결하고 있는지 이야기할 수 있는 발표자와 이 특정 문제를 실제로 분석할 수 있는 다른 전문가를 확보하는 것이 매우 도움이 되었습니다. 일반적인 테마는 동일합니다. 모두가 랜섬웨어에 대해 우려하고 ID에 대해 우려하죠. 하지만 일부 산업에서는 아주 구체적이고 미묘한 차이를 다룰 수 있습니다.
이 조합이 좋은 이유는 다양한 업계가 서로를 통해 배울 수 있고 같은 일을 하는 사람과 이야기를 나눌 수 있기 때문입니다. 뿐만 아니라 서로 다른 산업, 소규모 고객과 대규모 고객이 서로 교류하는 것을 볼 수도 있었습니다. 모두가 새로운 것 또는 예상치 못한 것을 배울 수 있는 진정한 기회입니다.
Clarke Rodgers(06:54):
보안 조직의 다른 부서, 즉 보안 엔지니어링이나 보안 개발자 등을 위해서는 어떤 일을 하고 계신가요?
CISO Circle에 참여하려면 CISO가 되어야 하나요?
Danielle Ruderman(07:02):
좋은 질문이네요. 참여 CISO들은 이 프로그램을 정말 좋아했습니다. 실제로 ‘우리 팀에도 이런 이벤트를 열어보고 싶다’라는 말이 나왔죠. 그래서 자매 프로그램인 Security Builders Circle이 탄생했는데 아주 유사한 형식으로 만들어졌습니다. 마찬가지로, NDA 하에 채텀 하우스 규칙을 준수해야 합니다. CISO 아래에 있는 보안 책임자들이 함께 모여 의지하면서 이러한 주제에 대해 서로 논의할 수 있는 기회를 얻는 것이죠.
이러한 Circle의 경우 기술과 서비스에 대해 더 깊게 들어가는 경향이 있습니다. 이 깊이 있는 토론은 보안 리더가 AWS 서비스를 구현하여 당면 과제를 해결하는 방법과 AWS가 관심을 가져야 할 어려운 영역, 그리고 이 문제를 더 잘 해결하는 방법을 이해할 수 있는 기회가 되었습니다. 다시 말씀드리지만, 고객이 서로에게서 배울 수 있는 또 다른 기회일 뿐만 아니라 AWS가 고객으로부터 배우고 고객이 있는 곳에서 진정으로 고객과 만나고 있는지 확인할 수 있는 또 다른 기회이기도 합니다.
Clarke Rodgers(07:49):
다른 보안 또는 규정 준수 실무자에게 도움이 될 만한 것이 있나요?
향후 몇 년간 CISO Circle 프로그램이 어떻게 발전할 것으로 보시나요?
Danielle Ruderman(07:54):
예. 프로그램의 성공을 바탕으로 고객을 지원할 수 있는 몇 가지 다른 방법을 모색하고 있습니다. 그 일환으로 위험 및 규정 준수 공간으로 확장하려고 합니다.
특히 거버넌스, 위험 및 규정 준수에 초점을 맞춘 Circle을 만들고 주제 전문가와 경영진을 모아 정말 중요한 문제에 집중할 수 있도록 할 것입니다. 떠오르는 리더, 즉 CISO를 꿈꾸는 사람들에게도 관심을 가지고 있습니다.
CISO 팀에는 부 CISO나 다른 고위 리더들이 있는데 이들은 ‘CISO가 되는 방법’을 찾고 있습니다. 이들을 지원하고 코호트로 모으기 위해 할 수 있는 일은 무궁무진합니다. 이들이 미래의 역할을 위해 어떻게 배우고 준비하고 있는지는 보안에서 매우 중요합니다. 우리는 끊임없이 미래의 리더를 양성해야 합니다.
그리고 보안 분야의 여성에 대한 논의도 있었습니다. 여성 CISO, 여성 지도자 지망생 등의 집단을 이러한 환경에서 하나로 모으기 위한 논의가 이루어졌습니다.
가까운 CISO Circle에 가입하려면 어떻게 해야 하나요?
Clarke Rodgers(08:47):
CISO Circle에 대해 자세히 알아보고 싶은 고객이라면 어떻게 해야 할까요?
Danielle Ruderman(08:54):
계정 관리자에게 문의하여 해당 지역과 업계에 코호트가 있는지 알아보고 일정을 확인하는 것이 좋습니다. 근처에 코호트가 없다면 코호트를 만드는 것을 논의할 수 있습니다.
Danielle Ruderman
AWS Worldwide Security Specialists Senior Manager
Danielle Ruderman은 AWS Worldwide Security Specialist 조직의 Senior Manager로서 글로벌 보안 전문가 팀을 이끌고 있습니다. 2016년부터 AWS에서 근무를 시작했으며. 대기업, 스타트업 및 정부 기관에서 20년 이상의 경력을 쌓았습니다. 현재는 보안 제어를 강화하는 조직 문화를 구축하고, 보안이 비즈니스를 가능하게 하는 요소가 될 수 있도록 ‘올바른 일을 쉽게 만드는’ 시스템과 메커니즘의 설계 방법을 즐겨 논의하고 있습니다.
Clarke Rodgers
AWS Enterprise Strategy Director
AWS Enterprise Strategy Director인 Clarke는 심층적인 보안 전문 지식을 바탕으로 경영진을 도와 클라우드로 보안을 혁신하는 방법을 모색하고 이들과 협력하여 올바른 엔터프라이즈 솔루션을 찾는 데 열정을 쏟고 있습니다. Clarke는 2016년에 AWS에 입사했지만 팀에 합류하기 훨씬 전부터 AWS 보안의 장점을 경험했는데, 다국적 생명보험 회사의 CISO로 근무하면서 전략 부서에서 진행하는 AWS 마이그레이션을 감독했기 때문입니다.
추가 정보 요청
CISO Circle 프로그램에 대해 자세히 알아보고 싶으신가요? 관심이 있으시다면 양식을 작성해주세요. 궁금하신 사항에 대한 답변을 드리고 해당 지역에서 가장 가까운 CISO Circle 그룹과 연결해 드릴 수 있도록 저희 팀에서 연락드리겠습니다.