2019.08.13

블랙 햇 키노트 : 보안 문화가 바뀌어야 하는 이유

J.M. Porup | CSO
디노 다이조비는 블랙 햇 참석자들에게 보안은 모든 사람의 책임이며, 위험이 공유되는 문화를 받아들여야 한다고 말했다. 피드백 루프가 포함된 자동화는 대규모 보안 문제를 해결하는데 중요하다고 설파했다. 
 
ⓒ Getty Images Bank


괴팍한 보안, 당신도 예외는 아니다 

록 콘서트 조명과 음향 효과로 시작한 블랙 햇 기조 연설에서 스퀘어(Square)의 보안 엔지니어 디노 다이조비는 "문화는 조직 내 보안을 자동화하는 핵심 수단"이라고 말했다. 다이조비는 “보안이 모든 이들의 업무라는 것을 깨닫게 한다면 위협을 공유하고 협력이 중요하며 메신저가 눈에 띄지 않게 하는 좀 더 발전적인 문화로 나아갈 수 있다"고 주장했다. 다이조비는 “문화는 사람들을 위한 영향력이다”고 말했다. 
 
ⓒ Black Hat   

다이조비는 "전 세계에 걸쳐 사이버보안 기술이 부족한 상황에서, 정보보안 팀이 자동적이고 숙련되지 않는다면 비즈니스 종말을 맞이하게 될 것이다. 보안팀은 더 이상 외부인이 아니다. 보안팀은 현재 내부 커뮤니티와 조직에 있으며 보안을 향상시킬 수 있는 절호의 기회를 맞이해 가장 좋은 방법을 생각해내야 한다"고 주장했다. 

보안을 모든 사람의 업무로 파악하고 실패에 대해 비난 게임이 아닌 학습 경험으로 다루는 것이야말로 조직 전체의 보안을 강화하는 가장 좋은 방법이다. 
 
다이조비는 "(보안팀은) 이제 “예”로 시작하는 문화를 전세계와 함께 동참해야 한다. 대화는 계속될 것이며 협력적이고 건설적이다. 문제를 해결하고 안전하게 만들고 싶다고 말하면 실제로 영향을 미치고 변화를 가져온다. '안돼' 대신 '예'로 시작하라"고 말했다. 


미래 성공의 열쇠, 데브섹옵스 

“예”라고 말하는 것은 데브섹옵스(DevSecOps)에서 “예”라고 말하는 걸 의미한다. 소프트웨어는 세상과 보안 모두를 먹어버리고 있다. 다이조비는 문화와 기술 측면 모두에서 보안을 데브옵스에 통합하는 것은 필수적이라고 주장했다. 수비수는 수적으로 많으며 방어력을 높이기 위해 소프트웨어를 활용해야 한다는 것이다. 

다이조비는 “상대방이 자신보다 더 많은 자원과 사람들을 갖고 있을 때 소프트웨어 자동화는 힘을 더 발휘한다"고 말했다.
  
다이조비는 "스퀘어에서 보안 엔지니어들은 다른 사람들과 마찬가지로 코드를 작성해야 한다. 보안 팀은 다른 팀과 같이 코드를 작성하기 때문에 훨씬 더 많은 협업과 공감대를 형성할 수 있었다"고 말했다.
 
그는 성공적인 데브섹옵스 문화에서 간과되는 요소 가운데 하나는 신뢰성뿐만 아니라 관측 가능성(observability)을 구축하는 것이라고 주장했다. 다이조비는 "자동화의 성공 여부를 측정하기 위한 긴밀한 피드백 루프가 없다면 이런 좋은 기회는 빠르게 사라질 수 있다. 신뢰성에 초점을 맞추는 것은 은행 금고를 만들고는 이를 주차장에 버려두는 것과 같다"고 말했다. 

정보 보안 팀은 볼 수 없을 것을 보호할 순 없다. 예라고 답하면 불만을 가진 데브옵스 엔지니어라도 회사 데이터가 포함된 임의의 클라우드 인스턴스에서 스핀업할 것을 결정하진 않을 것이다. 이후 데브옵스 프로세스의 모든 단계에 보안이 구축되고 나면 이후에는 추가할 것이 없다. 


기업 보안, 스카이 다이빙과 같다 

스카이 다이버는 스카이 다이빙을 하면서, 기업 보안 전문가들은 지난 50년 동안 점진적인 안전 개선을 통해 현재의 낙하산에 이르렀고 많은 것을 배울 수 있었다고 말했다. 다이조비는 자기 자신을 스카이 다이버라고 말했다. 다이조비는 오늘날 전세계에 걸쳐 수많은 스카이다이빙의 안전 기능을 발명해 스카이 다이빙 안전을 개척한 빌 부스 사례를 인용했다. 

"아무도 이런 변화를 규제하지 않았다. 부스에게 '비행기에서 더 안전하게 뛰어 내리려면 어떻게 해야 하나'고 물은 것처럼 보안 전문가에게도 '고려하지 않은 것은 무엇인가'라고 물어야 한다"고 말했다. 

물론 보안을 스카이다이빙과 비교한 것은 완벽하지 않다. 안전과 보안은 동일하지 않기 때문이다. 일반적으로 적대적인 스카이 다이버라도 공중에서 낙하산을 파괴하려고 하지 않는다. 그럼에도 불구하고 이 비유는 숙고할 가치가 있다. 

언뜻보기에 기업이 안전하지 않은 것처럼 보일 수 있는 활동이 가능하게 하는 방법은 무엇인가? 인간은 테러나 제로데이와 같은 위험을 과대평가하는 경향이 있으며, 심장병이나 크리덴셜 스터핑(credential stuffing) 공격과 같은 정원에서의 다양한 위험을 과소 평가하는 경향이 있다.
 
보안팀은 비즈니스를 가능하게 하기 위해 존재한다. 그 반대가 아니다. 관련된 위험의 본질과 해당 위험을 완화하는 방법에 대해 주의깊게 생각하는 것이 보안 전문가로서 첫번째 임무다. 


공감 부족 및 코딩 기술 부족 

다이조비 주장이 옳다면, 내일의 사이버보안 전문가들에게는 더 나은 코딩 기술과 결정적인 보안 기술이 필요하다. 사실 공감, 의사 소통, 이해와 같은 것은 보안 분야에서 오랫동안 부족한 점이었으며 이런 오래된 문화가 이제 모든 것을 안전하게 하려는 임무에 역효과를 가져오고 있다.
 
소프트웨어를 사용해 보안 기능을 자동화하는 것은 쉽다. 현재 자신의 회사는 보안이 모든 사람의 책임이며, 보안팀이 과거보다 친절하고 온화하며 공감대를 형성하는 문화를 만들어내고 있는가? 이는 상당히 어려운 문제다. editor@itworld.co.kr 



2019.08.13

블랙 햇 키노트 : 보안 문화가 바뀌어야 하는 이유

J.M. Porup | CSO
디노 다이조비는 블랙 햇 참석자들에게 보안은 모든 사람의 책임이며, 위험이 공유되는 문화를 받아들여야 한다고 말했다. 피드백 루프가 포함된 자동화는 대규모 보안 문제를 해결하는데 중요하다고 설파했다. 
 
ⓒ Getty Images Bank


괴팍한 보안, 당신도 예외는 아니다 

록 콘서트 조명과 음향 효과로 시작한 블랙 햇 기조 연설에서 스퀘어(Square)의 보안 엔지니어 디노 다이조비는 "문화는 조직 내 보안을 자동화하는 핵심 수단"이라고 말했다. 다이조비는 “보안이 모든 이들의 업무라는 것을 깨닫게 한다면 위협을 공유하고 협력이 중요하며 메신저가 눈에 띄지 않게 하는 좀 더 발전적인 문화로 나아갈 수 있다"고 주장했다. 다이조비는 “문화는 사람들을 위한 영향력이다”고 말했다. 
 
ⓒ Black Hat   

다이조비는 "전 세계에 걸쳐 사이버보안 기술이 부족한 상황에서, 정보보안 팀이 자동적이고 숙련되지 않는다면 비즈니스 종말을 맞이하게 될 것이다. 보안팀은 더 이상 외부인이 아니다. 보안팀은 현재 내부 커뮤니티와 조직에 있으며 보안을 향상시킬 수 있는 절호의 기회를 맞이해 가장 좋은 방법을 생각해내야 한다"고 주장했다. 

보안을 모든 사람의 업무로 파악하고 실패에 대해 비난 게임이 아닌 학습 경험으로 다루는 것이야말로 조직 전체의 보안을 강화하는 가장 좋은 방법이다. 
 
다이조비는 "(보안팀은) 이제 “예”로 시작하는 문화를 전세계와 함께 동참해야 한다. 대화는 계속될 것이며 협력적이고 건설적이다. 문제를 해결하고 안전하게 만들고 싶다고 말하면 실제로 영향을 미치고 변화를 가져온다. '안돼' 대신 '예'로 시작하라"고 말했다. 


미래 성공의 열쇠, 데브섹옵스 

“예”라고 말하는 것은 데브섹옵스(DevSecOps)에서 “예”라고 말하는 걸 의미한다. 소프트웨어는 세상과 보안 모두를 먹어버리고 있다. 다이조비는 문화와 기술 측면 모두에서 보안을 데브옵스에 통합하는 것은 필수적이라고 주장했다. 수비수는 수적으로 많으며 방어력을 높이기 위해 소프트웨어를 활용해야 한다는 것이다. 

다이조비는 “상대방이 자신보다 더 많은 자원과 사람들을 갖고 있을 때 소프트웨어 자동화는 힘을 더 발휘한다"고 말했다.
  
다이조비는 "스퀘어에서 보안 엔지니어들은 다른 사람들과 마찬가지로 코드를 작성해야 한다. 보안 팀은 다른 팀과 같이 코드를 작성하기 때문에 훨씬 더 많은 협업과 공감대를 형성할 수 있었다"고 말했다.
 
그는 성공적인 데브섹옵스 문화에서 간과되는 요소 가운데 하나는 신뢰성뿐만 아니라 관측 가능성(observability)을 구축하는 것이라고 주장했다. 다이조비는 "자동화의 성공 여부를 측정하기 위한 긴밀한 피드백 루프가 없다면 이런 좋은 기회는 빠르게 사라질 수 있다. 신뢰성에 초점을 맞추는 것은 은행 금고를 만들고는 이를 주차장에 버려두는 것과 같다"고 말했다. 

정보 보안 팀은 볼 수 없을 것을 보호할 순 없다. 예라고 답하면 불만을 가진 데브옵스 엔지니어라도 회사 데이터가 포함된 임의의 클라우드 인스턴스에서 스핀업할 것을 결정하진 않을 것이다. 이후 데브옵스 프로세스의 모든 단계에 보안이 구축되고 나면 이후에는 추가할 것이 없다. 


기업 보안, 스카이 다이빙과 같다 

스카이 다이버는 스카이 다이빙을 하면서, 기업 보안 전문가들은 지난 50년 동안 점진적인 안전 개선을 통해 현재의 낙하산에 이르렀고 많은 것을 배울 수 있었다고 말했다. 다이조비는 자기 자신을 스카이 다이버라고 말했다. 다이조비는 오늘날 전세계에 걸쳐 수많은 스카이다이빙의 안전 기능을 발명해 스카이 다이빙 안전을 개척한 빌 부스 사례를 인용했다. 

"아무도 이런 변화를 규제하지 않았다. 부스에게 '비행기에서 더 안전하게 뛰어 내리려면 어떻게 해야 하나'고 물은 것처럼 보안 전문가에게도 '고려하지 않은 것은 무엇인가'라고 물어야 한다"고 말했다. 

물론 보안을 스카이다이빙과 비교한 것은 완벽하지 않다. 안전과 보안은 동일하지 않기 때문이다. 일반적으로 적대적인 스카이 다이버라도 공중에서 낙하산을 파괴하려고 하지 않는다. 그럼에도 불구하고 이 비유는 숙고할 가치가 있다. 

언뜻보기에 기업이 안전하지 않은 것처럼 보일 수 있는 활동이 가능하게 하는 방법은 무엇인가? 인간은 테러나 제로데이와 같은 위험을 과대평가하는 경향이 있으며, 심장병이나 크리덴셜 스터핑(credential stuffing) 공격과 같은 정원에서의 다양한 위험을 과소 평가하는 경향이 있다.
 
보안팀은 비즈니스를 가능하게 하기 위해 존재한다. 그 반대가 아니다. 관련된 위험의 본질과 해당 위험을 완화하는 방법에 대해 주의깊게 생각하는 것이 보안 전문가로서 첫번째 임무다. 


공감 부족 및 코딩 기술 부족 

다이조비 주장이 옳다면, 내일의 사이버보안 전문가들에게는 더 나은 코딩 기술과 결정적인 보안 기술이 필요하다. 사실 공감, 의사 소통, 이해와 같은 것은 보안 분야에서 오랫동안 부족한 점이었으며 이런 오래된 문화가 이제 모든 것을 안전하게 하려는 임무에 역효과를 가져오고 있다.
 
소프트웨어를 사용해 보안 기능을 자동화하는 것은 쉽다. 현재 자신의 회사는 보안이 모든 사람의 책임이며, 보안팀이 과거보다 친절하고 온화하며 공감대를 형성하는 문화를 만들어내고 있는가? 이는 상당히 어려운 문제다. editor@itworld.co.kr 

X