2021.11.11

“한 ‘보안’ 우물만 파던 시대는 끝났다” 깃허브 CSO

Mary K. Pratt | CSO
깃허브(GitHub)의 CSO 마이크 핸리는 ‘CISO’의 역할이 전통적인 기대치를 넘어 확대되면서 성공적인 역할 수행에 필요한 것 역시 고객 중심적 사고와 심도 있는 비즈니스 컨텍스트 이해를 중심으로 바뀌고 있다고 진단했다.

‘보안’은 깃허브가 세일즈 피치에서 내세우는 것 중 하나다. 이 회사는 깃허브 플랫폼을 ‘보호하고 방어하여’ 개발자가 신뢰하고 사용할 수 있도록 하겠다고 말한다. 

이 약속을 이행해야 하는 사람은 깃허브의 CSO 마이크 핸리다. 그는 자신의 역할을 “내부 IT 및 기업 보안, 제품 보안, 플랫폼 건정성, GRC(거버넌스, 위험, 컴플라이언스), 깃허브 보안 랩(GitHub Security Lab), 보안 제품 개발을 위한 협력 등을 모두 포괄한다”라고 설명했다. 
 
ⓒGitHub

깃허브의 보안 요구사항은 대부분의 기업과는 다른 (깃허브의) 비즈니스 모델을 반영한다. 깃허브는 개발자가 오픈소스 프로그래밍 프로젝트를 관리, 유지, 협업할 수 있는 코드 호스팅 플랫폼이다. 또한 개발자, 작업, 온라인 협업 커뮤니티를 활성화하는 다양한 기능도 제공한다. 

이 모든 것을 감안한다면 핸리가 맡고 있는 일의 범위가 전통적인 기업 최고보안책임자에 비해 넓다는 게 놀라운 일은 아니다. 그는 이러한 업무 범위가 깃허브와 해당 업계 및 제품에 특화돼 있다고 인정하는 한편, CISO의 역할이 전통적인 기대치를 넘어 점점 더 확장되는 추세는 앞으로도 계속될 것이라고 내다봤다.

핸리는 “오늘날의 보안 리더는 본인의 주된 책임이 기업과 고객을 보호하는 것이며, 앞으로는 이를 위해 보안뿐만 아니라 비즈니스까지 심도 있게 이해해야 한다는 것을 깨달아야 한다. 한 우물만 파던 시대는 끝났다”라고 강조했다. 

이어서 그는 “따라서 보안 리더는 고객은 물론이고 비즈니스를 이끄는 동료와 대화해야 하고, 또 의사결정을 내리는 비즈니스 리더가 돼야 한다. 고객 중심적 사고와 비즈니스 컨텍스트 및 비즈니스 인사이트가 매우 중요해졌다. 그러한 접근법을 취해야만 성공적인 보안 리더가 될 수 있다”라고 덧붙였다.

보안 전략 설정
깃허브의 새 CSO로서 핸리에게 가장 큰 과제는 “너무 많은 일이 일어나고 있어서 주의가 산만해질 지경”이라는 것이다. 그는 “주의를 뺏기지 않고 비즈니스 우선순위에 집중하려면 리더로서의 전략이 필요하다”라고 언급했다. 

그의 깃허브 보안 전략은 기본적인 보안 모범 사례를 꼼꼼하게 적용하는 것이다. 핸리는 “기본이 뛰어나야 하는데 그게 어렵다. 전선에 나서기 전에 탄탄한 기초를 갖춰야 한다”라고 설명했다.

핸리에 따르면 깃허브의 보안 전략은 비즈니스가 안전하면서도 원활하게 운영될 수 있도록 ‘혁신’도 중요하게 고려하고 있다. 

그는 “깃허브 보안팀에서는 보안 기능, 프로세스, 제어 기능과 함께 사용자 경험과 상호작용도 설계한다”라면서, “직원들의 업무 속도를 늦추는 게 아니라 적정량의 마찰을 잘 설계된 방식으로 적용하여 나쁜 일은 미연에 방지하고 원하는 업무를 원활하게 할 수 있도록 (길을 닦는) 가드레일을 세우는 것이 목표다. 다시 말해, 강력한 보안 가드레일을 바탕으로 각 팀이 더 빠르게 움직이고, 위험에 더욱더 잘 대비할 수 있도록 하고 있다”라고 말했다. 

보안팀 확장
핸리는 깃허브의 보안팀을 확장하고 있다고 언급했다. 그는 “이미 유능한 인재와 우수한 역량을 갖추고 있긴 하다. 하지만 더 늘려야 할 필요성을 느끼고 있다”라며, “이 방향으로 적극적으로 나아가 해당 분야를 계속 선도하고자 한다”라고 말했다. 

그는 취임 후 8개월 동안 보안팀 규모를 2배로 늘렸으며, 향후 8개월 동안 수십 명의 직원을 더 채용할 계획이다. 핸리는 깃허브 보안팀의 정확한 규모는 밝히지 않았으나 보안 엔지니어 대비 개발자 비율이 높다고 전했다.

또한 핸리에 따르면 깃허브는 보안팀 전반에서 일할 사람을 뽑고 있다. 여기에는 대부분의 기업 보안 조직에서 일반적으로 볼 수 있는 사건 대응, 보안 연구 등이 있지만 이보다 흔하지 않은 역할도 포함된다. 

예를 들면 깃허브 보안팀에는 (이 회사의) 버그 현상금 프로그램을 통해 식별된 취약점을 해결하는 전담팀과 스팸 및 남용 방지 정책을 시행하는 플랫폼 건전성 팀이 있는데, 대부분의 타 기업 보안 조직에는 흔치 않은 팀이다. 

한편 핸리는 (코로나19 사태 이전부터 있었던) 깃허브의 원격-우선 정책이 오늘날 치열한 인재 경쟁에서 직원을 유치하는 데 도움을 줬다고 밝혔다. 그는 “지역적 제한이 없기 때문에 유능한 인재를 확보하는 데 집중할 수 있었다”라고 언급했다. 

그 역시 미국 미시간주에서 일하면서 호주부터 스페인까지 전 세계에 있는 직원들을 관리 감독한다. 핸리는 “배경, 기술, 경력이 다양한 직원들이 있어서 좋다. 덕분에 (보안)팀이 훨씬 더 강해졌고, 많은 일을 할 수 있게 됐다”라고 덧붙였다. 

마지막으로 핸리는 파트너와의 협력도 중요하다면서, 유능한 보안 조직을 구축하려면 CISO가 사이버 보안 커뮤니티와의 협력을 넓혀 나가야 한다고 권고했다. 

그는 “뛰어난 보안 제품을 내부적으로만 개발하는 것은 불가능하다”라면서, “그리고 아이디어를 공유하고 열린 토론을 하는 것이 이 역할의 흥미로운 부분이기도 하다”라고 전했다. ciokr@idg.co.kr



 



2021.11.11

“한 ‘보안’ 우물만 파던 시대는 끝났다” 깃허브 CSO

Mary K. Pratt | CSO
깃허브(GitHub)의 CSO 마이크 핸리는 ‘CISO’의 역할이 전통적인 기대치를 넘어 확대되면서 성공적인 역할 수행에 필요한 것 역시 고객 중심적 사고와 심도 있는 비즈니스 컨텍스트 이해를 중심으로 바뀌고 있다고 진단했다.

‘보안’은 깃허브가 세일즈 피치에서 내세우는 것 중 하나다. 이 회사는 깃허브 플랫폼을 ‘보호하고 방어하여’ 개발자가 신뢰하고 사용할 수 있도록 하겠다고 말한다. 

이 약속을 이행해야 하는 사람은 깃허브의 CSO 마이크 핸리다. 그는 자신의 역할을 “내부 IT 및 기업 보안, 제품 보안, 플랫폼 건정성, GRC(거버넌스, 위험, 컴플라이언스), 깃허브 보안 랩(GitHub Security Lab), 보안 제품 개발을 위한 협력 등을 모두 포괄한다”라고 설명했다. 
 
ⓒGitHub

깃허브의 보안 요구사항은 대부분의 기업과는 다른 (깃허브의) 비즈니스 모델을 반영한다. 깃허브는 개발자가 오픈소스 프로그래밍 프로젝트를 관리, 유지, 협업할 수 있는 코드 호스팅 플랫폼이다. 또한 개발자, 작업, 온라인 협업 커뮤니티를 활성화하는 다양한 기능도 제공한다. 

이 모든 것을 감안한다면 핸리가 맡고 있는 일의 범위가 전통적인 기업 최고보안책임자에 비해 넓다는 게 놀라운 일은 아니다. 그는 이러한 업무 범위가 깃허브와 해당 업계 및 제품에 특화돼 있다고 인정하는 한편, CISO의 역할이 전통적인 기대치를 넘어 점점 더 확장되는 추세는 앞으로도 계속될 것이라고 내다봤다.

핸리는 “오늘날의 보안 리더는 본인의 주된 책임이 기업과 고객을 보호하는 것이며, 앞으로는 이를 위해 보안뿐만 아니라 비즈니스까지 심도 있게 이해해야 한다는 것을 깨달아야 한다. 한 우물만 파던 시대는 끝났다”라고 강조했다. 

이어서 그는 “따라서 보안 리더는 고객은 물론이고 비즈니스를 이끄는 동료와 대화해야 하고, 또 의사결정을 내리는 비즈니스 리더가 돼야 한다. 고객 중심적 사고와 비즈니스 컨텍스트 및 비즈니스 인사이트가 매우 중요해졌다. 그러한 접근법을 취해야만 성공적인 보안 리더가 될 수 있다”라고 덧붙였다.

보안 전략 설정
깃허브의 새 CSO로서 핸리에게 가장 큰 과제는 “너무 많은 일이 일어나고 있어서 주의가 산만해질 지경”이라는 것이다. 그는 “주의를 뺏기지 않고 비즈니스 우선순위에 집중하려면 리더로서의 전략이 필요하다”라고 언급했다. 

그의 깃허브 보안 전략은 기본적인 보안 모범 사례를 꼼꼼하게 적용하는 것이다. 핸리는 “기본이 뛰어나야 하는데 그게 어렵다. 전선에 나서기 전에 탄탄한 기초를 갖춰야 한다”라고 설명했다.

핸리에 따르면 깃허브의 보안 전략은 비즈니스가 안전하면서도 원활하게 운영될 수 있도록 ‘혁신’도 중요하게 고려하고 있다. 

그는 “깃허브 보안팀에서는 보안 기능, 프로세스, 제어 기능과 함께 사용자 경험과 상호작용도 설계한다”라면서, “직원들의 업무 속도를 늦추는 게 아니라 적정량의 마찰을 잘 설계된 방식으로 적용하여 나쁜 일은 미연에 방지하고 원하는 업무를 원활하게 할 수 있도록 (길을 닦는) 가드레일을 세우는 것이 목표다. 다시 말해, 강력한 보안 가드레일을 바탕으로 각 팀이 더 빠르게 움직이고, 위험에 더욱더 잘 대비할 수 있도록 하고 있다”라고 말했다. 

보안팀 확장
핸리는 깃허브의 보안팀을 확장하고 있다고 언급했다. 그는 “이미 유능한 인재와 우수한 역량을 갖추고 있긴 하다. 하지만 더 늘려야 할 필요성을 느끼고 있다”라며, “이 방향으로 적극적으로 나아가 해당 분야를 계속 선도하고자 한다”라고 말했다. 

그는 취임 후 8개월 동안 보안팀 규모를 2배로 늘렸으며, 향후 8개월 동안 수십 명의 직원을 더 채용할 계획이다. 핸리는 깃허브 보안팀의 정확한 규모는 밝히지 않았으나 보안 엔지니어 대비 개발자 비율이 높다고 전했다.

또한 핸리에 따르면 깃허브는 보안팀 전반에서 일할 사람을 뽑고 있다. 여기에는 대부분의 기업 보안 조직에서 일반적으로 볼 수 있는 사건 대응, 보안 연구 등이 있지만 이보다 흔하지 않은 역할도 포함된다. 

예를 들면 깃허브 보안팀에는 (이 회사의) 버그 현상금 프로그램을 통해 식별된 취약점을 해결하는 전담팀과 스팸 및 남용 방지 정책을 시행하는 플랫폼 건전성 팀이 있는데, 대부분의 타 기업 보안 조직에는 흔치 않은 팀이다. 

한편 핸리는 (코로나19 사태 이전부터 있었던) 깃허브의 원격-우선 정책이 오늘날 치열한 인재 경쟁에서 직원을 유치하는 데 도움을 줬다고 밝혔다. 그는 “지역적 제한이 없기 때문에 유능한 인재를 확보하는 데 집중할 수 있었다”라고 언급했다. 

그 역시 미국 미시간주에서 일하면서 호주부터 스페인까지 전 세계에 있는 직원들을 관리 감독한다. 핸리는 “배경, 기술, 경력이 다양한 직원들이 있어서 좋다. 덕분에 (보안)팀이 훨씬 더 강해졌고, 많은 일을 할 수 있게 됐다”라고 덧붙였다. 

마지막으로 핸리는 파트너와의 협력도 중요하다면서, 유능한 보안 조직을 구축하려면 CISO가 사이버 보안 커뮤니티와의 협력을 넓혀 나가야 한다고 권고했다. 

그는 “뛰어난 보안 제품을 내부적으로만 개발하는 것은 불가능하다”라면서, “그리고 아이디어를 공유하고 열린 토론을 하는 것이 이 역할의 흥미로운 부분이기도 하다”라고 전했다. ciokr@idg.co.kr



 

X