Offcanvas

CSO / 보안 / 신기술|미래

인터뷰 | “블랙스완조차 대비해야 한다” VM웨어 카렌 워스텔 보안 전략가

2022.03.29 Mary K. Pratt  |  CSO
“오늘날 보안팀과 그들이 속한 조직은 현재 제로데이(Zero Day) 세계에 살고 있다.”

카렌 F. 워스텔은 오늘날의 보안 지형에 대해 냉정하게 바라본다. 그녀는 “그것이 우리의 새로운 현실이며, 우리는 유출을 가정하고 운영해야 한다”라고 말했다. 그녀는 또 오늘날 CISO들이 각종 기술 부채와 제한적인 예산뿐 아니라 비즈니스 속도 저하 없이 보안을 확보해야 한다는 기대에 맞닥뜨리고 있는 상황이라고 진단했다. 이 모든 것들을 고려할 때 보안 분야가 직면한 과제는 결코 만만치 않다고 워스텔은 강조했다.

하지만 VM웨어의 수석 사이버 보안 전략가인 워스텔은 자신의 직업에 대한 믿음이 있다. 그녀는 CISO가 “기업을 방해하지 않고 (미래에) 민첩하게 대응할 수 있도록 보호하는 접근방식을 고안하여) 이런 위기를 기회를 바꿀 수 있다”라고 말했다.

그녀에게 있어서 이것은 일상적인 업무의 일환이다. 워스텔은 전 세계 CISO들과 만나 ‘앞으로 닥칠 일과 미래를 위해 우리가 대비해야 할 일’에 대해 이야기를 나눈다.

여러 CISO와 소통하는 전략팀의 일원으로서 그녀는 VM웨어가 CISO들을 도울 방안을 파악하도록 돕는 업무를 수행하고 있다. 그녀는 “아무도 100% 완벽하다고 말할 수 없지만 최대한 합리적인 보안 조치를 취하는 것이 중요하며, 이것이 내가 이곳에서 일하는 이유다”라고 말했다.
 
Image Credit : Getty Images Bank

과거를 통해 미래를 알다
워스텔은 과거로부터 미래에 대한 많은 힌트를 얻을 수 있다고 말했다. 워스텔은 “오랜 사이버 보안 역사를 살펴보면 정말로 도움이 된다. 왜냐하면 지난 30년 동안 우리의 업무 방식을 완전히 바꾸어 놓은 파괴적인 이벤트가 많았기 때문이다”라고 말했다.

인터넷의 확산으로 조직의 위협이 어떻게 극적으로 바뀌었으며, 국가 또는 조직적 차원의 움직임을 인해 어떻게 새로운 보안 문제가 발생했고, 코로나19 팬데믹으로 인해 재택근무로의 전환이 갑자기 추진되면서 보안 지형이 어떻게 변화했는지 생각해 보라고 그녀가 말했다.

워스텔에 따르면 이런 예를 통해 시간이 지남에 따라 보안 문제가 얼마나 빠르게 발생하고 발전하는지 알 수 있다. 그리고 이런 현실을 예측하고 내재화하는 조직은 변화하는 위협에 대응하고 민첩하며 궁극적으로 새로운 환경에서 생존할 수 있다고 그녀는 강조했다.

CISO, 팀, 조직의 과제는 과거로부터 교훈을 얻어 미래에 적용하는 것이라고 워스텔이 말했다.

그녀는 “더 이상 블랙스완 세상으로 보아서는 안 된다. 예상치 못한 것을 예상해야 한다. 그렇다면 어떻게 보안과 우리의 디지털 생활과 관련된 모든 것을 보호하는 방법에 관해 생각하고 미래를 예상하며 대응하기 위한 능력과 유연성을 키우고 비즈니스 또는 서비스가 해킹되는 상황을 방지할 수 있을까?”라고 덧붙였다.

커리어 구축하기
워스텔은 자신 또한 미래에 대비하는 것의 중요성을 실감했다며 자신의 개인사를 꺼냈다. 그녀는 1980년대 중반에 ‘13달러로 2주를 사는 빈털터리’였고 당시 그녀의 오빠가 라디오 쉘(Radio Shack) TRS-80 모델 1 개인용 컴퓨터를 주었다. 그녀는 이를 이용해 코딩을 배울 수 있었다.

“당시 오빠는 ‘지금 이 단계를 거치면 모든 것이 바뀔 것이다’라고 이야기했다. 나는 변화의 기회에 매우 열려 있었다”라고 그녀가 회상했다. 생물학, 화학, 음악 학사 학위가 있던 워스텔은 곧 프로그래밍에 익숙해졌고, 과학과 창의성의 재미있는 조합으로 여겼다.

그녀는 PLC(Pacific Lutheran College)에 입학하여 1987년에 컴퓨터 과학 석사 학위를 취득했다. 그녀는 연구 중 암호화에 관한 프로젝트가 있었고, 이 프로젝트 때문에 사이버 보안 분야에 진출했으며, 거기에서 커리어 경로를 발전시킬 기회를 찾았다.

그녀는 “새로운 분야였으며, 나의 관리자는 ‘우리는 지금 이것을 해야 한다’고 이야기했다. 그리고 모든 것이 새로웠다. 사이버 보안 정책 같은 것을 빠르게 파악해야 했다”라고 말했다.

이 경험을 통해 워스텔은 혁신에 대한 두려움을 줄일 수 있었다고 전했다.

미래 준비하기
워스텔은 보안 리더가 미래를 대비할 때 직면하는 많은 문제가 있다고 인정했다. 그녀는 “우리는 밝게 빛나는 것과 새로운 것에 매력을 느끼는 경향이 있으며, 인간이 보통 그렇다”라고 말했다.

그런 의미에서 워스텔은 CISO가 새로운 기술에 흥미를 느끼고 이런 도구를 사용하여 조직을 더 쉽게 보호할 수 있다는 희망에 사로잡히는 것이 당연하다고 언급했다.

하지만 워스텔은 다른 선도적인 보안 전문가들과 마찬가지로 CISO가 사이버 보안 기본요소에 더 많은 리소스를 투입해야 한다고 강조했다. 그녀는 “우리는 기술 부채와 기본적인 사이버 위생을 위해 충분한 시간을 할애하고 있지 않다. 그래서 기술 격차가 커져 앞으로 더 많은 어려움이 발생하게 된다. 어쩌면 우리는 사이버 보안 [성공]의 많은 부분이 기본 요소를 차단하고 해결하며 수행함으로써 이루어진다는 사실을 배우는 것을 주저했다”라고 말했다.

그녀는 적절한 사이버 위생을 실천하고 기본 요소를 원활하게 수행하지 않으면서 첨단 보안 솔루션에 투자하는 행태에 대해 “판잣집에 강철 문을 달고 있는 것”이라고 비유했다.

이와 함께, 워스텔은 기본 요소를 수행하기 위해 노력할 때 제로 트러스트(Zero Trust) 방법론 등의 최신 사이버 보안 기술과 전략을 더욱 잘 최적화할 수 있다고 말했다.

워스텔은 “보안 업계의 경우 준법감시 프레임워크와 다양한 종류의 의무사항에 얽매어 있다. 그러나 기본으로 돌아가서 생각할 필요가 있다. ‘관리 기준이란 어떤 의미일까? 항상 운영되고 있고 기업에 적절하다는 것을 어떻게 입증할 수 있을까?’ 등을 생각해 보았다면 지금보다 훨씬 앞서 있을 것이다”라고 말했다.

그녀는 현재 보안 성과가 높은 기업들이 앞으로의 보안 위협에 더욱 잘 대응할 수 있다고 말했다. 워스텔은 이미 많은 잠재적인 위험을 보고 있으며 기후 변화, 지정학적 문제, 사회적 혼란, 사이버 전쟁 등으로 인해 기업 CISO에게 보안 관련 문제가 발생할 가능성이 높다고 말했다.

CISO는 5G 등의 새로운 기술과 이를 통해 가능한 다양한 서비스와 함께 등장하는 새로운 보안 문제와 요건도 예측해야 한다.

이 모든 것에 더해 위협이 갑자기 등장한다고 그녀가 덧붙였다. 워스텔은 “앞으로의 장애물은 알 수 없지만 우리는 대비해야 한다. 그래서 [미래의] 운영 모델과 이를 보호하는 방법에 관해 생각해야 한다. 앞으로 3~5년 뒤에 우리에게 무엇이 영향을 미칠지 생각해보고 이런 것들에 대응하고 우리가 계획할 수 있는 시나리오로 해석할 수 있는 방법을 배워야 한다”라고 말했다.

하지만 그녀는 많은 CISO들이 성공적으로 대응하고 있는 것이 사실이라고 말했다. 그들은 데브섹옵스(DevSecOps, 이 자체로 어려운 작업)을 확장하여 처음부터 시스템에 보안을 내장하는 방법에 집중하고 있다. 그들은 보안 요구와 속도와 기능에 대한 운영 요구 사이의 균형을 더욱 잘 맞추고 있다. 그리고 팀 및 운영 내부적으로 민첩성을 개발하여 위험과 상황이 바뀌면서 대응할 수 있도록 하고 있다.

그리고 현재와 미래의 위협 그리고 이에 대응하는 어려움에도 불구하고 워스텔은 낙관적이다. 그녀는 “기술은 기회와 교차한다. 우리는 기술 기회를 더욱 생산적으로 활용하고 더 많은 사람들에게 더 많은 서비스를 제공하며 세상에 도움을 줄 것이다”라고 말했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.