연방 사이버 레질리언스 강화 및 ROI 입증

0:05 라구 난다쿠마라: 세그먼트에 오신 것을 환영합니다: 제로 트러스트 리더십 팟캐스트.진행자입니다. 제로 트러스트 세그멘테이션 회사인 Illumio의 산업 솔루션 책임자인 라구 난다쿠마라입니다.오늘은 미국 보건복지부의 최고 정보 책임자 겸 검사 보좌관인 게리 카론 (Gerry Caron) 이 자리를 함께합니다.24년 이상의 정보 기술 경력을 쌓은 Gerry는 미 육군에서 실무 기술 직책을 맡아 경력을 시작했습니다.그는 2003년에 시스템 관리자로 국무부에서 연방 정부에 합류했으며 지난 20년 동안 국무부에서 다섯 가지 직책을 역임했습니다.오늘 Gerry는 우리와 함께 연방 차원의 제로 트러스트 과제와 추진력에 대해 논의합니다.운영 위험을 관리하는 방법, 성공적인 제로 트러스트 전략에서 데이터 매핑의 역할, 제로 트러스트 투자에 대한 ROI를 입증하는 방법에 대해 알아보겠습니다.그럼 게리, 어떻게 해서 보건복지부 감찰청에서 최고 정보 책임자로 일하게 되셨나요?

01:12 제럴드 카론: 베팅에서 졌어요.아니요, 제 여정은 좀 특별해요.저는 메인 주 북부의 숲에서 왔어요.그리고 저는 군대에 입대했어요.육군에서 7년간 복무한 후 저는 펜타곤에 주둔하게 되었습니다. 당시 저는 IT가 가장 중요하고 워싱턴 DC보다 더 좋은 곳이 어디 있겠다고 결심했습니다.저는 결국 2001년에 국무부에서 헬프 데스크에서 전화를 받는 하청업자가 되었습니다.거기에서 저는 열심히 일한 관리 직책을 맡았고, 지난 직책에서는 국무부에서 엔터프라이즈 네트워크 관리를 담당하는 고위 경영진의 일원이 되었습니다. 기본적으로 저는 Active Directory, 해외 및 국내 네트워크, 경계 보안 등 모든 인프라를 담당했습니다.그리고 저는 이곳 HHS 감찰실의 CIO로 이 직책에 지원했습니다. 뭔가 다른 일을 해보려고 했죠.그래서 저는 이 시점에 1년 반 동안 근무했는데 정말 흥미로웠습니다.

02:10 제럴드 카론 (Gerald Caron): 저는 주립대에 있을 때 몇몇 행사에 연루되어 그 사건 중 일부에서 치료 및 퇴거 조치를 주도하는 역할을 맡았습니다. 그리고 그 덕분에 저는 수년 전에 제로 트러스트에서 행정 명령과 메모가 나오기 전에 전도자가 되었습니다.그래서 저는 그 분야의 실무 그룹 몇 군데의 의장도 맡아왔어요.한 명은 다른 CIO와 NIST에 있는 국립 과학 기술 연구소의 누군가와 함께 의장을 맡고 있습니다.저는 비영리 단체이기도 합니다. 제로 트러스트와 사이버 보안도 굳게 믿고 있습니다.

02:48 라구 난다쿠마라: 그래서 오늘 이 자리에 모시게 되어 정말 기쁩니다.구체적으로 제로 트러스트에 대해 말씀드리자면, 주 (State) 에서 11만 명의 사용자를 관리하고 있는데, 지금은 HHS에서 약 2,000명의 사용자를 관리하고 있습니다.그러니까 제 수학을 제대로 해보면 사용자 중심의 관점에서 보면 State에서 하던 일의 약 2% 가 됩니다.이 두 환경의 고유한 보안 문제는 무엇일까요?

03:18 제럴드 카론: 네, 아니요, 좋은 질문이에요.그래서 주정부에서는 중앙 인프라 같은 것들을 운영했지만, 다른 모든 사무국들도 마찬가지였고, 여기 HHS에서도 마찬가지입니다. 자치권을 꼭 말하고 싶지는 않지만 그들만의 고유한 사명이 있습니다.그들만의 IT 요구 사항이 있습니다.그래서 네트워킹과 같은 것들에 관한 중앙 리소스를 제공하면서도 수용할 수 있어야 했습니다.그런 대규모 연합 조직에서는 때때로 일을 진행하기가 어렵습니다.IG에서는 네트워크와 시스템 등을 전적으로 소유하고 운영한다는 차이점이 있습니다.우리는 IT 리소스가 제한적이기 때문에 사물을 하나의 서비스로 보고 있습니다. 하지만 모든 것에 대한 책임이 저에게 있고 거의 중앙 집중화되어 있기 때문에 결과적으로 더 유연하고 민첩해질 수 있습니다.반면 대규모 조직에서는 이러한 특정 임무를 모두 수용하면서 업무를 진행하기가 어려운 경우가 있습니다.반면 여긴 거의 중앙 집중식이죠.하지만 구현을 통해 가능한 기술의 확장성에 대한 좋은 예가 될 수 있고, 좀 더 유연하고 “민첩하게” 움직일 수 있기 때문에 더 큰 에이전시 또는 다른 업체와도 이를 공유할 수 있습니다.'애자일리'라는 단어인가요?

04:43 라구 난다쿠마라: 괜찮아, 괜찮아.내년에 옥스퍼드 영어사전에 추가할 예정입니다.문제 없어요.하지만 당신은 주에 대해 아주...거대 조직이기 때문에 말씀하신 것처럼 인프라나 운영이 연합되어 있는 경우가 많기 때문이죠.그렇다면 이러한 모든 종류의 연합 하위 기관 (적절한 용어 또는 하위 부서) 에서 보안 태세의 일관성을 보장하려면 어떻게 해야 할까요?이런 종류의 관리, 모니터링, 거버넌스는 어떻게 이루어지나요?

05:15 제럴드 카론 (Gerald Caron): 네, 저희가 한 일 중 하나인데, 실제로 저희 가게에서 iPost라는 작은 도구를 만들었죠.도구가 정말 많죠?모든 조직에는 수많은 도구가 있습니다. 하지만 결국 모든 도구를 사일로 안에서 보게 되죠.그러면 여러분은 이렇게 묻습니다. 좋아요, 제가 패치를 어떻게 하고 있는지요?좋아요, 우리가 한 일과 현재 하고 있는 일, 그리고 그것이 이끌어 낼 수 있는 것은...제가 말하고자 하는 기본 프로젝트 중 하나는 데이터를 통합하는 것입니다.그래서 여러분이 분산되어 있고 IT 보안에 대한 책임이 하류인 사람들이 있을 때, 우리는 그 모든 정보를 한데 모아 “좋아요, 여기 Active Directory 컴퓨터 개체가 있습니다.” 사이의 관계를 만들었습니다.“좋아요, 여기에 이에 대한 모든 패치 데이터가 있습니다. 여기에 모든 취약점과 모든 스캔 데이터, 소프트웨어와 버전, 운영 체제가 있습니다.”“이거 승인 목록에 있는 거예요? 여기 있는 승인 목록에 있는 건가요?”그리고 우리는 이를 위해 이 대시보드를 만들었습니다...그러니까 기본적으로...

06:11 제럴드 카론 (Gerald Caron): 우리는 사무실이나 대사관, 또는 어떤 장소나 시스템의 논리적인 사람들로 구성된 그룹을 만들었습니다. 그리고 이 모든 것을 한데 모아 이 방법론을 적용했고, 이것을 “운영 위험 점수”라고 부릅니다.도구를 사용하는 방법을 알 필요도 없었고, 사람들에게 이러한 도구를 사용하는 방법을 교육할 필요도 없었고, 이러한 도구에 대한 액세스 권한을 부여할 필요도 없었고, 모든 데이터를 한데 모아 사용하기 쉬운 방식으로 제시하고 그들에게 이렇게 말했습니다. “좋아요, 아침에 와서 사이트를 보고 이렇게 말하세요. '오, 안녕하세요, 제 패치 점수가 올라갔는데 받았어요...어제 제가 B였을 때 오늘 아침 D까지 떨어졌어요.제가 주의를 기울여야 할 부분이 뭐죠?아, 좋아요, 정확히 여기가...이 시스템들에서는 이 패치를 해야겠네요. '”

06:57 제럴드 카론: 그래서 우리는 그 정보를 그들에게 그런 식으로 전달했습니다.자, 여기서도 똑같은 일을 해보겠습니다. 다시 말씀드리지만, CIO로서 제 운영 위험 태세가 무엇인지, 전반적으로 어떻게 하고 있는지 알 필요가 없기 때문입니다.그래서 우리는 이러한 데이터를 가져와서 활용할 수 있는 데이터 소스를 통합하고, 부족한 부분이 어디인지 찾아내고, 그 위에 채점 방법론을 적용한 다음 이 대시보드를 만들어 이렇게 말할 것입니다. “좋아요, 어떻게 지내고 있나요?패치 적용부터 취약성, 구성, 수명이 다한 장비 등에 이르기까지 운영 위험을 어떻게 관리하고 있습니까?”그래서 우리는 그 개념을 도입하고 그 작업을 시작해볼 것입니다.자, 제가 이것이 제로 트러스트의 기초 프로젝트라고 말하는 이유는 무엇일까요? 한번 생각해 보세요.나중에 더 실시간으로 처리해야 하기 때문에 이러한 결정을 보다 실시간으로 내리려면 이러한 모든 도구를 통한 모든 원격 측정이 필요합니다.도구마다 다른 물결이 생겨요. 말하자면 8시간마다 한 개씩, 5분에 한 개씩 나올 수도 있겠지만 상황에 따라 다르죠.

07:55 제럴드 카론 (Gerald Caron): 그러니까, 라후가 제 네트워크에 들어와서 이 데이터 소스에 접근하려고 한다면, 좋아요, 제가 그에 대해 뭘 알고 있는 걸까요?좋아요, 그는 이렇게 인증을 받았어요. 그는 관리되는 컴퓨터를 사용하고 있는데, 제가 알기론 VPN을 통해 들어오는 거죠. 그가 사무실에 있기 때문에 제가 관리하고 있는 네트워크죠.좋아요, 그를 현관문 안으로 들여보내도 꽤 안전하다고 말할 수 있을 만큼 충분한 정보가 있어요.그는 언제부터인가 일을 시작할 수 있는데...좋아요, 제가 이 부차적인 것들을 확인하고 그에 대한 결정을 내리도록 할게요.그래서 저는 상시 점검을 하고 있습니다. 단지 현관 출입만 허용하는 것이 아니라 가능한 한 지속적으로 실시간 점검을 하고 있습니다. 그러면 제 위험 임계값을 기반으로 의사 결정을 내릴 수 있도록 도구를 활용할 수 있습니다.

08:39 라구 난다쿠마라: 그건 그렇고, 이게 제로 트러스트 팟캐스트라는 거 아세요?알고 계실지 잘 모르겠어요.

08:42 제럴드 카론: 아, 그렇죠?

08:44 라구 난다쿠마라: 자연스럽게 제로 트러스트에 가셨잖아요, 마치...말씀하신 데이터를 대조하고 일관된 관점을 제공하는 것은 모든 사람을 보안 여정에 동참시키고 그러한 문화의 변화를 이끌어내는 데 매우 중요한 부분이라고 생각합니다.

09:00 제럴드 카론 (Gerald Caron): 그리고 탈중앙화의 차이에 대한 원래 질문으로 돌아가서, 탈중앙화라고 해도, 저는 주머니, 즉 사물 집단의 논리적 주머니를 보고 싶습니다.시스템에 대한 책임이 있는 하청업자가 있을 수도 있는데, 계약에 따라 이들이 어떻게 운영되고 있는지 말씀드릴 수 있습니다. 왜냐하면 우리는 그들에게 책임을 물어야 하기 때문입니다.그래서 그렇게 할 수 있는 방법도 있습니다. 물건을 그룹화하고, 그룹화하고, 텔레메트리를 종합해서 결정을 내리는 방식에서요.네, 당연하죠.아주 기초적인 기능이거든요...제로 트러스트를 향해 나아가면서 말이죠.결정을 내리려면 이 모든 정보가 필요하기 때문이죠.

09:35 라구 난다쿠마라 (Raghu Nandakumara): 100% 완벽한 가시성이 모든 보안 의사 결정의 기반이 되기 때문입니다.따라서 제로 트러스트 프로그램이라고 광고하지 않아도 되는 것만으로도 시작하기에 아주 좋습니다.제로 트러스트에 대한 몇 가지 훌륭한 비유가 있습니다. 제가 좋아하는 땅콩 버터와 영화관 같은 것들이죠.제 앞에 팝콘이 든 양동이가 있다는 뜻이라면 영화관이 좀 마음에 들어요.그럼 피넛버터와 시네마, 제로 트러스트라는 두 가지 비유를 들어보죠.

10:10 제럴드 카론: 네, 우리는 역사적으로 해왔습니다...다들 “캐슬 모트”라고 하는데, 저는 “투시 롤 팝 (Tootsie Roll Pop)” 방식의 사이버 보안을 말하고 싶습니다.겉감은 딱딱하고 가운데는 부드럽고 끈적끈적합니다.그리고 또 다른 건, 우리도...크라운 주얼리든 볼로냐 샌드위치든 상관 없습니다. 저희는 항상 땅콩 버터 스프레드 방식을 시도했습니다. 땅콩 버터가 골고루 퍼지도록 말이죠.사실 제가 발로냐 샌드위치를 잃어버리면 세상에는 발로냐와 빵이 많이 있으니 다른 샌드위치를 만들게 될 거예요.걱정돼요?네, 답답하거든요. 가서 새로 만들어 봐야겠어요.하지만 내 왕관 보석은 잃어버리면 그걸로 끝이야.돌려받을 수 있는 건 없어요.

10:48 제럴드 카론 (Gerald Caron): 그래서 데이터를 데이터라고 생각하면, “무엇이 가장 중요하고 무엇에 집중해야 할까요?”그럼 제 볼로냐 샌드위치를 도난당해도 제 왕관 주얼리는 여전히 보호되고 있는 걸까요?옆으로 움직이는 걸 막았어요.그게 제가 하고 싶은 일이에요.그들이 왕관의 보석을 노리는 걸 원하지 않아요.네, 볼로냐 샌드위치를 도둑맞았어요. 걱정돼요.영화관에 대해 비유하자면 멀티플렉스 영화관에 가서 온라인으로 표를 사면, 어디서...

11:18 제럴드 카론 (Gerald Caron): 제가 예전에 갔던 영화관을 예로 들자면, 멋진 새 극장을 찾았기 때문에 더 이상 가지 않겠습니다. 하지만 로비에서 티켓을 스캔했습니다.그래서 현관에 들어서면 로비에서 티켓을 스캔하는데, 이제 영화관에 들어갈 수 있어요.팝콘, 화장실, 일반 물건들을 살 수 있어요. 영화관 앞문으로 들어갈 수 있다면 말이죠.하지만 어떤 영화관에도 갈 수 있었어요.왜요?아무도 문 앞에서 제 티켓을 확인하지 않았거든요.극장이 20개인데 문 앞에 사람이 20명도 없어요.

11:48 제럴드 카론: 기본적으로, 저는 윤리적으로 좋은 사람이기 때문에 제 영화를 보러 갑니다.하지만 물론 하루 종일 영화관에 있을 수도 있고 원하는 대로 영화를 볼 수도 있겠죠.그런 다음 자리에 앉으세요. 안내원이 체크하는 등의 모든 것을 할 필요가 없으니까요.그래서 아마 카메라가 고장나면 영화관에서 일어나서 누군가를 불러서 알려야 할 것 같은데요.과거에는 이런 방식이었죠. 기존의 보안 유형이었죠.둘레가 정문이고 로비에 들어서면 바로 들어갈 수 있습니다.그리고 제가 원하는 곳 어디든 옆으로 이동할 수 있어요. 영화 자체가 그 데이터잖아요, 그렇죠?그래서 저는 안으로 들어가서 “이봐요, 5분 후에 IMAX가 상영되는데, 아직 그 요금표를 사지 않았어요.그냥 IMAX 버전으로 갈게요. 훨씬 좋아요.”

12:32 제럴드 카론: 제로 트러스트와 함께라면 상황이 달라집니다.그래도 영화관에 들어갈 수 있는지 확인하기 위해 로비에서 티켓을 스캔할 거예요. 하지만 영화를 보러 갔을 때 팝콘과 화장실을 이용할 수 있어요. 저는 그 경계, 더 넓은 경계선에 있어요.이제 영화관 문 앞에 나타날 때에도 티켓이 스캔됩니다.이제 제가 IMAX에 들어가려고 하는데 일반 티켓을 가지고 있는데 그들이 체크했으면, 티켓 부스로 돌아가서 직접 업그레이드하세요. 그러니까 일종의 단계별 인증을 하면 저희가 당신을 입장시킬 거예요. 하지만 좋아요, 문 앞에서 티켓을 스캔했어요.네, 유효합니다.들어갈 수 있어요. 저는 좌석을 배정받았어요.그러면 안내원이 들어와서 계속 확인하게 되죠.“프로젝터가 작동하나요?스크린이 다운되었나요?조명이 약한가요?사람들이 걸려 넘어지지 않도록 보도에 작은 불빛이 있는 건가요?출구 표지판이 켜져 있나요?모든 것이 제대로 작동하나요?”

13:29 제럴드 카론 (Gerald Caron): 이 모든 요소를 지속적으로 점검하면서 제가 소비하려는 데이터, 즉 영화이기 때문에 모든 것이 올바른 위치에 있는지 확인합니다.저는 지금 제 모습이고, 원래 있어야 할 곳에 있고, 모든 것이 잘 되고 있어요.그리고 누군가 와서 계속 점검을 하고 있어요.어느 정도 임계값에 도달하면 프로젝터가 고장나거나, 갑자기 쿵쾅 소리가 나죠. 자동화가 일어나서 필요한 건 뭐든 할 수 있죠.제가 사용하는 비유가 바로 그거예요.

13:58 라구 난다쿠마라: 멋지네요. 잘 됐네요.이것이 바로 우리가 땅콩 버터, 영화, 영화, 제로 트러스트를 연결하는 방법입니다.뭐가 뭐였지...제로 트러스트에 대한 열정이 대단하신 것 같고, 그 가치를 잘 알고 계시죠?그렇다면 OIG에서 제로 트러스트 도입을 어떻게 추진하고 계신가요?여기서 중점을 두고 있는 부분은 무엇인가요?

14:18 제럴드 카론: 제가 처음 왔을 때는 아무도 제로 트러스트에 대해 몰랐어요.이런 수수께끼가 있고, 어떤 벤더에게도 불쾌감을 줄 수 없습니다. 하지만 지금은 정의가 정말 다양합니다.사람들이 그 말을 들으면 움츠러드는 용어일 뿐이죠.하지만 제로 트러스트의 진정한 본질에 대해 말씀드리자면, 포레스터에서 배웠거나 제로 트러스트와 모든 것의 아버지인 존 킨더백의 말을 들으셨다면 말이죠.이 다섯 가지 원칙으로 돌아가서 다섯 가지 원칙을 이해하세요.그래서 사이버 보안이 시행되고 있는 몇 가지 방법과 모든 것을 알아차리고 이를 소개하고 실제로 직원들을 교육했습니다.그래서 가능성의 예술을 위해 몇몇 상인들을 데려왔는데 말을 끌고 물에 가서 그냥 술을 마신 것 같았어요.“이봐, 이걸로 우리가 이런 걸 하면 문제가 좀 해결될 거야.” 또는 “오, 이걸로 뭔가 숨길 수 있을 거야.가시성이 훨씬 더 높아질 거예요.”

15:05 제럴드 카론 (Gerald Caron): 그리고 우리가 한 일은 국방부에서 이 차트를 훔쳤다는 것입니다. 국방부가 몇 주 전에 공개적으로 발표한 DoD 제로 트러스트 전략에 포함되었죠.핵심 요소에는 많은 기능이 있습니다. 네트워크 데이터 사용자의 다섯 가지 기둥이 있지만, 오케스트레이션과 분석도 갖추고 있는데, 저도 1년 넘게 사용하고 있습니다.그리고 제가 물었죠. 돈을 한 푼도 더 쓰지 않으면 이런 일을 어떻게 할 수 있을까요?그리고 그들은 스스로 평가했죠.

15:34 제럴드 카론: 이미 투자한 각 상인들에게도 나눠줬어요.이렇게 말했죠. “내가 당신의 기술에 한 푼도 더 쓰지 않는다면, 당신이 해결해 준 것은...제가 하고 있든 안 하든, 무엇을 보장할 수 있을까요?”그래서 알았어요, 좋아요, 우리가 이런 일을 하고 있다는 걸 알았어요. 확실히, 이 일에 대해 조금이나마 도움이 필요하겠죠, 그리고...오 젠장.몇 가지 부족한 부분이 있어요.그래서 다섯 개의 기초 프로젝트를 만들었죠.제가 싫어하는 게 뭔지 살펴봤어요.필자는 VPN을 악의적이고 안전한 방법으로 악의적인 페이로드를 전송하는 것으로 알고 있습니다.온프레미스 네트워크에 의존하고 싶지 않은 방식으로 VPN을 사용하지 않고 싶습니다.우리가 모든 것을 배치하고 있는 곳으로 돌아가기 위해 제 데이터 센터 중 하나에 연결하는 것은 얼마나 비효율적인가요? 클라우드와 인터넷, 그곳으로 우리의 모든 리소스가 사용되는 곳입니다.부메랑을 부메랑하는 건 너무 비효율적인데 왜 더 직접적으로 당신을 보낼 수 없을까요?그래서 신뢰할 수 있는 인터넷 연결인 TIC 3.0이 생겼는데, 유연성이 더 뛰어나죠.필요한 보안 측면에서 원격 측정 기능을 제공하는 솔루션이 많이 있습니다. 하지만 저는 직원들을 좀 더 직접적으로 보내려고 합니다.또한 데이터 매핑, 데이터 매핑, 제로 트러스트를 통해 결국 무엇을 보호하려고 할까요?

16:38 제럴드 카론: 데이터를 보호하려고 해요.그게 금이야.많은 사람들이 “정체성에 대해 이야기해”라고 말할 것입니다.아시다시피, 아이덴티티는 매우 중요합니다. 제로 트러스트에 대해 이야기할 때는 적절한 데이터, 적절한 시기에 적합한 사람을 찾아내야 하기 때문이죠. 하지만 데이터에는 무결성이 있어야 하기 때문입니다.만약 여러분이 사이버 보안 분석가인데 제가 보안 보안 보안 침해를 당했다면 제가 가장 먼저 제기할 질문 두 가지는, “내가 무엇을 이용할 수 있었는가?그리고 망명자가 있나요?”그건 나에 관한 게 아니에요. 데이터에 대해 묻는 거잖아요, 정말요.하지만 누가 그 데이터에 접근할 수 있는지는 매우 중요합니다.하지만 데이터는...그래서 우리는 데이터 매핑을 할 것입니다. 이것은 네트워크 매핑이 아닙니다. 이것은 응용 프로그램을 가져오는 데이터입니다. 응용 프로그램이 무엇에 연결되어 있고, 어디에서 데이터를 공유하고, 무엇과 데이터를 공유할까요?그리고 데이터가 어디에 있고 어디에 있고 어디에 흐르는지 알게 되는 거죠. 왜냐하면 하루가 끝날 무렵에는 그 기준점을 정할 수 있어야 정상이 어떤 모습인지 알 수 있으니까요.그리고 비정상적인 상황이 발생하면 조치를 취해야 합니다.

17:36 Gerald Caron: 그래서 우리는 데이터 매핑을 할 것입니다. 또한 이러한 도구들의 통합도 할 것입니다.이미 말씀드린 것처럼 전체 환경에 대한 운영 위험 프로파일을 파악하고 ID 관리를 성숙시켜 진정한 신뢰할 수 있는 ID를 확보할 수 있도록...왜냐하면 저기 무슨 일이 생기면 새로운 클라우드 솔루션과 애플리케이션과 Active Directory가 생겨나기 때문이죠.디지털 ID가 몇 개나 되냐면 어떻게 될까요?소규모 대행사의 경우에도 디지털 ID가 너무 많기 때문에 각 ID에 디지털 ID가 있기 때문에 각 ID가 신뢰할 수 있는 ID 소스처럼 보이도록 통합한 다음 자동화 및 거버넌스를 적용해야 합니다. 그래서 그 부분도 발전시키려고 합니다.이 다섯 가지 기본 프로젝트는 우리의 필요에 따라 다음 성숙도 영역으로 가는 훌륭한 디딤돌이라고 생각합니다.

18:32 라구 난다쿠마라 (Raghu Nandakumara): 그 게리는 당신이 그 계획을 어떻게 세웠는지, 그리고 그 계획에 들어가는 실제 세부 사항, 가장 중요한 전략, 그 전략을 실행하기 위해 사용하는 전술적 단계에 대한 놀라운 설명입니다.이에 대해 제가 가진 유일한 질문은 진행 상황을 어떻게 측정하고 있는가입니다.자신이 올바른 길을 가고 있는지, 방향을 바로잡아야 한다는 것을 어떻게 알 수 있을까요?이 피드백 루프를 실행에 어떻게 통합하고 계신가요?

19:00 Gerald Caron: 그래서 우리는 특정 단계의 성공 기준을 바탕으로 추적할 이정표를 세웠습니다.그리고 제가 하고 싶은 것 중 하나는 제가 하려는 것이 아니기 때문에 이전에 땅콩 버터 스프레드 방식을 사용하라고 말한 이유이기도 합니다. 그리고 우리는 FISMA를 준수하고 NIST 800-53을 준수한다고 생각합니다. 보안 통제와 관련된 것들이죠.그리고 그들은 매우 규정 준수에 초점을 맞추고 있기 때문에 그렇게 해석됩니다.꼭 그렇게 의도한 것은 아니지만 그렇게 해석됩니다.저는 이 예제를 즐겨 사용하는데 너무 단순화되었지만 제가 사용하는 예시는 “좋아요, 컨트롤에서 인증을 제공해야 한다고 말할 수도 있어요.”저는 이렇게 말할 수 있습니다. “좋아요, 사용자 이름과 비밀번호.인증을 제공했습니다.규정을 준수합니다.”

19:42 라구 난다쿠마라: 네.네.

19:43 제럴드 카론: 하지만 제가 유능한가요?

19:46 라구 난다쿠마라: 네.

19:47 제럴드 카론: 아니요, 아니에요.

19:50 라구 난다쿠마라: 당신이 묻는 질문이 옳기 때문에 그렇다고 말하는 거예요.

19:52 제럴드 카론: 네.아니요.네.아니요.아니요.효과와 규정 준수는 서로 다른 두 가지입니다.제가 항상 말씀드렸던 것은 바로 이것입니다.

20:00 라구 난다쿠마라: 동의합니다...

20:00 제럴드 카론: 효과를 어떻게 측정합니까?제가 직접 와서 일종의 펜 테스팅이나 블루 팀 타입이나 퍼플 팀 타입 테스트를 점진적으로 할 수 있으면 좋겠어요.제가 시행한 것이 효과적인가요?성과가 있는 건지, 그런 원칙을 지키고 있는 건지, 뭐 그런 거죠.그래서 그걸 좀 더 발전시키고 싶어요. 리소스 측면에서 어떻게 해야 하는지 알아내야 해요.하지만 서비스형 SOC (SoC as a Service) 측면이 도움이 될 수 있기를 바랍니다.하지만 이러한 효과를 주기적으로 측정할 수 있으면 좋겠습니다.그래서 우리의 여정에서 점진적인 이정표를 세울 수 있도록 이러한 이정표를 세워 두었습니다.그런 다음 유효성 검사를 통해 테스트 작업을 수행하는지 확인하고 싶습니다.좋아요, 이게 그 원칙에 부합했나요?

20:39 제럴드 카론 (Gerald Caron): 올바른 데이터, 적절한 시점에 적절한 사용자일까요?옆으로 움직일 수 있는 건가?그래서 우리는 그런 것들도 점진적으로 발전시킬 수 있기를 바라고 있습니다.끝까지 기다렸다가 “좋아, 처음으로 돌아가자”라고 말하지 마세요. 다시 엔지니어링하고 싶지 않기 때문이죠.그래서 저희 회사의 기둥에서도 이 부분이 매우 중요했죠.왜냐면 여긴 건축물이니까요.그래서 어떤 사람들은 이렇게 말할 겁니다. “좋아, 우리는 오로지 정체성의 기둥에만 집중해서 해낼 거야.”“좋아요, 이제 다음 기둥으로 넘어가겠습니다.”이런 말을 들으면 걱정이 돼요. 왜냐하면 이건 아키텍처이기 때문이죠. 그리고 저는 항상 엔터프라이즈 아키텍처에 대해 설명하죠.저는 엔터프라이즈 아키텍처의 열렬한 팬이에요.가끔 비웃는 사람도 있어요.네 가지 주요 영역이 있습니다.

21:19 제럴드 카론 (Gerald Caron): 비즈니스가 있는데, 바로 재정이고 사명은 그런 것들을 주도합니다.다음으로 기술적인 부분이 있는데, 바로 구현입니다.어떻게 해야 할까요?하지만 보안은 중요하죠. 어떻게 보안을 유지하고 계신가요?그리고 데이터 - 저는 이 네 가지에 초점을 맞춥니다.그래서 저는 한 기둥에서 다른 기둥보다 더 많은 작업을 할 수 있지만 기둥 사이의 관계가 무엇인지 알고 있기 때문에 돌아가서 다시 설계하는 것이 아니라는 것을 확인하고 싶습니다. 다른 기둥에 너무 집중했기 때문에 뭔가 효과가 없었기 때문이죠.따라서 이러한 관계가 어떻게 상호 작용하는지, 이들 사이에 어떤 기능이 필요한지 미리 아는 것도 매우 조심스러운 부분입니다.

22:00 라구 난다쿠마라: 네.저는 이것이 매우 중요하다고 생각합니다. 보안 미디어, 공급업체 게시물, 공급업체 마케팅 전반에서 제로 트러스트를 도입할 때 한 가지 특정 제어 기능에 초점을 맞추는 것이 가장 중요한 일이라는 것을 알 수 있기 때문입니다.그렇죠?하지만 컨트롤 세트 전체를 전체적으로 살펴보고 이러한 요소들이 병렬적으로 함께 움직이도록 해야 한다고 말씀하신 것이 맞습니다.힘은 특정 한 가지가 아니라 이러한 컨트롤의 조합과 거의 비슷하기 때문입니다.그렇지 않으면 회전이 너무 심해지기 때문이죠.

22:37 제럴드 카론: 네.제로 트러스트에 대한 저의 접근 방식이 무엇인지에 대해 말씀드릴 때, 다시 말씀드리자면, 제가 가장 먼저 보호하고자 하는 것은 데이터입니다.좋아요, 그럼 데이터를 어떻게 처리해야 할까요?먼저 말씀드린 것처럼 데이터 맵에 대해 알아야겠어요.하지만 그 다음엔 마이크로세그먼트를 만들고 싶어요.자체 데이터베이스 내에서도 마이크로 세그먼트화하고 싶습니다.자체 데이터베이스에 있다고 해서 모든 데이터가 평등하게 생성되는 것은 아닙니다.그렇다면 데이터를 어떻게 해결할 수 있을까요?그러면 많은 사람들이 “좋아요, 디바이스, 이제 디바이스를 만들어야 해요.” 라고 말하겠죠.아니요, 실제로 데이터에 쉽게 접근할 수 있는 것은 무엇일까요?애플리케이션.그렇다면 애플리케이션과 관련해서는 어떻게 해야 할까요?이제 애플리케이션을 어떻게 활용해야 할까요?이들에게는 계속 사용할 수 있는 기기가 필요합니다.그들은 어딘가에 살아야 해요.좋아요. 모든 기기를 관리하지는 않을게요.그렇죠?

23:20 제럴드 카론: 인증이 필요할 수 있는 공개 웹사이트가 있습니다.모든 기기 관리를 시작하지는 않겠습니다.따라서 이러한 범주 내에서는 사물에 따라 위험 수준이 다릅니다.그렇다면 디바이스에 필요한 것은 무엇일까요?네트워크가 필요하죠.네트워크와 관련해서는 어떻게 해야 하나요?제가 관리하고 있는 건가요, 아니면 제가 관리하고 있는 건가요?제가 통제할 수 있는 범위 내에서 제가 할 수 있는 일은 무엇인가요?그리고 물론 사용자들도 마찬가지고요.알겠습니다. 올바른 사용자가 적시에 올바른 데이터에 액세스할 수 있도록 하려면 ID 관리와 관련하여 어떻게 해야 할까요?그래서 저는 이 문제에 대해 이야기할 때 속으로는 그런 방식으로 작업을 합니다.그래서 데이터부터 시작하죠.그게 제가 하루가 끝날 때 하려고 하는 일이고, 그 모든 것들을 되찾기 위해 노력하는 거죠.

23:57 라구 난다쿠마라 (Raghu Nandakumara): 그게 정말 올바른 길이고, 존 [킨더바그] 가 제로 트러스트 성숙도를 이끄는 방법을 표현했든 간에, 그가 제로 트러스트 전략을 실행하는 것을 구상하고 있는 방식이기도 합니다.매우 총체적인 견해이기도 합니다.왜냐하면 우리가 볼 수 있는 것은, 제 생각에는 바로 돌아가면 벤더 마케팅 부서에서 “이게 네가 해야 할 일이야.” 라고 말하는 것에 오염되어 있기 때문입니다.이 기둥부터 시작해서 완벽하게 만들어야 합니다...”

24:23 제럴드 카론: “당신이 내 물건을 사줬으면 좋겠어요.”

24:25 라구 난다쿠마라: 맞아요.맞아요.맞아요.그래서 다시 돌아가고 싶어요.일종의 엔터프라이즈 아키텍처에 대해 말씀하셨잖아요.그리고 이야기를 나누셨잖아요...

24:31 제럴드 카론: 하지만 그 얘기에 들어가기 전에 할 말이 있어요.이렇게 말할게요.하지만 벤더 없이는 할 수 없습니다.

24:37 라구 난다쿠마라: 네, 맞아요.

24:38 제럴드 카론: 그들은 기술을 가지고 있고 기술을 만들고 있습니다.하지만 우리가 워킹 그룹, ATARC를 통해 하려고 하는 것은...이제 두 번째 단계로 넘어갈 거예요.저희는 모두에게 각자 원하는 것을 위한 플랫폼을 제공했습니다.하지만 두 번째 단계는 팀을 이루고 싶다는 뜻이고, 모든 기둥을 통해 처음부터 끝까지 나아가길 원한다는 뜻입니다.필요한 누구와든 팀을 이루세요.그 기둥이나 기능이 부족하다면 저희가 확인해 봐야죠.끝까지 제대로 작동하는지 봐야겠어요.우리에게 슬라이드를 보여주지 말고, 판매 제안도 보내지 마세요. 우리가 원하는 건...이제 사용 사례를 보여주세요.이것이 바로 우리가 지금 추진하고자 하는 것입니다.

25:12 라구 난다쿠마라: 하지만 그런 이야기를 하면 완전한 해결책이 무엇인 것 같아요.카네기 멜론은 지난 9월 초에 제로 트러스트 산업의 날을 열었는데, 다시 말하지만, 많은 학계가 정부와 통합되어 제로 트러스트에 대한 통합적 접근 방식을 실제로 추진했습니다.그 모습을 보는 것만으로도 정말 신선했고, 그 결과가 정말 기대됩니다.엔터프라이즈 아키텍처에 대해 말씀하신 내용으로 돌아가 볼게요.그리고 그 핵심 요소 중 하나는 사명을 준수하고 비즈니스 목표와 연계하는 것입니다.그렇다면, 여러분의 역할에서 제로 트러스트, 즉 제로 트러스트 프로그램, 제로 트러스트 전략을 OIG의 중요한 존재 이유와 어떻게 연계시켰을까요?

25:53 제럴드 카론: 이 질문을 해주셔서 기쁩니다. 저도 이에 대해 이야기하기 때문이죠.그래서 저는 제로 트러스트를 단순한 사이버 보안 노력이나 IT 활동으로 보지 않습니다.IG의 업무가 있는데, 가끔은 엔지니어들에게 OIG가 IT를 위해 이 세상에 만들어진 것이 아니라는 사실을 상기시켜 주기도 합니다.그게 주 임무가 아니에요.이것이 바로 원동력입니다.그래서 저희는 실제로 모든 사용자 커뮤니티를 대상으로 제로 트러스트에 관한 프레젠테이션을 진행했는데요.이제 상황이 바뀔 거라는 걸 알려주는 거죠.저희가 여러분께 제공할 몇 가지 혜택은 다음과 같습니다.더 많은 다이렉트를 보내드리겠습니다.따라서 성능 향상, 상호 운용성 향상, 싱글 사인온 (SSO) 이 가능하죠.사용자 만족도를 높이는 몇 가지 기능을 소개해 드리겠습니다.하지만 목표가 무엇인지도 말이에요.앞으로 더 물어보게 될 질문은 “어떻게 일하고 싶으세요?”

26:43 제럴드 카론: “이동성이 더 필요한가요?뭔가를 놓치고 계신가요?잘 되는 건 뭐고 안 되는 건 뭐야?왜요?”현대화 중이기 때문에 이러한 요구 사항을 구축할 수 있기 때문입니다.본질적으로 우리는 새로운 기술을 도입하고, 새로운 기능을 도입하고, 현대화하고 있습니다.따라서 요구 사항을 포함하면 구현 시 마찰이 훨씬 줄어듭니다. 경청하고 실행에 옮길 것이기 때문입니다.“또, 제가 얻을 수 있는 것은 무엇일까요?어떤 기능을 이용해야 하나요?언제 액세스해야 하나요?”이제 데이터 소스 인벤토리에 대한 검증을 받고 있습니다.저는 사람들이 어떻게 일하고 싶어하는지, 어떻게 일하고, 어떤 기기를 가장 많이 사용하는지 알기 때문에 페르소나를 만들고 있습니다.내가 관리하는 네트워크와 집에서 오는 걸까요, 아니면 사무실에서 오는 걸까요?많은 것에 대해 배우고 있어요.이제 우리는 제로 트러스트에 제공할 수 있는 것들을 이해하기 시작했습니다. 왜냐하면 이것이 그들이 원하는 방식이고, 이것이 바로 그들이 해야 할 사명이고, 그들이 의존하는 데이터 소스이기 때문입니다.

27:38 제럴드 카론: 그 데이터 소스들은 무엇입니까?PII가 있는데 PII가 없나요?일반인이 이용할 수 있나요?일반인이 볼 수 없나요?그리고 여러 사무실에 있는 사람들이 가끔 이에 대해 언급하거나 물어본다는 것도 잘 알고 있습니다.“제로 트러스트 환경에서는 어떻게 될까요?” 같은 거죠.좋아요. 왜냐하면 이제 우리는 그들이 이렇게 생각하게 됐으니까요. “그래, 될 거야...상황이 바뀔 거예요. 하지만 저는 제 물건에 접근할 수 있게 될 거예요.저는 청렴성을 유지할 거예요. 재택근무를 하면서 이런 것들에 접근하는 거죠.”“세상에, 굳이 VPN을 연결할 필요가 없네.바로 제 일로 갈게요.”저는 CIO로서 아직 보안 텔레메트리를 사용하고 있습니다.우리는 그들에게 어떤 이점이 있는지 알려주고 있습니다.그런 다음 필요한 것이 무엇인지, 언제 필요한지, 어떻게 작업하고 이를 구축할지에 대한 커뮤니케이션을 통해 이러한 추가 보안 IT 노력이 아닌 현대화 노력에 더 가까워지도록 합니다.

28:26 라구 난다쿠마라: 네, 100%.“이렇게 하면 여러분에게 어떤 혜택이 돌아갈지 알아보겠습니다.” 라는 적극적인 태도입니다.그리고 “어떻게 일하고 싶으세요?”혹은 “당신이 할 수 있는 게 뭐가 있을까요?”정말 훌륭한 질문들이요. 그걸 가능하게 해준다는 건 정말 대단한 일이죠.하지만 보안 투자에 대한 ROI는 무형의 가장 큰 요소 중 하나이기도 합니다.다시 말씀드리자면, “예, 전후에 침투 테스트를 할 수도 있고, 이전과 이후에 위협 모델을 만들어 볼 수도 있습니다. 좋아요, 이제 이 위협에 대한 해결이 끝났다는 식이죠.”하지만 그들이 괜찮다고 하면, “알겠는데, 내가 뭘 돌려받을 수 있는 거지?”ROI를 어떻게 증명할 수 있을까요?

29:00 제럴드 카론 (Gerald Caron): 사실 얼마 전 상사로부터 그 질문을 받았어요.마치, “좋아, 이 돈을 요구하고 있잖아. 이 돈을 받을 수 있잖아.저축이나 뭐 하는 거 있어요?”저축이란 말은 정말 싫어요.항상 비용을 회피하자는 거죠. 어떤 이유로 예산 절감을 요구하지는 않을 테니까요.다른 곳에서 쓸 생각이에요.하지만 저는 비용 회피라고 말하죠.그래서 생각하게 됐어요.재밌었어요. 왜냐하면 제가 일주일 또는 2주 전에 보안팀 직원에게 물었거든요. “이봐, 사고 대가는 얼마야?사고 비용은 얼마나 드나요?”네, 저는 보안에 투자하고 있는데, 이는 투자이기 때문에 몇 가지 일을 중단할 수도 있지만, 여전히 제가 구현하고 있는 새로운 것에 투자할 생각입니다.하지만 지금 우리가 하고 있는 것은, 달러 수치를 기준으로 삼아 말씀드리자면, 중소 규모, 중대한 사건들이 있다는 것입니다.

29:50 Gerald Caron: 운영 팀, 보안 팀에서 이러한 문제를 해결하는 데 일반적으로 걸리는 시간은 다음과 같습니다.중지 작업이 미치는 영향과 손실, 임무에 미치는 영향 등등.그래서 우리는 무슨 일이 일어날지 보여주기 위해 그림을 만들고 있습니다. 악의적인 사용자가 아닌 사람이든, 작은 사고일 수도 있고, 당신이 헬프 데스크에서 저에게 전화를 걸었다고 주장하면 제가 제 PC에 대한 액세스 권한을 주면 랜섬웨어 같은 어떤 일이든 하기 시작할 수 있습니다.사고 발생 비용은 다음과 같습니다.이제 투자를 하시는군요...아무것도 하지 못하는 곳에 비하면 이 정도로 많이 투자해 달라는 겁니다.우리는 이 임무를 지원하는 게 아니에요. 단지 엉망이 된 걸 정리하고 있다는 이유만으로 말이죠.사실 우리는 그 이야기를 전달하기 위해 지금 그 그림을 만들고 있습니다. 왜냐하면 우리는 몇 가지 사건을 겪었고 저와 함께 일하고 있는 CISO 작업장에서 일하고 있는 한 사람이 현재 주 출신이기도 하기 때문입니다.

30:49 제럴드 카론: 그래서 좋은 생각이 하나 생겼네요.필요한 자원, 애프터 이펙트, 업무 중단, 낮과 밤, 인력, 제3자를 데려오는 일, 전문 분야, 기술이 어떤 문제가 있었는지에 따라 달라지는 전문 지식, 그리고 남은 것이 있습니다.그게 문제인데, 그 이후에 그걸 막기 위해 어떤 조치를 취하고 계신가요?따라서 항상 장기적인 전략이 있습니다. 그냥 묶지 말고 전략을 세울 수 있기를 바랍니다.이제 그러려면 대가가 따릅니다.한 발 앞서 나가자.비용이 더 많이 들 수 있으니 지금 투자하세요.

31:24 라구 난다쿠마라: 맞아요.

31:25 제럴드 카론 (Gerald Caron): 만약 이런 일이 일어난다면, 이에 대한 달러 수치는 다음과 같습니다.

31:29 라구 난다쿠마라: 맞아요.

31:30 제럴드 카론: 그리고 그게 하나라고 가정해 봅시다.이렇게 하지 않으면 이런 것들이 여러 개 생길 수 있습니다.이것이 바로 우리가 실제로 지금 정리하고 있는 내용입니다.물어보신다니 웃기네요.

31:39 라구 난다쿠마라: 네.강제로 작용하는 데 이변이 필요하지 않았으면 좋겠어요.

31:42 제럴드 카론: 네.안타깝게도 제가 몇몇 곳에서 본 적이 있습니다.마치 경고할 수 있는 것 같네요...어린 소년이 늑대라고 울었죠.늑대가 실제로 나타났는데 어떻게 될까요?오, 그래, 우리가 뭔가 조치를 취해야겠어.

31:54 라구 난다쿠마라: 네.맞아요.OIG 바로 바깥에 대해 물어보고 싶은데요.요즘 의료 부문이 특히 표적이 되고 있다고 가정해 봅시다.그리고 의료 서비스 제공자와 같은 회사들이 근본적으로 환자 서비스를 중단하고 때로는 응급 치료, 중환자 치료 제공을 중단해야 하는 경우가 너무 많습니다. 공격으로 인해 중요한 IT 시스템에 대한 액세스가 근본적으로 차단되었기 때문입니다.왜 굳이 할 수 있는 건지, 누구를 위해 일하느냐에 따라 의료 서비스에 대해 질문하는 것인데, 왜 의료 서비스 제공자의 회복력에 더 초점을 맞추면서 이런 일을 반복하지 않을 수 있을까요?

32:39 제럴드 카론: 네.그리고 이것은 단지 의견일 뿐입니다. 말씀하신 것처럼 이러한 실체들 중 일부를 지원하는 일부 레거시 시스템이 아직 남아 있다고 생각합니다.제 생각에는 그것이 무엇인지, 조직이 이를 받아들여야 한다고 생각합니다.IT 담당자만 담당할 수는 없습니다.이해할 수 있는 부분이 있어야 하며, 이 문제를 제기한 사람이 IT 담당자여야 하는지 여부도 마찬가지입니다.필자는 많은 기사를 읽었습니다. 예를 들어 말씀하신 일부 기업과 같은 민간 기업에서는 CIO가 이사회 또는 CISO 중 하나에 앉아야 한다는 권고 사항이 있습니다. 왜냐하면 위험을 관리할 때는 단순한 IT 문제가 아니라 사명이기도 하기 때문입니다.위험과 의사 결정의 정치적 측면은 무엇입니까?그러면 IT 위험도 알 수 있습니다.하지만 ROI로 돌아가서 이것이 좋은 투자인 이유라는 것을 잘 이해해야 한다고 생각합니다.이는 이러한 위험을 완화하는 데 도움이 될 것입니다.

33:34 제럴드 카론: 그래서 그 이야기를 전하고 조직의 우선 순위로 삼는 거죠.이것이 바로 작년에 내려진 행정 명령인 “국가의 IT 사이버 보안 강화”에 관한 내용입니다.제로 트러스트가 큰 부분을 차지했고 그 결과 OMB Memo 22-09가 탄생했습니다.이는 최고 수준으로 받아들여졌습니다.이제 그들은 그것을 단순히 IT 분야로 만드는 것이 아니라 기관의 책임으로 삼고 있습니다.이런 일들은 꼭 해야 합니다.그래서 모두가 탑승할 수 있게 되죠.이제 가장 높은 수준에서 우선 순위가 지정되었습니다.민간 부문에서는 상황이 조금 다를 수 있습니다.

34:11 제럴드 카론 (Gerald Caron): 이런 의미에서 연방 정부는 투명하고 이것이 연방 정부의 우선 순위라는 것을 보여주기 때문에 일부 사람들도 그것을 보고 이렇게 말하고 있다고 생각합니다. “알다시피, 연방 정부가 그 점에서 우리보다 조금 앞서 있습니다.”하지만 재정적인 측면에서는 기술 면에서 우리보다 앞서가는 부분이 있습니다.하지만 제 생각에 이건 정말, 이해해야 할 부분이고, IT 관련 문제가 아닌 것으로 받아들여져야 한다고 생각합니다.이것은 조직의 문화적인 문제이고 소통이 필요합니다.

34:41 라구 난다쿠마라: 그리고 말씀하신 것처럼 보안이 이사회 차원의 우선 순위가 되어야 한다는 공통된 주제를 다시 강조하셨습니다.이는 단순히 보안 조직이나 IT 조직의 권한일 수는 없습니다.그리고 행정 명령, OMB 메모, 그리고 여러분과 매우 가까운 제로 트러스트 이니셔티브에 대해서도 말씀하셨습니다.그들이 적어도 그들이 바라던 문화 변화, 태세 변화, 사이버 레질리언스의 전반적인 개선을 실현할 것이라고 얼마나 확신하십니까?

35:16 제럴드 카론: 네, 제 생각엔...저는 한 걸음 앞으로 나아가는 것이 한 발짝도 내딛지 않는 것보다 나은 타입의 사람이에요.기관, 사무실 등 다양한 곳에서 우리는 모두 다른 상황에 처해 있는 것 같아요.우리는 모두 사물에 대해 서로 다른 투자를 해왔어요.우리는 모두 성숙도가 다릅니다.하지만 모든 사람들이 이 사실을 이해하고 있는 것 같아요.사람들이 이해하기 시작한 것 같아요.아직 어느 정도 교육이 이루어지고 있다고 생각하지만 제 생각에는 모든 사람들이 현재 위치에 따라 올바른 방향으로 나아가고 있다고 생각합니다.

35:44 제럴드 카론 (Gerald Caron): 자, 우리 모두가 같은 시간에 같은 장소에 갈 건가요, 아니면 하루가 끝날 무렵에는 모두 같은 모습을 보일 건가요?아니요, 하지만 제 생각에는... 이 다섯 가지 원칙으로 돌아가는 것이 관건입니다.제가 결국 이 다섯 가지 원칙을 실천하고 있는 걸까요?제가 어떻게 했든, 이 다섯 가지 원칙을 준수할 수 있을까요? 그리고 저는 사이버 보안에 능숙하게 행동하고 있을까요?그걸 증명할 수 있을까요?네.네, 아니오?자, 말씀드렸듯이 하루가 끝날 무렵에는 우리 모두 다르게 보일 거예요.이 다섯 가지 원칙을 지키고 있는 한, 정말 중요하다고 생각해요.모두가 올바른 방향으로 나아가고 있어요.어떤 분야에서는 어려움이 있고 항상 그렇겠지만 저는 앞으로 나아가는 것이 좋다고 생각합니다. 그리고 말씀드렸듯이 한 걸음 앞으로 나아가는 것이 그냥 서 있지 않고 아무것도 하지 않는 것보다는 낫습니다.

36:26 라구 난다쿠마라: 멋지네요.이제 베이비 스텝이나 자이언트 스텝에 대해 말씀드리자면, 연방에서든 전 세계에서든 제로 트러스트와 제로 트러스트 채택의 미래에 대해 가장 기대되는 것은 무엇인가요?

36:42 제럴드 카론: 나를 흥분시키는 것은 무엇인가?제가 무서웠던 것은, 얼마전에 한 분석가와 양자 컴퓨팅에 대해 논의한 적이 있다는 것입니다.우리가 생각하는 것보다 더 빨리 다가올 거예요.양자 컴퓨팅이 도와줄 수 있는 솔루션의 구현은 아닙니다. 하지만 양자 컴퓨팅을 활용하면서 보안을 규정 준수와 다른 방식으로 바라보는 악의적인 행위자이기도 합니다.전체론적으로 바라보지 말고, 더 이상 사일로에 갇히지 말고, 이리저리 들여다보고, 내가 실제로 소유하고 있는 것이 무엇인지, 나에게 가장 중요한 것이 무엇인지, 제가 생각하는 보호 방법을 이해하는 것이 매우 중요하다고 생각합니다.제가 기대하는 것은 바로 이러한 장벽을 허물고 있다는 것입니다.총체적인 접근법이죠.제가 말씀드린 것처럼 효과적이고 더 효과적인 접근법이죠.왜냐하면 양자 컴퓨팅 같은 것들은 정말 겁이 나기 때문이죠.

37:41 제럴드 카론 (Gerald Caron): 제 생각에 우리가 이야기를 나누고 있었던 것 같아요. 그는 10년 후에 그것이 어떤 식으로든 거의 주류가 될 것이라고 말했습니다.그리고 그건 정말 무서워요.자, 그에 대한 행정 명령도 내려진 것 같은데, 여기서 내려야 할 것 같은데...그런 것으로부터 우리 자신을 지키기 위해 움직여야 합니다.그래서 우리는 사이버 효율성을 높일 수 있는 이런 일들을 계속해야 합니다.

38:05 라구 난다쿠마라: 멋지네요.게리, 오늘 저희가 방금 너무 많은 내용을 다뤘습니다. 무엇보다 제로 트러스트 프로그램을 실제로 추진해 온 방법과 모든 세부 사항과 체계적인 접근 방식에 대한 훌륭한 개요가 있다고 생각합니다. 제로 트러스트 여정을 시작하려고 하거나 이미 시작했을 수도 있는 실무자들에게는 금가루에 불과하다고 생각합니다.오늘 시간 내주셔서 정말 감사합니다.바쁜 일정에서 시간을 내어 이 시간을 저희와 대화하는 데 시간을 할애해 주셔서 감사합니다.그리고 네, 감사합니다.

38:41 제럴드 카론: 네, 감사합니다.

38:42 라구 난다쿠마라: 감사합니다.

38:43 제럴드 카론: 초대해 주셔서 감사합니다. 만나서 반가워요. 시간을 내주셔서 정말 감사합니다.

38:51 라구 난다쿠마라: 이번 주 더 세그먼트 에피소드를 시청해 주셔서 감사합니다.더 많은 정보와 제로 트러스트 자료를 보려면 당사 웹 사이트 illumio.com을 참조하십시오.LinkedIn과 트위터 Illumio를 통해서도 저희와 연락하실 수 있습니다.오늘의 대화가 마음에 드셨다면 팟캐스트가 있는 곳 어디에서나 다른 에피소드를 찾아보실 수 있습니다.저는 여러분의 호스트 라구 난다쿠마라입니다. 곧 다시 찾아뵙겠습니다.