우리의 집단적 방어 강화

0:00:03.8 라구 난다쿠마라: The Segment: 제로 트러스트 리더십 팟캐스트에 오신 것을 환영합니다.저는 호스트입니다. 제로 트러스트 세그멘테이션 회사인 Illumio의 산업 솔루션 책임자인 라구 난다쿠마라 (Raghu Nandakumara) 입니다.오늘은 Microsoft의 보안 비즈니스 개발 담당 부사장인 앤 존슨 (Ann Johnson) 이 자리를 함께 합니다.Ann은 22년 간 사이버 보안 업계 베테랑으로 RSA Security, Qualys, Microsoft에서 근무한 경력이 있습니다. Ann은 세계적으로 유명한 연설가이자 저자이며, 기술 분야 및 전 세계의 다양성과 소속감을 적극적으로 지지합니다.또한 Ann은 시애틀 휴먼 소사이어티, 휴먼 시큐리티, 여성 경영진 포럼 등 여러 조직의 이사회에서 자문을 제공하고 활동하고 있습니다.오늘 Ann은 당사와 함께 AI, 일상적인 제로 트러스트 대화, 사이버 레질리언스 모범 사례 등에 대해 논의합니다.저희 팟캐스트인 The Segment에 참여해주셔서 정말 영광입니다.소개 차원에서 사이버 분야에서 쌓아온 배경과 현재 Microsoft에서의 역할에 대해 간단히 말씀해 주시겠습니까?

0:01:12.3 앤 존슨: 네.고마워요, 라구게스트가 돼서 정말 좋아요.저는 현재 Microsoft에서 사이버 보안을 위한 전략적 파트너십과 M&A를 이끌고 있습니다.정말 멋진 일이죠.저는 사이버 보안 분야에서 제가 가장 좋은 직업 중 하나라고 생각합니다. 업계의 모든 것, 최신 정보, 초기 단계들을 살펴보고, 보안이 팀 스포츠라고 근본적으로 믿기 때문에 우리가 모든 사람과 협력하여 진정한 보안 생태계를 구축하는 방법에 대해 생각해 볼 수 있기 때문입니다.RSA Security라는 작은 회사에서 시작한 이래로 저는 23년 동안 사이버 업계에 종사해 왔습니다.저는... 모든 사이버 직원들은 전문 분야를 가지고 있습니다.사실 저는 신원 및 사기꾼입니다. 그래서 제가 아주 오랫동안 사이버 보안 분야에서 일해왔던 곳이죠.Microsoft에서 7년 정도 근무하면서 몇 가지 다른 일을 해봤지만 정말 재미있었습니다. 보안을 단순화하고 궁극적으로는 보안을 강화하는 데 도움이 되는 고객 솔루션을 제공할 수 있다는 점에서 기대 이상이었습니다.

0:02:11.1 라구 난다쿠마라: 정말 놀라워요.사이버 업계에서 그토록 유서 깊은 경력을 쌓으셨군요.이 분야에 계속 관심을 갖고 계속 동기를 부여하는 이유는 무엇인가요?

0:02:21.5 앤 존슨: 매일 바뀝니다.저는 뇌가 절대 꺼지지 않는 사람 중 한 명이고 여러분은 뇌가 집중할 수 있는 건설적인 것들을 찾고 있습니다. 제가 발견한 것은 사이버의 차원은 역동적이고 악의적인 행위자가 변하고 스레드가 바뀌고 풍경이 변한다는 것입니다.그리고 기업들이 현대화되면서 사이버에도 큰 변화가 생겼습니다. 이제 우리는 인공지능이라는 자연어 모델, ChatGPT라는 것이 현실이 되고 있습니다.그래서 굉장히 역동적이고 재미있고 끊임없이 진화하고 있죠.계속 흥미를 가지게 돼요.

0:02:53.5 라구 난다쿠마라: AI와 자연어 모델, ChatGPT에 대해 말씀하셨잖아요.여러분이 보기에 이들이 제기하는 잠재적 위협과 악의적인 행위자가 이를 어떻게 활용할 수 있는지는 매우 현실적일까요, 아니면 현재로서는 현실보다 과대 광고에 더 가깝다고 생각하시나요?이에 대해 어떻게 생각하세요?

0:03:13.3 앤 존슨: 네.그래서 오늘이 진짜인지는 모르겠어요.인공지능과 자연어 모델에 대해 계속 생각해보면 분명 악의적인 행위자들에 의해 남용될 것 같아요. 제 생각에는 두 가지 측면에서 말이죠.첫 번째 방법은 그들이 기술을 활용하여 공격을 시작하려는 것입니다.그들은 기술을 활용하여 공격을 더 쉽고 빠르게 시작할 수 있는 방법을 알아낼 것입니다.하지만 두 번째로 중요한 것은 모델 자체의 보안을 유지해야 한다는 것입니다.데이터를 보호해야 합니다.데이터 중독으로부터 보호해야 합니다.모델 중독으로부터 보호해야 합니다.왜냐하면 사이버와 같은 AI에 대해 생각해보면 미래에 전 세계의 데이터는 어떤 식으로든 그곳에 머물게 될 것이고, 이는 악의적인 행위자를 위한 훌륭한 표적이 될 수 있는 환경이기 때문입니다.

0:03:56.0 라구 난다쿠마라: 물론, 제 생각에 머신 러닝은 초창기엔 그게 항상 도전이었다고 생각합니다. 그리고 지금은 AI로서 그 형태의 지능이 실제로 표현되고 있습니다. 궁극적으로는 여러분이 입력하는 어떤 데이터를 기반으로 하고 어떤 식으로든 데이터를 손상시키거나 결과물에 영향을 미치는 오염을 초래하기 때문입니다.하지만 긍정적인 관점에서 보면, 악의적인 행위자가 AI 모델을 어떻게 활용할 수 있는지를 이해하셨을 겁니다.하지만 이런 것들이 근본적으로 블루 팀, 즉 우리처럼 수비에 강한 팀들이 이런 모델을 활용하여 악의적인 공격자들보다 앞서 나갈 수 있는 잠재력도 있다고 생각하시나요?그 가능성도 보이시나요?

0:04:36.1 앤 존슨: 네, 블루 팀, 레드 팀 뿐만 아니라 우리 내부적으로도 배우들이 무엇을 할 것이라고 생각하는지 배울 수 있는 엄청난 잠재력이 있다고 생각합니다.저는 항상 이 업계에서 우리가 해야 할 일은 그들보다 한 발 앞서 나가는 것이라고 믿어왔습니다. 그래서 저는 항상 낙관적입니다. 그리고 블루 팀과 레드 팀은 이러한 자연어 모델에서 많은 교훈을 얻을 수 있다고 생각합니다.그게 하는 일은 더 평등하게 만든다는 거예요.코더가 아니라면, 코드를 많이 작성한 사람이 아니라고 가정해 봅시다. 이제 실제로 시스템에 프롬프트를 보내고 시스템이 대신 무언가를 실행하도록 할 수 있습니다. 즉, 조사를 하든, 레드팀이든 블루 팀이든 상관없이 갑자기 훨씬 더 많은 청중에게 세상을 열 수 있는 세상이 열린다는 뜻이죠.

0:05:19.6 라구 난다쿠마라: 제 생각에 당신이 설명하는 방식은 정말 훌륭하고 평등주의적이라고 생각합니다. 왜냐하면 사이버 보안은 종종 극소수의 영역인 것처럼 보일 수 있고, 예를 들어 키보드 위에 몸을 구부린 후드를 쓴 Mr. Robot의 전형적인 예가 될 수 있기 때문입니다.하지만 오늘날 보안에 대해 생각하고 보안의 민주화 같은 용어를 들으면서 조직 전체가 힘을 합치는 것이 매우 중요하다고 생각합니다.여러분도 이 점을 매우 잘 알고 계신가요?

0:05:52.3 앤 존슨: 저는 완전히 동의하고 있습니다.저한테는 두 가지 차원이 있어요.첫째, 제가 과거에 말한 적이 있습니다. “사이버 보안 그룹이 더 이상 존재하지 않는데 사이버 보안이 하나의 산업으로 발전했다는 것을 우리는 알고 있습니다.”자, 이건 극단적인 표현이고, 분명히 제가 이 말을 조금 들여다보는 차원에서 하는 말이지요.사이버 보안은 모든 사람이 해야 할 일이며, 사람들이 더 쉽게 도구를 사용할 수 있게 만들고 진정으로 모든 사람의 업무로 만들 수 있을수록 궁극적으로는 더 안전해질 것입니다.두 번째로, 전 세계적으로 사이버 빈곤선이 형성되어 있다는 사실입니다.국가의 공격으로부터 스스로를 보호할 능력이 없는 국가들이 생길 것입니다.사이버 전쟁이 계속해서 동역학 전쟁의 한 요소인 만큼, 최근에 보듯이 사이버 전쟁은 진정한 전쟁의 한 요소입니다. 우리는 이들 국가들이 스스로를 방어할 수 있도록 필요한 기술을 제공할 방법을 찾아야 할 것입니다.사이버 기술이 없거나 사이버 기술을 보유할 돈이 없는 사람들이죠.우리는 그걸 사이버 빈곤선이라고 부릅니다.제 생각에는 이 두 가지 차원이 모두 맞는 것 같아요.저는 AI가 우리의 SOC와 방어자들을 돕고 그들의 일을 더 쉽게 만들어 줄 뿐만 아니라 AI의 민주화가 실제로 업계에 진정한 변화를 가져올 것이라고 진심으로 생각합니다.

0:07:00.1 라구 난다쿠마라: 앤: 정말 대단한 것 같아요.그리고 제 생각에 그 중 일부는 제가 보기에 개별 국가, 분명히 국가 집단의 수준을 높이는 것이기도 하다고 생각합니다.예를 들어, 여기 유럽연합에서는 국가들이 집단적으로 행동하는 경우가 더 많은데, 국가적 차원에서 입법에 의해 전반적인 사이버 보안 태세를 강화하기 위해 국가들이 좀 더 집단적으로 행동하는데, 이는 긍정적인 것일 수 밖에 없습니다.여러분이 설명하는 모든 것과 연계되어 민주화가 더 심해졌죠.그렇게 보시는 거예요?

0:07:30.0 앤 존슨: 저는 그렇게 생각합니다. 민주화도 존재해야 하고 글로벌 표준이 있어야 하고 글로벌 규제가 있어야 한다고 생각합니다.하지만 글로벌 협력도 필요하죠, 그렇죠?협력, 민간 부문, 민간-공공 부문, 공공 부문과 공공 부문.협력과 협력이 증가하고 있지만 우리가 있어야 할 위치에 있지는 않습니다. 사악한 적을 물리칠 수 있는 유일한 방법은 집단적 방어를 통해서입니다.그리고 우리는 집단 방어를 훨씬 더 발전시켜야 합니다. AI는 무기고의 한 가지 도구에 불과해야 합니다.

0:08:00.0 라구 난다쿠마라: 맘에 들어요.저는 집단 방어라는 용어가 좋아요.좋아요.초반부는 거의 미래가 어떻게 될지 기대하면서 보냈다고 생각해요. 이제 잠시 뒤로 돌아가서 질문해 볼게요. 사이버 업계에서 시간이 흐르면서 사이버에 대한 우선순위와 접근 방식이 어떻게 발전해 나가는 것을 보셨나요?제가 듣던 팟캐스트를 듣고 보니, 유수일 선생님이 사이버 보안의 다양한 시대에 대해 설명했던 에피소드였던 것 같아요.그 시대에 대해 어떻게 생각하세요?

0:08:31.3 앤 존슨: 제 생각에 사이버 보안의 첫 시대는 사람들이 몇 개의 방화벽을 세웠을 것입니다. 아마도 인증을 위해 토큰을 사용하고, 라우터를 사용하고, 바이러스 백신 소프트웨어를 가지고 있었을 것입니다.그랬더니 “알겠어.우리 모두 괜찮아요.”“모든 것을 주변 환경에 두지 마세요.” 라는 거였어요.“우리 직원들이 모두 사무실로 출근하고 있어요.그들은 우리가 발행한 디바이스를 사용하고 있습니다.”노트북도 아닐 수도 있고, 일부는 그린 스크린일 수도 있습니다.그리고 CIO가 가장 걱정했던 것은 누군가가 데이터 센터의 악성 서버를 연결하는 것이었습니다. 그렇죠?그리고 우리는 이런 세상으로 발전했습니다. 이제 갑자기 이동성이 좋아지고 사람들이 다양한 장치를 사용하게 되었습니다. 그리고 Bring Your Own Device 컨셉이 생겼습니다.그나저나, 어디선가 보안 침해가 발생했다고 가정하기 시작했는데...이제 10년 정도 됐을 거예요. 보안 침해를 가정하기 시작했죠.사용자 환경에 누군가가 있는 것으로 가정합니다.그럼 어떻게 그들을 격리할 수 있을까요?어떻게 하면 피해를 최소화할 수 있을까요?어떻게 찾을 수 있을까요?어떻게 하면 그들을 퇴거시킬 수 있을까요?그래서 도구가 바뀌기 시작했죠.더 이상 모든 사람을 쫓아낼 수 없었죠.사람들이 어디서나 어떤 디바이스로든 작업하기를 원했기 때문에 실제로 사람들에게 액세스 권한을 부여해야 했습니다.어떻게 하면 안전하게 할 수 있을까요?

0:09:33.1 앤 존슨: 마치 두 번째 시대 같았죠.지금 다루고 있는 세 번째 물결은 전 세계 직원의 87~ 90% 가 재택근무를 하면서 팬데믹으로 인해 크게 가속화되었습니다.갑자기 안전하지 않을 수 있는 하이브리드 환경이 생겼고, 키오스크에서 일하거나 자녀가 학교 공부를 할 때 사용하는 것과 동일한 장치를 사용하는 사람들이 생겼습니다. 그래서 우리는 완전히 다른 방법을 도입했습니다.조금 뒤로 돌아가 이제는 오피스에 더 많은 사람들이 있고, 일부 사람들은 여전히 집에 있거나, 때때로 사무실이나 집에 있습니다. 진정한 하이브리드이지만 새로운 AI 도구도 있습니다.다시 말씀드리지만, 어떻게...오늘날 CISO들이 여전히 저에게 말하는 가장 큰 문제는 가시성입니다.그렇다면 환경에 심각한 문제가 발생하고 있다는 것을 어떻게 파악하고 매우 빠르게 감지하여 피해를 입히지 않도록 막을 수 있을까요?이는 마치 툴링의 세 번째 물결처럼 데이터가 전부입니다.사람들은 그저 놀러 다니기 위해 여러분의 환경에 들어오는 것이 아닙니다.정말 중요한 것은 데이터에 관한 것입니다.

0:10:33.8 라구 난다쿠마라: 정말 흥미롭네요.마지막으로 말씀하신 내용을 다시 말씀드리자면, 가시성이 가장 중요합니다.생각해보면 새로운 기술을 배포할 때 주변에서 어떤 일이 벌어지고 있는지 완벽하게 이해하려면 가시성을 가장 먼저 고려해야 한다는 생각이 듭니다.많은 조직에서 이러한 차이가 여전히 큰 이유는 무엇일까요?적절한 장소에서 충분한 가시성을 확보하지 못하는 이유는 무엇일까요?

0:11:01.1 앤 존슨: 엄청 어렵기 때문이죠.기술적 부채와 레거시 시스템, 서로 다른 시스템, 악성 클라우드 환경, SaaS 앱에 가입하는 사용자, 자체 디바이스로 작업하는 사용자, 생산성과 보안 간의 균형을 맞춰야 하는 필요성 등을 생각하면 환경 전체를 완벽하게 파악하기가 정말 어려워집니다.아직도 Windows NT 또는 Windows 95 시스템을 사용하고 있는 사람들도 있습니다.클라우드 유형 환경을 고려하지 않는 사용자에게는 어떤 가시성을 제공할 수 있을까요?클라우드 연결이 없는 제조 라인도 있습니다.해양 생산 시스템을 갖춘 석유 회사, 자동 채굴 트럭이 회사 사무실에서 3,000마일 떨어져 있지만 800개의 센서를 탑재한 전 세계 광산 회사가 있습니다.가시성을 확보하는 것은 정말 어려우며 사람들이 어려움을 겪고 있습니다. 보안 업계에서 할 수 있는 가장 좋은 일은 CISO가 최소한 공격 표면이 어떤 모습인지 파악하고 적절한 제어를 할 수 있도록 가시성을 지속적으로 개선하는 것입니다.

0:12:00.0 라구 난다쿠마라: 그렇다면 여러분이 맡은 역할에서, 다양한 산업 및 국가 등의 사이버 리더들과 이야기를 나눌 때 그들이 가장 우려하는 것은 무엇이라고 말할까요?그들은 또한 “무슨 일이 벌어지고 있는지 모르겠다”라는 말과 일치합니까, 아니면 약간 상향 조정된 것일까요?

0:12:19.1 앤 존슨: 그들은 일반적으로, 그리고 이것은 아주 포괄적인 진술입니다. 그들은 일반적으로 자신이 알고 있는 것들에 대해 꽤 기분이 좋습니다.그들이 알고 있는 위협, 볼 수 있는 장치, 그들은 일반적으로 보안 통제가 잘 되어 있다고 생각합니다.우리가 모르는 것은 오래된 것이죠.그리고 걱정되는 것은 누군가가 일종의 악성 시스템에서 18개월 동안 자신의 환경에 있었을 수도 있고, 누군가가 새로운 SaaS 앱을 온라인에 가져왔을 때 회사에, 그리고 어떻게 데이터를 공유하고 있는지 말하지 않았다는 것입니다.ChatGPT는 그 범주에 속합니다.우리가 받는 많은 질문은 “직원들이 이런 시스템에 어떤 잠재적 기밀 데이터를 입력하는지 알 수 없습니다.”그래서 그들은 이 문제에 대해 극도로 우려하고 있습니다.조직의 생산성을 극대화해야 하는데 사람들이 무엇을 하고 있는지 전혀 알 수 없습니다.그리고 그들이 무엇을 하고 있는지 파악할 수 없다면 우리는 그것을 보호할 수 없습니다.

0:13:05.0 라구 난다쿠마라: 맞아요.뭐, 일종의 캐치-22 같은 거죠.생산성이 필요한데, 생산성을 확보하기 위해서는 더 나은 가시성이 필요하죠.가시성이 없어서 가시성을 확보하는 방법을 모르기 때문에 생산성 향상에 대한 요구를 어떻게 지원해야 할지 모르겠습니다.그리고 여러분은 그 사이클에 들어가게 되죠.자, 약 10년 전에 말씀하셨던 내용으로 돌아가 볼까요? 보안 침해 사고 방식이 떠오르고 있는데, 복구나 복구에만 충분할 뿐만 아니라 실제로 생존할 수 있을 것이라고 가정하는 사고방식이죠.그래서 저는 이것을 제로 트러스트에 대해 이야기하기 위한 후속작으로 삼고 싶습니다.첫 번째 질문은 제로 트러스트라는 용어를 언제 처음 접하셨는가입니다.여러분에게 어떤 의미이며 어떻게 생각하시나요?

0:13:51.4 앤 존슨: 자, 몇 가지.첫째, 제로 트러스트라는 개념은 정말 멋진 개념이라고 생각해요.제가 언제 처음 왔어요...제로 트러스트를 처음 접했을 때는 기억나지 않지만 5~7년 전이라고 가정해 봅시다. 그냥 그 기간에 맞춰보죠.제 생각에 문제는 이 말이 아무도 제대로 이해하지 못하는 무정형의 용어가 되어버렸다는 점인 것 같아요.그리고 한동안은 마케팅 용어였는데 원칙에 대한 근거도 없이 사람들이 그냥 “야, 우린 제로 트러스트야.” 라고 말하죠.그래서 우리에겐 아주 분명한 원칙이 있습니다.첫 번째로 해야 할 일은 명시적으로 확인하는 것입니다.세션에서 일어나는 모든 일을 검증해야 합니다.환경을 통과하는 단일 데이터, 인증, 이상 현상 등 무엇이든 상관 없습니다. 두 번째는 최소 권한 액세스를 사용한다는 것입니다.모든 사용자에게 최소 권한 액세스를 사용해야 합니다.대부분의 최종 사용자에게는 랩톱에 대한 관리자 권한이 필요하지 않습니다.일종의 보안 관리자 워크스테이션이 필요합니다.그리고 이러한 정책은 상황에 맞게 조정할 수 있어야 합니다. 그래야 사람들이 필요할 때 필요한 적시 특권을 누렸다가 사라지고 로그인과 감사를 거쳐야 합니다.

0:14:50.6 앤 존슨: 세 번째는 위반을 가정하는 것입니다.항상 환경에 누군가가 있다고 가정하고, 완전한 가시성을 갖추지 못한다고 가정하고, 여기서 암호화, 데이터 보호, DLP에 대해 알아보고 이에 대한 매우 성숙한 프로그램을 갖추어야 합니다.이는 매우 어려운 일입니다. 사람들은 자신의 모든 데이터가 어디에 있는지 모르고 어디에 있는지 모르는 데이터를 보호하기가 정말 어렵기 때문입니다.제가 보기에 제로 트러스트는 사이버 보안의 기본입니다.그런데 대부분의 고객은 알고 있든 모르든 제로 트러스트 여정을 밟고 있습니다.이 중 일부는 이미 하고 있고, 프로그램의 성숙도가 어느 정도인지 알 수 있을 뿐입니다.어떤 프로그램들은 다른 프로그램들보다 성숙도가 더 높고, 전형적인 얼리어답터들이 다른 프로그램들보다 성숙도가 더 높습니다.하지만 사람들은 종종 제게 이렇게 묻습니다. “어디서부터 시작해야 할까요?어떻게 해야 돼요?”제가 그들에게 말하는 것 중 하나는 최소 권한 액세스가 시작하기에 정말 좋은 곳이고, 100% 사용자 환경에 액세스하는 100% 의 사용자에게 다단계 인증은 시작하기에 정말 좋은 곳이라는 것입니다.

0:15:43.3 라구 난다쿠마라: 저도 동의합니다.제 생각에는 선생님이 설명해 주신 내용을 듣고 제가 학부 시절 컴퓨터 과학 과정에서 보안에 관한 모듈을 몇 개 들었을 때 제로 트러스트가 실제로 이야기하고 설교하는 내용 중 상당수가 컴퓨터 보안, 정보 보안, 최소 권한 등의 공리인 것 같습니다.그리고 제게는 이런 생각이 들어요. 왜 이런 모범 사례를 처음부터 따르지 않다가 애초에 했어야 했던 일을 수용하기 위해 우리가 가진 것을 거의 역설계하고 있는 걸까요?왜 이런 격차가 생긴 걸까요?

0:16:18.6 앤 존슨: 네, 제 생각에 사람들은 액세스 권한을 너무 많이 받는 것 같아요. 직원들이 생산성 문제를 겪는 것을 원하지 않기 때문이죠.그나저나 그건 알아요.그러니까 말 그대로 생산성이라는 이유 때문에 액세스에 대한 과도한 권한이 부여되는 거죠. 액세스에 대해 어떻게 생각하는지 정말 과학적으로 생각해야 합니다.우리는 업계에서 모든 사람들이 보안 침해를 가정한다고 이야기합니다. 그 중 하나는 매우 잘 알려져 있다고 생각하지만 세션에서 발생하는 모든 일을 명시적으로 확인하는 것은 더 어렵습니다.왜냐하면 예전에도 그랬고, 아시다시피 보안에 대해 걱정하는 사람이 있으면 아무리 강력하게 인증했더라도 강력하게 인증을 하곤 했고, 그 다음에는 일종의 역할 기반 액세스 제어가 있었고, 그걸로 충분하죠?이제 말씀드리자면, 아니요, 그걸로는 충분하지 않습니다.사실 누군가의 세션에서 발생하는 모든 트랜잭션은 조사를 받아야 합니다. 소프트웨어에 영향을 미치는 악성 멀웨어가 있을 수 있기 때문입니다.데이터에 영향을 미치는 악성 멀웨어가 있을 수 있습니다.누군가 세션을 하이재킹했을 수도 있습니다.누군가 그 사람들을 따라 세션에 들어왔을 수도 있었을 텐데그래서 우리는 “세션에서 일어나는 모든 일을 명시적으로 확인”하는 것이 어렵고 새로운 방법이라고 말하고 있습니다. 하지만 궁극적인 보안을 유지하기 위해서는 그곳이 정말 필요합니다.

0:17:25.9 라구 난다쿠마라: 그러면 고객이 요구하는 것과 실행 대상으로 전환되는 것은 무엇일까요?일반적으로 어떤 대화를 나누시나요?그리고 제 생각엔 당신의 역할이 바로 그 임원급 수준인 것 같아요.대화는 XYZ 조직에서 시작되었나요? “우리는 제로 트러스트 프로그램을 구축하고자 합니다.어떻게 해야 하나요?”아니면 “우리가 곧 착수할 일종의 변화를 보여드릴게요.보안이 이러한 변화를 지원하는 데 가장 적합하다는 것을 어떻게 보장할 수 있을까요?”궁극적으로 “제로 트러스트를 채택해야 한다”는 의견으로 이어지는 대화의 본질은 무엇일까요?

0:18:06.5 앤 존슨: 그게 이상적일 거예요. 당신이 말한 것 중 후자가 이상적일 거예요.“회사가 대대적인 변혁을 겪을 예정이니 조기에 보안을 도입하자”는 것이 가장 이상적일 것입니다.원하는 만큼 자주 일어나지는 않습니다.점점 나아지고 있어요.그나저나 보안은 이제 이사회 차원의 논의가 되었습니다.비즈니스 부서에서는 보안 동료들이 자신을 차단하려는 것이 아니라 단지 안전한 비즈니스를 가능하게 하려고 한다는 사실에 점점 더 익숙해지고 있습니다.그리고 보안이 원동력이 되어야 하겠죠?따라서 이상적으로는 기업이 새로운 것을 시도하고 그 일을 어떻게 할 것인지 실질적으로 생각할 때 일어나는 일입니다.제로 트러스트 아키텍처의 좋은 소식은 이 아키텍처에 많은 부분을 집어넣을 수 있다는 것입니다.아키텍처가 이미 존재한다면 다른 비즈니스 라인을 도입한다고 해서 다른 조치를 취해야 하는 것은 아닙니다.

0:18:48.4 앤 존슨: 실행, 예를 들어 설명하겠습니다. Microsoft Conditional Access와 같은 기능을 실행하는 것은 사용자 관점에서 세션에서 발생하는 모든 트랜잭션을 살펴보는 것이야말로 훌륭한 제로 트러스트 전략을 수립할 수 있는 토대 중 하나입니다.디바이스 상태, 디바이스의 상태, 디바이스가 이 세션에서 무엇을 하고 있는지, 이를 살펴보는 기술 등을 살펴봅니다.그러면 고객이 매번 보안 문제를 겪지 않아도 되도록 비즈니스를 활성화할 수 있다면 말이죠.좋은 제품을 출시할 때마다 제로 트러스트의 원칙을 따르기만 하면 됩니다.그리고 진정한 비즈니스 조력자일 뿐만 아니라 보안을 더 효과적으로 만들고 보안을 더 간단하게 만들어 줍니다.이것이 훌륭한 제로 트러스트 프로그램을 운영하기 위한 궁극적인 척도입니다.

0:19:27.6 라구 난다쿠마라: 제 생각에는 이것이 바로 이상적인 상태라고 생각합니다. 즉, 비즈니스 또는 애플리케이션 개발자 등이 보안 요구 사항을 준수하고 그에 따라 구축하기만 하면 동급 최고의 보안을 얻을 수 있고 최소 권한 액세스가 가능하며 혁신이 어떤 식으로든 방해받지 않을 것이라는 것을 알고 있습니다.그렇다면 Microsoft의 관점에서 볼 때 이를 지원하기 위해 고객에게 제공하고 있는 주요 기술 지원 요소는 무엇이라고 생각하십니까?

0:20:05.8 앤 존슨: 네.우리의 제로 트러스트 전략은 모두가 다른 방식으로 접근하는데, 우리의 정체성에서 시작됩니다.우리는 아이덴티티가 매우 강하고 Microsoft Entra Suite를 보유하고 있기 때문에 제로 트러스트는 거기서부터 시작됩니다.그리고 비즈니스용 Windows Hello 또는 Azure Authenticator와 같은 강력한 인증으로 시작되며, 우리와 통합된 타사도 있습니다.따라서 사용자를 강력하게 인증하는 것으로 시작한 다음 조건부 액세스를 사용합니다. 따라서 모든 앱 액세스와 모든 앱이 조건부 액세스에 연결되어 있는지 확인하고 세션 내에서 일어나는 모든 일의 상태를 그러한 관점에서 살펴보고 있습니다.아시다시피 저희는 많은 파트너십을 맺고 있습니다.우리는 엄청난 양의 파트너십을 맺고 있습니다.네트워크 제어, 제어 유형, 보안 웹 게이트웨이, 제어 유형 등 개별적이거나 명시적인 기술이 없는 분야에서는 파트너 에코시스템과 일부 Microsoft 자사 솔루션을 기반으로 하는 매우 강력한 제로 트러스트 제품이 필요하다는 쪽으로 더 나아가고 있습니다.따라서 향후 12개월, 18개월, 24개월 동안 우리는 그 방향으로 훨씬 더 나아가고 있다는 것을 알 수 있을 것입니다.

0:21:07.1 라구 난다쿠마라: 그리고 보이시나요...NIST 제로 트러스트 아키텍처를 다시 생각해 보면 이 통합 컨트롤 플레인의 개념이 있는데, 이 개념은 필요에 따라 개별 정책 적용 지점을 통해 활성화되고 시행됩니다.미래의 어느 시점에는 모든 기둥에 걸쳐 제로 트러스트 적용을 제공할 수 있는 진정한 단일 정책 형태의 컨트롤 플레인이 등장하게 될 것이라는 것이 현실적이라고 생각하십니까?Forrester의 원래 제로 트러스트에 대한 정의와 그들이 말하는 핵심 요소들을 다시 언급한다면, 그것이 현실적이라고 생각하시나요?

0:21:50.9 앤 존슨: 우리는 수십 년 동안 단일 창으로 수많은 컨트롤을 할 수 있는 제품을 만들려고 노력해 왔습니다.이상적으로는 누군가가 상호 작용해야 하는 제어 기능이 거의 없거나, 최종 사용자가 복잡하게 처리하지 못하도록 하는 제어 기능이 거의 없는 것이 이상적입니다.Microsoft의 경우 내부적으로 파트너 솔루션이 있더라도 최종 사용자와 관리자가 한 곳에서 모든 제어 관리를 수행할 수 있도록 복잡성을 없애고 있습니다.우리는 아직 거기 있지 않습니다.산업으로서 우리는 거기에 있지 않습니다.여러분 모두가 Zero Trust를 사용하여 많은 일을 하고 있다는 것을 알고 있습니다. 하지만 솔루션을 더 간단하게 만들고 컨트롤과 관리자가 단일 콘솔에서 작업할 수 있는 기능을 더 세밀하게 조정할 수 있을수록 업계는 더 좋아질 것입니다.따라서 이는 야망입니다.

0:22:34.2 라구 난다쿠마라: 그리고 보이시나요...그 점에 점점 더 가까이 다가가려면, 그리고 서로 어떤 식으로든 상호작용할 수 있는 컨트롤 플레인이 몇 개 있다면 그걸로 충분할 수도 있습니다.하지만 여기서 말하는 핵심이 뭐냐면...제로 트러스트의 현대적 정의인 제로 트러스트는 무엇보다도 위험 기반의 상황 기반 정책 정의 능력에 대해 이야기합니다.그렇다면 이것이 중요할까요?이러한 작업을 일관되게 수행하려면 컨트롤 플레인이 동일한 상황과 동일한 위험 관점을 공유하는 것이 필수적이라고 생각합니다.그게 첫 번째 단계인 것 같은데요?

0:23:19.7 앤 존슨: 따라서 세그멘테이션 플랫폼을 생각해 보면 사용자가 모든 워크로드와 디바이스를 실제로 파악할 수 있는 사용자 제어 공간인 다음 Zero Trust 제어 플랜의 하부 또는 병행하여 실행할 수 있는 범위까지 세분화된 세분화 정책을 설정할 수 있습니다. 단 한 번의 클릭으로 사용자를 Illumio로 안내할 수 있습니다.하지만 제가 생각하는 이상적인 시나리오는 이런 에코시스템을 갖추고 있고 마이크로소프트가 우리 플랫폼, 엔트라 플랫폼을 통해 생태계의 최전선에 서 있고 모든 데이터가 우리에게 전달되고 조건부 액세스를 거치는 것입니다. 우리가 솔루션의 100% 를 차지하지는 않을 것이기 때문에 우리는 특정한 작업을 하기 위해 Illumio와 같은 곳을 활용하지만 최종 사용자가 완전히 시스템을 가동해야 하는 복잡성을 모호하게 만들고 있습니다. 이 작업을 수행하려면 다른 콘솔이 필요합니다.그게 이상적이야.

0:24:10.3 라구 난다쿠마라: 네, 물론이죠.하지만 흥미로운 점은 말씀하신 방식이 매우 정확하고 궁극적으로는 이상적인 시나리오가 있다고 생각한다는 것입니다. 하지만 오늘날 동급 최고의 솔루션을 통합하여 일관성을 유지할 수 있는 방법은 무엇일까요? 왜냐하면 오늘날 어떤 고객도 시장에 가서 이렇게 말할 수 없기 때문입니다. “안녕하세요, 저는 모든 것을 포괄하는 제로 트러스트 솔루션을 구매하겠습니다.클릭, 완료.저는 제로 트러스트예요.”지금은 아무도 안 그러고 있어요.

0:24:42.5 앤 존슨: 아니요.하지만 이것이 바로 우리의 야망이 플랫폼이고 다른 사람들이 그 위에 구축하는 플랫폼이 되는 이유입니다.플랫폼을 기반으로 솔루션을 구축하면 트래픽이 우리에게 오고 조건부 액세스를 통해 전달되며, Zero Trust 생태계에 도입하고 있는 다양한 파트너와 함께 피드백을 제공할 수 있습니다.우리의 야망은 여기서 말하는 것과 정확히 일치하지만, 우리는 아직 거기에 도달하지 못했고 아마도 18개월, 24개월 정도 남았을 것입니다.

0:25:08.4 라구 난다쿠마라: 물론이죠.그럼 신나는 18개월, 24개월이네요.그리 멀지 않은 시점입니다.그래서 저는 조금 방향을 바꿔서 여러분이 어떻게 보고 있는지, 즉 미국뿐 아니라 전 세계적으로 어떤 일이 벌어지고 있는지, 제로 트러스트의 채택을 주도하거나 가속화할 것이라고 생각하는 것에 대해 말씀드리고자 합니다.모두가 바이든의 명령과 그에 따른 후속 조치에 대해 이야기하지만, EU, NIS2, DORA와 같은 것들도 보이고 있습니다.그리고 APAC 등에서도 비슷한 규제가 나오고 있습니다.이 법률과 규정이 더 나은 보안 관행의 채택을 실제로 가속화하는 데 얼마나 도움이 될 것이라고 생각하시나요?상당히 긍정적인 결과가 나올 것이라고 생각하시나요?

0:25:55.2 앤 존슨: 제 생각에는 그 정도면...보세요, EU는 거의 사이버 돔을 설치해서 EU 내에 집단 방어를 한다는 컨셉으로 정말 흥미로운 일을 해냈어요.그리고 이러한 유형의 규정, 그런 유형의 요구 사항, 그리고 앞으로 나아갈 프레임워크는 정말 영향력이 크고 의미가 있습니다.글로벌 환경에서 일하는 고객이 안고 있는 문제 중 하나는 규정의 일관성이 결여된다는 것입니다.예를 하나 들어볼게요.GDPR의 좋은 점 중 하나는 일관성을 이끌어낸다는 것입니다.좋든 싫든 대화는 중요하지 않습니다.대화는 개인 정보 보호 관점에서 EU에 있을 때 어떤 요구 사항이 있었는지 이해하는 것입니다.따라서 보다 조율되고 일관적인 규제를 만들 수 있고 업계가 규제 기관에 대한 교육을 돕고 규제 기관이 전문가들과 대화할 수 있다면 거기에는 엄청난 가치가 있을 것이라고 생각합니다.저는 그렇게 생각합니다.

0:26:47.6 앤 존슨: 그리고 AI를 포함한 기술의 모든 부분에 걸쳐 규제에 대해 건설적인 대화를 나눌 기회를 환영합니다. 규제가 필요하기 때문입니다.하지만 어려운 점은 다음과 같은 경우제 생각엔 그 수가 250명 정도인 것 같아요.Microsoft는 규정 준수가 필요한지 알아보기 위해 매일 전 세계 약 250개의 고유한 규정을 살펴봅니다.지역별 일관성을 강화해야 합니다.결국에는 조직이 규정 준수를 위해 노력하면서도 보안 프로그램을 운영하고 비즈니스를 운영하는 것이 정말 어렵기 때문에 더 많은 글로벌 표준이 필요합니다.

0:27:24.0 라구 난다쿠마라: DORA와 같은 것을 생각하신다면 사이버 레질리언스와 이를 향한 움직임에 대해 매우 열정적으로 이야기하신다면, 특정 산업에 일관성을 가져다 준다고 생각하시나요?아니면 국가 차원에서 제정해야 한다는 것이 여전히 문제일까요? 그렇게 되면 얼마나 빨리 채택될 것인지에 대한 복잡성 등이 뒤따르게 되는 것일까요?

0:27:51.8 앤 존슨: 네, 맞는 것 같아요.저는 국가 내의 독특함이 생각지도 못한 복잡성을 야기할 것이라고 생각합니다.공격으로부터 회복할 수 있는 능력이 가장 중요합니다.공격 후 핵심 비즈니스 시스템을 온라인 상태로 되돌릴 수 있는 능력은 가장 중요한 것 중 하나입니다. 많은 오버헤드 없이 조직이 이를 수행할 수 있도록 실제로 지원하는 모든 규정은 환상적이라고 생각합니다. 하지만 국가별, 비즈니스별로 실제로 구현하려면 많은 복잡성이 수반될 것입니다.

0:28:27.0 라구 난다쿠마라: 그렇다면 조직의 관점에서 이 점을 조금 바꾸면 사이버 레질리언스에 대해 어떻게 생각해야 할까요?이사회가 만족하고 최소한의 생산성을 보장하는 수준의 사이버 레질리언스를 제공하기 위해 적절한 통제 수단을 구축하는 방안을 어떻게 생각해야 할까요?

0:28:48.9 앤 존슨: 네.그리고, 라구, 이건 가끔 제 팟캐스트를 들으시니까 제가 이야기를 많이 하고 글을 쓰는 등 제가 열정을 가지고 있는 부분이에요.기업이 가장 먼저 알아야 할 것은 핵심 비즈니스 시스템이 어디에 있는지입니다.비즈니스를 운영하기 위해 반드시 온라인 상태여야 하는 3~5개, 10개 또는 기타 시스템은 무엇입니까?이게 뭐죠?급여부터 고객에 이르기까지 모든 것이 바로 그것입니다.비즈니스를 계속 이어갈 수 있는 요인은 무엇일까요?그게 1위예요.그 데이터가 어디에 있는 걸까요? 두 번째죠.일단 그걸 확인하고 나면 뭐가 뭔지 알 수 있죠...많은 보안 프로그램에서 이야기하겠지만, 모든 것을 보호할 자원이나 인력이 없을 수도 있지만, 보안을 유지해야 하기 때문에 최고의 보석처럼 여기고 있습니다.그렇다면 페일오버 계획은 무엇일까요?해당 시스템이 모두 다운되었다고 가정해 보겠습니다. 해당 시스템의 이중화는 어디에 있습니까?

0:29:33.7 앤 존슨: 클라우드 환경이 있습니까?오프쇼어에 리던던시가 있습니까?해당 시스템에 대해 다른 국가에 리던던시가 있습니까?어떻게 의사소통을 할 건데?전자 메일 시스템이 손상되어 메시징 시스템도 손상되었을 수 있습니다. 이벤트가 발생하면 조직 내부적으로 어떻게 커뮤니케이션할 계획입니까?무슨 일이 일어날까요?분명 있을 거예요규제 당국과 대화할 사람은 누구이며 규제 당국과 어떻게 대화할 건가요?누가 공개적으로 발언하고 어떻게 공개적으로 발언할 건가요?변호사들과 대화할 사람은 누구인가요?누가 직원들과 대화하고 있으며, 직원들과 어떻게 대화하고 있나요?사고 대응 업무를 담당할 유보금 계약을 이미 제3자와 체결한 적이 있습니까?시스템을 재구축할 제3자가 리테이너에 있습니까?정말 전략적으로 들리겠지만 백업은 어디에 있고 백업에서 복구할 수 있는지 실제로 테스트해 보셨나요?

0:30:26.3 앤 존슨: 또한 백업이 손상될 수 있는 상태로 유지되고 있습니까?랜섬웨어 공격자들이 가장 먼저 하는 일 중 하나는 백업을 실제로 손상시키고 싶어하기 때문에 백업을 찾으러 가는 것입니다.따라서 이 모든 것들은 반드시...그러니까 기술적인 측면뿐만 아니라 비즈니스 측면에서도 그렇습니다.그리고 나서 실제로 테이블 위에서 연습을 해야 하고, 이런 행사를 가졌다고 가정하고 실제로 계획을 세워야 합니다.계획을 몇 번 실행해야 합니다.우리는 모두 빨간색 팀 구성, 파란색 팀 구성, 보라색 팀 구성을 하지만 테이블 위에서 “환경이 완전히 다운되었습니다.” 라고 말하는 운동을 하시나요?이제 어쩌죠?”그리고 일 년에 두어 번, 운영 담당자뿐 아니라 경영진, 그리고 잠재적으로 일 년에 한 번은 이사회와 함께 해야 합니다.이러한 모든 사항을 모범 사례로 권장하고 있습니다.

0:31:05.0 라구 난다쿠마라: 제가 좋아하고 마지막에 말씀하셨던 부분은 사이버 규정 준수가 의미하는 바를 향해 나아가고 있다는 것입니다.멀어지면...제 생각에는 말씀하셨지만 입에 담아두고 싶지 않은 것은 체크박스 연습에서 벗어나 위협이 주도하는 공격적인 보안 주도 운동으로 전환하라는 것입니다. 보라색 팀 운동이든, 실제 통제 수단을 테스트하는 테이블 위 연습이든 상관 없습니다. “좋아요.X를 수행하도록 구성되어 있나요?Y를 수행하도록 구성되어 있나요?”등등.

0:31:45.6 앤 존슨: 맞아요.말씀드렸듯이, 풀어야 할 것이 정말 많아요.첫 번째 질문은 “누구의 직업인가요?조직의 사이버 레질리언스를 소유한 사람은 누구인가요?”그리고 사이버 레질리언스 계획을 보면 제가 생각할 수 있는 모든 조직, 모든 대규모 조직은 자연 재해 계획을 가지고 있습니다.지역에 자연 재해가 발생한 경우 비즈니스를 다시 온라인 상태로 전환하고 직원을 안전하게 보호하는 방법 등에 대한 계획을 가지고 계실 텐데요, 사이버에도 이와 똑같은 계획이 필요합니다.그럼 누구의 일일까요?여러분의 회복력을 발휘하는 사람이 바로 사람들인가요?귀사의 사이버 팀인가요?모든 결정은 이벤트 이후가 아니라 지금 내려야 합니다.

0:32:24.2 라구 난다쿠마라: 그 다음, CISO가 반드시 이사회에 보고해야 하는 주요 사항은 무엇입니까? 이는 실제로 보안 프로그램이 비즈니스 목표와 어떻게 연계되는지를 이사회와 CEO에게 명확하게 보여 주는 것일까요?예를 들어, 세 가지 핵심 사항이 무엇일까요?

0:32:45.9 앤 존슨: 네.먼저 말씀드리고 싶은 것은 이사회가 보안 담당자가 아니라는 것을 이해하라는 것입니다.심지어 기술 담당자도 아닐 수도 있습니다.먼저 이해하세요. 이사회에 어떤 이야기를 하든 이사회가 이해할 수 있는 언어로 표현해야 하기 때문입니다.이사회가 이해하는 언어는 위험입니다.따라서 논의하는 모든 내용은 비즈니스 위험과 관련이 있어야 합니다.이것은 아주 기본적인 예일 뿐입니다.“우리 조직에 다단계 인증을 도입하지 않으면 여전히 가장 큰 공격 벡터가 피싱과 취약한 암호를 사용하는 사람들이라는 것을 알기 때문에 위험이 훨씬 더 커집니다.”따라서 이러한 위험은 기업에서 이해할 수 있어야 합니다. 특히 이에 대한 예산을 마련하려고 할 때는 더욱 그렇습니다.하지만 이사회 차원에서는 아주 간단하게 다루고, 아마도 가장 중요한 10가지 위험을 짚어보고, 위험 표현으로 다루고, “이봐, 우리의 엔드-투-엔드 암호화 전략에 대해 얘기하고 싶다”는 말은 하지 않는 것이 좋습니다.암호화 전략을 사용하는 이유와 이를 통해 얻을 수 있는 목표, 비즈니스 위험을 줄일 수 있는 방법에 대해 이야기해 보세요.이것이 바로 CISO에게 권장하는 바입니다.그리고 CISO는 예전에는 정말 기술적인 역할이었죠.그들은 이제 CISO가 기술을 이해하고 기술을 비즈니스에 적용하는 것을 이해하는 정말 훌륭한 비즈니스 인력이 되어야 하는 상황에 도달하고 있습니다.

0:33:58.9 라구 난다쿠마라: 정말 흥미롭네요.물론이죠.CISO의 발전은 매우 기술적이고, 내면적이고, 거의 기술에 가까웠지만, 이제는 훨씬 더 비즈니스에 연계되고 비즈니스에 초점을 맞추고 이 둘을 결합할 수 있게 되었습니다.하지만 이사회와의 의사소통에 대해 말씀하셨는데, 마치 말씀하신 것이 기술에 대해 이야기하고, 예를 들어 암호화에 대해 이야기하고, 이것이 어떻게 비즈니스 이점을 제공하는지에 대해 이야기한 것과 거의 같습니다.제 생각에는 여전히 이사회가 이를 매우 낮은 수준으로 끌어올리는 것처럼 느껴지는데, 이는 아마도 그들이 이해하지 못할 수 있는 용어나 개념일 수도 있습니다.이에 대해 좀 더 얘기해 주실 수 있나요?

0:34:42.3 앤 존슨: 네.제가 말씀드린 것을 명확히 설명해 드릴게요.아니요, 이사회에 암호화에 대해 얘기하는 건 아닌 것 같아요.어떤 기술에 대해 이야기하든 비즈니스 위험만 이야기해야 한다고 생각합니다.귀사의 데이터 보안 프로그램이란 무엇이며 이를 통해 비즈니스 위험을 어떻게 줄일 수 있을까요?당신이 말하는 모든 것은 비즈니스 위험이어야 합니다.하지만 아니요, 암호화에 대해 이사회와 논의할 필요는 없다고 생각합니다. 제가 말하고자 했던 요점이 바로 그것입니다.기술에 대해 얘기하지 마세요.비즈니스 위험과 프로그램이 어떻게 비즈니스 위험을 낮출 수 있는지에 대해 이야기하세요.

0:35:08.4 라구 난다쿠마라: 네.아니요, 이해했어요.좋아요.분명히 말씀드리지만, 거기에는 어떤 모호함도 없습니다.이제 우리는 사이버 리더에 대해 이야기하고 있는데, 사이버 업계에서 일하면서 보셨던 CISO의 진화에 대해 이미 말씀하셨을 겁니다.이러한 진화가 향후 몇 년간 어떤 결과로 이어질 것으로 보십니까?CISO의 역할이 계속 발전할 것으로 어떻게 생각하시나요?

0:35:31.9 앤 존슨: CISO의 역할은 계속 발전할 것이며 분명히 훨씬 더 까다로워질 것이라고 생각합니다.마이크로소프트에는 훌륭한 CISO가 있습니다. 브렛 아르세노는 훌륭한 CISO입니다.제가 아는 CISO의 대부분은 옳은 일을 하고 싶어하는 훌륭한 사람들로, 보람 없는 일을 하고 있습니다. 왜냐하면 모든 것에 대해 비난을 받고 아무것도 아닌 것에 대해 감사하기 때문입니다.하지만 역할은 계속 발전하여 비즈니스 수준의 복잡성이 커질 것입니다.규제를 이해해야 합니다.통제가 규제에 어떻게 적용되는지 이해해야 합니다.SOC의 최전선에 있는 사람들과 대화할 수 있어야 합니다.이사회와 대화할 수 있어야 합니다.정말 힘든 일이에요.하지만 Bret처럼 CISO가 자신의 우선 순위를 비즈니스 우선 순위에 맞출 수 있다면 그 역할을 더 효과적으로 수행할 수 있을 것입니다.

0:36:13.9 라구 난다쿠마라: 앤 개인적으로는 기술 진화든, 사람의 진화든, 법률의 진화든, 사이버 분야에서 기대되는 점은 무엇일까요?앞으로 몇 년 동안 정말 기대되는 것은 무엇인가요?

0:36:33.2 앤 존슨: 말해줄게. 난 유행어가 아니야...저는 이 일을 오랫동안 해왔기 때문에 별로 흥분하지 않아요.사실 저는 AI와 자연어 모델이 정말 기대돼요.사이버 역량을 산업에 실제로 기여할 수 있는 훨씬 더 많은 인재로 확대할 수 있다면 우리가 겪고 있는 인재 부족 현상을 줄이는 데 도움이 될 것입니다. 또한 기술 자체를 적용하여 사람들이 자신의 환경에서 보고 실제 문제가 무엇인지 알려주는 수백만 조 개의 신호를 추론하는 데 도움이 될 것입니다.이를 통해 가시성을 훨씬 더 빠르게 확보할 수 있습니다.이 두 가지 문제만 해결하면 가시성이 훨씬 빨라지고 인재 풀이 더 커져 인재 부족 문제를 해결하는 데 도움이 된다고 생각하면 제 생각에는 그 약속이 실현된 것입니다.

0:37:13.5 라구 난다쿠마라: 오, 물론이죠.말씀하신 내용을 반복해서 말씀드린 것 같아요. 바로 가시성 부족이라는 큰 문제점이죠.가시성을 개선할 수 있다면 이를 통해 더 나은 의사 결정과 더 나은 보안으로 이어질 수 있다고 생각합니다. 이것이 궁극적으로 우리가 원하는 결과입니다.

0:37:32.7 앤 존슨: 정답.정확히 맞아요.

0:37:34.9 라구 난다쿠마라: 멋지다.앤, 오늘 당신과 이야기할 수 있어서 정말 기뻤어요.물론 청취자 여러분께 말씀드리자면, 트렌드에 대해 더 알아보고 싶거나 꼭 들어봐야 할 보안 리더십 팟캐스트를 하나 고르고 싶다면 Ann의 팟캐스트 Aftern Cyber Tea with Ann Johnson을 들어보세요.CyberWire에서 볼 수 있고, 모든 일반적인 팟캐스트 플랫폼에서 이용할 수 있습니다.그리고 가서 이전 에디션도 모두 들어보세요. 거기에는 환상적인 콘텐츠가 너무 많으니까요.앤, 시간 내주셔서 다시 한 번 감사드립니다.정말 고마워요.여러분과 대화할 수 있어서 정말 좋았어요.

0:38:10.9 앤 존슨: 정말 고마워요, 라구정말 고마워요.정말 좋은 대화였어요.멋진 하루 보내세요.

0:38:15.0 라구 난다쿠마라: 고맙습니다.이번 주 The Segment 에피소드를 시청해 주셔서 감사합니다.더 많은 정보와 제로 트러스트 리소스를 보려면 당사 웹 사이트 illumio.com을 참조하십시오.LinkedIn과 트위터 @illumio 를 통해서도 당사와 연락할 수 있습니다.오늘 대화가 마음에 드셨다면 팟캐스트가 있는 곳 어디에서나 다른 에피소드를 찾아보실 수 있습니다.제가 호스트인 라구 난다쿠마라입니다. 곧 다시 찾아뵙겠습니다.

‍