사이버스페이스에서의 일상의 전투

00:09 라구 난다쿠마라: The Segment: 제로 트러스트 리더십 팟캐스트에 오신 것을 환영합니다.호스트는 제로 트러스트 세그멘테이션 회사인 Illumio의 산업 솔루션 책임자인 라구 난다쿠마라 (Raghu Nandakumara) 입니다.

오늘은 일루미오의 페더럴 필드 CTO인 게리 발렛이 저와 함께합니다.

Illumio에서 Gary는 정부 기관, 계약업체 및 광범위한 연방 에코시스템과 협력하여 이들이 제로 트러스트 보안 목표를 달성할 수 있도록 지원하는 일을 담당하고 있습니다.이전에 Gary는 연방 최고 정보 책임자였으며, 군 및 정부에서 29년 이상의 경력을 쌓은 은퇴한 공군 사이버 작전 책임자이기도 합니다.

오늘 Gary는 Zero Trust와의 개인적인 경험, 연방 조직이 직면한 주요 사이버 문제, 사이버 보안에 대해 “침해를 가정하는” 접근 방식을 채택하는 것이 왜 중요한지에 대해 이야기하기 위해 자리를 잡았습니다.게리, 오늘 이 자리에 모시게 되어 정말 기쁩니다.함께 해주셔서 정말 감사합니다.

01:13 게리 바렛: 아니요, 고마워요, 라구여기 오게 되어 정말 기쁩니다.

01:15 라구 난다쿠마라: 여러분과 이야기를 나눌 수 있는 기회가 생겨서 저만큼 흥분되지 않아요, 게리.꽤 오랫동안 이 업계에 종사하셨는데, 분명 다양한 시나리오와 경험을 보셨을 겁니다.사이버 보안에 관심을 가지게 된 계기를 말씀해 주실 수 있나요?

01:30 게리 바렛: 물론이죠.그래서 제가 공군 경력을 시작했을 때는 공군 네트워크 분야는 초기 단계였고 사실 저는 경력 전반부를 네트워크와 관련된 일을 하지 않고 보냈습니다.저는 커리어 후반기에 정말 많은 투자를 받았어요.하지만 이해하셔야 할 것은, 공군에 있을 때 우리는 적들, 특히 국가와 국가의 적들, 아주 심각한 적들의 주요 표적이었다는 것을 이해하셔야 합니다.진정한 네트워크 보안이 진정한 기업 보안이라는 것이 얼마나 중요한지 금방 깨닫게 되셨을 겁니다. 그리고 이것이 단순한 문제가 아니라는 것을 깨닫게 되실 겁니다. “오, 혹시 노트북에 안티바이러스를 업데이트하셨나요?랩탑에 방화벽이 켜져 있나요?비밀번호가 잘 맞나요?”진정한 엔터프라이즈 수준의 보안을 제공하려는 노력이 얼마나 복잡한지 잘 알고 계셨고, 정말 흥미로웠습니다.그리고 적보다 한 수 앞서기 위해 노력하고 전투를 치러야 한다는 도전을 알게 되었어요. 매일 벌어지는 전투였죠.군대에서는 모두가 전투에 나서는 건 아니죠.전투에서는 서로 다른 기술을 사용하는 경우가 많으며, 매우 드뭅니다.사이버 공간에서는 매일 전투에 참여하게 되는데, 제가 이 일을 하면서 가장 즐거웠던 점 중 하나는 바로 전투에 참여하고 매일 전투를 벌이고 있다는 것입니다.

02:46 라구 난다쿠마라: 여가 시간에는 YouTube에서 인프라 관련 동영상을 보곤 합니다.그리고 저는 공군과 군대가 배치하는 인프라의 규모를 보고 있었습니다.이렇게 빠르고 다양한 네트워크를 보호하려면 어떻게 해야 할까요?그걸 어떻게 설계할 수 있을까요?

03:07 게리 바렛: 그래서 어려움도 있습니다.거짓말 안 할게요.작은 조각으로 해보는 것도 한 가지 생각해 보는 게 있어요.어디에 리소스를 집중할 것인지 파악해야 합니다.사이버 보안의 한 가지 중요한 점은 모든 일을 할 수 있는 리소스가 충분하지 않다는 것입니다.항상 달성할 수 있는 것보다 더 긴 할 일 목록이 있기 때문에 할 일 목록의 우선 순위를 계속해서 다시 정하게 됩니다.그러니까 현실은, 사물을 보면...여러분은 위험 관리를 하고 있습니다. 가장 심각한 위협은 무엇이고, 그 영향은 무엇일까요?타협이 있다면 어떤 것이 가장 큰 영향을 미치게 될까요? 그런 것들을 보호하는 데 노력을 집중하려고 정말 노력하죠.그리고 잠글 수 있다고 생각되는 것들을 잠그려고 노력하다가 결국 잠 못 이루는 밤을 많이 보내게 됩니다.그 결과 대부분의 밤에 잠을 잘 못 자게 되죠.

03:52 라구 난다쿠마라: 전적으로 동의합니다.그래서 경험상, 물론 우편 서비스에서의 경험에 대해서는 아직 말씀드리지 않았는데요... 제로 트러스트라는 용어를 처음 접하신 때는 언제인가요?

04:03 게리 바렛: 그래서 제가 제로 트러스트라는 용어를 처음 접하게 된 것은 아마도 5년 전이었을 것입니다.아마 5~6년 전이었을 겁니다.생긴지 한참 됐어요.하지만 흥미롭네요.처음 들었을 때 저는 이렇게 생각했어요. “아, 이제 시작할게요.또 다른 브랜드 변경이네요.”IT 세상이 어떤지 아실 겁니다.우리는 물건을 리브랜딩하고, 낡은 것은 다시 새 것으로 만들고, 그냥 리브랜딩합니다.그래서 제로 트러스트라는 말을 처음 들었을 때, 저는 “Here we go”라고 생각했습니다.솔직히 제가 그렇게 느낀 이유 중 하나는 제로 트러스트에서 가장 먼저 강조된 몇 가지 사항이었기 때문입니다. 그들은 정체성과 누가 무엇을 이용하는지 아는 것에 대해 이야기했습니다.군대에서는 오랫동안 이 문제에 대해 이야기해 왔습니다.그래서 처음에는 브랜드 개편 같은 느낌이 들었어요.그리고 제로 트러스트의 핵심이 무엇인지 깊이 파고들기 시작하면 다른 사고방식으로 사물을 바라보는 방식이 정말 다르다는 것을 깨닫게 됩니다. 특히 핵심에 다가가 “침해를 가정하라”는 사고방식에 대해 이야기할 때 말이죠.보안 침해 방지를 위한 싸움에서 완전히 이길 수는 없지만 침해로 인한 영향을 최소화하는 것이 가능하다고 가정해 보겠습니다.

05:01 라구 난다쿠마라: 사실, 방금 말씀하신 내용이 정말 흥미로워요.좀 더 자세히 알아보고 싶은데요.그래서 당신은 제로 트러스트를 처음 접했을 때 “이건 그냥 마케팅 과대 광고일 뿐이야.” 라고 생각했던 사람들 중 한 명이라고 하셨죠.사실 지금도 제로 트러스트는 마케팅 과대 광고일 뿐이라고 말하는 사람들이 있을 것입니다.그런데 흥미로웠던 건, 조사해 보다가 이게... 라는 걸 깨달았다는 거예요.사실, 같은 문제에 새 옷을 입는 것 같지는 않았습니다. 사실 기업 네트워크와 기업 조직의 보안 문제에 접근하는 완전히 다른 방식이었죠.이걸 다른 접근법으로 보게 된 계기는 무엇인가요?이 제품을 구매했을 때 어떤 차이가 있었나요?

05:46 게리 바렛: 재밌었어요.그래서 저는 공군에서 근무했을 때, 연방 CIO로 있으면서 늘 일반적인 대화를 나눴습니다. 항상 이길 수는 없고 패배할 수도 있다는 사실에 대해 말이죠. 그리고 항상 이런 생각을 가지고 있었습니다. “좋아, 만약에?어떻게 할 건데?패배하면 어떻게 대응해야 할까요?”그리고 말씀드렸듯이 제로 트러스트에 대해 조금은 이해하고 사고방식의 변화에 대해 생각하기 시작하면서, 저에게는 단순한 사고방식의 변화가 아니라 저를 위해 일했던 사람들의 사고방식, 문제에 접근하는 방식이 바뀌었습니다.저는 항상 이 철학을 80퍼센트면 충분하다고 생각했습니다.즉, 무언가를 배포하거나 시도할 때마다 완벽을 추구하는 것은 불가능하다는 거죠.제 생각에 제로 트러스트는 정말 핵심이라고 생각합니다. 보세요, 계속해서 최선을 다하려고 노력하고 싶지만 완벽한 것은 없습니다.그리고 대안을 맞이할 준비가 되어 있어야 합니다.완벽의 기술이 실패하고 그 틈에 대처해야 한다면 어떻게 될까요?제 생각엔 그게...철학에 대한 접근 방식의 기념비적인 변화는 현대의 기업, 기관, 기업이 그런 변화를 만들지 않으면 계속 손해를 보게 될 것이라고 생각합니다.

06:57 라구 난다쿠마라: 맞아요.아주 좋은 프레이밍 방법이죠.근본적으로 말씀하신 것은 완벽을 선의 적으로 삼지 말고 미래 지향적인 접근 방식을 취하라는 것인 것 같아요. 이 용어도 말씀하셨잖아요. “위반을 가정하라”라는 용어도 말씀하셨으니까요.청취자 여러분께 말씀드리자면, 위반을 가정한다는 것은 무엇을 의미할까요?

07:16 게리 바렛: 그래서 보시면...최근에 온갖 종류의 보고서가 나왔는데...오늘날 가장 인기 있는 주제는 랜섬웨어입니다.그리고 최근 발표된 연구에 따르면 조직의 76% 가 일종의 랜섬웨어 공격의 영향을 받았다고 합니다.만약 우리의 방어 수단이 그토록 훌륭하다면, 왜 랜섬웨어가 대화의 대상이 될 수 있을까요?왜 랜섬웨어에 대해 얘기하는 거죠?하지만 현실은 이렇습니다. 안티바이러스 시장을 보면 수십 년 동안 안티바이러스 시장에서는 “우리 제품만 사면 죽어가는 바이러스를 막을 수 있을 것”이라고 말해왔습니다.절대 일어날 수 없는 일이죠.끊임없이 감염되고, 이런 종류의 물건과 온갖 종류의 맬웨어에 지속적으로 대처합니다.현실은 이렇습니다. 그냥 계속되는 전투일 뿐이고, 100% 의 확률로 이길 수는 없는 싸움일 뿐입니다.그래서 문제는, 우리가 해낼 수 있었다는 거예요...많은 사람들이 이렇게 말할 수 있었습니다. “좋아, 이봐요, 바이러스 백신 업데이트된 거 알아요. 하지만 백업이 필요해요.제 정보를 백업해야 해요. 이런 것들이 감염되면 어떻게 하면 감염에서 회복할 수 있을까요?아, 백업해서 복원할게요.”

08:17 게리 바렛: 하지만 보안 침해에 대해서는 어떻게 해야 할까요?많은 기관들이 아직 뒤쳐져 있는 부분이라고 생각해요. 실제로 일어날 거라는 걸 이해하고 있죠.언젠가는 그런 일이 일어날 거예요.저기...그러니까, 그런 사고방식을 따른다면, 언젠가는 무슨 일이 일어날 거라고 생각하면 되는 거죠.우리는 모두 인간이에요.네트워크는 인간에 의해 운영됩니다.제 생각에 사람들은 네트워크가 인간에 의해 운영된다는 사실을 간과하는 것 같아요.인간은 실수를 저지릅니다. 그리고 그 실수는 결국 이용될 것입니다. 그리고 그런 실수를 통해 어떤 일이 벌어질지 미리 대비해야 합니다.

08:46 라구 난다쿠마라: 그래서 제 생각에 당신이 말하는 것은 예상치 못한 일이 일어날 것이라는 가정을 하는 그런 접근 방식을 취하는 것이 절대적으로 괜찮다는 것입니다.그렇게 말하는 게 좋은 표현인가요?

08:58 게리 바렛: 물론이죠.말씀드리자면, 전통적인 IT 환경에서 성장한 사람들에겐 특히 그런 변화를 이끌어내기가 어려운 일이죠. 왜냐하면 기본적으로 말씀하신 것은 “제가 미리 말씀드린 건데, 언젠가는 실패할 거예요.저는 실패할 거예요.당신이 제게 준 일, 즉 당신이 제게 맡긴 기업을 지키는 일을 하지 못하겠어요.”언젠가는 실패하게 될 거예요.이제 궁금한 건, 실패했을 때 어떻게 할 건데?많은 사람들이 자신이 실패할 거라는 걸 인정하고 싶어하지 않아요.그리고 그건...다시 말하지만, 그런 일이 일어날 거예요.그러니 이런 일이 일어날 거라는 사실을 받아들이고 나서 “만약에, 언제 그런 일이 일어날지 말고 언제 어떻게 할 건데?” 대신 비상 계획을 세우는 것이 나을 수도 있습니다.

09:35 라구 난다쿠마라: 제 생각엔 그게 맞다고 생각해요.근본적으로 예상치 못한 일을 가정하는 것과 같아요.그리고 그것으로 시작한다면, 근본적으로 예상치 못한 사건이 가능한 한 부정적인 영향을 최소화하기 위해 무엇을 할 수 있을까요?

09:47 게리 바렛: 이것이 바로 핵심입니다.그래서 어떤 사람들은 뭔가 안 좋은 일이 생겼다고 생각해요. 그게 실패였어요.제 생각에는 항상 이런 생각이 들었어요. 뭔가 나쁜 일이 일어났는데, 그 영향은 어땠을까요?그게 제 수술에 어떤 영향을 미쳤나요?그 영향이 얼마나 광범위했나요?제 고객들은 얼마나 느꼈을까요?솔직히 말해서 고객이 무언가를 느끼지 못하고 백엔드에서 상대하고 있는 문제일 뿐인데 고객이 느끼지 못한다면 그것은 승리입니다.고객이 그 영향을 눈치채지 못한다면, 이것이 바로 여러분이 얻을 수 있는 가장 큰 이점입니다. 그렇죠?

10:16 라구 난다쿠마라: 네, 물론이죠.그럼 여기서부터 시작해 볼까요.그래서 우리는 여러분이 어떻게 제로 트러스트라는 개념에 동의했는지 이해했습니다.그럼 이제 어떻게 그걸 실제로 실천에 옮겼는지 조금 말씀해 주실 수 있을까요? 공공 부문에서 이런 접근 방식을 취했던 시범 운영 및 선봉에 도움을 주신 몇 가지 프로젝트가 있으신가요?

10:35 게리 바렛: 저는 군대에 CAC 카드를 배치하는 일에 참여했습니다.그리고 CAC 카드는 넣어야 하는 실물 카드입니다.군대에서 2단계 인증을 광범위하게 구현한 사례였죠.그게 바로 안전한 신원을 확보하는 것이죠. 그래서 우리 모두는 카드를 가지고 있었고, 증명서를 가지고 있었고, 개인으로서 우리에게 묶여 있었죠. 잠금해서 그 정체성에 초점을 맞추려고 했죠.그리고 나서 우리는 군대 전체의 시스템 전반에 걸쳐 이러한 신원을 활용했습니다. 자, 이제 게리가 그의 손에 있는 실제 카드이기 때문에 게리가 있어야 한다는 것을 알았으니, 그는 자신만이 아는 핀을 입력했고, 이제 우리는 인증서 기반 인증을 통해 어느 정도 확실하게 “This is Gary”라고 말할 수 있게 되었습니다.이제 이를 사용하여 군대 전반의 시스템에 액세스할 수 있습니다.

11:23 게리 바렛: 그래서 그건...오늘날의 세계에서는 이것이 제로 트러스트라고 생각되죠.다시 말씀드리지만, 우리가 이런 일을 할 당시에는 제로 트러스트라고 불리지 않았습니다. 하지만 이런 것들을 생각할 때는 그런 접근 방식이 중요하다고 생각합니다.그리고 클라우드로 마이그레이션하고 클라우드가 제공할 수 있는 보안 메커니즘을 도입하는 프로젝트도 있죠.특히 사람들이 어디에서 로그인하는지 평가하는 등의 작업을 시작하면서 랩톱에서 Comply-to-Connect를 살펴보기 시작했을 때는 더욱 그렇습니다.저는 Comply-to-Connect를 배포하는 프로젝트에 참여했는데, 이 프로젝트에서는 누군가가 기업에 액세스하기 위해 사용하려고 하는 디바이스의 상태를 자세히 살펴본 다음 해당 상태 이벤트 엔드포인트를 기반으로 어떤 작업을 수행했는지 살펴보았습니다.몇 가지 프로젝트 예시만 남았는데...다시 말씀드리지만, 그 당시에는 꼭 제로 트러스트라고 불렸을까요?프로젝트의 타이밍에 따라 가끔은, 네, 아닐 때도 있지만, 제로 트러스트의 주요 테넌트를 일부 구현해 보자는 관점에서 저희가 시도한 것은...

12:24 게리 바렛: 말해줄게, 우린 시도했어...에이전시와 함께 있었어요.802.1X와 동적 VLAN을 대규모로 구현하여 세그멘테이션을 시도했습니다.말씀드리자면, 그다지 성공적이지는 않았습니다.가끔은 무언가를 시도해도 효과가 없을 때가 있습니다.그 프로젝트 중 하나였는데, 저를 위해 제로 트러스트를 구현하려고 시도한 것만으로는 성공하지 못했습니다.

12:48 라구 난다쿠마라: 네, 정말 흥미로워요. 특히 세그멘테이션과 같은 경우, 특히 세그멘테이션이 아니라 네트워크 세그멘테이션, 매크로, 마이크로 등 그 앞에 고정하려는 것이 아니라고 생각하기 때문입니다. 네트워크 보안 전문가인 우리가 옛날부터 원했던 일이었다고 말하겠습니다.하지만 오늘날의 엔터프라이즈 네트워크 규모에서 이를 가능하게 하는 기술만 있으면 이제 막 사용 가능하고 실제로 사용할 수 있게 되었습니다. 이것이 바로 우리가 여전히 플랫 네트워크를 많이 볼 수 있는 이유입니다. 조직이 여전히 따라잡고 있기 때문입니다.이것이 근본적으로 여러분이 직면하고 있는 문제일까요?

13:32 게리 바렛: 물론이죠.그러니까, 대규모 세분화 프로젝트와 같은 일을 하려고 할 때 몇 가지 주요 장애물에 부딪히게 되는데, 첫 번째는 엄청난 규모입니다.제대로 실행하려면 기업의 모든 주요 디바이스에 이를 실제로 구현해야 합니다.대기업의 경우 수천, 수천 개의 IP 주소를 추적해야 합니다.그리고 기업의 단순한 동태를 살펴보겠습니다. 특히 가상 머신의 세계에 뛰어들어 클라우드와 멀티 클라우드 환경에서 빠르게 확장하고 있는 경우에는 그 복잡성이 수반됩니다.이제 문제가 더 커졌는데, 이러한 모든 사물의 인스턴스와 다양한 IP를 추적하는 데 그치지 않고 모두 서로 다른 위치에 있다는 것입니다.

14:20 게리 바렛: 그리고 그 모든 것들을 어떻게 추적해야 할까요?그리고 무엇보다 중요한 것은...대부분의 사업장에는 해야 할 모든 작업을 맡을 수 있는 IT 직원이 매우 제한되어 있습니다. 단지 업무를 지속하기 위해 매일 해야 하는 업무만 담당하고 있는데, 그 위에 이런 것을 적용하고 이렇게 말하려고 합니다. “이봐, 내가 너를 뽑을게.새로운 것이 기업에 들어올 때마다 업데이트해야 하는 수백 개의 장소를 모두 파악해야 합니다. 그래야 연결 방식대로 연결되면서도 넘어서는 안 되는 경계를 넘지 않도록 해야 합니다.”누군가에게 도전하는 것은 불가능한 일입니다.

14:53 라구 난다쿠마라: 네, 완전히요.그래서 네가...대체 방안이 무엇인 것 같아요.” 하지만 “음, 제가 보정한 컨트롤이 뭐가 있는 거지?”아니면 “이 위험을 감수하고 앞으로 나아가는 것만으로도 괜찮은 걸까요?”우리가 흔히 생각하는 것은 바로 위험 관리 대장에 그것을 추가하고 “네, 알아요.” 라고 말하는 것입니다.

15:15 게리 바렛: 그리고 그건 재밌는 일이에요.보통 이런 일이 일어납니다. 사람들이 이렇게 말하죠. “좋아요, 이 위험을 줄이려면 어떻게 해야 할까요?아, 그럼 제가 IT 직원 수를 세 배로 늘리고 IT 예산을 세 배로 늘린다면 어느 정도 완화할 수 있을지도 몰라요.”의사 결정자들은 이렇게 말합니다. “네, 어디에 서명해야 할까요?그럴 수 없으니까...” 그건 당신이 할 수 없는 투자예요.“어디에 서명해야 하죠?이렇게 하지 않으면 어떤 영향이 생길까요?”그리고 그들은...직원들 좀 해봤는데 책임자가 말하길, CIO씨, 솔직히 이해하기 어려운 일을 하기 위해 당신의 직원을 세 배로 늘리고 예산을 세 배로 늘리겠다, 라고 말하죠.왜냐하면 제가 기대하는 건 이 멋진 방어 계층으로 우리 회사를 보호하는 거고 안에 있는 어떤 것도 안전해야 하니까요.그럼 내가 왜 자네를 위해 이 수표를 쓰다듬는 거지?”

16:04 라구 난다쿠마라: 그렇다면 우리가 이제 연방 분야에서든 일반 기업에서든 위험 수용에 너무 많은 노력을 기울여 위험 완화의 중요성은 어느 정도 무시하고 있는 상황에 처했다고 생각하시나요?

16:23 게리 바렛: 네, 사실 흥미로운 질문이네요. 제 생각에 답은 '예'인 것 같아요.제 생각엔 우리가 어느 시점에 이르렀다고 생각하는데...예전에는 정반대의 문제였어요.우리는 어떤 위험도 감수하고 싶지 않았어요.우리는 모든 것을 완화하고 싶었어요.그리고 그것이 말도 안 되는 접근 방식이고 달성 불가능한 목표라는 생각이 사람들의 머리에 박히자 사람들은 스로틀을 약간 풀고 족쇄를 약간 풀기 시작했고 제 생각에 지금은 통제 장치가 거의 없는 지경에 이르렀습니다.사람들은 이렇게 말합니다. “이봐, 일을 끝내는 한, 네, 개인용 디바이스를 기업에 들여놓아도 상관없어요. 왜냐하면 그게 전부이기 때문이죠...” 라는 말을 많이 들으실 겁니다. “음, 어떻게 하면 젊은 인재를 끌어들일 수 있을까요?”그리고 젊은 인재들은 제약을 받는 데 익숙하지 않습니다.그래서 우리는 채용하려는 인재를 제한하지 않도록 조치를 취해야 합니다.이제 갑자기 이렇게 생각하실 겁니다. “저는 모든 위험을 감수하고 손가락을 꼬고 눈을 감고 나쁜 일이 없기를 진심으로 바랄 거예요.”

17:18 라구 난다쿠마라: 네, 맞아요.그리고 뭔가 나쁜 일이 생겼을 때 제가 바라는 건 그들이 가서 위험 관리 대장을 보고 “우리가 정말 이 위험을 감수했나요?” 라고 말하지 않았으면 좋겠어요.그리고 그 이유와 대상, 그리고 그들이 직면하고 있는 연방 정부 및 보안 문제와 제로 트러스트를 채택한 이유에 대해 다시 살펴보겠습니다.우린 항상 이런 걸 봐왔어요...이는 미국 연방 정부에서 큰 추진력을 발휘하고 있습니다.첫째, 당면 과제는 무엇이며, 오늘날 연방 정부가 직면하고 있는 보안 과제는 무엇입니까?그리고 이들이 제로 트러스트를 채택해야 하는 이유는 무엇일까요?

17:53 게리 바렛: 물론이죠.그래서 그들이 직면하고 있는 몇 가지 어려움은, 첫 번째로, 그리고 이건...이 중 많은 부분이 여러분이 듣게 될 것과 비슷합니다... 민간 부문에 대해 같은 질문을 하면 듣게 될 내용이죠.하지만 연방 공간에서는 돈과 사람, 그리고 일을 해낼 수 있는 유연성이죠.먼저 연방 정부의 예산 편성 주기를 지속적으로 다루고 있다는 사실부터 시작해보죠. 얼마나 많은 자금이 배분되고 있는지부터 말씀드리죠.아, 그건 그렇고, 사람들은 연방 정부 관점에서 예산을 얼마나 미리 책정했는지 깨닫지 못합니다.문제는 아니에요. “이봐, 지금은 7월이고 다음 예산 연도는 10월 1일에 시작되잖아.제가 원하는 금액은 다음과 같습니다.”응, 몇 년 전에 특정 회계연도에 얼마나 많은 자금이 필요한지 그런 결정을 하셨잖아요.그러니까 예산 관점에서 미래를 예측하려고 하는데 그렇지 않아요...연방 예산 제도는 이렇게 말하도록 설계되지 않았어요. “아, 음, 부담없이 2백만 달러를 요구하세요. 어디에 쓸 건지 설명할 수 없으니까요.나중에 무슨 일이 생길 경우를 대비해서 잉여 현금을 요청해도 괜찮습니다.”그러니까 그건...

18:52 게리 바렛: 이러한 전체 주기는 연방 정부의 당면 과제입니다. 전 세계 상황을 살펴보면 적절한 리소스를 확보하는 것만으로도 IT 직원의 부족과 IT 전문 지식의 부족, 특히 보안 문제를 다루기 시작할 때 이는 IT 문제의 작은 부분입니다.연방 정부는 이러한 자원을 놓고 어떻게 경쟁하고 있을까요?IT 보안에 대해 잘 아는 젊은 사람인데, 계속 찾아보면 제가 어디에 일하러 갈 수 있을까요?

19:19 게리 바렛: 연방 정부에서 일하고 싶은가요? GS가 될 거예요. 보통 GS 등급이 낮아서 연간 40~5만 달러를 벌고 있나요?아니면 제가 어딘가에 있는 회사에 가서 일 년에 140만~15만 달러를 벌고 싶은가요?연방 정부는 그 사람이 고향 주에 있는 10,000개의 일자리 중 한 곳에 일하러 가지 않고 정부에서 일하도록 유도할 방법을 찾아야 합니다.전 세계 어디에서든 재택근무는 걱정할 필요조차 없습니다.하지만 그건 연방 정부 입장에서도 큰 도전이고, 사고방식도 마찬가지죠.사람들에게 책임을 묻으려고 하는 거죠.맞아요. 그래서 교대 근무를 해야 하고 연방 정부를 변화시켜야 할 때, 사람들에게 그러한 변화에 대한 책임을 묻도록 하는 것은 정부에서 어려운 일일 수 있습니다.

20:09 게리 바렛: 사람을 해고하는 건 정말 어려워요.그래서 일을 잘하지 못하는 사람이 있으면 우리가 그들을 없애기 전에 데려오기 위해 많은 시간을 할애해야 합니다. 그 과정이 진행되는 동안 그들은 책임을 다해야 할 자리를 채우는 거죠.그리고 그것이 기업을 보호하는 핵심 직책 중 하나이고 그 사람이 해임하지 않는다면 그 사람을 없애는 데 오랜 시간이 걸릴 수 있습니다. 이제 어떻게 하면 그 자리를 다시 채울 수 있을지에 대한 과제로 돌아오게 되었습니다.

20:35 라구 난다쿠마라: 네, 그럼 질문이 하나 생깁니다.분명히 엄청난 추진이 있었죠. 작년에 바이든 대통령이 내린 행정명령으로 연방 기관들이 제로 트러스트 보안 접근법을 채택하는 속도가 정말 빨라졌죠.그러니까 근본적으로 연방 기관이 직면하고 있는 대규모 인력 문제에 대해 말씀하셨잖아요.그렇다면 제로 트러스트를 채택하고 이 EO를 실제로 실천하는 것이 현실적이라고 생각하시나요?

21:06 게리 바렛: 내 생각엔...언젠가는 현실이 되길 바래요.단기간에 실현되진 않을 거예요.그래서 행정명령이 나왔을 때, 이제 시작하죠, 그렇죠.최고위로부터 내려오는 또 다른 명령은 모든 연방 기관들이 해야 할 일이고 그 일을 할 돈이 없다고 말하는 것입니다.IPv6이 완벽한 예입니다.연방 정부가 얼마나 오래 전에 IPv6으로 이전해야 했는지 잊어버렸어요. 대부분의 기관들은... IPv6을 어떻게 써야 하는지도 몰라요. IPv6을 구현한 사람은 훨씬 적죠.그리고 그건 오래전 연방 정부의 명령이었죠.

21:40 게리 바렛: 이제 제로 트러스트가 성공할 확률이 더 높은 곳은...제로 트러스트의 원칙을 구현해야 할 필요성이 훨씬 더 많이 인식되고 있다고 생각합니다. 그 다음에는... 다시 말하지만 IPv6와 같은 것이 있습니다.그래서 저는 제로 트러스트의 창립 원칙과 핵심 신조가 있다고 생각합니다. 사람들의 공감을 불러일으키고 그들은 이해한다고 생각합니다. 이봐, 알다시피, 우리는 아마도 우리가 너무 많은 위험을 감수했을 수도 있다는 것을 깨달았고, 우리가 여기에 마련한 위험 구조를 최소화할 방법을 찾아야 한다는 것을 깨달았습니다. 그리고 제로 트러스트는 에이전시를 위해 그 중 일부를 최우선으로 제시한다고 생각합니다.

22:14 라구 난다쿠마라: IPv6에 대해 말씀드리자면, 지난 20년 동안 네트워킹 또는 네트워크 보안 분야에서 일해 본 사람이라면 누구나 자신만의 재미있는 IPv6 이야기를 가지고 있다고 생각합니다.제 경우에는 예전에 고용주였는데, 아마 10년 전쯤에 세계 IPv6의 날이라는 것이 있었던 것 같아요. 그리고 우리 모두 그 행사에 참여하고 있었고...그 날을 위해 우리가 해야 할 일은 무엇이었을까요?딱 그 하루를 위해서요.잠깐, IPv6를 통해 외부 웹 사이트에 액세스할 수 있다는 것을 보여주세요.잠시만요.그 후엔 모두가 IPv4로 돌아오게 되죠.자, 그럼 제로 트러스트의 중요성, 연방 기관 전반의 복원력과 사이버 보안, 그리고 그 중요성 때문에 말씀하셨는데, 이것이 관심을 끌게 될 것입니다. 다른 종류의 IPv6는 아닐 거예요. 그렇죠?

23:11 라구 난다쿠마라: 제로 트러스트 실무자로서 이 임무를 살펴보면 기대가 됩니다.드디어 우리에겐 정부 기관이 생겼고, 미국 정부도...이는 전 세계 다른 국가의 공공 부문 모두에 도움이 될 수 있을 뿐 아니라 민간 부문으로 조금씩 유입되는 것에도 도움이 될 수 있습니다.하지만 다른 측면에서 말씀드리자면, 이미 계획된 일정을 보면 충분히 공격적이지 않다고 생각하는 분도 있습니다.우리는 너무 멀리 떨어진 실제 위험 감소 요소에 도달하고 있는데 왜 더 깊이, 광범위하게, 더 빨리 나아갈 수 없을까요?제가 여기서 욕심을 너무 많이 부리는 걸까요? 이건 좋은 일이고 기차에 올라타서 일정을 계획하는 게 좋을까요?

23:54 게리 바렛: 그래서 마술 지팡이를 흔들어서 훨씬 더 빨리 만들면 좋을 것 같아요.정부에서 많은 시간을 보냈기 때문에 제가 말씀드리자면, 지금까지 계획된 일정은 정부 입장에서는 상당히 공격적입니다.맞습니다. 다시 말씀드리지만, 전체 예산 책정 대화로 돌아가겠습니다. 맞아요. 그리고 여러분이 수년 전에 예산을 책정한다는 사실, 조달 과정에 대해 말씀드리죠.명심하세요. 제 생각에 이 점을 간과하는 분들도 있을 것 같은데요. 연방 기관은 의회에서 통과된 법률에 따라 운영됩니다.그래서 사람들은 정부가 무언가를 사는 데 왜 그렇게 오래 걸리냐고 묻습니다.글쎄요, 왜 그런지 말씀드리죠. 공정한 경쟁을 보장하고 단일 소싱과 공급업체 잠금을 피하도록 하기 위한 규칙이 너무 많기 때문에 거기에는 다양한 것들이 있습니다.

24:41 게리 바렛: 이 모든 것들은 견제와 균형을 마련하는 것이 매우 정당합니다. 하지만 이러한 견제와 균형의 파급 효과로 인해 기관들이 조달을 하기가 매우 어려워지고 일정을 지연시킬 수 있습니다.따라서 “이봐, 오늘 신용카드를 꺼내서 물건을 사러 가서 원하는 사람을 고르자”는 문제가 아닙니다. 연방 정부에서는 통하지 않습니다.민간 기업은 대부분 원할 때 언제든지 원하는 사람에게서 원하는 것을 살 수 있습니다.연방 정부와 국방부는 그런 사치를 누리지 못하기 때문에 그 자체로 무언가를 구현하기 위한 일정에 엄청난 시간이 자동으로 추가됩니다. 준수해야 할 엄청난 양의 규칙과 견제와 균형, 그리고 시위를 벌이는 사람들을 상대하기 때문이죠. 그렇죠?중요한 상을 받고, 한 번의 항의를 받고, 조달 일정을 50~ 100% 늘렸을 수도 있습니다.

25:33 라구 난다쿠마라: 좋아요, 그렇죠.그렇다면, 조직화된 연방 기관들이 이 계획을 추적하고 이를 위반하는 책임을 어떻게 물을 거라고 생각하시나요?그리고 제가 알기로는, 이 기관들은 정부 기관이고, 시간이 걸리죠. 하지만 그 책임은 어떻게 집행될 수 있을까요?

25:57 게리 바렛: 그래서 책임성 부분이 제가 가장 걱정하는 부분입니다. 왜냐하면 역사를 판단하고 측정할 대상이라면 책임은 항상 이런 일이 닥쳐도 효력을 발휘하지 못하는 것 중 하나이기 때문입니다.다른 상황에서 볼 수 있습니다. 민간 기업에서 누군가에게 “라구에게 마감일을 정했으니 그 기한을 지킬 것으로 예상합니다.” 라고 말하고 그 기한을 지키지 못하면 그들은 떠날 가능성이 꽤 높습니다...“봉사해 주셔서 감사합니다.이제 나가셔도 돼요. 그럼 제가 누군가를 데리고 들어오도록 노력하겠습니다. 다음에 마감일을 정하면 그 기한을 맞추겠습니다.”정부에서는 대부분의 사람들이 마감일을 지키지 않고 명령을 지키지 않았기 때문에 해고되는 것이 아닙니다.그들은... 그게 해고되는 이유가 아니에요.안타깝게도 가끔 이런 것들이...제로 트러스트가 이런 것들 중 하나라고 말하는 건 아니지만, 가끔 명령이 내려지면 그냥 체크 아웃 박스를 체크아웃하는 게 중요하죠. 누군가 “이봐, 우리가 뭔가 해냈어”라고 말할 수 있게 되면, “야, 다음은 뭐야?”

26:52 게리 바렛: Zero Trust에 영향을 미치는 모든 요소 중 “우리가 뒤돌아보려 하지 않는 다음 빛나는 물체는 무엇일까요?” 이것이 바로 책임감입니다.왜냐하면 실제로 책임을 지는 것은 기관들의 몫이고 아마도 가장 가까운 책임은 대부분의 연방 기관에는 감찰국이 있다는 것입니다. 이게 제 마음에 와 닿는 부분입니다. 제가 온 곳이기 때문에 그들은 들어가서 감사를 작성하고 이렇게 말할 것입니다. “이봐, 연방 기관, 이때쯤이면 x를 해야 했는데, 우리는 당신에게 편지를 쓰지 않을 것입니다. 해냈어.”그래요, 그러면 그게 출판될 거예요. 의회가 이를 지켜볼 수도 있겠죠.의회는 연방 기관 책임자에게 이렇게 물을 수도 있습니다. “이봐요, 저는 제 손을 보고해야 해요. '우리 의회요, 대통령이 일정 시간까지 뭔가를 하라고 했는데도 하지 않았어요. '어떻게 할 건데?”그들의 대답은 이랬을 수도 있습니다. “미안해요, 오늘 가서 할게요. 아니면...네, 지금으로부터 2년 후 다시 검토를 받게 되면 그 글이 어떻게 보일지 지켜보도록 하겠습니다.”

27:45 라구 난다쿠마라: 네, 감사나 C-SPAN에 소속되는 걸 싫어하는 사람이 있을까요?제로 트러스트 채택에 대한 미국의 접근 방식을 통해 전 세계 다른 정부들도 배울 수 있는 것이 많다고 생각합니다. 하지만 공공 부문에서 벗어나면 민간 부문에 어떤 교훈이 있다고 생각하시나요?민간 부문 전체로 받아들일 필요는 없지만 민간 부문 내의 특정 업종으로 받아들일 수도 있습니다. 연방 정부가 취하고 있는 접근 방식에서 무엇을 배울 수 있을까요?

28:17 게리 바렛: 다시 한 번 말씀드리지만, 우리는 연방 정부 부서가 이러한 높은 수준의 광범위한 초점을 맞췄던 비효율성에 대해 이야기한 것 같습니다.따라서 업종에서는 은행 분야에 속하는지, 의료 분야에 속하는지, 사실상의 표준이 될 수 있도록 무언가를 시도하고 있습니다. 그리고 “이봐, 이런 일을 하지 않으면 정말 뒤쳐지고 있는 거죠.”그리고 민간 부문에서는, 맞아요... 경쟁이 치열하죠.그래서 경쟁이 시작되는지 알 수 있겠죠. “이봐, 뭐, 우린 이러는데 걔네들은 안 하잖아...경쟁업체는 그렇게 하지 않지만 저는 이렇게 하고 있고, 저는 제로 트러스트를 채택했고, 이러한 보안 관행을 채택했으며, 저는 사용자 정보를 보호하고 있으며, 경쟁업체는 정보를 보호하지 않습니다.”맞아요, 민간 부문에서는 표준 채택이 더 빨리 이루어진다고 생각합니다. 달러를 놓고 경쟁하고 있기 때문이죠.차별화 요소로 사용할 수 있는 모든 것이 핵심입니다. 그래서 민간 부문 기업이 “이봐, 대통령이 뭔가 너무 중요하다고 생각해서 정부에 권한을 내렸어.” 라고 말하는 것을 상상할 수 있습니다.

29:18 게리 바렛: “우리는 이미 그렇게 하고 있잖아요, 그렇죠?우리가 얼마나 잘하는지 보세요. 그렇죠.”그래서 다양한 업종에서 이런 것들이 일종의 사실상의 표준이 되는 것을 쉽게 볼 수 있었습니다. 서로 경쟁하기 시작할 때와 다르지 않아요. “야, 우리가 제공하는 혜택은 뭐야?우리가 제공하는 기능에는 어떤 것들이 있을까요?”제 생각에 이것이 중요하다고 생각해요. “이봐, 이건 우리가 서로 비교해야 할 또 다른 요소 중 하나”라고 보안 사고방식을 갖출 수 있다면 제가 가리키며 이렇게 말할 수 있을 거예요. 저는 이렇게 말할 수 있습니다.그래서 저는 이렇게 격려하고 싶습니다. 바로 민간 부문에서는 이런 것들에 대해 생각해 보고 이렇게 말씀드리고 싶습니다. 어떻게 하면 제 이익을 위해 활용할 수 있을까요?하지만 그렇게 하는 것이 더 낫습니다. 왜냐하면 가장 하고 싶지 않은 일은 마치 하고 있는 것처럼 행동하다가 무슨 일이 생긴 것을 알게 되고 왜 그 일을 하지 않았는지 고객들에게 설명해야 하기 때문입니다.

30:00 라구 난다쿠마라: 그러니까 근본적으로 보안을 위해 제로 트러스트를 거의 차별화 요소로, 그리고 경쟁사와 경쟁사 간의 일종의 경쟁적 차별화 요소로 사용하고 있는 셈이죠...맞아요.

30:08 게리 바렛: 물론이죠.흥미롭죠, 그렇죠...왜냐하면 비상장 기업일 때 보면 느리게 시작할 것 같고, 이런 변화를 볼 수 있으니까요.민간 기업이 침해를 당하면 무슨 일이 벌어질까요...뉴스에서 큰 화제가 됐죠.그러면 보통 대답이 “오, 1년 동안 무료로 신용 모니터링 비용을 지불해 줄게.” 라고 대답하면요.최악의 경우, 누군가 집단 소송을 제기해서 그 서신을 우편으로 받으면 합의의 일환으로 50달러를 받게 될 수도 있습니다.하지만 이제 실제로 타격을 입기 시작한 회사들이 보이기 시작한 것 같아요. 이런 일이 생기면 말이죠.왜냐하면 고객으로서 갑자기 제 신용카드 정보를 가지고 X사를 믿을 수 없다는 생각이 들기 시작하니까요...

30:46 게리 바렛: 어떻게 하실 거예요?거기서 쇼핑을 그만두게 될 거예요.그리고 사람들이 점점 더 이 물건들에 대해 잘 알고 있는 것 같아요. 그리고 제 생각엔...우리는 사람들이 “아, 또 그런 일이 있었구나.” 라는 말을 듣는 것에 지쳐 버리는 전환점에 다다랐어요.그리고 그냥 그런 일이 일어납니다. 그렇죠?제 생각에 대중들은 이제 점점 지쳐가고 있는 것 같아요. 그리고 아마도 사람들의 발과 수표장에만 책임을 묻기 시작할지도 모르죠.그들은 달러를 다른 곳으로 가져갈 거예요. “아, 또 가자, 내 물건이 또 손상됐어.” 라는 말을 듣는 것에 지쳤기 때문이죠.

31:13 라구 난다쿠마라: 정말 흥미로운 점이죠, 그렇죠?끝으로, 이제 일반 대중이 보안 침해에 대한 기본적인 이해가 훨씬 더 높아졌다고 생각하기 때문입니다.랜섬웨어 공격에 대한 기본적인 이해도가 훨씬 더 높습니다.따라서 조직이 카펫 밑에서 먼지를 털어내고 잊어버릴 수 있는 것은 아닙니다.이런 일이 생기면 사람들은 이렇게 말합니다. “맙소사, 아직 안 됐네.거긴 안전하지 않아요” 같은 반응이 지금 나오고 있어요.

31:44 게리 바렛: 물론 저는 상황이 변했다는 것을 압니다. 70세 이상의 어머니로부터 “이봐, 이 회사에서 이런 일이 있었어, 난 정말 화가 났어.” 라고 말씀하셨고, 제 대답은 “돈을 다른 곳으로 가져가세요.” 라고 말씀하셨을 때 말이죠.그러자 엄마는 “좋은 생각이겠지.” 라고 말씀하셨어요.고객들이 이런 유형의 질문을 하는 지경에 이르렀을 때, 저는 정말로 우리가 문턱을 넘었다고 생각합니다...다시 돌아가게 될지는 모르겠지만 사람들은 이제 막 이에 질리기 시작한 것 같아요. 기업들은 이 문제를 점점 더 심각하게 받아들여야 합니다. 왜냐하면 이러한 위반 사례 중 일부는 당혹스러운 보안 위반을 지나쳤기 때문입니다.하지만 보안 침해 사례가 재정적으로 큰 영향을 미치기 시작했습니다. 고객들이 기업에 대한 신뢰를 잃기 시작했기 때문입니다.

32:29 라구 난다쿠마라: 물론입니다. 하지만 우려되는 점은 이러한 보안 침해의 원인을 자세히 살펴보면 근본 원인이 일반적으로 항상 동일하다는 것입니다.우리가 종종 배우지 않을 때가 많은데, 그게 좌절감을 주는 것 같아요.

32:48 게리 바렛: 네, 그건 확실히 좌절이에요. 그리고 지난번에 뭔가가 있었을 때가 떠오르네요...다시 엄마한테 가볼게요.우리는 그녀가 거래하고 있는 한 회사에서 일어난 일에 대해 이야기를 나누고 있었는데, 어머니는 문제를 충분히 이해하고 계셔서 제게 이렇게 말씀하셨습니다. “누군가 관리자 암호가 취약하다는 걸 알았어요.얼마나 멍청한 짓이야?”그건 우리 엄마한테서 온 거였어요.당신이 만나고 싶은 UN-IT에 가장 정통한 분이신 우리 엄마가 그런 말을 하고 그런 질문을 할 수 있는 수준이라면, 환경에 뭔가 변화가 생긴 거죠.

33:24 라구 난다쿠마라: 그녀는 사이버 보안 분야에서 일자리를 얻어야 할 것 같네요, 그렇죠.그녀에겐 기술이 있고, 그에 대한 인식도 있을 거예요.그러니까 제로 트러스트 채택 얘기로 돌아와서 얘기하자면, 민간 부문에서 제로 트러스트를 도입하는 방식과 공공 부문이 제로 트러스트를 도입하려는 방식 간에 접근 방식에 차이가 있다고 보십니까?

33:43 게리 바렛: 그래서 우선, 민간 부문은 이미 공공 부문보다 제로 트러스트의 길을 훨씬 더 걸어가고 있다고 생각합니다...아시다시피 여러 주체들과 그들이 배치하고 시행한 몇 가지 것들을 고려하면 정부가 이제 막 논의하기 시작했다는 것을 알 수 있습니다. 그래서 이미 더 하락한 것 같아요...제 생각에 그들은 몇 가지 다른 점을 가지고 있는 것 같아요.그래서 우리는 이 경쟁에 대해 얘기했었죠, 그렇죠.그러니 원하는 업종을 선택해 보세요. 그리고 그 업종에는 여러 회사가 있습니다. 고객으로서 제가 뭔가 안전한 일을 하고 있지 않다고 느끼면 다른 곳으로 가겠습니다.하지만 이제 공공 부문과 비교해 보겠습니다.

34:15 게리 바렛: 사회보장국은 하나이고, IRS는 하나이고, VA는 하나뿐입니다.제가 받고 있는 서비스가 하나밖에 없기 때문에 돈을 가지고 다른 곳으로 갈 수 없어요.맞아요, 그러니까 공공 부문에서는 민간 부문만큼 운전 인센티브가 많지 않아요. 왜냐하면 고객 기반이 정체되어 있기 때문이죠.정부 부문에서는 경쟁도 없고 갈 곳도 없습니다. 따라서 민간 부문에서처럼 정부 측에서도 똑같은 일을 할 필요는 없습니다. 정부 부문에서는 고객 기반이 아무 소용이 없다는 것을 알고 있기 때문입니다.반면 민간 부문에서는 고객과 수익 기반을 잃고 싶지 않고 고객을 잃을 여유가 없기 때문에 유연하고 적응력이 있어야 합니다.

34:58 게리 바렛: 이것이 제가 대중과 정부에서 시간이 좀 더 걸린다고 생각하는 또 다른 이유 중 하나라고 생각합니다. 그 이유는 경쟁도 없고 고객이 갈 곳도 없기 때문입니다.

35:09 라구 난다쿠마라: 네.좋아요, 아뇨, 정말 대단한 관찰이네요. 왜 민간 부문이 이걸 받아들이려 하는지에 대한 일종의 원동력이겠죠...더 심각하게 받아들이려는 건 아니지만, 실제로는 좀 더 공격적으로 대응하고 뭔가 조치를 취할 것입니다.이 점을 간단히 정리하자면, 제로 트러스트의 미래는 어떤 모습일까요?

35:33 게리 바렛: 그래서 제 생각에 제로 트러스트의 미래는 다시 이 전체로 돌아가서 위반을 가정하는 것이 될 것이라고 생각합니다.가능한 한 가장 작은 부분까지 내려가려고 하는 것 같아요.데이터 요소 수준의 데이터 보안에 대해 말씀하시잖아요.애플리케이션 레벨에서의 애플리케이션 보안에 대해 이야기하고 있는데, 개별 부분에서는 애플리케이션의 개별 부분을 마이크로세그먼테이션합니다.기존의 방법과는 달리, 방어 고리를 최대한 작고 소스에 가깝게 그려 보자면, 큰 원을 그려 다른 사람이 큰 원을 통과하지 못하도록 막아야 하겠죠, 그렇죠.그리고 겹겹이 쌓이는 방식으로 하면 권고가 들어오기가 정말 어려워집니다.마지막으로 말씀드리자면, 제 생각에 인공 지능과 머신 러닝 같은 것들이 보안 세계에 점점 더 깊이 뿌리내리기 시작했다는 것입니다. 적응력이 뛰어나고 개입하지 않아도 되는 인간적 상호작용이 가능해졌기 때문이죠.훨씬 더 빠른 속도로 사물을 격리하려는 노력에는 이것이 매우 중요할 것 같아요. 그러면 이제 격리될 수 있으니까요.그리고 방금 배포하기도 했고요...

36:36 게리 바렛: 그렇죠?그냥 처음에 설정했어요, 그렇죠?애초에 이러한 도구를 어떻게 배포하는지 살펴보자면, 모든 작업을 사람에게 맡겨야 한다면 정의상 리소스의 한계로 돌아가는 데 시간이 좀 걸릴 것입니다.하지만 점점 더 많은 것들이 자동화되면서 머신러닝과 인공 지능과 관련된 것들이 점점 더 많아지고 있습니다. 구현뿐 아니라 기능을 바로 앞에 배포하는 것까지 말이죠.보안은 더 이상 갈 곳이 없다고 매우 확신하지만, 그렇죠?전투는 항상 오르막길이기 때문에 올라가는 것 외에는 갈 곳이 없습니다.제로 트러스트 배포와 관련해서는 성장과 개선의 여지가 많다고 생각합니다. 기술이 적응함에 따라 보안이 더 빠르게 적응할 수 있을 것이라고 생각합니다.

37:18 라구 난다쿠마라: 제 생각에 여기서 말씀하시는 것은, 여러분은 낙관적이고, 제로 트러스트라는 것을 믿는 사람들 중 한 명이라는 것입니다. 특히 제로 트러스트의 원래 공식화와 일종의 지속적인 모니터링과 자동화 오케스트레이션을 중심으로 한 고리를 돌이켜보면, 미래에는 제로 트러스트 아키텍처, 제로 트러스트 생태계가 탄생하게 될 것입니다. 센서에서 데이터가 들어오고 정책 엔진 등이 그때까지 처리하는 루프입니다.최소 권한 상태를 유지하도록 보안 정책을 조정하십시오. 이는 미래에 현실적으로 보일 것입니다...맞아요.

38:05 게리 바렛: 물론이죠.네, 아뇨, 제 생각엔 괜찮은 것 같아요...이미 조금은 그런 걸 보고 있잖아요, 그렇죠?보시다시피, 어느 정도 보이시겠지만, 이미 오늘날에도 작동하고 있습니다. 제 생각에는 그게 점점 더 표준이 될 것 같아요.보안은 빠르게 적응할 것입니다. “이봐, 최신 시그니처 업데이트는 뭐고, 앞으로 나올 최신 업데이트는 뭐야?” 라고 기다리던 세상에서 벗어날 수 있을 것입니다.우리는 제로데이 익스플로잇을 처리하고 사용자들과 함께 독특한 상황을 처리하는 데 점점 더 능숙해질 것입니다. 기술이 우리를 그렇게 이끌어 줄 것이라고 진심으로 믿습니다.

38:37 라구 난다쿠마라: 따라서 몇 분 동안 제로 트러스트에서 벗어날 수 있습니다.제로 트러스트 외에 사이버 보안의 어떤 점이 마음에 드시나요?어떤 트렌드를 따르고 있나요?

38:47 게리 바렛: 몇 가지 다른 점이 있죠, 그렇죠?첫째는, 저는 지속적이고, 지속적이고, 끝나지 않는 도전을 정말 좋아한다는 것입니다.싫어하는 사람들이 있다는 사실, 결승선이 없고, 그 반대편에는 끝이 없다는 사실이 정말 마음에 듭니다.항상 도전적이라는 점이 마음에 들어요.계속해서 할 일이 생긴다는 사실이 마음에 들어요, 그렇죠.매일 아침 잠에서 깨면 집중해야 할 일이 생기고, 바로 근처에 새로운 도전이 닥쳐온다는 걸 알게 되죠.그래서 저는 체스를 좋아해요.체스는 전략에 관한 거예요.체스는 상대방을 생각하고, 여러 가지 앞을 내다보려고 노력하는 것입니다. IT 보안은 누군가를 위한 것이 아니라면 기대에 관한 것이어야 하고, 미리 생각하는 것이어야 한다는 사실인데, 정말 기대가 됩니다...인공 지능의 능력이 향상되고 나서 시작했을 때 어떤 발전과 어떤 것들이 있을지 걱정과 동시에 흥분됩니다...점점 더 많은 사람들이 양자 컴퓨팅에 대해 이야기하고 있습니다. 양자 컴퓨팅은 잠재적으로 IT 보안에 가장 큰 도움이 될 수도 있고 IT 보안에 가장 큰 위협이 될 수도 있습니다.

39:53 게리 바렛: 솔직히 말해서 그 불확실성은 재미있다고 생각해요...그런 점에선 제가 좀 이상해요.

40:00 라구 난다쿠마라: 일종의...이 이야기를 열심히 듣고 있는 CSO와 CIO는 언제나 좋은 생각이에요. 그들은 모두 여러분의 지혜가 무엇인지 듣고 싶어하죠.그래서 요즘은 사이버 레질리언스가 가장 먼저 떠오릅니다.동료 CIO와 CSO에게 조언하고 사이버 복원력을 구축하고 최적화하는 방법을 알려주신다면 어떤 조언을 해주실 수 있을까요?

40:08 게리 바렛: 네, 그래서 앞서 말씀드린 내용으로 되돌아가는 것은 위반을 가정하는 것이 아니라면 위반을 가정하는 것임에 틀림없다는 것입니다.아직도 “보안 침해를 막겠다”는 진영에 속해 있다면 진영은 점점 규모가 작아지고 시대에 뒤떨어진 것입니다.보안 침해를 가정하고 나서 기업 내부적으로 살펴보면서 “큰 빨간 버튼을 눌러 전체 네트워크를 오프라인 상태로 만들겠다”고 말하는 사람이 되지 말고 해당 보안 침해로 인한 영향을 완화할 수 있는 방법, 고객을 위해 서비스를 계속 운영하기 위해 최선을 다하는 방법을 자문해야 합니다.제가 처음에 CIO로 있을 때 저를 위해 일했던 저급 직원들과 싸울 때 그랬던 것 중 하나였습니다. 그들은 “아, 모든 것을 오프라인 상태로 전환해야 해요.” 라고 말하곤 했습니다.아니요, 모든 것을 오프라인 상태로 전환하려는 것은 아닙니다.우린 그럴 수 없어요. 서비스를 제공하는 사업을 하고 있잖아요, 그렇죠.따라서 이러한 접근 방식을 사용하려면 내부적으로 네트워크를 구현해야 합니다.물론 저는 세그멘테이션과 마이크로세그멘테이션을 굳게 믿고 있습니다. 네트워크에는 가능한 가장 작은 공간까지 영향을 격리할 수 있는 기능이 있어야 한다는 것입니다.

41:15 게리 바렛: 따라서 기업 전체가 계속 기능할 수 있고 멀웨어나 랜섬웨어로 인해 모든 것을 중단하지 않아도 됩니다. 하지만 발원지에 최대한 가깝고 가능한 한 빨리 중지하여 운영을 계속한 다음 통제 불능 상태로 놔두었기 때문에 더 큰 문제에 집중하지 않아도 됩니다.

41:39 라구 난다쿠마라: 네, 제 생각엔...그래서 저는 당신이 옳은 말을 하는 것을 좋아합니다. 왜냐하면 신사 숙녀 여러분, 이것이 보안 전문가들에게 보내는 핵심 메시지라고 생각하기 때문입니다. AIC 트라이어드에는 세 글자가 있습니다. A는 가용성을 의미하며, 무결성과 기밀성 못지않게 중요합니다.글쎄요, 게리, 정말 기뻤습니다. 오늘 팟캐스트에 참여해주셔서 정말 감사합니다.

42:01 게리 바렛: 감사합니다. 감사합니다. 대화가 정말 즐거웠습니다.

42:06 라구 난다쿠마라: 이번 주 The Segment 에피소드를 시청해 주셔서 감사합니다.더 많은 정보와 제로 트러스트 리소스를 보려면 당사 웹 사이트 www.illumio.com을 참조하십시오.LinkedIn과 트위터, Illumio를 통해서도 당사와 연락할 수 있습니다.오늘의 대화가 마음에 드셨다면 팟캐스트가 있는 곳 어디에서나 다른 에피소드를 찾아보실 수 있습니다.제가 호스트 라구 난다쿠마라입니다. 곧 다시 찾아뵙겠습니다.

‍

‍