고등교육 분야의 제로 트러스트 해설

0:00:03 라구 난다쿠마라: 세그먼트에 오신 것을 환영합니다: 제로 트러스트 리더십 팟캐스트.저는 호스트입니다. 제로 트러스트 세그멘테이션 회사인 Illumio의 산업 솔루션 책임자인 라구 난다쿠마라입니다.오늘은 서던 메소디스트 대학교의 최고 보안 책임자인 조지 피니 (George Finney) 가 저와 함께합니다.SMU에서 George는 사이버 및 물리적 보안의 모든 측면을 감독하면서 신규 및 기존 보호를 강화할 창의적인 방법을 모색합니다.조지는 프로젝트 제로 트러스트와 웰어웨어: 미래를 보호하는 9가지 사이버 보안 습관을 익히기 등 여러 사이버 보안 서적의 베스트셀러 저자이기도 합니다.조지가 저와 함께 고등교육 분야에서 제로 트러스트와 함께한 경험에 대해 이야기합니다.오늘은 사이버 보안의 문화적 요소, 제로 트러스트가 아닌 것, 제로 트러스트 프로젝트가 실패하는 이유에 대해 알아보겠습니다.조지, 저희 팟캐스트에 게스트로 모시게 되어 정말 기쁩니다.가장 먼저 물어보고 싶은 것은, 법학 졸업생이 어떻게 법학 졸업에서 법률 인턴십을 하고, 네트워크 엔지니어가 된 후 SMU의 최고 보안 책임자가 될 수 있느냐는 것입니다.방향이 꽤 많이 바뀐 셈이죠.

0:01:16 조지 피니: 사실 제 학부생은 인문학 과목이었어요. 철학과 수학, 다른 것들, 언어를 많이 공부했다는 뜻이죠.저는 고대 그리스어를 말하는 법을 배웠어요.정말, 정말 멋진 경험이었어요.그리고 대학을 졸업하고 주식 중개인이 되겠다고 생각했어요.사실 저는 월스트리트에서 인터뷰를 하면서 깨달았어요. “네, 절대 그러고 싶지 않을 거예요.”그래서 사실 저는 GTE에 취직했어요.저는 그들의 DSL 회선과 부서에서 일하기 시작했어요.거기서 네트워크 엔지니어가 되었고 사실 저는 덴버와 댈러스에 있는 스타트업을 두어 군데 다녔습니다.그리고 제가 스타트업을 사랑하고 오픈소스를 좋아한다는 걸 깨달았어요. 그래서 제가 로스쿨에 간 이유의 근원이 되었죠. “이봐요, GPO라는 게 있어요. 정말 그 분야에 뛰어들고 싶어요.”세상에는 많은 오픈소스 라이선스가 있습니다.로스쿨에 다닐 때 GPL 버전 3이 나왔어요. 사실 저는 이에 대해 직접 연구를 했어요.다시 말씀드리지만, 저는 SMU에서 20년 동안 근무할 거라고는 전혀 예상하지 못했던 변호사처럼 될 거라고 생각했습니다. 하지만 CIO로부터 어깨를 두드리자 그는 이렇게 말했습니다. “이봐, 우리에겐 정말 최고 보안 책임자가 필요해.”그 글이 벽에 적혀 있었어요. 당시 모든 보안 담당자들이 저희 인프라 네트워킹 부서에 보고를 했어요.저는 CIS 관리자로 일한 경력이 있습니다. 제 스타트업에서는 네트워크 엔지니어일 뿐만 아니라 Linux 지원 등 다양한 업무를 담당했습니다.

0:02:35 조지 피니: 그래서 저는 법학에 대해 미친 배경을 가지고 있었죠. 네트워크 보안 그리고 CIS 관리자였기 때문에 이 모든 것을 하나로 묶는 것이 합리적이었고 팀을 제 밑으로 데려왔습니다.그리고 맙소사, 정말 재미있었어요.고등 교육 과정을 거치면서 거칠고 거친 서부 지역과 같아서 정말 보람을 느꼈습니다. 그래서 이런 책들을 쓸 수 있었죠. 바로 이런 환경에서 우리가 일을 하는 방식에 대해 정말 사려 깊게 생각할 수 있다는 거죠.그리고 저는 오랫동안 일해왔고, 전체 프로그램을 성장시키고 모든 방면의 일원이 될 수 있는 기회를 가졌습니다. 반면 제가 대규모 조직에 있었다면 훨씬 더 전문화되었을 것입니다.세상에, 정말 멋지고 놀라운 여정이었어요.

0:03:15 라구 난다쿠마라: 오, 대단하네요.월스트리트의 상실과 술집의 상실이 InfoSec 커뮤니티의 이득이라고 생각합니다.SMU에서 CSO로서 맡은 역할과 SMU가 얼마나 흥미롭고 다양한지에 대해 말씀해 주셨습니다.저는 교육기관에서 최고 보안 책임자의 역할이 매우 다양하고 까다로운 데에는 여러 가지 이유가 있다고 생각합니다.귀하가 작성한 블로그 게시물을 읽고 보안 강화에 대해 이야기할 때 어떻게 말씀하셨는지 말씀하셨기 때문에 조직의 상당히 상위에 있는 연구원 중 한 명이 이렇게 말한 것 같습니다. “아, 연구는 공개적이고 무료여야 합니다.”그리고 또 일종의 학문적 자유인 셈이죠.역할에서 이 모든 것들의 균형을 어떻게 맞출 수 있을까요?

0:04:01 조지 피니: 흥미롭네요.물론 처음 시작했을 때는 몰랐어요.고등 교육은 정말 규제가 심해요.예를 들어 여러분이 은행이나 소매점에 있다면 여러분이 하는 일을 잘 할 수 있을 것입니다. 반면 고등교육에서는 저희가 모든 것을 합니다.학자금 대출이 있기 때문에 은행과 동일한 의무를 준수할 수 있습니다.동시에 보건소도 있고, HIPAA도 있고, 신용카드 처리도 하고, 학생 기록도 있고, 유럽 사람들도 있어요.따라서 개인 정보 보호법과 모든 것을 다루기 위해서는 그 다양성이 정말 어렵습니다.사실 그게 제 마음에 드는 부분이고, 일반적으로 보안의 세계에서는 최첨단에 서야 한다고 생각합니다.우리는 항상 새로운 것을 확보해야 합니다.좋아요, 컨테이너가 들어오는데 어떻게 해야 할까요?완전히 새로운 야구 경기에서 보안을 어떻게 할 수 있을까요?솔직히 저는 정말 쉽게 지루해져요.그리고 제가 30년, 40년, 50년 동안 같은 일을 했더라면 - 아직도 코볼 프로그래밍을 하고 있는 사람들을 괴롭히지 않았다면 - 이봐, 이봐요, 저도 그렇게 오랫동안 같은 일을 하다 지쳤을 거예요.저는 최신 정보를 따라잡아야 하는데, 저에게 그런 경험을 줄 수 있는 직업이 바로 보안입니다.

0:05:12 라구 난다쿠마라: 물론이죠.저는 보안, 사이버 보안이 모든 양상에서 제시하는 새롭고 흥미로운 것들에 매료되었습니다.그리고 실제로, 선생님은 그렇게 설명하셨는데, 우리는 흔히 교육 기관이나 학술 기관들이 실제로 이런 존재라고 생각하지 않는 경우가 많죠...마치 다양한 산업이 한데 모여 있는 것과 같습니다.우선 순위가 다르고 당면 과제가 서로 다른 여러 부서를 하나로 모으고 통합 보안 문화를 구축하려면 어떻게 해야 할까요?

0:05:48 조지 피니: 정말 어려워요.어떤 사람들은 위아래로 내려갔다고 하고, 어떤 사람들은 아래쪽이 위쪽이라고 말하기도 하고, 둘 다라고 하죠.그리고 SMU의 정말 독특한 점은, 제가 이것과 아무 상관이 없었다는 것입니다. 제 시대가 오기 훨씬 전의 일이었죠.하지만 대부분의 사람들이 서던 감리교 대학교에 대해 알고 있는 사실은 우리가 NCAA 사형을 선고받았다는 것입니다. 우리가 유일한 대학입니다.그러니까 88년도에 큰 미식축구 스캔들이 있었던 거 기억나? 선수들한테 돈 주는 게 멋지기도 전에 선수들에게 돈을 주고 다녔던 거 기억나?다들 잘하고 있었어요. 우리가 잡혔어요.15년 후 이 대학교의 일원이 될 수 있어서 정말 신기해요. 조지가 CSO로서 했던 일이 아니에요. 저는 그걸 물려받았어요.하지만 맙소사, 우리가 내리는 모든 결정, 모든 신규 공급업체, 재무 결정을 처리하는 방식 등 모든 것이 그 한 가지 사고의 영향을 받은 것 같아요.그리고 많은 조직에서 보안 침해나 작은 사고가 발생했습니다. “좋은 위기를 절대 헛되이 방치하지 마세요”라는 유명한 말이 있습니다.다시 말씀드리지만, 이런 것들이 사람들의 기억 속에서 눈에 띄고 문화를 총체적으로 이끄는 요소라고 생각해요. 그래서 사후 대응이 아닌 능동적으로 행동하는 방법을 찾고 싶었습니다.

0:06:56 조지 피니 (George Finney): 좋은 기회이고, 기회를 만들 수 있고, 경영진과의 관계도 구축할 수 있습니다. 다시 말씀드리지만, 제가 모의 피싱 프로그램을 시작했을 때가 기억납니다. 이것은 지금으로부터 8년 전입니다. 그리고 제가 보낸 첫 캠페인에서 저는 제 대통령을 잡았고 비난을 받지 않았습니다.하지만 흥미롭게도 다른 CISO들은 CEO를 잡으려고 모의 피싱 캠페인을 시작했지만 더 이상 모의적인 피싱 캠페인을 하지 않는다는 것을 알고 있기 때문입니다.따라서 모두가 공동의 목표를 향해 함께 노력할 것이라는 믿음을 가져야 합니다.다시 말씀드리지만, 이를 조직의 사명에 맞출 수 있을 때 우리는 커뮤니티를 보호해야 합니다. 취약하고 성장하고 배우는 학생들을 보호하기 위해 여기 있는 것이죠. 마법 같은 일이죠.이러한 점을 활용하여 문화를 조성하는 데 도움을 준다는 것은 다시 한 번 말씀드리지만, 보안 세계에서 우리가 그 일원이 될 수 있다는 것은 정말 놀라운 일입니다.

0:07:50 라구 난다쿠마라 (Raghu Nandakumara): 마지막으로 자주 언급되는 것은 보안 전문가로서 업무를 수행하기 위해서는 먼저 보호하려는 조직을 이해하고, 그 다음에는 조직의 가치를 이해하고, 그 다음에는 이와 관련된 귀사의 가치를 이해해야 한다는 것입니다.그렇다면 이사회에 가치 제안서를 어떻게 표현하는지 말씀해 주실 수 있을까요?

0:08:15.조지 피니: 네, 그래서 찰튼 헤스턴의 영화 소일런트 그린을 본 적이 있는지 모르겠어요.1970년대로 거슬러 올라가면, 일종의 공상 과학 소설이었죠.

0:08:23 라구 난다쿠마라: 아니요, 듣고 싶어요.

0:08:24 조지 피니 (George Finney): 제가 엔딩을 망칠게요. 하지만 근본적으로 세상은 너무 많이 자랐고, 식량도 바닥났어요. 그래서 특별한 음식이 있습니다. 사람들이 좋아하고 세상을 구했어요. 이제 모든 사람을 먹일 수 있기 때문이죠. 결과적으로...유명한 말은 찰튼 헤스턴이 무슨 일이 벌어지고 있는지 알아내면 도망친다는 것입니다. “소일런트 그린은 사람이야!”사람들을 다시 사람들에게 먹여 살리고 있긴 하지만 세상에, 보안에서는 보안이 곧 사람이잖아요.저는 이사회나 경영진과 대화를 할 때 인간에 대한 이야기를 하고, 인간이 우리 조직에 어떤 영향을 미치는지에 대해 이야기합니다.이 일을 시작했을 때 월간 보안 보고서를 작성했는데 모든 지표에 초점을 맞췄습니다. 좋아요, “방화벽 차단이 몇 개나 있는지” 등등, 사람이 만든 것이 아니었습니다.그냥 숫자일 뿐이었어요.하지만 좋아요, 좋아요, 그게 무슨 뜻이죠?“좋아요, 신원 도용에 직면한 사람이 있었는데, 그 사람들이 받은 영향은 다음과 같습니다.” 라고 다시 말씀드리면, 기사 위주의, 스토리 중심의 콘텐츠로 전환했고, 다시 시청자를 변화시켰습니다.

0:09:34 George Finney: 학생들을 포함하여 조직의 모든 사람들에게 이 뉴스레터를 보내겠습니다.웹에서 공개적으로 접속할 수 있게 하거나 링크드인 등에서 공유할 것입니다. 다시 말하지만 이런 반응은 사람들이 블랙박스를 사용하는 전통적인 보안 방식과는 매우 다릅니다. “카드를 가슴 가까이에서 사용할 거예요. 다른 얘기는 하지 않을게요.”제가 쓴 다른 책들을 쓸 때, 사람들과 이야기를 나누면 사람들은 도와주고 싶어해요. “이런 이야기를 할 수 없으니까 이건 불가능할 것 같아요.저희 홍보부서는 제가 그렇게 하는 걸 원하지 않아요. NDA 같은 것도 있고요.”그리고 우리의 이야기를 공유하지 않는다면 차세대 보안 담당자들이 이 모든 것을 처음부터 다시 배워야 할 텐데 우리는 그렇게 할 수 없습니다.우리는 작가로서 늘 “보여줘, 말하지 마”라고 하는 이야기를 들려주면서 밖에 있는 악당들보다 앞서나가야 합니다.보안 조언을 제시하는 대신 알려줄 때 많은 의미가 있다고 생각해요.차이점이 바로 그거예요.

0:10:38 라구 난다쿠마라: 물론이죠. 그리고 제 생각엔 거의 모든 보안을 무명 상태로 적용하는 것은 전혀 보안이 아닌 것 같아요.스토리도 마찬가지입니다. 해결하고자 하는 문제를 이해하지 못한다면 어떻게 문제를 보호할 것인지 또는 현재 구축되고 있는 보안의 가치를 이해할 수 있을까요?그래서 여기 계신 모든 분들이 제로 트러스트에 대해 알아보고 여러분으로부터 제로 트러스트에 대해 배우기 위해 이 자리에 모였습니다.좋아요, 그럼 쉬운 것부터 시작하겠습니다.가장 좋아하는 제로 트러스트 비유를 말씀해 주세요.

0:11:06 조지 피니: 글쎄요, 최악의 비유를 들자면 거기서부터 시작하겠습니다.그래서 제로 트러스트가 아닌 것은...분명히 이 두 단어는 마치 X-Files와 비슷하죠?마치 폭스 멀더의 “트러스트 넘버 원”과 같지만 제로 트러스트는 그렇지 않습니다.그러니까 제로 트러스트는...비유하자면...X-Files라는 비유를 사용하지 마세요.사실 제로 트러스트를 실현하려면 다른 사람들과 협력해야 합니다.제로 트러스트란 “믿지 마세요”를 의미하긴 하지만, “좋아, 세상에, 아무도 못 믿겠어”라는 냉소적인 접근 방식을 취하지 마세요. 하지만 우리가 지금 하고 있는 일은 올바른 판단을 냉소주의로 대체하고 있다는 것입니다.제로 트러스트는 분석을 필요로 합니다. 커뮤니티를 보호하려면 보안 관행을 신중하게 실천해야 합니다.아마도 제가 가장 좋아하는 비유는 그냥 입이 딱 벌어지는 표현일 것입니다.그래서 겉은 바삭하고 속은 부드럽고 쫄깃한 M&M 대신 죠브레이커는 끝까지 먹기 힘듭니다.그러니까 캔디의 관점에서 Zero Trust를 하고 싶다면 조직을 입이 떡 벌어지게 만드세요. 악의적인 사람들이 입이 떡 벌어지려 할 때 이를 깨뜨릴 수 있기를 바랍니다.

0:12:17 라구 난다쿠마라 (Raghu Nandakumara): 초등학교 후기 시절로 돌아가 페니 가게에 가서 달콤한 가방에 턱브레이커와 색깔이 있는 작은 병 등을 가득 채운 다음, 턱을 씹어서 이가 아플 때 조심해야 한다고 생각해요.좋아요, 그래서 제로 트러스트가 무엇인지, 그리고 더 중요한 것은 무엇인지 설명하신 방식이 정말 마음에 듭니다.확실히 제로 트러스트에 대한 내용이 신뢰가 없다는 뜻은 아닙니다. 컨퍼런스 등에서 흔히 듣게 되는 내용이죠. 거의 사람들이 제로 트러스트에 대해 더 이상 듣고 싶지 않고 이 용어가 마음에 들지 않는다는 말을 하곤 합니다.그렇다면 제로 트러스트를 표현하는 더 좋은 방법은 무엇일까요?

0:12:57 조지 피니: 제로 트러스트에 대해 생각해보면, 스티븐 코비가 쓴 경이로운 책이 있습니다. 스티븐 코비는 '매우 효과적인 사람들의 7가지 습관'을 쓴 스티븐 코비의 아들이고, 아들 스티븐 코비는 스피드 오브 트러스트라는 책도 썼습니다.그리고 그의 책에서 그는 올바른 판단을 하기 위해서는 신뢰와 분석을 동시에 가져야 한다고 주장합니다.행렬을 생각해 봅시다. X축에는 신뢰가 있습니다. 신뢰는 이분법적인 것이 아닙니다.스펙트럼과 마찬가지로 신뢰하든 믿지 않든, 실제로 Y축이 있고 Y축은 분석이나 회의론 또는 무엇이라고 부르든 상관없습니다. 하지만 둘 다 동시에 가져야 합니다.신뢰도가 낮고 회의감이 낮으면 속기 쉽습니다.신뢰도가 낮고 회의감이 높으면 우유부단할 거예요.아무것도 해낼 수 없을 거예요.코비는 조직에 신탁세를 부과하는 것에 대해 이야기합니다. 주변 사람들을 하나도 신뢰하지 않으면 아무것도 할 수 없거나 정말 오랜 시간이 걸립니다.

0:13:57 라구 난다쿠마라: 네, 물론이죠.

0:13:58 조지 피니 (George Finney): 다른 조직의 파트너나 조직 외부의 파트너들도 마찬가지입니다.따라서 신뢰에 대해 근본적으로 이해하는 것이 매우 중요하다고 생각해요. 조직에서 신뢰를 근본적으로 이해하는 것에 대해서는 별로 이야기하지 않는 것 같아요. 솔직히 제로 트러스트를 시작했을 때 진짜 비결은 신뢰를 어떻게 찾을 수 있을까요?컴퓨터 라우터나 방화벽 서버 구성을 보면 신뢰란 무엇일까요?어떻게 검토해서 제거할 수 있나요?이것이 바로 제로 트러스트의 목적입니다. 사람을 믿지 않는 것이 아니라 디지털 시스템에서 그러한 신뢰를 찾아 없애는 것입니다.우리는 수년 전부터 이 일을 해왔습니다. 그게 제로 트러스트에 해당하는 전술로서 경계 해제를 하는 것이었든 말이지요.운영 체제 공급업체가 제공하는 블로트웨어를 모두 제거하고 실행에 필요한 작업만 수행하면 되는 것처럼 간단한 서버 강화일 수도 있습니다.이것이 바로 제로 트러스트의 전부입니다. 모든 개별 전술을 하나로 모으는 것입니다.그게 바로 우리가 하던 일이었으니까요.우리는 신뢰를 없애기 위한 전술을 전반적으로 구현하고 있었습니다. 제로 트러스트는 우리 모두가 동일한 이해를 바탕으로 같은 방향으로 나아갈 수 있도록 도와주는 가장 중요한 전략입니다.

0:15:03 라구 난다쿠마라: 그러니까 너무 철학적으로 설명하지 않아도 사이버라는 맥락에서 신뢰의 의미는 무엇일까요?

0:15:10 조지 피니: 네, 신탁이란 무엇일까요?세상에는 많은 사람들이 신뢰에 대해 이야기하는데, 제 생각에 디지털 시스템이란 연결의 용이성에 관한 것이라고 생각합니다.그래서 우리는 “데이터 센터에 있는 어떤 서버와도 통신할 수 있도록 방화벽 규칙을 정할 거야”라고 신뢰합니다 (그건 그렇고, 이것은 좋지 않은 조언입니다).절대 하지 말아야 할 일이지만, 그건 신뢰입니다.좋아요, 멋지네요.자, 제 컴퓨터나 기기가 손상되면 악의적인 사람들이 조직을 자유롭게 돌아다니기 위해 악용하는 거죠. 악의적인 사람들이 다단계 인증을 악용하는 거죠.신뢰 설정이 허용된 기간 동안 저는 그 장치를 믿었습니다.이는 어려운 일이고 적절한 균형을 찾아야 합니다. 그리고 사용성과 보안 사이에 절충점이 있다고 생각하지 않습니다. 그건 신화라고 생각합니다.하지만 많은 사람들이 이렇게 생각합니다. “내 최종 사용자는 내가 안 하면 내 고객들이 반란을 일으킬 거야.”... 그리고 사실, 당신은 처음에 이 문제에 대해 다루신 것 같아요. 우리 대학의 최고 학자가 “나와 인터넷 사이에 방화벽을 설치하지 마세요.” 라고 말했을 때 말이죠.

0:16:16 조지 피니: 좋아요, 그들이 백그라운드에서 한 말은 “조직의 속도를 늦추고 싶지 않아요.어떤 연구를 하든 제한 없이 연구를 수행할 수 있었으면 좋겠어요.”그리고 우리는 그것을 가능하게 해야 합니다.제로 트러스트가 실제로 우리에게 도움이 된다고 생각해요.그래서 어느 시점에서 저희 고객이나 고객, SMU에서는 학생들이 “왜 X를 안 하시나요?” 라고 묻기 시작했습니다.그리고 제 생각엔, 세상에, 만약 여러분이 오늘 은행에 가입할 때 은행에서 다중 요소 인증을 설정하지 않는다면, 잠시만요, 잠시만요, 이제 저는 그 은행과 거래를 하지 않을 것입니다. 그래서 우리 역사의 어느 시점에서든 보안을 유지하는 것이 표 6이 되었습니다. 모든 산업, 모든 기술에 대해 그것이 길이라고 생각합니다.그들은 단지 이런 것들이 어떻게 작동하는지 알아내고 있을 뿐입니다.우리는 혁신을 하고 있는데 보안에 대해 “아, 이봐, 우리가 보안을 하지 않으면 사업을 그만두게 될 거야.” 와 같이 생각할 필요는 없었죠.그리고 오늘날 CISO가 되는 비결은 성숙도 모델을 첫날부터 보안 구축 단계로 옮기는 데 있다고 생각합니다.

0:17:15 라구 난다쿠마라 (Raghu Nandakumara): 예를 들어 말씀하셨는데, 마치 사용성, 생산성, 보안이 서로 모순된다고 믿지 않는 것 같아요.이런 것들이 서로 밀접하게 연관되어 있다고 믿으실 텐데요, 여러분 역시 책에서 인용한 내용을 인용하기 위해 이렇게 말씀하셨습니다. “데브옵스 직원들은 모두 리키 바비와 같습니다.그들은 단지 빨리 가고 싶어할 뿐이죠.”그렇다면 CSO로서 Ricky Bobby's가 빠르면서도 안전하게 작업할 수 있는 보안 프레임워크를 어떻게 제공할 수 있을까요?

0:17:48 조지 피니: 다시 말씀드리지만, 인간을 이해하는 것이 관건인 것 같아요.사실 저는 리키 바비의 농담을 좋아해요. 제로 트러스트를 만든 존 킨더백의 허락을 받고 그 농담을 사용했어요.존, 고마워요.이 책을 썼을 때 저는 John Kindervag가 샷건을 타고 아이디어를 떠올릴 수 있다는 큰 이점을 누렸습니다. 하지만 “저는 모든 보안 분야의 전문가가 아니기 때문에 ID 전문가도 아니고 클라우드나 DevOps 전문가도 아닙니다.” 라고 생각했기 때문에 가능한 한 많은 전문가를 찾아보려고 노력했고, 정말 훌륭한 사람들과 자리를 잡았을 때 DevOps에서 개발자들은 보안을 원하지 않는 것이 아니라 다음과 같은 인센티브를 받는다는 것입니다.그들의 보스들은 모두 코드를 꺼내야 합니다.다시 말씀드리지만, 정말 좋아요. 많은 조직에 정말 필요하고, 실제로 이점이 있죠...Zoom이 좋은 예입니다.Zoom은 DevOps 회사이므로 사이버 범죄자라고 부르지는 않겠습니다만 해커, 전직 NSA 직원이 Zero Days를 두 번 공개했을 때 그들은 무엇을 할까요?그들은 이렇게 말합니다. “좋아요, 우리는 다른 모든 것을 막고 이 문제를 해결하는 데 모든 DevOps 사이클을 바칠 거예요.”

0:18:59 조지 피니: 대단하네요.DevOps가 보안을 어떻게 지원하는지에 대한 한 가지 이야기입니다.다시 말씀드리지만, 보안 커뮤니티에는 몇 가지 규범이 있습니다. 저는 회사에 먼저 공개하고 시간을 주는 것을 좋아한다고 생각합니다. 그런 경우에는 그 프로세스를 따르지 않았다고 생각합니다. 따라서 조직이 사전 통지 없이 24시간 내에 수정 사항을 되돌릴 수 있다는 것은 전례가 없는 일입니다.놀라운 이야기이긴 하지만 보안과 DevOps가 얼마나 연계될 수 있는지를 보여주는 것일 뿐입니다. 그리고 파트너와 함께 일하고 그들이 있는 곳에서 만날 수 있어야 한다고 생각합니다.특히 DevOps 세계에서 제로 트러스트를 사용하여 할 수 있는 많은 일은 그저 그들의 파이프라인에 참여하는 것뿐입니다.이미 파이프라인의 일부로 테스트를 진행하고 있으니 몇 가지 테스트만 추가해 보겠습니다.코드를 푸시하기 전에 비밀을 확인할 수 있을까요?생각해 보면 제로 트러스트는 파이프라인 끝에서 코드를 보호하려는 것이 아니라 문제 관리에 관한 것입니다.문제가 되기 전에 전체 범주의 문제를 제거해 봅시다.예방에 대해 생각해 봅시다. 모든 사람이 동일한 이해를 바탕으로 실제로 이를 이해할 수 있도록 하면 CTO와 DevOps 담당자가 주기가 끝날 때 이러한 수정 작업을 수행할 필요가 없습니다. 예방은 프로세스에 내장되어 있을 뿐입니다.

0:20:14 라구 난다쿠마라: 그래서 당신의 책을 다시 인용하겠습니다.제 생각엔 소개 챕터 초반부에 보면, 내부 보안을 위해 우리가 할 수 있는 가장 효과적인 수단은 예방이고, 예방을 위한 가장 효과적인 전략은 제로 트러스트라고 말씀하셨을 겁니다.제가 여러분께 약간 질문을 드리자면, 양해 부탁 드립니다. 전체적으로 보면 경계 보안의 시대, 그러니까 90년대에서 2000년대는 예방의 시대와 매우 비슷한 시대였다는 것입니다.악의적인 공격자는 외부에 있었고 내부의 모든 사람들은 신뢰할 수 있습니다. 그래서 우리가 현관문을 닫거나 당신이 그것을 단단히 잠그고 있는 한 우리는 모두 괜찮습니다.그리고 나서 우리는 그게 실패로 돌아갔고, 여전히 침입하고 있었으며, 탐지와 대응에 초점을 맞췄다는 것을 알게 되었습니다.좋아요, 우리의 모든 노력이나 대부분의 노력을 탐지, 대응, 복구에 쏟아 부읍시다. 이것이 2010년대의 원동력이 되었습니다.그리고 저도 말씀드리자면, 현재 시대는 격리가 중심입니다. 악의적인 행위자가 침입할 것이라고 가정하면 탐지를 못할 수도 있습니다.

0:21:22 라구 난다쿠마라: 그래서 그 영향을 최소화하는 데 초점을 맞추고 있습니다. 이에 대해 어떻게 생각하세요?제로 트러스트는 예방이 아니라 봉쇄에 관한 것이라는 생각에서요.어떻게 생각하세요?

0:21:34 조지 피니 (George Finney): 엄밀히 따지자면, 우리가 제로 트러스트에 대해 사용하는 정의는 존 킨더백의 정의인데, 이 책에서도 그 내용을 다루겠습니다.하지만 제로 트러스트의 정의는 보안 침해를 예방하거나 억제하기 위한 전략이라고 할 수 있습니다.우리는 디지털 시스템에 대한 신뢰를 없애고 싶고, 이상적으로는 이를 방지할 수 있을 것입니다.예방은 가능한데, 아마 많은 사람들이 그걸 포기했을 것 같아요.그리고 제로 트러스트의 임차인 중 한 명이 위반을 가정하고, 우리도 격리를 시도할 것입니다.그러니까 제 생각엔 둘 다에 관한 문제인 것 같아요.“1파운드의 예방은 치료 1파운드의 가치가 있다”는 말은 보안에 있어서는 정말 맞는 말입니다.이 문제에 대한 연구를 통해 다시 한 번 말씀드리지만, 코드 파이프라인을 처음 시작할 때 문제가 발생한 후 수정해야 하는 것보다 비용이 훨씬 적게 든다는 것을 보여줬습니다.그래서 저는 제로 트러스트가 오늘날 보안에서 전략의 정의를 실제로 충족하는 유일한 방법이라고 생각합니다.그래서 심층 방어가 전략의 정의에 부합하는지에 대해 다른 CISO와 논쟁을 벌였습니다.저는 그렇지 않다고 생각합니다. 하지만 곰곰이 생각해보면 전략에는 두 가지가 있어야 합니다.달성하고자 하는 목표가 있어야 합니다.

0:22:35.2 조지 피니: 그리고 거기에 가는 방법에 대한 계획을 세워야 합니다.그리고 이상적으로는 좋은 전략이 있다면 목표 달성을 위해 얼마나 많은 노력을 기울였는지 가늠할 수 있습니다. 그래서 어떤 것에 대해 생각해 보면...다시 말씀드리지만, 저는 심층 방어를 전술이라고 생각하지만, 방어에 대해 깊이 있게 생각하면 “좋아요, 멋지네요.목표가 뭐죠?”방어의 기술적 정의를 심층적으로 살펴보면 한 계층에서 장애가 발생하지 않도록 여러 계층을 갖는 것이 목표라고 생각합니다.따라서 심층 방어의 궁극적인 목표는 보안 침해를 예방하거나 억제하는 것이 아니라 장애에 대처하는 것입니다.심층 방어를 사용하면 특정 계층이 왜 실패했는지 알 수 없기 때문에 많은 사람들이 심층 방어를 “비용 심층 방어”라고 부릅니다. 그럼 우리는 어떻게 해야 할까요?레이어를 더 추가하기만 하면 됩니다.멋지네요.효율적이지 않아요.하지만 좋아요. 그래서 “그냥 레이어를 많이 추가할 거예요.” 라는 소리로 보드를 피칭할 때는 말이죠.“언제 끝났는지 어떻게 알 수 있죠, 조지?음, 돈이 얼마나 필요해요?”솔직히 JP Morgan이 매년 10억 달러를 지출하고도 여전히 보안 위반을 당할 수 있다면, 제가 다니는 대학에서도 같은 접근 방식을 취했다면 효과가 있을지 어떻게 알 수 있을까요?효과적인 전략은 아니에요.

0:23:38 조지 피니: 전술과 더 비슷한 것 같아요.제로 트러스트는 모든 팀이 올바른 방식으로 참여하도록 돕는 전략입니다.적절한 전술을 적시에 활용할 수 있으므로 3~4가지로 할 수 있는 일을 완수하는 데 50~100개의 도구가 필요하지 않습니다.

0:24:00 라구 난다쿠마라: 물론 저도 그 말에 동의합니다만, 말씀하신 몇 가지 정말 흥미로운 부분이 있습니다.전략이 전혀 없는 상태에서 심층적인 방어 접근법을 추구할 때 드는 비용에 대해 말씀하셨잖아요.오늘날, 특히 거시적 상황의 경우 ROI에 진정으로 초점을 맞췄다면 현재로서는 이 모든 것이 가능합니다.그렇다면 제로 트러스트 전략을 따르는 것이 보안상의 이점뿐 아니라 ROI, 비용, 운영 효율성, 아키텍처 단순성을 실제로 어떻게 제공할 수 있을까요?제로 트러스트 전략은 이러한 것들을 어떻게 제공할까요?

0:24:40 조지 피니: 네, 그래서 책에서는 존 킨더백의 제로 트러스트 설계 방법론을 사용했습니다.그러니까 5단계 공정이 있는데, 그 5단계 공정의 기본은 보호 표면이라는 개념입니다.따라서 표면 보호는 공격 표면과 반대되는 개념입니다. 그리고 Gartner의 하이프 사이클 또는 매직 쿼드런트에 “공격 표면 관리”와 같은 유행어가 있다는 것을 알고 있습니다.공격 표면 관리는 거짓말입니다.공격 표면을 축소할 수만 있다면 보안이 강화되고 공격 표면을 축소할 수 없다는 아이디어를 주는 마케팅 용어입니다.공격 대상은 전 세계 모든 디바이스입니다.펠로톤이나 팔러 보안 침해 사례를 보면 어떤 역할을 할까요?두 조직 모두 휴대전화에 사용할 수 있는 API를 가지고 있었습니다. 하나는 러닝머신이나 운동용 자전거 등에 사용할 수 있는 API였죠.

0:25:27 조지 피니: 음, 맞아요?악의적인 놈들이 방금 그 API를 리버스 엔지니어링했어요.이러한 조직에는 맹점이 있었습니다.그들은 API를 통해 어떤 것도 탐지할 수 있는 조직을 보거나 통제할 수 없었습니다.그리고 익스포트한 악당들은 회사에서 제공한 API를 통해 모든 데이터를 유용하게 거래했습니다.이것이 바로 공격 표면 관리입니다.모바일 앱이 있다면 전 세계 어느 휴대폰이든 공격 대상이 될 수 있습니다.반대로 제로 트러스트는 “보호 표면”이라는 개념을 사용합니다.제가 보호하려는 것은 비즈니스 운영 방식을 이해하고, 인벤토리가 있어야 하고, 상위 앱이 무엇인지, 중요한 데이터가 어디에 있는지 알아야 한다는 것입니다.그래서 보호 표면 안에서 보호하려는 대상을 우회할 생각입니다.그리고 그걸 보호하기 위해 반복 가능한 절차를 밟을 거예요.

0:26:09 조지 피니 (George Finney): 그래서 예전에는 CISO로서 도구를 배포하는 것에 대해 생각할 때, “좋아, 방화벽을 어디에나 배포해야 해.EDR을 어디에나 배포해야 해요.”사실 보호 표면만 생각하면 바로 그 보호 표면에 맞춤형 제어 기능을 제공할 생각이에요.따라서 조직 전체에 라이선스를 부여하는 대신 이러한 다양한 도구를 해당 보호 표면 내에서 필요한 도구만 사용하겠습니다.예를 들어 API가 있는 보호 표면이 있다면 API 보안을 내장하고 있는 멋진 회사 중 한 곳에 갈 생각이에요.그 안에 넣을게요.웹 페이싱이라면 웹 애플리케이션 방화벽을 사용할 거예요.디바이스라면 당연히 엔드포인트 EDR이 필요합니다.저는 방화벽을 만들 거예요. 하지만 방화벽을 구워서 원하는 경우 개별 보호 표면을 필요한 방식으로 보호할 수 있도록 사용자 지정 맞춤형으로 만들 것입니다.

0:26:59 George Finney: 다시 말씀드리지만, 저는 다중 보호 표면을 가지고 있습니다. 이것이 마이크로 세그멘테이션의 개념입니다. 제로 트러스트에 속하는 또 다른 전략입니다.비슷한 자산을 모으겠습니다.그래서 저는 이 사고를 단지 하나의 보호 표면에만 격리할 것입니다.그리고 다른 보호 표면들이 어떻게 상호작용하는지 이해해 보세요. 그리고 그걸 하나의 보호 표면에만 담을 수 있었으면 좋겠어요.이것이 바로 이 제로 트러스트 설계 방법론의 강점입니다. 맞춤형 제어 기능이 있다는 것이죠.그리고 다시 말씀드리지만, 모든 것을 반복하고, 모니터링하고, 기록합니다.다시 말씀드리지만, 디자인 방법론의 또 다른 테넌트죠.하지만 피드백 루프를 통해 알 수 있는 것은 “이제 보호 서피스가 생겼으니 트러스트를 어떻게 찾아낼 수 있을까?어떻게 제거하죠?”때로는 사전 예방적 아키텍처를 통해서일 수도 있습니다.미리 생각해 볼 수 있어요.가끔은 필기 테스트나 테이블 타입 연습이나 제 자신의 맹점을 찾는 데 도움이 되는 다른 것들을 통해서일 때도 있어요.그리고 악의적인 사람들이 저를 찾아오기 전에 제가 능동적으로 그 일을 할 수 있었으면 좋겠어요.

0:27:51 라구 난다쿠마라: 보호 표면의 개념에 대해 존과 몇 가지 대화를 나눌 수 있어서 기뻤습니다.분명히, 그는 계속해서 이 점을 다시 강조하고 있습니다. 조직에서 제로 트러스트 전략을 따르기가 정말 어렵다고 생각할 때, 제로 트러스트 전략을 완전히 모든 것에 어떻게 적용할 수 있을까요? 제로 트러스트 전략을 채택하는 데 있어 몇 가지 어려움이 있다고 생각하기 때문이죠.그리고 당신은 사실 아니오라고 하잖아요.거의 뒤집어서 이렇게 말할 정도예요. “내가 가장 지키고 집중해야 할 게 뭐야?왜 우리는 아직도 이런 어려움을 겪고 있는 걸까요?”다시 말씀드리지만, 보호 표면을 생각하면 상식적인 것이 제로 트러스트 전략이라는 생각이 들기 때문입니다.어디서부터 시작해야 할까요?그리고 반복 작업을 하면서 그 다음 단계는 무엇으로 넘어갈지 계속 살펴보죠. 그런데 왜 아직도 채택에 걸림돌이 되는 걸까요?

0:28:42 조지 피니: 네, 정말 멋지네요.책이 나오기 전과 후에 저는 많은 CISO들과 이야기를 나눴습니다. 솔직히 제로 트러스트 이니셔티브를 시작했다가 실패한 사람들의 공통점은 바로 사람 때문입니다.기술 문제도 아니고 필요한 도구를 모두 갖추지 못했다는 것도 아니고 정치에 관한 것이었습니다.사람들이 무엇을 해야 할지 모른다는 내용이었죠.그들은 어디서부터 시작해야 할지 몰랐어요.다시 말씀드리지만, 저는 여기 계신 분들을 괴롭히고 있습니다. 하지만 세상에, 만약 제로 트러스트가 우리 보안 전문가들만을 위한 것이라면 우리는 실패할 것입니다.보안 전문가들이 나가서 모든 것을 다 해야 하는 게 아니기 때문이죠.인프라 팀, DevOps 팀, 헬프 데스크 또는 데스크톱 지원 담당자가 있습니다.따라서 IT 담당자 모두가 제로 트러스트를 이해할 수 있어야 합니다.

0:29:30 조지 피니 (George Finney): 제가 CISO로서 제로 트러스트를 이해할 수 없는 이유는 마케팅 과대 광고나 다른 것들과 경쟁하는 것들이 너무 많기 때문입니다. 이해할 수 없다면, 우리 조직의 새로운 네트워크 엔지니어가 제로 트러스트를 활용할 수 있을 거라고 어떻게 기대할 수 있을까요?맞아요, 세상에.분명히 정답은 아마존과 Audible에서 구할 수 있는 조지의 저서인 Project Zero Trust를 사서 장벽을 허무는 것입니다.아니면 정말 간단하게 만들 수도 있습니다.하지만 다시 말씀드리지만, 제로 트러스트를 중심으로 한 우리의 프로젝트가 성공하려면 모두가 제로 트러스트를 이해해야 합니다.

0:30:03 라구 난다쿠마라: 네, 동의합니다.그리고 제가 이 책에서 마음에 드는 부분도 많고 좋아할 것도 많지만, 제가 좋아했던 것은 진행 상황을 확인하는 것입니다. 탁자 위에서 하는 연습이죠.아직 책을 읽지 않았거나 들어보지 않으신 분들은 읽어 보시면 참고 자료를 얻으실 수 있을 겁니다.검증은 매우 중요하기 때문에 보안 전문가로서 우리는 실제 검증을 충분히 하지 못한다고 생각합니다.그렇다면 제로 트러스트 프로그램에서 일종의 ROI를 보여주면서도 진행 상황에 대한 검증을 받는 것이 특히 중요한 이유는 무엇일까요?

0:30:40 조지 피니: 네, 다시 말씀드리지만, 이것이 제로 트러스트 프로젝트가 실패하는 또 다른 이유 중 하나입니다.제가 다른 CISO들과 이야기를 나눠본 결과, 제로 트러스트 전환에 걸리는 평균 시간은 어디서 시작하느냐에 따라 3-5년이고, 몇 년 정도 차이가 날 수 있습니다.하지만 맙소사, 경영진 이직률과 CISO 이직률에 대해 생각해 보고 예산 주기에 대해 생각해 보세요.해마다 발전이 보이지 않는다면 어떻게 그걸 정당화할 수 있을까요?어떻게 하면 계속해서 지원을 받을 수 있을까요?CISO로서 여러분은 관계를 발전시키고 신뢰를 쌓아야 합니다. 하지만 그 중 일부는 프로젝트 제로 트러스트를 아주 작은 조각으로 나누는 것입니다.그래서 우리는 이 책에서 그들의 여정이 6개월간 지속된다고 제안했는데, 그 여정은 신제품 프로젝트 릴리스에 힘입은 것이었습니다.

0:31:26 조지 피니: 그래서 그들은 특정한 날짜까지 일을 끝내야 했어요.그게 이 사업과 정말 잘 맞았다고 생각해요.모든 비즈니스 리더들은, 네, 새로운 프로젝트나 제품이 출시되었고, 몇 가지 보안 사고가 있었으며, 사람들이 참여하고 우리가 좋은 보안과 좋은 제품을 제공할 수 있다는 것을 편안하게 느끼길 바란다는 것을 깨달았습니다.그렇지 않으면 신제품이 시장에서 경쟁할 수 없을 거라고 [웃으며] 생각합니다.다시 말씀드리지만, 이것이 바로 비즈니스와 연계되는 것입니다. 즉, 모든 점을 연결하는 것입니다.그렇다고 해서 “우리는 이 새로운 프로젝트, 즉 6개월 후에 제품이 나올 것이라는 것을 알고 있습니다.5년 안에 제로 트러스트와 함께할 수 있을 거예요.”다시 말씀드리지만, 여러분 세상에는 제로 트러스트 성숙도 모델이 있습니다.Kindervag가 직접 축복을 받은 책도 있습니다.이제 CISA에서 보낸 책도 있어요.

0:32:08 조지 피니 (George Finney): 그래서 저는 제로 트러스트와 킨더버그에 관한 클라우드 시큐리티 얼라이언스 워킹 그룹의 일원이고 체이스 커닝햄과 다른 사람들은 이 문서를 제대로 만들기 위해 CISA와 협력하고 있습니다.하지만 와우, 저는 우리가 총체적으로 협력하고 있다고 생각합니다. 세상에, 보안 커뮤니티가 함께 일하고 있네요!— 제로 트러스트에 대한 일관된 정의를 갖는 것이죠.먼저 “포레스터와 가트너를 살펴보고 페이월을 받아야겠어.” 라는 말 말고 다른 것부터 시작해보세요. 모든 스타트업들이 제게 제로 트러스트 제품을 던지는 것을 들었습니다.자, 우리 모두가 지지할 수 있는 일관된 정의를 내려 봅시다.그리고 말씀드리자면, 제로 트러스트 여정에서 도움을 줄 수 있는 도구가 있습니다.아니요, 저는 제로 트러스트에 필요한 모든 것을 한 곳에 모아 놓은 도구를 가지고 있습니다.이것이 바로 우리의 진정한 목표입니다.다시 말씀드리지만, 우리는 이 일을 단순하게 만들어 모두를 테이블에 초대해야 합니다.

0:32:52 라구 난다쿠마라 (Raghu Nandakumara): 네, 물론이죠. 거의 6개월 만에 한 번에 볼 수 있다는 점이 마음에 들어요.성숙도 모델에 맞춰서 6개월 안에 우리가 여기 있고 싶다고, 12개월 후에는 여기 있고 싶다고 말할 수 있는 것이 훨씬 이해하기 쉬운 방법일 뿐이죠. 그렇지 않으면 “5년 프로그램에 자금을 지원해 주되, 지금부터 5년 동안 우리가 무엇을 해왔는지 물어보지 마세요.”

0:33:22 조지 피니 (George Finney): 다시 말씀드리지만, 2년 후에는 회사가 완전히 다른 기술을 사용하게 될 수도 있습니다!제로 트러스트 측면에서 어떻게 이 상황을 따라잡을 수 있을까요?세상에, 그래요.단계별로 접근해야 합니다.책에 나오는 가상의 회사의 모토는 March Fit이고 회사 모토는 “모든 단계가 중요하다”입니다.한 걸음 한 걸음 내딛어야 그 다음 단계가 가능하기 때문에 모든 단계가 중요합니다.거창한 단계일 필요는 없습니다.달릴 필요도 없고 걸을 수도 있어요. 아기 걸음도 중요하죠. 그게 제로 트러스트에 대한 접근 방식이라고 생각해요.우리는 항상 단계적으로 발전하고 있습니다.누구나 함께 와서 함께 걷고 포용적인 경험을 할 수 있습니다.이것이 바로 앞으로 나아갈 방향입니다.

0:33:53 라구 난다쿠마라: 네. 100%.그러니까 좀 앞을 내다보죠. 2023년을 내다보죠.CSO로서 가장 걱정되는 것은 무엇입니까?

0:34:02 조지 피니: 세상에, 여러분.솔직히 말하자면, 팬데믹으로 인해 많은 번아웃이 일어난 것 같아요.채용은 분명히 가장 큰 도전이라고 생각합니다.사직이 크다는 것은 큰 걱정거리라고 생각합니다. 여러 조직의 리더십 팀에서 싸움이 벌어지고 있다는 점이죠.보안을 지속적으로 활성화하려면 어떻게 해야 할까요?어떻게 하면 조직을 강화하고 각자의 고유한 디지털 혁신을 지속적으로 발전시킬 수 있을까요?계속 발전하려면 사람에게 계속 투자해야 한다고 생각합니다.다시 말씀드리지만, 우리가 이를 중단하더라도 보안은 항상 최첨단에 있습니다.따라서 지속적인 학습과 평생 학습에 전념하지 않으면 결국 뒤쳐지기 시작할 것입니다.제 생각에 과부하가 걸리고 지칠 때 가장 먼저 해야 할 일은 “이제 그만 읽겠다, 테이프로 된 책은 그만 들을 거야.”

0:34:47 조지 피니: 그건 우리를 몇 년 전으로 되돌릴 거예요.우리는 새로운 사람들을 보안 요원으로 맞이해야 합니다.으스스한 폭스 멀더 타입이라서 사람들이 보안 요원을 거부한다는 얘기가 계속 들리는데요.저는 사람들에게 도움이 되고 보안은 사람들에게 도움이 되는 일을 하고 싶습니다. 하지만 우리가 사람에 투자하지 않는다는 이유로 사람들을 보안으로부터 멀어지게 한다면, 우리는 초급 수준이어야 하지만 제로 트러스트에서 20년간 경력을 쌓아야 하는 직무 기술서를 작성하는 것입니다.물론 제로 트러스트에서 20년 경력을 쌓았다는 직무 설명서를 생각해 보세요.맞아요?킨더백은 12년 전에 제로 트러스트를 발명했어요.

0:35:26 라구 난다쿠마라: 네.훌륭합니다.맞아요.

0:35:28 조지 피니: 어쨌든, 비누 상자를 사러 갈게요.

0:35:29 라구 난다쿠마라: 당신은 여기서 개종한 사람들에게 설교하고 있습니다.그래서 저도 전적으로 동의합니다.제 생각에는 제로 트러스트에서 학사 학위를 제공하는 학술 기관들이 그리 멀지 않은 것 같아요.조지, 오늘 여러분과 이야기를 나눌 수 있어서 정말 기뻤습니다.대화가 정말 즐거웠고, 영원히 계속될 수도 있었을 텐데여러분 모두 George의 최신 저서 Project Zero Trust: 아마존의 보안과 비즈니스를 연계하는 전략에 관한 이야기를 읽어 보세요. 또는 저처럼 눈으로 보는 것보다 귀로 듣는 것을 선호한다면 Audible에서 확인해 보세요.George는 이 책이 얼마나 빨리 완성되었는지에 대해 제가 세계 기록을 보유하고 있다고 확신한다는 사실을 알게 되면 매우 기뻐할 것입니다.그래, 어제부터 오늘 사이에 시간을 내서 그냥 훑어보는 게 좋을 것 같았어.한 마디도 놓치지 않았어요. 부록만 빼고요.인정할게, 난 부록을 듣지 않았어정말 환상적이에요.오늘 우리의 대화에서 저는 이야기에 나오는 딜런이나 루크 스카이워커였고 여러분은 오비완이었다고 생각합니다.시간을 내주셔서 감사합니다. 조지, 이 시간을 우리와 함께 보내줘서 정말 고마워요.

0:36:32 조지 피니: 초대해 주셔서 정말 감사합니다.

0:36:37 라구 난다쿠마라: 이번 주 더 세그먼트 에피소드를 시청해 주셔서 감사합니다.더 많은 정보와 제로 트러스트 관련 자료는 저희 웹사이트 illumio.com에서 확인하실 수 있습니다.LinkedIn과 트위터 Illumio를 통해서도 저희와 연락하실 수 있습니다.오늘의 대화를 원하신다면 팟캐스트가 있는 곳 어디에서나 다른 에피소드를 찾아보실 수 있습니다.제가 호스트인 라구 난다쿠마라입니다. 곧 다시 찾아뵙겠습니다.