생성형 AI에 따른 보안 운영의 변화

AWS Security Operations Director인 Tom Avant와의 대화

핵심은 Sec Ops

구매하든 구축하든 보안 운영은 기업 보안 전략에서 중요한 부분을 차지합니다. Director of AWS Security Operations인 Tom Avant와의 대화에서 성공적인 보안 운영 센터(SOC) 구축의 핵심 요소에 대해 논의합니다.

 

성공적인 SOC 구축의 비결은 무엇일까요?

AWS Enterprise Strategy Director인 Clarke Rodgers가 Tom에게 질문을 하며 AWS SOC가 조직 내에서 어떻게 기능하는지, 팀이 성공을 어떻게 측정하는지, 자동화를 통해 지속적인 개선을 어떻게 추진하는지 알아봅니다. 또한 생성형 AI와 같은 새로운 기술이 보안 운영의 미래에 미치는 영향에 대해서도 살펴보겠습니다.

아래에서 자세한 대화 내용을 확인하세요.

대화의 스크립트

AWS의 Security Operations, Tom Avant Director와 AWS의 Enterprise Strategy Director Clarke Rodgers 출연

군사 작전에서 보안 운영까지: Tom Avant의 AWS로의 여정

Clarke Rodgers:
성공적인 글로벌 보안 운영을 확장하는 것은 결코 쉬운 일이 아닙니다. 고객의 신뢰를 우선시하면서 비즈니스 요구 사항에 맞게 조정하는 헌신과 주인 의식 문화가 필요합니다.

저는 Clarke Rodgers입니다. AWS Enterprise Strategy Director이고, Executive Insights 시리즈인 AWS 보안 리더들과의 대화에서 진행을 맡고 있습니다.

이번 에피소드에서는 AWS Response and Resiliency Director인 Tom Avant와 함께 합니다. 비즈니스 복원력을 보장하기 위해 보안 운영을 구축하고 유지하며 발전시키는 핵심 요소에 대해 들어보세요. 함께 해주셔서 감사합니다.

Clarke Rodgers:
오늘 나와 주셔서 감사합니다.

Tom Avant:
초대해 주셔서 정말 감사합니다. 정말 영광입니다. 감사합니다.

Clarke Rodgers:
먼저 배경에 대해 조금 이야기해 주시겠습니까? 군대에 계셨다고 들었는데 어떤 계기로 AWS로 오게 되셨나요?

Tom Avant:
군에 입대하면서 처음에는 언어학을 전공하여 정보 분석가로 일했고, 몬터레이에 있는 국방 언어 연구소에 있을 때 다양한 문화를 접할 수 있는 좋은 경험을 했습니다. 세상에 대해 많은 것을 배웠고, 이는 나중에 글로벌 조직과 팀을 운영하는 데 큰 도움이 될 것입니다.

그리고 인텔리전스 산업은... TV와 영화에서 보며 생각했던 것이 실제로 경험해 보면 전혀 다르다는 것을 깨닫게 됩니다. 하지만 데이터, 처리, 방법론에 대해 많은 것을 배우고, 생각하는 방식과 사물을 바라보는 방식을 체계화할 수 있는 좋은 곳이었습니다. 그래서 저는 그렇게 했습니다. 저는 NSA에서 몇 년 동안 일하면서 정보와 관련된 다양한 일을 했습니다.

그리고 나중에 항공 전투 관리자로 정보 작전을 담당하는 지휘 통제 장교가 되었을 때 저는 지금 대통령 지원 업무뿐만 아니라 전 세계에서 인도주의 임무를 수행하고 중요한 결정을 내리며 주요 글로벌 수준의 사고 대응을 수행하게 되었습니다.

추가 정보: 보안 역할에 퇴역 군인을 고용할 때 얻을 수 있는 이점에 대해 알아보기

Clarke Rodgers:
그렇군요.

Tom Avant:
그래서 AWS는 저에게 자연스러운 선택이었습니다. 저는 평생 동안 보안 분야에 종사해 왔습니다. 전에 농담으로 말한 적이 있지만 저는 19살 때부터 기밀 정보 취급 허가를 받았습니다. 하지만 가치를 지닌 조직에 들어와 보니 Amazon의 리더십 원칙이 상당히 매력적이었습니다. 그리고 AWS에서 어떤 일이 벌어지고 있는지 이해하게 되면 “맙소사, 우리가 하는 일 때문에 세상의 많은 것들이 제대로 돌아가고 있구나”라고 생각하게 됩니다. 저도 그 한 축을 담당하게 되죠.

AWS의 보안 운영 및 비즈니스 연속성

Clarke Rodgers:
AWS에서 현재 맡고 계신 역할에 대해 간단히 이야기해 주세요. 현재 담당하고 있는 역할은 무엇이며 어떤 책임을 맡고 계신가요?

Tom Avant:
우선 AWS 보안 운영 센터를 운영하고 있으며, AWS 비즈니스 연속성도 담당하고 있습니다. 매우 다른 두 가지 일이지만 두 가지 모두 비즈니스에 매우 중요합니다. AWS 보안 운영 센터는 비즈니스 전반에서 티어 1 물리적 및 논리적 사고 대응을 담당합니다. 따라서 데이터 센터에서 S3 버킷에 이르기까지, 우리는 최전선에서 탐지를 모니터링하고, 탐지를 분류하거나 직접 해결할 수 없는 경우 이를 다른 사람이 해결할 수 있도록 라우팅합니다.

배지에 대해 궁금해하는 모든 분들을 위해 우리는 운영 체제를 관리하고 다양한 통합 작업을 통해 사람들이 매일 필요한 공간을 드나들 수 있도록 합니다. 그리고 우리가 원하지 않는 공간에 들어가지 않도록 하는 것도 중요하죠.

Clarke Rodgers:
그렇군요.

Tom Avant:
그렇죠? 따라서 액세스 제어가 매우 중요합니다. 비즈니스 연속성에서 중요한 부분은 모든 운영 및 서비스의 복원력입니다. 우리는 “이중화 시스템을 갖추고 있으며, 이러한 시스템을 신뢰합니다.”라고 말하고 고객에게는 “고객님, 저희는 이것이 잘 될 것이라고 확신합니다.”라고 말합니다. 그리고 우리가 그렇게 말할 때는 단순히 멋있게 들리기 때문에 그런 말을 하는 것이 아님을 알 수 있도록 하고 싶습니다. 이 말을 하는 이유는 우리가 테스트를 거쳤고, 우리 서비스가 실제로 복원력이 있는지 확인하기 위해 운영 위험 검토, 우수성 센터(COE), 다양한 ISO 요구 사항 등 다양한 요소를 모두 사용하여 다시 테스트하고 끊임없이 노력하는 사람들이 뒤에서 일하고 있기 때문입니다.

Clarke Rodgers:
그럼, 레드 팀 구성이나 그런 것들도 담당하시는 건가요?

Tom Avant:
그건 사실 그렇지 않아요. 그건 비즈니스의 다른 영역에 속합니다. 우리가 하는 일은 TTX나 전면적인 훈련을 실시하고 비즈니스의 다양한 부서에서 사람들을 데려오는 연습과 비슷합니다. 근본적으로 시뮬레이션이지요. “문제가 발생하면 어떻게 될까요? 우리는 어떻게 대응해야 할까요? 우리는 어떻게 반응할까요? 올바른 일이 일어나도록 하려면 어떻게 해야 할까요?”라는 질문을 던지는 것입니다. 완벽하게 되는 일은 없어요. 우리는 정말 많은 것을 배워요. 우리는 이를 통합하고, 런북에 넣고, 팀과 공유한 후 다시 실행합니다.

SOC의 가치 측정: 경영진에게 투자를 정당화하는 방법

Clarke Rodgers:
SOC 운영은 비즈니스 관점에서 엄청난 투자입니다. 업무 유형에 따라 비용을 어떻게 정당화할 수 있을까요, 아니면 정당화해야만 할까요? 왜냐하면 고객이... 고객과 대화를 나누다보면 “SOC가 있으면 좋겠지만 직원과 도구, 이 모든 것이 너무 비쌉니다.”라는 말을 듣게 됩니다. 경영진에게 SOC 또는 SOC 서비스가 실제로 필요하다는 비즈니스 사례를 어떻게 제시할 수 있을까요?

Tom Avant:
복잡한 질문입니다. 이에 대한 몇 가지 답변이 있습니다. 첫 번째 이유는 우리가 정말 대단하기 때문이죠. 그래서 그렇게 정당화할 수 있습니다. 농담이고요. KPI와 데이터를 제시해야 합니다. 그리고 우리의 리더십에는 QBR이 있습니다. 따라서 우리는 “비즈니스와 고객에게 가치를 제공하고 환원하고 있는가?”를 평가하기 위한 기계론적 방법을 지속적으로 모색합니다.

Clarke Rodgers:
사용하고 있는 지표를 공유해 주실 수 있나요?

Tom Avant:
우리는 가치를 비즈니스에 돌려주기 위해 다양한 비즈니스 영역에서 수많은 지표를 살펴보고 있습니다. 액세스 제어 시스템의 경우 시스템 가동 시간과 시스템 가동 중지 시간에 대해 이야기해야 합니다. 그리고 우리가 적용하고 조정한 다양한 구성의 변경 사항으로 인한 순 이득이 얼마나 되는지도 확인합니다.

탐지의 경우 평균 탐지 시간과 평균 해결 시간을 살펴봅니다. 우리가 실행하는 다양한 유형의 탐지를 살펴보고, 그러한 탐지가 비즈니스에 제공하는 가치를 분석합니다. 비즈니스 연속성 차원에서도 다양한 서비스의 다양한 지표를 살펴보고 있으며, 범위를 넓혀 ISO 인증을 받은 서비스, 테스트를 거친 서비스도 살펴보고 있습니다.

SOC 자동화: 최후의 수단으로 사람을 통한 확장

그런데 이 질문의 다른 부분은 제가 검소한 사람으로 자랐기 때문일 수도 있지만, 동시에 저는 “최후의 수단으로 사람을 통해 확장”이라는 첫 번째 원칙을 진심으로 믿습니다. 사람들은 저에게 와서 "저기요. 제게 좋은 아이디어가 있어요! SOC에 아주 잘 맞는 작업이 될 것이라고 생각합니다."라고 말합니다.

사람들이 왜 그런 말을 할까요? 왜냐하면 저희는 연중무휴로 운영되고 있고 많은 사람들이 SOC에 무언가를 맡기려 하고 직접 와서 의견을 말하고 싶어하기 때문이죠. 그러면 저는 "있잖아요. 이제 이것이 비즈니스에 가져올 순이익에 대해 이야기해 봅시다."라고 말합니다. 왜냐하면 이것이 비즈니스에 순이익이 되기 때문에 우리에게 도움을 요청하신다면 당연히 도와드리죠. 만약 여러분이 하기 싫은 일이고 다른 사람들이 해야 한다고 생각해서 우리에게 이 일을 하라고 한다면 저는 이렇게 말할 것입니다. "아마도 OP1으로 돌아가서 이 상황을 자동화할 방법을 찾아야겠습니다."

Clarke Rodgers:
그렇군요.

Tom Avant:
저는 아직도 항상 팀원들에게 우리의 임무는 우리 업무가 필요 없게 만드는 것이라고 말하고 있어요. 우리의 임무는 자동화를 사용할 수 있는 방법을 지속적으로 찾거나 아니면 탐지를 그 수준까지 낮추는 것입니다. 그러면 언젠가는 “음, 왜 SOC가 없을까요?”라고 묻게 될 것입니다. 그러면 “옛날에는 SOC가 있었습니다.” SOC는 다양한 방법을 모색하고 변화를 거쳐 "더는 SOC가 필요 없습니다.", "자동화될 수 있습니다.", "개선할 수 있습니다.", "업스트림으로 밀어내어 SOC가 더 이상 필요 없는 상태로 만들 수 있습니다."라고 말할 수 있게 될 것입니다. 그것이 제 목표입니다. 그 목표에 도달할 수 있을지는 모르겠지만 계속 나아가야 할 목표임은 확실합니다.

사내 보안 운영 센터 구축 방법

Clarke Rodgers:
사실 그와 관련해 궁금한 점이 있습니다. 마법사의 수정 구슬을 들여다 본다면 미래의 SOC는 어떤 모습일까요? 이 질문을 다르게 표현하면 백지 상태에서 SOC 역량을 어떻게 구축하겠습니까?

Tom Avant:
저는 역량을 고려할 것입니다. 왜냐하면 그것이 핵심이기 때문입니다. 아니면 SOC를 통해 얻을 수 있는 역량은 무엇일까요? SOC가 없거나 SOC를 아웃소싱할 경우 잃게 되는 역량은 무엇일까요? 아웃소싱의 차이점은 회사의 이익을 최우선으로 생각한다는 점입니다. 그래서 여유가 있다면 사내 SOC를 갖추는 것이 좋습니다.

Clarke Rodgers:
그리고 내부적으로는 외부 관계자가 가질 수 없는 비즈니스에 대한 지식도 갖게 될 것 같아요.

Tom Avant:
물론입니다. 누구에게 가야 할지 알게 될 거예요. 사내 SOC의 또 다른 측면은 바로 여러분의 역량입니다. 다시 역량에 대해 말씀드리겠습니다. 비즈니스를 위해 구체적으로 무엇을 제공할 수 있는지에 집중해야 합니다. 전략 계획 회의와 같은 다른 회의에 참석하기 때문에 이를 지속적으로 조정할 수 있다고 생각합니다. 따라서 회의가 진행되면서 "좋아요, 여기가 우리의 새로운 북극성입니다. 여기가 방향을 바꾼 곳입니다."라고 이해할 수 있습니다. 같은 속도로 아웃소싱하면 그렇게 할 수 없습니다.

비즈니스가 매우 빠르게 변화하고 있기 때문에 다운스트림 작업을 수행하는 사람들이 전략적 결정을 내리는 사람들과 연결되어 있어야 합니다. 그래야 그들이 신속하게 방향을 전환할 수 있습니다. 이것이 사내 운영의 이점 중 하나입니다. 저는 이 모든 것, 역량, 제가 설명한 북극성을 전략적으로 살펴보고, 어떤 유형의 보호 태세가 필요한지 살펴보겠습니다. 그리고 제가 놓치면 어떤 위험이 발생할까요?

제가 생각해 보면... 그런 일이 발생하면 고객의 눈을 바라보며 “이런 일이 발생하지 않도록 가능한 모든 조치를 취했다”고 말할 수 있을까요, 아니면 책임을 다른 사람에게 돌릴까요?

생성형 AI와 보안 운영의 미래

Clarke Rodgers:
좋습니다. 기술이 빠르게 발전하고 있는 시대에, 현재 사용되는 생성형 AI 도구를 보면 미래의 SOC는 무엇이라고 생각하시나요? 현재 생성형 AI 도구를 사용하고 있거나, 앞으로 사용할 계획이 있거나, 아니면 조사할 계획이 있는지는 모르겠지만, SOC 분석가나 다른 역할에도 도움이 될 것으로 보십니까? 그리고 공격자의 활동을 탐지하거나 대응하기 위해 공격자가 생성형 AI를 어떻게 사용할지에 대해서는 생각하고 계신 부분이 있나요?

Tom Avant:
일부 고객에게 자동화된 응답을 생성하는 방식으로 생성형 AI를 사용하기 시작했습니다. 그리고 “좋아요. 우리가 보고 있는 지표와 고객이 많이 찾는 지표를 기반으로 공통 워크플로를 파악한 다음, 데이터가 알려주는 내용을 통합하여 고객이 찾고 있는 솔루션에 직접 연결하고, 인간의 판단이 필요하지 않은 부분에서는 인간을 완전히 배제할 수 있으면 어떨까요?”라고 말할 수 있도록 자동화된 워크플로도 살펴보고 있습니다. 이것이 바로 우리가 현재 작업하고 있는 내용입니다.

Clarke Rodgers:
멋지군요. 그렇다면 공격자의 측면에서는 어떤가요?

Tom Avant:
위협 측면은 정말 흥미롭습니다. 정말 새로운 분야예요. 그래서 코드 주입에 대한 다양한 새로운 소식을 듣고 계실 거예요... 사람들은 이 기술을 가지고 놀고 싶어하는데 그냥 모든 웹사이트를 방문하고 다운로드만 하고 있습니다. 많은 사람들은 자신들이 무엇을 다운로드하는지도 모릅니다. 화재에 뛰어들 사람은 필요 없습니다. 먼저 화재를 진단하고 가장 좋은 진입 지점이 어디인지 찾아야 합니다.

우리가 생성형 AI에 대해 이야기할 때도 마찬가지입니다. 안전한 장소는 어디인가요? 통합하기 전에 해당 사용법을 어떻게 검증할 수 있을까요? 이를 확산하기 전에 백그라운드에서 실행하고 “네, 지금 하고 있는 일이 정말 괜찮은 것 같아요.”라고 말할 수 있는 다른 점검 사항에는 어떤 것이 있을까요? 왜냐하면 일단 도입되어 퍼지기 시작하면 뭔가 잘못됐다는 걸 알게 되는 순간은 이미 늦었기 때문이죠. 그때는 이미 정리를 하고 있고 확산되는 것을 따라잡으려고 애쓰는 중이니까요. 그리고 그건 재미없어요. 전에 다른 일로 이를 경험해 본 적이 있는 우리한테는 말이죠. 따라서 작업을 시작하기 전에 사전 점검을 하는 관점에서 살펴보는 것이 좋습니다.

► 연구 보고서 보기: 생성형 AI 보안: 지금 중요한 것

그리고 우리가 보기 시작한 또 다른 위협은 아마도 흔하지 않을 수도 있는 규제라고 생각합니다. 점점 더 많은 고객이 클라우드로 유입되고 점점 더 많은 워크로드를 클라우드로 이전하기 시작하면서 드러나는 가장 큰 트렌드 중 하나가 규제일 것입니다. 우리는 점점 더 다양한 환경과 다양한 국가로 진출하고 있습니다. 점점 더 많은 지역에서 주권 클라우드가 등장하기 시작했습니다. 규제는 실제로 생각해 보아야 할 부분입니다. 예전에는 사후 고려 사항이었지만 지금은 많은 논의의 중심에 있습니다. 다른 것에 대해 생각해 보기 전에 어떻게 하면 규정을 준수하면서 고객을 위한 가치를 극대화하고 이를 전달할 수 있을까요?

Clarke Rodgers:
저도 이러한 트렌드가 놀랍다고 생각합니다. 예전에는 보안을 고려한 설계, 프로토타입 제작 단계나 아이디어 구상 단계에서부터 보안을 구축하는 등 보안에 대한 대화를 나눌 수 있었죠. 하지만 이제는 “개인 정보 보호, 규정 준수, 규제 의무도 고려해야 하는” 단계에 이르렀습니다.

Tom Avant:
맞습니다.

Clarke Rodgers:
사람들이 그것을 스택 아래로 더 밀어붙여서 출시 시기에 실제로 모든 것이 잘 조정되고 있다는 것을 알게 되어 기쁩니다.

Tom Avant:
맞습니다.

Clarke Rodgers:
정말 좋은 대화였습니다, Tom. 오늘 시간 내 주셔서 정말 감사합니다. 감사합니다.

Tom Avant:
초대해 주셔서 감사합니다. 저도 감사합니다.