보안 우선 리더십

Clarke Rodgers(00:10):
고객 CEO 및 동료들과 함께하는 비공개 회의에서 그들은 어떤 질문을 하나요? 보안, 개인 정보 보호, 규정 준수, 그리고 현재 업계에 존재하는 규제 체계에 대해 어떤 이야기를 하나요? 그런 대화를 조금 공개해주실 수 있을까요?

Adam Selipsky(00:28):
많은 CEO가 깊은 관심을 보이는 매우 중요한 대화죠. 그리고 이러한 주제는 당연히 많은 사람들의 공감을 불러일으키고 있습니다. 몇 가지를 말씀드리고 싶은데, 그 중 하나는 모든 사람들이 생성형 AI에 대해 많은 고민을 하고 있다는 것입니다. 그리고 "생성형 AI의 세상에서 보안을 어떻게 생각해야 할까요?", "모든 것이 너무 빠르게 변하고 있어요.", "어떤 유형의 애플리케이션이나 기술을 사용해야 할까요?", "애플리케이션이나 기술이 안전한지 어떻게 알 수 있고, 회사 내부에서의 보안은 어떻게 생각해야 할까요?" 같은 질문을 많이 받습니다. 첫 번째 답변은

“여러분은 여러분이 사용하는 다른 서비스에서 기대하는 것과 똑같은 수준의 보안을 생성형 AI에 기대해야 합니다”입니다.

왜 그런지 모르겠지만 사람들이 이러한 서비스의 기업 보안에 대해 따로따로 생각하는 것 같습니다. "아, 이제 생성형 AI에 대해 이야기해 보죠."라는 식으로요. 최초의 생성형 AI 챗봇이나 소비자 등급 어시스턴트가 보안 모델 없이 출시되었다는 사실은 정말 충격적인 일이었습니다. 데이터는 말 그대로 인터넷을 통해 전송되며, 모델의 개선 사항은 말 그대로 모델을 사용하는 모든 사람이 공유하게 됩니다. 바로 이것 때문에 많은 CIO, CISO, CEO들이 상당 기간 동안 이러한 어시스턴트 중 일부를 회사에서 사용하지 못하게 했습니다.

► 팟캐스트 듣기: 데이터 신뢰: AI 혁신의 가장 필수적인 요소

보안에 관심이 많은 CEO나 CIO, CISO에게 가서 "놀라운 새 데이터베이스 서비스가 나왔습니다."라고 말하는 모습은 정말 놀랍습니다. 이보다 좋은 서비스는 없습니다. 마음에 드실 거예요. 반드시 도입하셔야 합니다. 아, 보안 모델은 탑재되어 있지 않지만, v2가 나오면 안전할 테니 걱정하지 마세요.” 그럼 전 그 문제 때문에 쫓겨날 겁니다!

Clarke Rodgers(02:20):
맞습니다.

Adam Selipsky(02:21)
최소한 저는 자격이 있기를 바랍니다. 그리고 제가 보기에 이 분야에 속한 다른 회사들은 이유는 모르겠지만 보안에 대해 다르게 접근하고 있는 것 같고 왠지 보안을 그다지 중요하게 생각하지 않는 것 같습니다. 이것은 예측 가능한 일이기도 합니다. 운영 기반 모델을 위한 관리형 서비스인 Amazon Bedrock 같은 Amazon의 생성형 AI 서비스는 다른 AWS 서비스와 똑같은 수준의 안전성을 갖고 있습니다.

이것이 생성형 AI에 관한 첫 번째 대화입니다. 몇 가지 다른 주제도 있는데, 대표적인 예는 “회사에 보안 사고방식을 적용하려면 어떻게 해야 할까요?”입니다. 다시 문화 이야기로 돌아가는데요. 오늘 함께 논의했던 진정한 하향식 리더십과, 리더가 보내는 신호를 알아차리는 일에 대해 다시 생각해봐야 하죠. 그리고 그 기준은 믿을 수 없을 정도로 엄격합니다. 그리고 저는 동료들에게 종종 조언을 하는데, 대부분의 조언은 최고 수준의 기준을 고집해야 한다는 내용입니다. 사람들은 보안 기준이 얼마나 엄격한지, 여러분이 최고 수준의 기준 외에는 어떠한 것도 용납하지 않는다는 사실을 알아야 합니다.

Clarke Rodgers(03:30):
조직 내 보안 위험 및 규정 준수 문제에 큰 관심이 없는 동료 CEO의 관심을 높이기 위해 어떤 조언을 하시나요?

Adam Selipsky(03:43)
가장 먼저 할 일은 보안이 비즈니스에 얼마나 중요하며 어떤 방식으로 중요하게 작용하는지를 이해하는 것입니다. 이렇게 조언하면 될 것 같습니다. "아, 보안은 보안이죠. 모든 사람이 항상 가장 중요하게 생각해야 합니다.” 앞서 말했듯이 AWS의 경우 이것은 우리 자신과 우리가 운영하는 비즈니스 유형, 그리고 고객이 중요 작업의 워크로드를 실행하는 데 있어 우리를 신뢰하는 방식을 설명하는 말이기도 합니다. 하지만 다양한 측면에서 우리와는 다른 보안 위험과 기회가 존재하는 비즈니스도 있습니다.

이때는 “비즈니스에서 보안이 정말 중요한 부분은 어디일까요?”라고 질문해야 합니다. 그러면 투자 대상을 쉽게 결정할 수 있을 것입니다. "농기구 제조사든 대규모 소셜 미디어 웹사이트를 운영하는 기업이나 데이터 분야 스타트업이든 상관없이 모든 보안 분야에 비용을 투자해야 한다"면 상당히 부담스러울 수 있으니까요.

Clarke Rodgers(04:44):
그렇군요.

► 동영상 보기: 보안을 전략적 이점으로 재해석

Adam Selipsky(04:45)
저는 보안 우선 순위가 달라질 것이라 생각합니다. 모든 유형의 회사들이 보안에 대한 요구 사항이 생기고, 어떤 방식으로든 보안이 중요해질 것입니다. 하지만 저는 더 깊이 들어가서 진정한 우선 순위를 파악해야 한다고 권장합니다. 그러면 투자를 결정하기가 훨씬 쉬워집니다. "일단 여기에 더 투자해보고 다음 투자처를 결정하자"고 할 수 있는 것이죠. 그래서 저는 이 방법을 사람들에게 가장 먼저 조언합니다.

Clarke Rodgers(05:14):
그렇다면 CEO나 이사회에 보안 및 규정 준수를 유의미한 방식으로 보고하려는 CISO에게는 어떤 조언을 해주시나요?

Adam Selipsky(05:26)
제가 CISO에게 하는 조언과 제 CISO에게 하는 요청은
다른 CISO가 이해할 수 있는 것과 매우 유사합니다. 자신의 업무와 역할 및 자신이 하는 조언과 상담을 고객의 관점에서 바라보라는 것이죠. CISO의 역할은 비즈니스가 해야 하는 일과 고객에게 만족감과 가치를 제공하기 위해 하고 싶어 하는 일을 안전하게 할 수 있도록 지원하는 것입니다.

"따라서 혁신적이고 창의적으로 생각하고, 비즈니스가 원하는 아이디어에 '예'라고 말할 방법을 찾고, 동시에 안전한 운영을 통해 고객에게 힘이 되어야 합니다."

이렇게 하면 CISO는 단순히 결재를 받아야 하는 사람이 아니라, 비즈니스를 주도하고 지원하는 소중한 비즈니스 파트너로 간주되어 엄청난 신뢰를 얻을 수 있습니다.

그 결과 관계가 완전히 달라지고, 리소스의 우선순위를 정하는 데도 큰 도움이 될 것입니다. 그런 다음에는 "X를 하면 어디에서 고객 리스크가 발생하는가?"라는 질문을 통해 고객의 관점으로 바라봐야 합니다. “Y를 한다면 훌륭한 고객 기회와 보안을 어디서 창출하게 될까요?”라는 질문도 좋습니다. 이런 식으로 생각해 보세요.

또 저는 CISO가 그 상황에서 이렇게 말하면 엄청난 신뢰를 얻을 수 있다고 생각합니다. "안돈 코드를 뽑아야 합니다. 이건 할 수 없고, 해선 안 돼요. 먼저 무언가를 고쳐야 하니까요.” 이런 경우가 드물고 여러분이 현명하다면, 여러분은 이를 대단히 진지하게 받아들일 것입니다.

Clarke Rodgers(07:06)
정말 멋진 조언이네요. Adam, 바쁜 와중에 시간을 내 만나 주셔서 정말 감사합니다.

Adam Selipsky(07:10)
천만에요. 감사합니다.