???? ???? ? ?? ??? ??? ?? CISO ??? ????? ?? ???? ?? ??? ?? ?? ? ?? ?? ??? ???? ??. CISO가 되는 방법은 하나만 있는 것이 아니다. 실제 업계에서 활동 중인 CISO의 이전 경력을 살펴보면, 그들이 서로 다른 경로를 걸어온 것을 확인할 수 있다. 아마존의 CISO 에이미 헤르조그도 이전에 다양한 회사에서 일했다. 헤르조그는 아마존에 2023년에 합류했으며, 현재 하드웨어 디바이스 보안과 제품 및 서비스 광고 업무 분야 보안을 총괄하고 있다. 참고로 아마존에선 CISO는 여러 명 존재하며, 헤르조그는 그 중 한사람이다. 아마존 이전에 헤르조그는 트래블러스인슈어런스와 피보탈에서 IT 관리직을 역임했다. 그 이전에는 15년 이상 마이터 코퍼레이션에서 엔지니어로 일하며 보안 엔지니어링에 대한 깊은 배경 지식을 쌓았다. 특히 마이터 코퍼레이션에 재직 당시 사이버 보안과 관련된 특허 두 건을 출원했다. 아마존이 CISO가 직면하는 일반적인 문제를 해결하는 방법CISO와 CSO는 보통 타 부서와의 원활한 협업 체계를 구축하느라 노력을 기울인다. 쉽지 않은 작업이지만 이를 통해 보안이 후순위로 밀리는 일을 막을 수 있다. 실현 불가능한 이상적인 구호가 아니다. 아마존은 실제로 서로 다른 팀 사이에서 협업 체계를 탄탄하게 구축하며 보안성을 높이는 데 성공했다. 헤르조그는 그 비결에 대해 “제품 개발을 거꾸로 접근해봤다. 즉, 고객의 요구 사항을 이해하는 것부터 시작하여 이를 중심으로 제품을 개발했다. 설계 단계부터 보안 팀과 제품 팀이 협력하여 제품 속 보안 수준이 충분히 올라가도록 노력했다”라고 설명했다. 다음 단계에서 아마존은 과학자들과 함께 머리를 맞대고 우선순위를 정하여 누가 어떤 부분을 보호할 지 결정했다. 헤르조그는 “개발 초기부터 보안 전문가를 영입했다. 프로세스 후반부가 아니라 설계 및 제품 팀 전반에서 보안 전문가가 협업 파트너가 되도록 지원했다”라고 밝혔다. 안타깝게도 보안과 제품 개발 담당자 사이에선 의견이 충돌되는 경우가 많다. 헤르조그는 보안 검토가 기술 개발 마지막 영역에서만 이뤄지면 의견 차가 더욱 심해질 수 있다고 설명했다. 헤르조그는 “아마존은 코딩 수명 주기 전반에 걸쳐 보안을 검토한다. 더 어려운 작업이긴 하지만 긍정적인 피드백 루프를 제공하고 더 높은 보안성을 획득할 수 있다. 동시에 서로 통제권을 갖기 위해 충돌하지 않고도 보안을 개발 프로세스의 일부로 받아들이는 문화를 구축할 수 있다”라며 “우리의 목표는 제품 팀과 일찍 그리고 자주 소통하는것”이라라고 설명했다. 헤르조그는 또한 “이런 방식으로 팀원은 제품 출시 전 검토를 다각도로 할 수 있어 업무량을 줄일 수 있다”라며 “또한 더 나은 고객 경험 구축과 운영 경험 개선이라는 두 가지 측면에서 이점을 준다. 예를 들어 보안 담당자는 제품 개발자와는 다른 시각으로 제품을 생각할 수 있으며 구축 방식을 새롭게 고려할 수 있다. 거기다 CISO는 안전한 보안 기반을 구축하는 일에 투자할 줄 알아야 한다. 취해야 할 적절한 조치를 인지하고 있으므로, 그에 따라 적합한 시스템과 통제 방안을 구축해 나갈 수 있다”라고 설명했다. 헤르조그는 IT 업계에 종사하면서, 클라우드 컴퓨팅 그리고 클라우드 네이티브 보안의 변화를 목격했다. 헤르조그는 “방어자 입장에서 우리가 더 잘할 수 있는 부분이 몇 가지 있는데, 그 중 하나가 여러 조직 간의 신뢰 경계를 설정하고 알리는 것”이라며 “이러한 경계를 넘나드는 보안은 세심하게 살펴봐야 하는데, 다행히도 관련 보안 도구들이 더욱 정교해지고 있다”라고 설명했다. 공격자의 기술 수준이 높아지고 있다는 점에서 방어 도구의 발전은 매우 의미가 크다고 볼 수 있다. 사물 인터넷 및 생성형 AI 보안에 관한 에이미 헤르조그의 생각디바이스 보안을 책임진다는 것은 다양한 보안 공격으로 악명 높은 IoT를 직접 대면한다는 것을 의미한다. 헤르조그는 조금 다른 관점을 제시한다. 헤르조그는 “IoT 보안은 사실상 서로 긴밀하게 연결되고 상호 작용하는 기술을 보호하는 것이다. 모두 데이터를 보호하기 위한 제어 기능이 있다. 아마존은 디바이스의 보안을 테스트하고 유지하는 데 상당한 리소스를 투입하고 있다”라며 “헤르조그는 소프트웨어 업데이트가 정품이고 제대로 적용되었는지 확인하기 위해 자동화된 스캔 및 지속적인 검증 단계를 지원하고 있다”라고 말했다. 코드 학습 플랫폼 코더퍄드(CoderPad)이 1만 3,000명 이상의 개발자를 대상으로 , 응답자 59%는 코드 지원을 위해, 절반 이상은 학습 및 튜토리얼을 위해, 약 45%는 코드 생성을 위해 AI를 사용한다고 답했다. 아마존은 새로운 AI 모델을 개발하는 것뿐만 아니라 제품과 서비스의 보안을 위해 AI를 사용하는 데에도 많은 노력을 기울이고 있다. 헤르조그는 “최근 생성형 AI 및 보안 전문가로 구성된 전담 팀을 만들어 AI 모델과 서비스에 대한 보안 테스트 및 제어를 개발하고 있다. 이들은 AI 시스템을 책임감 있게 개발하고 의도한 대로 작동하도록 보장하는 데 필수적인 역할을 하고 있다”라고 설명했다. 실제로 헤르조그가 이끄는 AI 보안 팀은 제품 개발 수명 주기의 초기 단계에서 취약점을 식별하고 해결하기 위해 적대적 프롬프트와 수동 및 자동화된 레드팀 연습을 활용하여 모델을 테스트한다. 헤르조그는 “이를 통해 예상치 못한 응답을 발견하고 모델을 미세 조정하여 신뢰할 수 없는 응답을 방지하고 있다”라고 설명했다. 아마존은 또한 공개된 사용 사례에 대한 광범위한 고객 테스트와 수동 및 자동 보안 테스트를 통해 잠재적인 취약점을 파악하고 있다.dl-ciokorea@foundryco.com ???? ???? ??? ??? IT ??? ???? ??? ????! ??? ??? ??? ?????. ????