2024-03-29 06:40 (금)
김두현 파고네트웍스 이사의 ‘가트너 시큐리티&리스크 매니지먼트 서밋 2019’ 참관기
상태바
김두현 파고네트웍스 이사의 ‘가트너 시큐리티&리스크 매니지먼트 서밋 2019’ 참관기
  • 길민권 기자
  • 승인 2019.06.26 14:29
이 기사를 공유합니다

▲ 김두현 파고네트웍스 글로벌 사업부 테크니컬 제품 마케팅 매니저/ 이사
▲ 김두현 파고네트웍스 글로벌 사업부 테크니컬 제품 마케팅 매니저/ 이사
지난주 미국 워싱턴 DC에서 열린 ‘가트너 시큐리티&리스크 매니지먼트 서밋 2019(이하 가트너 서밋 2019)’에 참석자로 다녀왔다.

올해는 개최 25주년을 맞이하는 실버 기념일(Silver Anniversary)로써 글로벌하게 총 7번 예정되어 있는 가트너 서밋 2019 중 첫 번째이기도 한 뜻깊은(이번 서밋은 서밋 중의 키노트라고 자평하고 싶다.) 서밋에 해당되었다.

이번 참관기는 아래와 같은 내용으로 정리를 해보고자 한다.

첫째, 키노트를 통해 본 가트너 서밋 2019 개요(Overview)

둘째, 참가한 세션 중에서 세 가지 세션 선택 정리

마지막으로, 가트너 행사를 처음 참가한 개인관점에서 느낀 점을 첨언 형태로 정리

먼저, 키노트를 통해 본 가트너 서밋 2019 개요(Overview)를 살펴보자.

전달되는 메시지는 크게 다음과 같이 압축된다.

-가치 실현(Value)

-자동화(Automation), 그리고 데이터(DATA)

-카르타-CARTA(Continuous Adaptive Risk and Trust Assessment) 모델

즉, 고객이 정말 필요로 하는 ‘가치’를 실현시키기 위해 ‘자동화’라는 도구를 활용하는데 ‘일회성이 아닌 지속적으로 변화하는 리스크에 맞춰 신뢰를 전달해주는 모델’을 적용한다. 라고 풀어서 해석할 수 있다. 여기에 ‘보안’이라는 범위를 정의하는 접두사가 붙을 수 있을 것 같다.

클라우드, 인공지능, 기계학습, 로보틱스, 블록체인, 양자컴퓨팅, API, 식별기술-아이덴티티(identity), 데이터, 제품 및 서비스 개발 등등 수많은 산업 기술과 방법론, 모델들에 집중하면서도 보안 담당자의 관점에서 어떻게 하면 기업이 더 많은 가치를 실현시키는데 도움을 줄 수 있을지에 대해서 화두를 던지고 있다.

이러한 가치 실현(Value)은 ‘매출 상승(Revenue Growth)’, ‘긍정적인 미션 결과(Positive Mission Outcome)’, ‘비용 최적화(Cost Optimization)’, ‘스마트한 투자(Smart Bets/Investments)’, ‘상황에 능동적으로 적응하는 문화 형성과 기술 집약(Adaptive Cultures/Skills)’을 통해 구체적인 가시화가 가능하다고 할 수 있겠다.

당장, 우리가 소속된 기업이나 기관에서 필요로 하고 있는 가치 실현(Value) 여부를 위 5가지 구체적인 결과를 지표 삼아 다음과 같이 확인해 볼 수 있는 것도 좋은 활용 사례가 될 수 있을 거라는 생각이다.

1. 매출 성장이 일어나고 있는지?

2. 긍정적인 방향을 통해 우리가 설정한 미션에 도달하고 있는지?

3. 비용은 효율 최적화 되어 사용되고 있는지?

4. 혁신을 창조하기 위한 새로운 가치 투자가 일어나고 있는지?

5. 여러 요소가 잘 조합되어 변화하는 상황에 최적화된 문화가 형성되고 있는지?

물론 위 개별적인 내용을 살펴보면 일부 또는 동일한 내용이 목적에 맞는 부서나 팀 단위로 주기적으로 이뤄지고 있을 거라고 생각한다. 하지만, 이렇게 개별 단위가 아닌 여러가지 관점을 동시에 짚어보는 것은 또 다른 의미가 있을 거라고 생각한다.

이어서 이런 ‘가치실현(Value)’를 위해서 고려해야 할 부분은 자유(Freedom)와 제한(Restriction) 사이의 균형(Balance)를 맞추는 것이 중요하다고 언급하고 있는데, 여기서 활용할 수 있는 부분이 자동화(Automation)라고 말하고 있다.

가치실현(Value)라는 목표달성을 위해서 자동화를 활용하는 경우 단순히 자동화를 할지 또는 하지 않을지 라는 이분법적 사고를 의미하지는 않으며 단순한 로드맵도 아니라고 단정짓고 있다.

특히 자동화를 위해서는 데이터는 가장 중요한 원천소재임을 전제로 하고 있다.

▲ The Automation Continuum
▲ The Automation Continuum
세부적인 내용 변경은 있었지만, 큰 흐름에서(지능형 자율주행차의 Level0~Level4 5단계와 유사한) ‘자동화의 연속된 5가지 단계(The Automation Continuum)’를 통해서 기업의 상황에 따라 적용되어야 할 또는 적용되고 자동화에 대해서 설명했다.

주목할 부분은 ‘2022년까지, 마케팅 전문가들이 생산해내는 디지털 컨텐츠의 30%이상이 AI지원을 받게 될 것’이라는 예측과 함께, ‘2020년에는 보관된 개인 데이터가 개인정보보호 데이터 리스크의 70%이상을 차지하게 될 것’이라는 예측은 자동화만큼이나 데이터 보안관련 리스크에 대해서 간과할 수 없는 부분을 다시 한번 짚어주고 있다.

가치실현을 위해 자동화를 활용하는데, 전통적인 보안 접근을 벗어나서 변화하는 환경과 상황에 맞춰 ‘카르타(CARTA / Continuous Adaptive Risk and Trust Assessment) 모델’을 설명한다.

이는 말그대로 지속적으로 변화하는 리스크에 맞게 신뢰를 전해줄 수 있는 모델을 의미하고 있다. 시각화(Visibility)를 통해 인프라부터 기술 스택과 운영을 아울러서 SDLC관점으로 초기 개발단계부터 제품 소멸 단계의 라이프사이클에 걸쳐 공급체인(Supply Chain)을 반영하는 모델로 구체화시키고 있다.

가치실현, 자동화와 데이터, 카르타(CARTA)로 이어지는 목표를 위한 도구와 모델은 다음과 같은 몇가지 예를 통해서 구체적인 설명을 하고 있다.

-자동화를 통해 조직이 리스크로부터 얼마나 회복탄성력을 보유하고 있는지에 대한 ‘자동화와 레질리언스(Resilience) 리스크’

-조직의 비즈니스 이슈 중 하나인 컴플라이언스와의 조화를 다룬 ‘자동화와 컴플라이언스 제어'

-보안은 단순한 원타임 적용이 아닌 프로세스로 접근해야 한다는 ‘자동화와 디셉션(Deception)’

-아이덴티티(Identity)를 위해 사용자에게 투명한 UX(사용자 경험) 실현과 기술적인 적용

-IaaS와 SaaS멀티 클라우드 환경으로 마이그레이션하는데 있어 연속성, 확장성, 효율성을 고려한 자동화 솔루션

-전기 장비 회사에 계약 자동화를 챗봇으로 진행함에 있어 RPA(Robot Process Automation)모델과 함께 리소스와 시간 측면에서 기존과 동일하게 보존하고 요구사항을 실현시키는 DevSecOps방법을 통한 자동화와 CARTA 적용

다시 한번 정리하면, ‘보안과 리스크를 평가하고 관리할 때 가치실현(Value)을 어떻게 도울 수 있을지 화두를 던진다. 이에 대해 원천 소스인 데이터를 기반으로 자동화를 활용한다. 이때 일회성이 아닌 지속적으로 변화하는 리스크에 맞춰 신뢰를 줄 수 있는 모델을 실현하는 카르타(CARTA)적용으로 가능하다’는 논리적이고 강력한 메시지를 전달하고 있다.

두번째, 참가한 세션 중에서 세 가지 세션을 선택해서 정리를 해보고자 한다.

세 가지로 정한 이유는 ‘(1)키노트에서 던지고 있는 메시지를 모두 담았다고 생각한 세션’, ‘(2)업무 연관성과 관련된 세션’, ‘(3)개인적인 관심사 세션’ 이렇게 세가지 라고 볼 수 있겠다.

이런 의미로 부여된 번호 순서대로 아래와 같이 정리해본다.

◇첫번째 정리해보고자 하는 세션은 ‘How to select an MSSP’라는 제목으로 발표된 세션이다. 요점을 정리해보면 다음과 같은 내용으로 요약할 수 있겠다.

-보안 서비스를 공급하기에 앞서 고객의 다양한 요구사항을 먼저 확인하고 각 환경과 조건에 알맞게 제공할 수 있어야 한다는 점을 항상 고려하고 있어야 한다.

-MSSP는 이슈 감지를 통해서 대응하는 절차 2가지로 크게 나눠볼 수 있는데 이를 서비스하기 위해서 ‘보안 이벤트 모니터링 및 대응 서비스’, ‘보안 기술 관리 역할’, ‘인시던트 대응’, ‘취약성 평가 및 관리’, ‘위협 지능 서비스’를 제공한다.

-제공하는 서비스는 크리스마스 선물과 같은 일회성 깜짝 선물이 아닌 주기적으로 고객과 커뮤니케이션 하면서 전체적인 라이프 사이클에 걸쳐 꾸준히 적용되어야 한다는 점을 강조하고 있다.

이 세션을 참가하면서 키노트에서 정리된 세가지 메시지가 다 녹여져 있다는 생각이 들었다. 단순하게 MSSP의 기능 나열만으로 고객에게 어필하는 것이 아니라, △고객이 정말 필요로 하는 요구사항 파악을 통해 가치 실현(Value)를 하고 △서비스 되는 여러가지 항목들과 절차를 자동화(Automaion) 할 때 △고객과 주기적인 소통으로 전체 라이프 사이클에 적용되는 카르타(CARTA) 모델의 적용이 그것이라고 볼 수 있겠다.

◇두번째 정리해보고자 하는 세션은 ‘Top Security and Risk Management Trends for 2019 and Beyond’라는 제목으로 발표된 세션이다. 이 부분도 요약을 해보면 다음과 같다.

-2019년 보안 및 리스크 관리 트랜드 7가지 항목을 살펴보기에 앞서 조직내 클라우드 데이터의 증가, 악성 클라우드 앱 사용 처리량의 증가, 새로운 인증방식 교체 움직임을 고려해야 한다.

-보안 제어 접근법은 조직 외부/내부 메가 트랜드 관점으로 나눠서 고려해야 한다는 점

-7가지 트랜드 중 첫번째가 ‘제품과 서비스의 융합’이라는 점

(1. 제품과 서비스의 융합 / 2. 똑똑한 클라우드 센터의 부각 / 3. 데이터 보안 거버넌스 프레임워크 / 4. 패스워드 없는 인증 방식으로의 변화 / 5. 보안 운영 센터의 재활성화 / 6. CARTA의 확산 / 7. Risk Appetite Statement의 부각)

특히 MDR로 방향성을 잡고 포지셔닝하고 있는 필자가 속한 회사 ‘파고네트웍스’ 관점에서도 마지막 요약한 내용과(첫번째 트랜드-제품과 서비스의 융합) 관련해서 시사하는 점이 굉장히 크다고 생각된다.

이미 ‘팁-TIP(Threat Insights Platform)’을 통해 제품에 자사 서비스를 결합한 ‘스티키 전략(Sticky Strategy) 서비스 모델’로 국내 수백여 개 레퍼런스 사례는 이를 뒷받침하고 있는 중요한 포인트라고 생각한다.

◇세번째로 정리해보고자 하는 세션은 ‘Cloud Security 201: CASB, CSPM, CWPP – What Does It All Mean?’라는 제목으로 발표된 세션으로 개인적인 관심사로 듣게 된 세션이다. 요약을 해보면 다음과 같다.

▲ Cloud Visibility and Cloud Security Tool Groups
▲ Cloud Visibility and Cloud Security Tool Groups
-클라우드는 안전한가 안전하지 않은가를 화두로 3rd Party클라우드 보안도구인 CASB, CSPM, CWPP를 설명한다.

-CASB(Cloud Access Security Broker)는 이미 몇 년 전에 가트너에서 정의한 기술이다. SaaS애플리케이션을 타깃으로 API/전방향-역방향 프락시/일반 프락시 아키텍처를 기반으로 클라우드 애플리케이션 가시성과 인라인 보호를 한다.

-CSPM(Cloud Security Posture Management)은 PaaS configuration과 IaaS를 타깃으로 특히 클라우드 상의 고객의 설정 오류가 클라우드 공격의 원인이 됨을 지적하며 이를 사전에 발견할 수 있는 도구로써 중요하게 언급을 하고 있다.

-CWPP(Cloud Workload Protection Platform)은 IaaS를 타깃으로 익스플로잇 방어/애플리케이션 화이트리스트/시스템통합/네트워크 세그멘테이션/시스템 모니터링/워크로드 구성을 기능으로 보유하고 있다.

-클라우드 보안 접근 전략에 있어 SaaS, PaaS, IaaS에 따라 위 세가지 보안도구를 영역과 그 효과성을 고려해서 반영해야 함을 설명하고 있다.

마지막으로, 가트너 서밋 처음 참가한 개인관점에서 느낀 점을 첨언 형태로 정리해보고자 한다.

가트너 서밋 참여를 위해 처음으로 미국 동부를 경험할 수 있는 기회가 생겼다. 동부와 서부를 가로지는 비행기가 3~4시간이 걸리는 만큼이나 문화적인 차이는 분명했다. 이미 몇번의 업무상 출장지이자 지난 3월 RSAC에 참여했던 샌프란시스코와 실리콘밸리를 포함한 캘리포니아의 짧은 경험치를 근거로 단순히 비교해보더라도 동부 중에서도 워싱턴 DC는 굉장히 정적이고 정돈된 느낌의 도시였다. 서부의 동적인 자유분망함과는 달리 정적인 정갈함에 가까운 느낌이었다.

물론 이런 도시 분위기는 가트너 서밋 자체에서도 그대로 묻어 나왔다. 가트너 이야기로 좀더 들어가보겠다.

일단 한국사람은 눈을 씻고 찾아볼 수 없을 만큼 그 수가 적었고, 동양인 자체가 많이 없다는 느낌이었다.

학교 교육 자체가 토론과 발표가 생활화되어 있어서라는 점은 이미 인지하고 있었지만, 특히나 가트너 애널리스트들의 세션을 들어보면 정말 짜임새 있고 논리적인 발표자료를 기반으로 자연스럽고 임팩트있는 발표를 한다는 느낌을 지울 수가 없었다.

모든 세션 발표 자료 마지막에 정리하는 ‘Recommendation’은 내용만 봐도 세션을 추측할 수 있을 만큼 잘 설명된 자료에 화룡정점을 찍는 듯한 느낌이었다.

가트너는 예전부터 구글링을 통해 인지하고 있었던 터라 알고는 있었지만 새로운 개념을 현실과 동떨어지지 않지만 차별성을 부여하는 용어 선택을 잘한다는 점 또한 분명히 느껴졌다.

특히 참여했던 세션 중에서 여러가지 새로운 용어들을 들을 수 있었는데, 영어로는 이해되지만 이를 한글로 의역하기가 굉장히 어려운 용어들도 눈에 띄었다. 예를 들면 ‘Risk Appetite Statements’는 국내에서도 곧 의역이 되어 사용될 용어 중에 하나가 될 것이라고 생각한다.

마지막으로 세션을 참여했던 동료와 함께 겪었던 경험을 통해 가트너의 또 다른 면을 전달해보고자 한다.

2일차 세션이 진행되던 중에 가트너 행사장 내부에서 동료의 지갑을 분실하는 사건이 발생했다. 분실한 것을 인지한 것은 몇시간이 지난 시점이었고, 분실 사실을 가트너 서밋 안내데스크쪽에 전달하기에는 이미 그날 일정이 종료된 뒤라 불가능한 상태였다. 해당 호텔쪽에 문의해서 연락처를 남기고 돌아온 그날 저녁에 분실된 지갑을 가지고 있다는 메시지를 가트너 측으로부터 전달 받게 된다.

다음날 지갑을 찾기 위해 가트너 안내데스크에 문의를 한 뒤 곧이어 등장한 Garter Security Advisor직함을 가진 게리가 나타났고, 지갑을 돌려주기 위한 절차를 시작했다. 그냥 일반적으로 지갑을 돌려주는 것이 아니고, 마치 정의로운 히어로와 같은 느낌으로 분실자의 이름은 어떻게 되고, 분실된 물건이 무엇인지, 잃어버린 장소는 어디인지를 정확하지만 친절하게 확인하는 정의된 프로세스가 진행되었다. 확인을 다 마치고 난 뒤 돌려주는 모습에서 가트너의 품격 또한 느낄 수 있는 색다른 경험이었다.

‘작은 차이가 명품을 만든다.’라고 했던가? 정말 작은 차이였지만, 가트너는 이런 색깔과 특성을 가진 조직이다. 그리고 우리를 신뢰하라는 고요 속에 외침같은 시간이었다.

RSAC때도 그랬지만 이번 가트너 서밋 2019 첫 세션을 참여할 때 어디서 어떻게 시작해야 할지, 어떤 세션에 어떤 부스를 찾아가야 할지 갈팡질팡한 모습이 시작이었다. 그렇게 4일이 일정이 지나고 서밋이 마무리되는 시점에 ‘아! 이런거구나’하는 감이 오는 것이 느껴졌다.

사실 동시간에 여러 개의 세션이 진행될 뿐만 아니라 그 중에서 품질 좋고 최적의 세션을 찾는 것은 처음 참가한 핸디캡을 고려하더라도 정말 어려운 일이었다. 물론 경험치가 쌓이면서 러닝커브(Learning curve)가 꺾이는 시점이 분명히 올 텐데 이때를 위한 스마트한 시행착오라고 확신한다.

내년 가트너 서밋 2020에는 참여하는 시작 시점부터 좀더 주도적이고 적극적으로 참여하며 여러가지 면에서 발전된 모습으로 무장하고 변화하는 트랜드의 파도 내에서 즐겁게 서핑하는 모습을 상상해본다.

[글. 김두현 이사 / 파고네트웍스 글로벌 사업부 테크니컬 제품 마케팅 매니저 / duhyeon.kim@pagonetworks.com]

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★