Know Your Enemy: 전직 해커가 들려주는 사이버 인사이트

Beyond Recovery: 기술을 넘어

소개(5부 시리즈 중 1부)

Hitachi Vantara의 새로운 블로그 시리즈에 오신 것을 환영합니다. 이 시리즈에서 처음으로 독특한 인사이트를 들을 수 있기를 바랍니다. "회복"에 대한 전통적인 대화를 훨씬 뛰어넘어 전략과 수익에 실질적인 영향을 미치는 인사이트입니다. 진보적인 보안 리더, IT 리더 또는 비즈니스 리더라면 이 시리즈가 적합합니다. 장담하건대, 우리는 여러분의 마음에 와 닿는 주제를 다루게 될 것입니다.

스토리지 및 복구 기능을 통해 운영을 간소화하고, 기술 부채를 줄이며, IT 및 보안 프로그램을 가속화하고, 수익을 높일 수 있는 방법에 대해 생각해 보셨습니까?

이 시리즈는 전통적인 의미의 복구에 관한 것이 아니라 보안, IT 및 비즈니스 프로세스를 성숙시켜 복원력을 높일 뿐만 아니라 효율성과 수익성을 높이는 것에 관한 시리즈입니다. 아, 그리고 전문적인 기술 용어는 없습니다. 전반적인 비즈니스에 대해 이야기합니다.

저자 소개: Greg van der Gaast

따라서 이 여정에서 호스트인 저를 소개하기에 좋은 시간입니다.

제 이름은 Greg van der Gaast이고 무엇보다도 문제를 해결하는 것을 좋아합니다.

문제를 해결하기 위해 다른 사람들이 하는 일을 하라는 의미는 아닙니다. 문제, 큰 그림, 이유에 대해 진지하게 생각하고, 현재 상황에 관계없이 최상의 결과를 얻기 위해 가능한 최선을 다하라는 의미입니다.

그 결과 제 경력 동안 몇 가지 놀라운 결론에 도달하고 특정 원칙을 개발하게 되었습니다. 저와 이를 구현한 조직에게 판도를 바꾸어 놓았고, 여러분도 이것으로부터 이점을 누릴 수 있기를 바랍니다.

제 보안 커리어의 시작은 영화 '해커스(HACKERS)'를 본 것이 계기가 되었습니다. 이 모든 해킹 일에 뛰어들게 된 동기로서 Angelina Jolie는 나쁜 사람이 아닙니다. 18번째 생일날, 저는 미국 국방부에서 비밀 업무를 하기 시작했고, 나중에는 FBI에서 일하기 시작했습니다. (핵무기 시설에서 5개의 원자폭탄을 지하에서 실험한 후 실험 데이터를 훔친 후 제 집에서 약간의 '자발적인 데이터 수집 활동'을 했었습니다.)

기술과 사이버 보안에 능숙하다고 말하는 것은 절제된 표현일 수 있으며, 여러 대규모 조직에서 모든 종류의 최첨단 보안 기술을 구현하여 상당히 윤택한 삶을 살았습니다.

실현: 비즈니스 우선 접근 방식

그러다 깨달음에 이르렀습니다. 비즈니스, 조직은 컴퓨터가 아닙니다.

저는 보안 기술에 대해서는 뛰어난 재능을 보였지만, 실제로는 조직의 보안을 강화하는 결과를 효과적으로 달성하는 데 있어서는 형편없었습니다. 그리고 비즈니스를 "보호"하는 것에 대한 보안 업계의 모든 허풍에도 불구하고, 저는 제가 초래하는 비용과 생성하는 제한된 현실 세계(잠재적으로 거짓일 수 있음은 말할 것도 없고) 보안 감각 측면에서 득보다 실이 더 많았을 것입니다.

저만의 문제만은 아니었습니다. 보안 업계는 전반적으로 잘못된 방향으로 가고 있는 것 같았습니다. 제가 무슨 말을 하는지 궁금하시다면, 매년 기록적인 보안 지출에도 불구하고 침해 비용 증가에 대한 통계만 살펴보면 됩니다. 업계가 그 어느 때보다 중요해졌다는 사실에 자축하고 조직이 보안 인력, 제품 및 서비스에 더 많은 비용을 지출하고 있지만, 통계에서 알 수 있듯이 상황은 계속 악화되고 있습니다.

웨비나 보기: 사이버 위협 및 랜섬웨어에 대비하고 보호

현상 유지의 해체

이러한 깨달음과 세계 최대 VAR의 감사관, CISO 및 최고 기술자 등 다양한 역할을 수행하면서 근본적인 문제를 해결하는 방법에 대해 10년 동안 생각한 결과, 저는 더 나은, 더 지속 가능한 결과를 추구하기 위해 보안 현상 유지에서 어느 정도 벗어날 수 있었습니다. 결과적으로 상당한 운영 비용 절감 및 비즈니스를 위한 새로운 기회 창출과 같은 몇 가지 다른 이점이 있습니다.

가장 큰 변화 중 하나는 기술 중심의 사고방식에서 비즈니스 중심의 사고방식으로 전환된 것입니다. 즉, 기술 기능으로서가 아니라 전체 비즈니스 측면에서 보안의 이상적인 결과를 가장 잘 달성하는 방법에 대해 생각하는 것입니다.

저는 많은 보안 전문가들에게 왜 사이버 보안에 관심을 갖게 되었는지 묻고 싶습니다. 비즈니스 결과를 최적화하는 것을 좋아했기 때문이었을까요, 아니면 기술과 함께 일하는 것을 좋아했기 때문일까요? 솔직한 대답은 일반적으로 기술에 관심이 있기 때문입니다.

보안에 대한 거의 순전히 기술 중심의 접근 방식은 비즈니스에 좋지 않았습니다. 더 나은 결과를 위해 더 큰 그림을 고려하지 못하게 합니다. 비용과 상대적 지출은 증가했지만, 침해의 빈도와 영향은 점점 더 커지고 있습니다. 또한 지속 가능하지도 않습니다.

오해하지 마세요, 비즈니스의 모든 부분 즉, 영업, 마케팅, 법무 부서에서 기술을 활용합니다. 그러나 이러한 부서의 목표는 일반적으로 비즈니스 달성에 사용하는 기술이 아니라 비즈니스 결과에 중점을 둡니다.

웨비나 보기: 사이버 회복력 및 랜섬웨어 방어 전략

비즈니스 인에이블러로서의 보안

이를 통해 보안의 결과를 달성하는 동시에 비즈니스 기회를 포함하여 가능한 모든 시너지 효과와 기회를 극대화하는 방법을 살펴보게 되었습니다. 제 접근 방식의 목표는 고객이 "비즈니스 문제를 해결하여 보안 문제를 해결"할 수 있도록 돕는 것입니다.

저는 대학에서 Google, 심지어 MasterCard의 자문 위원회에 이르기까지 여러 조직에 이 주제에 대해 조언할 수 있는 특권을 누렸습니다.

그러나 이것이 Hitachi Vantara 또는 일반적인 스토리지 및 복구와 어떤 관련이 있습니까?

가장 근본적인 것에는 아무것도 없습니다.

그러나 (점점 더 많은 리스크를 관리하는 대신) 실제로 리스크를 줄이는 데 진전을 이루고 비즈니스에 실질적인 가치를 제공하기 위해 필요한 변화는 변화 없이는 거의 불가능할 것입니다. 즉, 스토리지 및 복구는 전환을 가능하게 하고 크게 가속화하여 기업이 본질적으로 더 탄력적일 뿐만 아니라 더 민첩하고 비용 효율적일 수 있도록 합니다.

그리고 스토리지 및 복구 기능이 우리를 "본질적으로 탄력적"으로 만들 수 있다고 말할 때, 본질적으로 의미하는 것은 조직이 애초에 무너지지 않도록 하는 것입니다. 복구할 필요가 적은 방식으로 복구 기능을 활용하는 것이 이상하게 들릴 수 있지만 이 시리즈가 끝날 때쯤에는 완벽하게 이해될 것으로 기대합니다.

보안에 대한 새로운 생각

지금은 잠깐 엿보기로 몇 가지 질문을 남겨 드리겠습니다. 다음 사항에 대해 생각해 보셨습니까?

• 복구 속도가 우발적 중단을 줄여 위험 값을 효과적으로 낮추는 방법은 무엇입니까? 이전에 이러한 위험을 완화하던 리소스를 어떻게 재할당할 수 있을까요?
• 신뢰할 수 있는 복구를 통해 위험에서 벗어나 위험을 초래하는 IT 및 비즈니스 프로세스 문제를 해결하는 데 리소스를 다시 집중할 수 있는 방법은 무엇입니까?
• 근본 원인을 해결하는 이러한 기능을 통해 애초에 발생하는 문제가 점점 줄어들면서 보안 OpEx 비용을 지속적으로 낮출 수 있는 방법은 무엇일까요?
• 보안 문제를 야기하는 품질 문제에는 다른 비보안 비용도 있을 수 있으며, 이는 위험 관리에 계속 증가하는 금액을 지출하는 대신 문제를 해결하여 비즈니스 비용을 절약할 수 있음을 의미합니까?
• 백업에 환경 복사본을 효과적으로 보관하고 이를 변경 사항의 테스트 및 신속한 프로토타이핑에 활용하여 효율성을 높이고 기술 부채를 없애는 방법은 무엇입니까?
• 임의의 위험을 고려하기 전에 품질[위험 관리와 반대되는] 보안 접근 방식이 비즈니스에 어떻게 순이익을 가져다주는지 보여주는 재무 모델을 살펴보는 것을 생각해 보셨습니까?

더 많은 소식을 기대해 주세요

이는 이 시리즈에서 살펴볼 개념 중 일부일 뿐이니 계속 지켜봐 주시기 바랍니다.

지금은 여러분과 공유할 수 있는 기회를 주신 Hitachi Vantara에 감사의 말씀을 전하고 싶고, 다음 회차에서는 보안 분야에 대해 살펴보고, 우리가 진전을 이루기 위해 고군분투하는 이유와 비즈니스 이익을 위해 상황을 전환할 수 있는 방법에 대해 살펴볼 수 있기를 바랍니다.