이 Executive Insights 팟캐스트에서는 AWS Enterprise Strategy의 Director인 Clarke Rodgers가 AWS의 CEO인 Matt Garman을 인터뷰하면서 회사의 뿌리 깊은 보안 문화에 대해 들어봅니다. AWS의 첫 번째 제품 매니저이기도 한 Garman은 회사 설립 이래 보안이 어떻게 ‘영순위’로 다루어졌는지에 대해 이야기합니다. Garman은 클라우드 보안 모범 사례를 적용하는 것부터 AI 보안 문제를 해결하는 것에 이르기까지, AWS의 모든 운영 부문에 보안이 어떻게 적용되는지 설명합니다. (2025년 3월)
Clarke Rodgers:
AWS에서 제공하는 Executive Insights 팟캐스트를 시작하겠습니다. 저는 보안 리더와의 대화 시리즈를 진행할 Director of Enterprise Strategy, Clarke Rodgers입니다.
오늘 이 시간에는 HAQM Web Services CEO Matt Garman이 함께합니다. HAQM의 보안 문화, 보안 투자에 대한 HAQM의 생각, 고객이 AWS 클라우드를 활용하여 환경을 보호할 수 있는 방법에 대해 자세히 설명하는 내용을 들어보시기 바랍니다. 유익한 시간 되기를 바랍니다.
Matt Garman, HAQM Web Services CEO. 오늘 나와 주셔서 감사합니다.
Matt Garman:
물론입니다 불러 주셔서 감사합니다
Clarke Rodgers:
AWS의 첫 번째 제품 매니저이셨는데요. 그 당시와 업무의 일환으로 보안이 어떻게 강화되었는지에 대해 말씀해 주시겠어요?
Matt Garman:
사실 저의 첫 직장은 2005년에 AWS가 사업을 시작하기 전, AWS 비즈니스 스쿨에서 인턴으로 일한 것이었습니다. 제가 일을 시작한 첫날부터 Andy Jassy는 보안이 최우선이라는 것을 제 머릿속에 깊이 새겼습니다. 무슨 일이 있어도 가장 먼저 생각해야 할 문제였죠. AWS의 초창기에는 보안이 무엇을 의미하는지에 대해 끊임없이 고민했습니다. 보안에 대해 어떻게 생각해야 할까? 보안 격리에 대해 어떻게 생각해야 할까? 특히 당시에는 데이터를 다른 사람에게 맡기는 것에 대한 우려가 많았습니다. 보안에 이렇게 집중하는 것이 올바른 방향이었다고 생각합니다. 고객 워크로드의 격리에 지나칠 정도로 몰입하면서도 보안 방식과 고객 데이터 액세스 및 보호 방식에 대해 매우 신중하게 생각하는 것이 올바른 방향이라고 봅니다. 그래서 초창기에는 이 부분에 크게 초점을 맞췄습니다. 당시 AWS로서는 중대한 투자 분야였고, 물론 지금도 마찬가지입니다.
그리고 보안 위협이 커짐에 따라 계속해서 규모를 확장해 왔습니다. 우리는 자체 보안과 고객 워크로드를 보호하는 것과 같이 클라우드의 보안을 보호하는 방법뿐만 아니라, 공동 책임 모델에서 자체 워크로드를 보호할 수 있는 도구를 고객에게 제공하는 방법에 대해서도 갈수록 더 많이 고민하고 있습니다. 그래서 AWS의 모든 작업에서는 개발자들에게 가장 먼저 생각해 보라고 하는 것입니다. 데이터 센터 직원들에게 가장 먼저 물리적 보안, 논리적 보안, 소프트웨어 보안, 소프트웨어 및 서비스 유지 관리, 서비스 운영에 대해 생각해 볼 것을 주문합니다. 보안은 우리가 하는 모든 일의 중심이자 중심입니다.
Clarke Rodgers:
AWS에서 여정을 이어나가면서, 특히 지금은 CEO로서 여정을 이어나가면서 AWS 내부의 비즈니스 리더에게 운영 및 실제 비즈니스 라인의 보안에 대한 책임을 어떻게 부여하셨나요?
Matt Garman:
첫 번째는 우리가 가진 가장 큰 강점은 바로 문화에 대한 집중이라고 생각합니다. 또한 보안이 자신의 책임이며 이에 대해 숙고해야 한다는 점을 리더에게 알리는 데 집중하는 것입니다. 그래서 우리는 이를 적용하고 사람들이 배우고 있는지 확인하기 위해 몇 가지 메커니즘을 사용합니다. 특히 다른 환경에서 온 사람들은 보통 이러한 편향을 가지고 있지 않기 때문이죠. 다른 곳에서는 보안을 우선적으로 고려하지 않는 경우가 많습니다. 나중에 처리하거나 다른 사람의 문제라고 생각하거나 보안 팀에게만 맡겨 두는 거죠. 여러분은 모두 보안 팀의 일원입니다. 우리는 보안을 어느 한 사람에게만 의존하지 않습니다. 보안은 우리 모두의 책임입니다. 여러분은 AWS가 모범 사례를 구축하고 보안을 강화하는 여정에서 훌륭한 파트너가 됩니다.
우리는 보안을 문화의 일부로 만들어야 합니다. 따라서 엔지니어링 리더나 제품 리더가 참여하면 분명히 학습의 기회를 가지게 됩니다. 그들은 이러한 책임을 제품 관련 사안과 마찬가지로 진지하게 생각해야 합니다. 여러 가지 메커니즘을 통해 보안 개선에 대해 생각하고, 제품이 안전한지에 대해 생각하도록 리더들에게 권장합니다. 그렇기 때문에 벨트와 멜빵, 그리고 추가 벨트를 사용하며, 더 나아가 우리는 어떻게 더 나은 방법을 찾을 수 있을지 계속해서 고민하게 됩니다. 우리의 임무이자 고객과의 약속은 ‘계속 나아지도록 하는 것”이기 때문입니다. 보안 환경은 갈수록 까다로워지고 있으며, 악의적인 공격자의 수법은 갈수록 교묘해지고 있고 우리는 계속해서 더 많은 보호 계층을 유지해야 합니다. 리더와 함께 이를 강화할 수 있는 메커니즘을 찾고, 사람들을 비난하지 않고, 그에 대한 처벌은 아니라 적절한 보안 기준을 마련하지 못하면 제품을 제공하지 못하게 될 것임을 이해하는 것이 중요합니다.
보안 격리와 관련한 올바른 구조를 가지고 있지 않다고 생각되면 시작조차 하지 않을 것입니다. 어떤 제품이 출시되지 않는 경우가 발생하면, 그것이 AWS가 요구하는 기준을 충족하지 못한다고 판단할 수 있습니다. 또는 새로운 제품 제안서를 읽으면서, ‘이 특정 아키텍처에 대한 접근 방식이 마음에 들지 않는다'고 생각할 때도 있습니다. 그러한 메시지는 더욱 강화되고 있으며 올바른 행동을 이끌어내는 데 많은 도움이 된다고 생각합니다.
Clarke Rodgers:
메커니즘에 대해 말씀하셨는데요. 지난 시즌에 저는 AWS CISO를 인터뷰할 기회가 있었는데, 주간 CEO CISO 미팅에 대한 설명을 들을 수 있었습니다. 미팅을 통해 얻을 수 있는 이점에 대해 간단히 말씀해 주시겠습니까?
Matt Garman:
물론입니다. 예, 몇 가지 이점이 있습니다. 첫 번째는 리더들에게 힘을 보탤 수 있는 좋은 기회이고, 솔직히 말해서 저를 비롯해 우리 모두가 배울 수 있는 좋은 기회라고 생각합니다. 그래서 우리는 매주 미팅을 열고 검토합니다. 그런데 많은 경우에... 사실, 거의 대부분의 경우에 이런 보안 문제에서는 우리가 발견하지 못했거나 다른 방어 수단을 마련하지 않았더라면 문제가 될 수 있는 부분을 찾아보는 것이 주된 일이었습니다. 하지만 이는 심층적인 분석을 통해 놓쳤을 수 있는 문제점이 무엇인지, 어떤 것이 왜 빠졌는지, 그리고 우리가 새롭게 파악한 우려 사항을 어떤 부분에서 다양한 팀에 배정해야 할지를 이해할 수 있는 매우 좋은 기회입니다. 그래서 우리는 매주 이 작업을 진행하면서 AWS 전체의 모든 팀을 대상으로 기회를 찾고 있습니다. 우리는 이를 실제로 구축할 수 있는 부분을 심층적으로 파악하고자 합니다.
저는 그 메커니즘이 가장 강력하다고 생각합니다. 리더들에게 진정으로 사고하고 심층적으로 분석하는 방법을 가르칠 수 있는 좋은 기회입니다. 그리고 문제에 대해 깊이 파고들어 무슨 일이 벌어지고 있는지 이해할 수 있는 리더들이 많이 있습니다. 우리는 A를 할 때와 B를 할 때의 절충점에 대해 논쟁을 벌이곤 합니다. 이런 문제들은 미묘한 유형의 문제인 경우가 많기 때문에 “포트 폐쇄를 잊었군요”라는 것을 뒷받침할 아니면 그 반대의 명확한 근거를 찾게 됩니다.
그런데 그런 것이 중요한 게 아닙니다. “이런 일이 일어날 수도 있고 이런 일이 일어날 수도 있어요”와 같은 좀 더 미묘한 문제입니다. 아니면 특정 엣지만의 문제일 수도 있습니다. 그리고 “좋습니다. 이제 이 작업을 완료했으니 비슷한 유형의 일을 할 수 있는 다른 50개, 100개 팀과 이야기를 나누고 그 교훈을 널리 전달하려면 어떻게 해야 할까요?”라는 문제를 해결할 메커니즘이 있습니다. 또한 리더로서 다음 주, 그 다음 주, 그 다음 주에 의견을 듣고 실제로 학습과 이해를 바탕으로 우리가 어떤 다른 영역을 살펴야 할지를 생각해 볼 수 있도록 도와줍니다. 그런 의미에서 모두에게 우리가 어떻게 생각하는지 일깨워주는 아주 강력한 신호이자 우리가 어떻게 더 나아지는지에 대해 서로에게서 배울 수 있는 좋은 기회이기도 합니다.
Clarke Rodgers:
그리고 보안을 일상적인 비즈니스의 일부분으로 만들죠.
Matt Garman:
맞습니다. 제 생각에 또 다른 중요한 부분은... 어떤 사람들은 그런 메커니즘을 실수한 사람을 꾸짖는 방식으로 생각하는 실수를 한다고 생각합니다. 제 생각에 이건 정말 중요한 부분입니다. 미팅에서 문제가 제기되었다고 해서 거기서 바로 벌을 받게 해서는 안된다는 거죠. 어떤 면에서는 문제를 플래깅하고 찾은 것이 좋은 일이고, 우리 모두가 그로부터 배울 수 있습니다. 그래서 그것도 중요하다고 생각합니다. 팀들이 “이 문제를 아무에게도 들키고 싶지 않아, 왜냐하면 나한테 소리 지르는 걸 원하지 않으니까”라고 생각하며 문제를 숨기고 싶어하는 문화는 바람직하지 않기 때문입니다. 따라서 사람들이 문제를 드러내고 이를 통해 조직 전체가 배울 수 있도록 장려하는 문화를 만드는 것이 중요합니다.
Clarke Rodgers:
사람이 아니라 문제에 집중해야 하고요.
Matt Garman:
맞습니다. 맞습니다.
Clarke Rodgers:
미팅의 또 다른 후속 효과는 그것이 퍼져나간다는 것입니다. CEO가 매주 최소한 한 시간씩 보안에 대해 모든 것을 배우고 있다는 사실이 알려집니다. 결과적으로 조직 전체의 전반적인 보안 문화에 도움이 되고 보안의 중요성을 강화한다고 생각합니다.
Matt Garman:
그럴 수도 있겠군요. 맞는 말씀인 것 같습니다.
Clarke Rodgers:
향후 3~5년 동안 AWS의 방향, 보안 및 광범위한 규정 준수, 규제 문제 등을 고려할 때, 이런 것들은 계획에 어떤 영향을 미치나요?
Matt Garman:
앞서 말씀드린 것처럼 보안의 중요성이 앞으로 희석될 것이라는 신호는 시장 어디에도 없다고 생각합니다. 악의적인 공격 수법이 앞으로 덜 교묘해질 것이라는 신호도 없습니다. 따라서 앞으로도 보안에 대한 투자를 계속 이어나갈 것이라고 생각합니다. 이것이 AWS의 비즈니스, 특히 여러분이 할 수 있는 일을 다른 모든 업체와 차별화하는 요소 중 하나라고 생각하기 때문입니다. 하지만 솔직히 다른 클라우드 제공업체와 비교해도 이는 AWS의 진정한 차별화 요소입니다. 그리고 앞으로도 이런 기조를 이어가고자 합니다.
제 생각에는 앞으로 몇 년 동안 우리가 어떻게 보호할지 고민해야 할 새로운 공격 경로가 생겨날 겁니다. AI와 관련해서, 고려해야 할 다른 공격 벡터와 탈출 벡터, 그리고 보안 측면에서 다양한 대응 방식들이 있습니다. AI는 기업이 많은 가치를 창출할 수 있는 매우 강력한 도구이자 기능, 기술이 될 것이라고 확신합니다. 그리고 아마 악의적인 사람들에게도, 보안 문제를 해결하고 발견하는 사람의 입장에서도 강력한 위력을 발휘할 것입니다. 따라서 서비스와 기본 보안 기능을 지속적으로 개선할 수 있는 방법을 찾는 데 이 두 가지를 모두 활용할 수 있다고 생각합니다. 하지만 우리가 보호해야 할 공격 경로의 양을 늘리는 요인 중 하나이기도 합니다.
그래서 저는 노력을 두 배, 세 배로 늘려야 할 분야가 될 것이라고 생각합니다. 이미 AWS는 그렇게 하고 있기도 하고요. 앞으로 3~5년 후에는 분명히 우리가 고민해야 할 분야가 될 겁니다. 그리고 제가 생각하는 또 다른 중요한 점은 이 분야가 빠르게 변화하고 잇기 때문에 사람들이 “예, 보안은 나중에 시간이 나면 고려할게요”라는 반응을 보이기 쉽다는 것입니다.
저한 이는 양보할 수 있는 절충안이 아닙니다. 그리고 적절한 격리 경계가 어디인지 생각하고 제품이나 서비스 등을 출시할 적절한 시기가 언제인지 생각할 때도 절충은 안 됩니다. 제가 어떤 종류의 타협도 허용되지 않는 분야지만, 그렇게 하고 싶은 유혹은 있을 겁니다. 따라서 계속해서 팀을 교육해야 합니다. 시장의 다른 주체들도 빠르게 대응하기 위해 보안 수준을 어느 정도 절충하고 싶은 유혹을 받을 것이라고 확신합니다. 그리고 장기적으로 이는 잘못된 선택이 될 것입니다.
Clarke Rodgers:
그렇군요. 마지막에 가서야 보안을 강화하는 것은 절대 효과가 없는 것 같습니다.
Matt Garman:
현재 시장에는 클라우드 제공업체와 최종 고객 모두에게 그렇게 하는 것이 훨씬 비용이 높았다는 몇 가지 증거들이 있습니다.
Clarke Rodgers:
맞습니다. 주제를 약간 바꿔 고객을 살펴보겠습니다. 여러분은 고객사 CEO를 많이 만날 겁니다. 고객사 CEO는 보안 측면에서 어떤 이야기를 하고 있나요? 달성해야 할 목표에 대해서는 당연히 이야기하겠지만, AWS가 어떻게 도와주기를 바라나요?
Matt Garman:
그렇군요. 뭐, 명백한 것들이 있죠. 사람들은 탈취 공격 같은 것들을 우려하고 있는 것 같습니다. 그리고 그 부분에서 고객을 지속적으로 지원하기 위해 우리가 할 수 있는 일이 많다고 생각합니다. 하지만 고객들의 걱정이 갈수록 커지는 부분 중 하나는 자신이 소유한 가장 큰 자산 중 하나이자 IP의 가장 중요한 부분이 데이터라는 사실을 깨닫게 되는 것이라고 생각합니다. 이런 맥락에서 어떻게 하면 데이터가 유출되지 않도록 보호할 수 있을지 고민하고 계신가요? 그저 보안을 바라보는 또 다른 관점이라고 할 수도 있겠지만, AI나 분석, 이 방대한 데이터세트를 고려할 때 매우 중요한 요소입니다. 이는 회사 내부 직원과 외부 사람들 모두가 데이터를 올바르게 보호하도록 어떻게 보장할 것인가의 문제입니다. 게다가 그중 일부는 회사의 고객 데이터입니다. 개인 식별 정보죠. 여러분의 업무에 핵심이 되는 비공개 기업 데이터일 수도 있습니다.
저는 앞으로 사람들이 이 부분을 매우 중요한 분야로서 우려하게 될 것이라고 생각합니다. 그런 데이터가 유출되거나 유실되면, 그제야 데이터를 가치 있게 만드는 큰 부분이 그러한 기밀성과 소유권이라는 것을 깨닫는 고객이 많을 것이기 때문이죠. 따라서 사람들이 계속 고민하게 될 흥미로운 분야라고 생각합니다. 또 하나 우리가 고객을 지원하고 있는 중요한 부분은 데이터를 어디에 저장해야 하는지, 데이터 주권은 어떻게 해야 하는지, 암호화는 어떻게 해야 하는지, 그리고 암호화 키의 소유권은 누구에게 있어야 하는지 등입니다. 그리고 많은 것들이... 어떤 것들은 시스템을 운영하기 훨씬 까다롭게 만들 수 있지만, 그럼에도 불구하고 당연히 해야 하는 일들도 있습니다. 그래서 이것은 단순히 예 아니요로 결정할 수 있는 문제가 아니라, 또 다른 차원의 결정이라고 생각합니다. 명확히 맞다, 틀리다로 나눌 수 있는 성격의 결정이 아닙니다.
하지만 제 생각에 우리가 해야 할 일은 데이터 주권에 대해 우려하는 고객이 있다면, 데이터가 한 국가를 벗어날 수 없거나 국가를 떠나서는 안 되는 규제 환경이 강화되고 있는 상황에서 어떻게 균형을 맞출 수 있는지 이해하도록 돕는 것이라고 생각합니다. 하지만 이러한 제약 조건 하에서 글로벌 기업은 어떻게 운영해야 할까요? 그렇게 보면, 그것은 보안과 밀접한 관련이 있는 영역일 수도 있고 일종의 보안 통제라고도 할 수도 있습니다.
Clarke Rodgers:
맞습니다. 데이터를 보호하고 실제로 클라우드로 이전하면, 오히려 데이터를 처음부터 더 쉽게 보호할 수 있게 됩니다. 이는 생성형 AI와 마찬가지로, 사람들이 활용해야 하는 가장 기본적인 요구 사항 중 하나이기도 합니다. 아직 데이터를 클라우드로 이전하지 않았다면, 시중에 나와 있는 수많은 멋진 생성형 AI 도구를 사용할 수 없습니다.
Matt Garman:
18년 전을 돌이켜보면 모두가 매우 우려했던 흥미로운 분야였죠. 사람들은 “어떻게 하면 클라우드를 신뢰할 수 있을까? ...를 개선하려면 어떻게 해야 할까? 클라우드는 안전할까? 멀티 테넌트 환경을 사용 중이지만 보안이 걱정인데...”라고 말하곤 했습니다. 이제 대다수의 고객이 클라우드가 더 안전하다는 것을 깨닫고 생각이 바뀌었다고 할 수 있습니다. 클라우드에서는 더 많은 기능을 사용할 수 있고, 우리는 수십억 USD를 들여 그 공간에 보안을 구축합니다. 데이터 센터에서는 불가능한 일이죠.
Clarke Rodgers:
맞습니다.
Matt Garman:
그것이 큰 차이점입니다. 정말 큰 변화죠. 마이그레이션과 현대화를 수행하고 클라우드에서 원하는 수준에 도달하기까지 아직 갈 길이 먼 고객이 많다고 생각합니다. 실제로 데이터가 온프레미스에 있는 대부분의 고객은 보안이 취약합니다. 그렇죠? 해커와 다른 공격 등에 더 취약하죠. 그리고 생성형 AI, 데이터 및 분석, 컴퓨팅 및 스토리지의 새로운 기능, AWS가 배포하는 것과 같은 새롭고 멋진 기술을 제대로 활용하지 못하고 있습니다. 이런 고객들은 레거시 인프라와 기술에 얽매여 있습니다.
Clarke Rodgers:
그런 관점에서, 이러한 마이그레이션 및 현대화에 대한 고객과의 논의를 늘려가고 있나요?
Matt Garman:
그렇군요. 이것은 비즈니스 성장에 중대한 원동력이 됩니다. 고객들이 갈수록 더 이를 깨닫고, 이제는 더 빠르게 변화하기를 원하고 있다고 생각합니다. 저희가 메인프레임이나 VMware 같은 레거시 데이터 스토어를 현대화하고 클라우드로 더 빠르게 이전하는 데 도움이 되는 Q 혁신 기술과 같은 것에 투자한 이유도 바로 여기에 있습니다.
Clarke Rodgers:
그리고 보안도 중요하죠.
Matt Garman:
중대한 문제라고 생각합니다. 그리고 클라우드로 이전하고 클라우드 세계로 전환하면 보안에 도움이 됩니다. Windows 사용을 중단하는 것도 보안에 도움이 됩니다. 또한 최신 아키텍처를 도입하면 보안에 도움이 됩니다. 이러한 변화는 오늘날 위험을 인지한 사람들에게 중요한 조치입니다. 그리고 사람들이 더 빨리 대응하도록 자극하는 데 도움이 된다고 생각합니다.
Clarke Rodgers:
Matt의 고객 CEO들에게 보안 팀에 어떤 유형의 질문을 해야 하는지에 대해 조언해 주시겠습니까?
Matt Garman:
정말 많은 것들이 있습니다. 첫 번째, 클라우드 제공업체를 선택할 때 해당 업체의 보안의 역사와 실적에 대해서 어떻게 생각하는지를 물어야 합니다. 그리고 추진하는 변화가 적절한 기준을 충족하는지 어떻게 확인할 것인지도 물어야 하고요. 이는 모든 새로운 제품과 서비스, 그리고 새로운 것들이 고객의 보안을 최우선으로 생각하는 기반에서 시작되도록 하는 문화입니다. 고객의 관점에서도 마찬가지라고 생각합니다. 즉, 고객도 이 문화를 어떻게 구축할지 고려해야 합니다.
그렇기 때문에 이 공유 모델이 탄생한 것입니다. 이는 고객과 함께 일하는 데 있어 매우 중요한 부분입니다. 그리고 저희는 모든 주요 고객과 협력하여 고객이 올바른 아키텍처와 올바른 설정을 갖추고 있는지, 루트 계정과 계정 권한에 대해 어떻게 생각하는지, IAM 권한에 대해 어떻게 생각하는지, 데이터 암호화와 계정 키 보호에 대해 어떻게 생각하는지 확인합니다. 그리고 고객도 마찬가지로 그러한 것들을 확인해야 합니다. 따라서 CEO들에게 추천하고 싶은 것은 앞서 이야기한 것과 유사한 프로세스를 갖추는 것입니다. 즉, 매주 보안을 점검하는 프로세스를 갖추는 거죠. AWS의 보안 중 모범 사례에 부합하는 것으로 신뢰할 수 있는 부분들이 분명히 있으며, 그것이 우리의 책임이라는 것을 실천해야 합니다.
Matt Garman:
그리고 걱정하지 않으셔도 됩니다. 고객이 걱정할 필요가 없는 부분이 많이 있습니다. 데이터 센터 보안에 대해서는 걱정할 필요가 없습니다. 그런 것들에 대해 걱정할 필요가 없죠. 하이퍼바이저 보안에 대해서는 걱정할 필요가 없습니다. 저희가 제공하니까요. 하지만 애플리케이션 측면에서는 기업이 신경 써야 하는 것들이 많이 있습니다. 이를 위해서는 기업들이 비슷한 메커니즘을 갖추는 것이 중요합니다. CISO가 매주 보안을 점검하고, 애플리케이션 보안에서 더 높은 기준을 설정할 수 있는 부분을 강조하는 것이 필수적이라는 겁니다. 어쨌든 그 부분에서 저희는 파트너가 되기를 원합니다.
Clarke Rodgers:
맞습니다.
Clarke Rodgers:
경영진에게 위험을 보고하는 방법에 대해 고객 CISO에게 어떤 조언을 해 주시겠습니까? 보안 관점에서 위험을 어떻게 파악하실 건가요?
Matt Garman:
그렇군요. 빠른 에스컬레이션과 투명성이 무엇보다 중요하다고 생각합니다. 기업에 실질적인 위험이 도사리고 있다면, 나쁜 소식을 숨기는 것은 절대 올바른 대응책이 될 수 없습니다. 그래서 저는 CISO인 Chris가 제가 알아야 할 문제가 있으면 바로 알려주었으면 합니다. 두 시간이 지난 후에 알려서는 안 되겠죠. 최대한 빨리 알 수 있어야 합니다. 그래야 적절한 사람들을 모아 문제를 해결할 수 있으니까요. 그리고 제가 강조하고 싶은 것 중 하나는 속도가 정말 중요하다는 점입니다. 특히 긴급한 보안 문제가 있을 때는 더욱 그렇습니다. 따라서 빠르게 대응하는 것이 정말 중요합니다. 사람들을 회의실로 불러 모아, 모든 걸 멈추고 그 문제를 우선 처리할 수 있도록 하는 것이 중요합니다. 고객에게 메시지를 전달해야 할 수도 있고, 취해야 할 조치들이 있을 수도 있으며, 다른 일들이 있을 수도 있습니다. 속도가 무엇보다 중요하며, 빠르게 대응하는 것이 정말 중요합니다.
다른 하나는 그저... 시급하지는 않지만 중요한 문제들에 대해서는 다른 사람을 비난하거나 책임을 떠넘기지 않고, 그 문제에 집중하며 해결책을 찾는 문화를 구축하는 것이 중요하다고 생각합니다.
Clarke Rodgers:
그 문제로 돌아가봅시다.
Matt Garman:
미묘한 차이일 수 있지만, 팀이 얼마나 투명하게 문제를 다루고 그것을 숨기지 않고 표면으로 드러내는지에 큰 영향을 미칩니다. 회사와 비즈니스는 문제를 투명하게 드러내고 잘못된 점에서 배우지 않으면 발전할 수 없습니다. 그리고 보안은 까다로운 문제입니다. 모든 사람들은 매일 새로운 기술이나 서비스를 찾고 있습니다. 그래서 더 어려운 분야죠. 빠르게 변화하는 분야입니다. 반드시, 그리고 기꺼이 배워야 합니다. 즉, 모든 것이 완벽하지는 않을 것입니다. 그리고 이를 통해 배우고 더 잘하고, 완화 조치가 있고 팀 전체가 어떻게 더 나아질 수 있는지 알아내려고 노력해야 합니다. 하지만 투명성을 장려하지 않으면 얻을 수 없습니다. 그래서 저는 이 두 가지에 대해 모두가 생각해 보길 권하고 싶습니다.
Clarke Rodgers:
훌륭한 조언입니다. Matt, 오늘 나와 주셔서 감사합니다.
Matt Garman:
예. 불러 주셔서 감사합니다