정보/팁

조회 가능 : 20회


정보소식넷플릭스의 보안 엔지니어가 말하는 넷플릭스의 위험 관리 방법 (시큐리티월드)

페이지 정보

no_profile 숲속의새 쪽지보내기 메일보내기 자기소개 신고 회원메모 아이디로 검색 전체게시물 movieli.st 작성일20.10.09 16:18 3,137 0

본문

넷플릭스의 보안 엔지니어가 말하는 넷플릭스의 위험 관리 방법 


입력 : 2020-10-09 13:16




상중하로만 평가해서는 아무 것도 평가되지 않아...달러 단위로 전환해야
리스크를 추상화시킬 땐 큰 전략적 틀에서부터 시작해 작은 실무 단계로 내려와야


[보안뉴스 문가용 기자] 리스크를 관리하는 사람들과 결정권자들 사이에 핀트가 어긋나는 일이 종종 있다. 보통은 결정권자들이 더 높은 지위를 가졌기에 위험천만한 모험수를 먼저 던져놓고 리스크 관리자에게 도와달라고 하는 형국으로 일이 이뤄진다. 리스크 관리자가 위험성을 평가할라치면 이미 피해가 생긴 마당이다. 둘이 사전에 합의점을 찾는 것부터 ‘리스크 관리’가 이뤄지는 경우는 생각보다 드물다.
 

891239462_7743.jpg

[이미지 = utoimage]


넷플릭스(Netflix)의 수석 정보 보안 리스크 엔지니어인 토니 마틴베그(Tony Martin-Vegue)는 지난 주 열린 페어컨퍼런스(FAIR Conference)에서 “누구나 사업을 하다보면 위험한 순간을 맞닥트리고, 또 위험을 감수해야 하는 순간을 경험한다”며 “조직 입장에서는 ‘어느 정도의 리스크가 지나치게 많은 리스크인가?’를 판단할 수 있어야 한다”고 설명했다.

이 ‘리스크 판단 및 관리’ 기능은 사업의 모든 영역에서 발동된다. 특히 위험을 감수해야 하는 부분에 있어서 이 기능이 발휘되어야 함은 물론이다. 사업을 이끄는 수장들은 어떤 결정을 내리든, 수반되는 리스크가 있음을 기억하고 이를 관리할 담당자를 세워야 한다. 담당자인 리스크 관리자는 사업주의 의도를 이해하고 리스크를 실제적으로 실험 및 평가할 수 있어야 한다.

“하지만 결정이 다 내려진 후에 리스크 관리가 시작된다면 너무 늦는 경우가 많습니다.” 마틴베그의 설명이다. “리스크 분석은 ‘예보’의 성격을 가지고 있어야 합니다. 그렇기 때문에 리스크 관리자들은 CEO, CFO, CIO 등 최고 결정권자들과 보다 가까운 곳에서 일을 해야 합니다. 중대한 결정이 내려지기 전에 최적의 선택지를 찾아야 하는 것이죠.
넷플릭스는 내부적으로 정량적 모델을 사용해 이러한 결정을 내려왔습니다. 정량적 모델을 사용해야 리스크를 설명하고 이해시키는 게 더 쉬워지기 때문입니다.”

리스크의 단위를 바꿔라
리스크와 관련된 소통을 돕기 위해 정량적인 모델링을 사용하는 건 넷플릭스만의 강점은 아니다. 다만 대부분의 기업들이 채용하는 ‘상/중/하’ 모델이나 ‘적/황/녹’ 평가 시스템과 넷플릭스에서 말하는 리스크 모델링은 조금 다르다.

“상중하로 리스크를 평가하는 건 그 나름의 효과가 있습니다. 대단히 직관적이라는 것이 큰 장점이죠. 하지만 보안과 관련된 위험을 평가할 때는 위험을 서너 가지로만 항목화하는 게 불가능합니다. 예를 들어 세 가지 ‘상급’ 리스크가 있다면 어떤 것부터 처리해야 할까요? 셋 다 동시에 하기는 불가능한데 말이죠. 그렇다면 여기에 각각 1000만 달러, 1500만 달러, 2000만 달러의 손해를 일으킬 수 있다는 추가 정보가 들어가면 어떨까요? 답이 조금은 쉽게 나오죠.”

마틴베그는 “위험도가 높다거나 낮다는 식으로만 평가하는 건 ‘정량적 위험도 평가’가 아니”라고 말한다. “결국 어느 정도의 비용으로 이 리스크를 환산할 수 있는지까지 답을 낼 수 있어야 합니다. 그래서 만약 2억 달러짜리 리스크가 발생하는 결정이라면 1000만 달러를 투자해 리스크를 2000만 달러 수준으로 내릴 수 있다는 방안까지 제시할 수 있어야 합니다. 이는 사업주가 원하는 방향의 사업을 보다 안전하게 이끌 뿐만 아니라 곧바로 취해야 할 행동이 무엇인지까지도 알려주죠.”

그러면서 마틴베그는 “상중하가 아니라 달러로 리스크를 표현하게 된다면 결정권자들의 이해도를 확연하게 높일 수 있다”는 것도 지적한다. “보안은 더 이상 IT 시스템 내에서 해커들과의 수싸움만 벌이는 일이 아닙니다. 이제 그 틀을 벗어나 조직 전체의 사업 방향에까지 관여해야 하죠. 그러려면 CEO, CFO, CIO와 직접 이야기를 나누고 그들의 의도와 계획을 안전하게 이끌어줘야 합니다. ‘그런 목표가 있으시군요. 그럴 때 이 방향으로 이 정도 투자하시면, 리스크를 어느 수준으로 낮출 수 있습니다’라고 제안하는 게 이제 보안의 몫이 되었다는 겁니다.”

즉, 보안 전문가들과 사업 전문가들의 단위가 일치되어야 이야기가 통한다는 것이 마틴베그의 설명이다. “보안 전문가들은 치명적 위험도라든가, 고위험군과 같은 이야기를 하죠. 사업 운영자들은 달러로 이야기합니다. 그러니 서로 다른 말을 하게 되고 부딪힙니다. 안타깝지만 달러의 단위를 이해하는 사람이 세상엔 더 많기 때문에, 보안 담당자들도 그 단위를 사용해 대화를 이끌어가야 합니다. 세계 공용어가 영어인 상황 속에서, 영어 배우기를 거절하고 소수민족의 언어만 고집했을 때 세계 무대에 서기 힘든 것처럼 말입니다.”

단계별 리스크 추상화(risk abstraction)
마틴베그는 보안 위험을 평가하는 데 있어 3가지 단계의 리스크 추상화 절차가 있다고 소개하기도 했다. “첫 번째 수준에서는 전략적인 부분에서 리스크를 추상화 합니다. 이 정도 규모의 투자를 감행할 경우 5년 뒤에 어떤 일이 있을 것인가를 예상해 보는 것이죠. 기업 내 전략을 이렇게 수정하면 5년 뒤에 어떤 일이 있을까, 지금 AWS와 같은 서비스 이용을 확대한다면 그 만큼의 수익을 낼 수 있을까, 5년 후의 성과를 생각한다면 코드 개발을 인하우스로 하는 게 맞을까 아웃소싱을 줄까 등을 이렇게 고민하고 평가합니다.”

그 다음은 ‘전술적 고민’을 시작한다고 한다. 즉 위에서 보다 큰 틀에서의 결정이 내려지고 나면, 그 결정들을 실행하는 데 있어서 필요한 내용을 파헤친다는 것이다. “주로 중간급 관리자들을 위한 결정들이 여기서 내려진다고 보면 됩니다. 예산을 집행하고, 인력을 실제로 운영하는 등 프로젝트의 전반을 담당하는 사람들에게 활동 반경과 필요한 권한을 부여하는 것이죠. 서버 가상화에 투자를 해서 이들을 도울 것인가, 어떤 파트너사와 협약을 맺을 것인가, 인력을 어느 정도 보충해야 할까 등이 이 단계에서 검토됩니다.”

세 번째 단계에서는 실제 운영에 있어서 필요한 내용들이 결정된다. 즉 중간 관리자를 넘어 실무자들에게 영향을 주는 내용들이 정해진다는 것이다. 보안 아키텍트, 모의 해커, 개발자, 웹 앱 개발자, 고객 응대 담당자 등 사업을 진행하는 데에 필요한 여러 기능들이 직접적인 영향을 받을 수밖에 없다. “가령 A라는 앱을 개발할 때 비밀번호 하나만 도입할 것인지 다중인증을 구축할 것인지가 이 단계에서 결정됩니다. 이게 보안의 관점에서만 보면 당연히 다중인증이 나은데, 전체 예산과 사업 방향과 같은 큰 틀에서 보면 아닐 수도 있습니다. 위에서 차근차근 큰 결정이 내려진 다음에 여기에 도달해야만 올바른 결정을 내릴 수 있습니다.”

정량적 리스크 관리, 어디서부터 시작해야 할까?
정량적 리스크 관리 모델을 적용해보기를 원한다면, 어디서부터 어떻게 시작해야 할까? 마틴베그는 “일단 천천히 시작하라”고 말한다. “정량적 리스크 모델을 구축할 것이다, 라고 전사적으로 선포해 버리면 마치 지금 가지고 있는 위험 평가 모델을 완전히 폐기해야 할 것 같은 분위기가 생깁니다. No. 전혀 그럴 필요 없습니다. 그대로 유지하되 조금씩 고쳐나가는 방향으로 가야 합니다. 먼저는 작은 결정 한두 개부터 적용해가며 운영해 보세요.”

또한 마틴베그는 “정량적 모델링이라고 해서 모든 것이 객관적으로 반듯하게 이뤄질 거라는 기대감도 버려야 한다”고 말한다. “조심스러운 말이긴 하지만, 뭔가를 정량적으로 측정한다고 했을 때 우리 모두는 개관적 사실만을 재료로 삼기 때문에 틀릴 수 없는 결정을 내릴 수 있게 될 거라고 생각합니다. 해보면 알겠지만 전혀 그렇지 않습니다. 뭔가를 ‘평가’한다는 건, 반드시 평가자의 주관이 어느 정도 들어갈 수밖에 없다는 뜻입니다. 주관성이라는 걸 너무 배제하려고만 하는 것도 정량적 모델링 사용의 장애가 됩니다.”

3줄 요약
1. 위험 관리자는 IT 시스템을 넘어 조직 전체의 리스크를 평가 및 완화시켜야 함.
2. 위험을 단순히 상중하로 표시할 수만은 없음. 달러 단위로 이야기를 해야 함.
3. 전략적 결정 -> 전술적 결정 -> 실무적 결정의 순서대로 내려오는 리스크 추상화가 효과적.
[국제부 문가용 기자(globoan@boannews.com)] 


추천 0

댓글목록

정보/팁


정보/팁 목록
번호 추천 제목 글쓴이 날짜 조회
1053 no_profile 숲속의새 쪽지보내기 메일보내기 자기소개 신고 회원메모 아이디로 검색 전체게시물 movieli.st 20-10-13 2.4K
1052 no_profile 숲속의새 쪽지보내기 메일보내기 자기소개 신고 회원메모 아이디로 검색 전체게시물 movieli.st 20-10-13 2.5K
1051 no_profile 숲속의새 쪽지보내기 메일보내기 자기소개 신고 회원메모 아이디로 검색 전체게시물 movieli.st 20-10-13 1.8K
1050 no_profile 숲속의새 쪽지보내기 메일보내기 자기소개 신고 회원메모 아이디로 검색 전체게시물 movieli.st 20-10-12 4K
1049 no_profile 숲속의새 쪽지보내기 메일보내기 자기소개 신고 회원메모 아이디로 검색 전체게시물 movieli.st 20-10-12 2.5K
1048 no_profile 숲속의새 쪽지보내기 메일보내기 자기소개 신고 회원메모 아이디로 검색 전체게시물 movieli.st 20-10-12 14.5K
1047 no_profile 숲속의새 쪽지보내기 메일보내기 자기소개 신고 회원메모 아이디로 검색 전체게시물 movieli.st 20-10-12 3.2K
1046 no_profile 숲속의새 쪽지보내기 메일보내기 자기소개 신고 회원메모 아이디로 검색 전체게시물 movieli.st 20-10-12 5.4K
1045 no_profile 숲속의새 쪽지보내기 메일보내기 자기소개 신고 회원메모 아이디로 검색 전체게시물 movieli.st 20-10-12 1.5K
1044 no_profile 숲속의새 쪽지보내기 메일보내기 자기소개 신고 회원메모 아이디로 검색 전체게시물 movieli.st 20-10-11 11.1K
1043 no_profile 관리자 쪽지보내기 자기소개 신고 회원메모 아이디로 검색 전체게시물 20-10-09 2.2K
1042 no_profile 관리자 쪽지보내기 자기소개 신고 회원메모 아이디로 검색 전체게시물 20-10-09 2.1K
1041 no_profile 숲속의새 쪽지보내기 메일보내기 자기소개 신고 회원메모 아이디로 검색 전체게시물 movieli.st 20-10-11 10.2K
1040 no_profile 숲속의새 쪽지보내기 메일보내기 자기소개 신고 회원메모 아이디로 검색 전체게시물 movieli.st 20-10-11 1.9K
1039 no_profile 숲속의새 쪽지보내기 메일보내기 자기소개 신고 회원메모 아이디로 검색 전체게시물 movieli.st 20-10-11 3.8K
1038 no_profile 숲속의새 쪽지보내기 메일보내기 자기소개 신고 회원메모 아이디로 검색 전체게시물 movieli.st 20-10-10 11.1K
1037 no_profile 숲속의새 쪽지보내기 메일보내기 자기소개 신고 회원메모 아이디로 검색 전체게시물 movieli.st 20-10-10 2K
1036 no_profile 숲속의새 쪽지보내기 메일보내기 자기소개 신고 회원메모 아이디로 검색 전체게시물 movieli.st 20-10-10 5.6K
1035 no_profile 숲속의새 쪽지보내기 메일보내기 자기소개 신고 회원메모 아이디로 검색 전체게시물 movieli.st 20-10-09 7.8K
no_profile 숲속의새 쪽지보내기 메일보내기 자기소개 신고 회원메모 아이디로 검색 전체게시물 movieli.st 20-10-09 3.1K
1033 no_profile 관리자 쪽지보내기 자기소개 신고 회원메모 아이디로 검색 전체게시물 20-10-08 2.1K
1032 no_profile 관리자 쪽지보내기 자기소개 신고 회원메모 아이디로 검색 전체게시물 20-10-08 1.9K
1031 no_profile 관리자 쪽지보내기 자기소개 신고 회원메모 아이디로 검색 전체게시물 20-10-08 1.9K
1030 no_profile 관리자 쪽지보내기 자기소개 신고 회원메모 아이디로 검색 전체게시물 20-10-08 2.2K
게시물 검색
전체 메뉴
추천 사이트