Cloudflare의 theNet

능동적인 사이버 보안 문화를 구축하기 위한 CISO의 가이드

미국인의 절반 정도와 마찬가지로, 저도 고등학교와 대학교 재학 시 경쟁이 치열한 운동을 했습니다. 농구, 소프트볼, 축구, 골프 등 다양한 운동을 시도해 봤습니다. 프로 선수가 되려고 시도한 적은 없지만, 게임에 대한 사랑으로 결국 디지털 스포츠 회사인 Fanatics에 관심을 갖게 되었습니다.

Fanatics는 확장과 초고속 성장의 시기에 접어들었습니다. 저희는 라이선스 스포츠 팬 장비 판매로 가장 잘 알려져 있지만, 그보다 더 광범위한 사명은 선도적인 글로벌 디지털 스포츠 플랫폼이 되는 것입니다. 예를 들어, 저희는 카드와 기념품을 거래하는 마켓플레이스를 제공하고, 대면 팬 이벤트를 위한 가장 큰 네트워크를 구축하고 있습니다. 또한 온라인 스포츠 베팅과 실제 화폐 베팅을 확대하고 있습니다(저는 정보 보안 프로그램을 감독합니다).

지속적인 혁신은 새로운 위협에 대응할 준비가 되어 있다는 것을 의미합니다. 스포츠 팬이 사이버 범죄자의 표적이 되는 경우가 점점 더 많아지고 있으며, 스포츠 조직의 70%가 매년 최소 한 번 이상의 공격을 받습니다.

하지만 기술만으로는 비즈니스를 보호할 수 없습니다. 제조 분야에서 애플리케이션 개발에 이르기까지 모든 직원은 사이버 위생을 잘 관리하고 조직을 안전하게 보호해야 합니다.

즉, 강력한 사이버 보안은 팀 스포츠입니다. 다음은 조직 전체의 승인을 성공적으로 얻기 위해 제가 노력하는 세 가지 핵심 방법입니다.


'예'라는 마음가짐으로 시작

명예의 전당(Hall of Fame) 야구 감독인 ommy Lasorda는 이렇게 말한 적이 있습니다. “야구와 비즈니스에는 세 가지 유형의 사람이 있다. 일이 일어나도록 만드는 사람들, 일이 일어나는 것을 지켜보는 사람들, 무슨 일이 일어났는지 궁금해하는 사람들이다.” 리더로서 저는 조직의 성공 보안을 실현하기 위해 노력합니다.

저는 Fanatics에서 적극적으로 사업을 확장하는 동안 위협에 반응적으로 대응하며 옆에서 지켜보고만 있지는 않습니다.

회사의 성공에 적극적으로 기여하는 것은 ‘예’라는 마음가짐을 갖는 것에서 시작됩니다. 보안 전문가는 종종 비밀리에 마찰을 일으키는 사람으로 여겨지는데, 우리는 최소한의 설명만 하고 "아니요"라고 말하는 사람들입니다. 여러 프로젝트를 진행하는 경우 다른 사람에게 "아니요, 이미 있는 것을 사용하세요. 요청하신 작업을 수행하기에는 리소스가 부족합니다.”라고 말하는 것이 더 쉽습니다. 불행히도, '아니요'라는 답변을 듣는 것은 섀도우 IT(그리고 점점 더 늘어나는 섀도우 API섀도우 AI)가 많은 조직에서 만연하는 중요한 이유입니다. '아니요'라는 말을 듣는 것은 다른 팀에서 보안팀과 선제적으로 협력하는 경향이 줄어드는 이유이기도 합니다.

그러나 '예'라는 마음가짐은 사이버 보안을 비용 중심이 아니라 성장을 가능하게 하는 요소로 보는 데 도움이 됩니다.

다음은 저희 팀에서 이를 실천하는 몇 가지 방법입니다.

1) 저희는 긍정적인 의도를 가정합니다. 누군가가 차별호되는 것을 시도하고 싶다면, 선의의 의도라고 가정하고 주어진 상황에서 만나보는 것이 중요합니다. 예를 들어, 애플리케이션 개발팀이 촉박한 마감일과 리소스 제약을 이유로 보안 취약점 수정을 반복해서 미루는 시나리오를 상상해 보세요.

  • 정보 보안팀에서는 개발자에 대하여 긍정적인 의도를 가정하지 않고 보안에 부주의하다고 생각합니다. 정보 보안팀에서는 먼저 문제를 협력하여 해결하려고 시도하지 않고 즉시 경영진에게 에스컬레이션하기로 결정합니다.

  • 정보 보안팀에서는 대신 긍정적인 의도를 가정하면서 개발자가 진정으로 비즈니스 요구 사항을 우선시하며 보안과 결과물의 균형을 맞추고자 한다고 믿습니다. 저희는 다음과 같은 대화로 개발 팀에 접근합니다. "마감일을 맞추는 것이 중요하다는 것을 알고 있습니다. 타임라인을 손상시키지 않는 방식으로 보안 취약점을 해결하기 위해 협력합시다."

두 번째 접근 방식은 협업과 신뢰를 촉진하는 동시에 보안과 비즈니스 목표를 모두 충족하는 솔루션을 찾는 것입니다.

결국 어떤 사람을 이해하는 문제는 다음과 같습니다. 그 사람이 현재 기술로 할 수 있는 일과 할 수 없는 일은 무엇일까요? 사이버 보안을 통해 그 사람의 업무가 가속화될 수 있을까요? 새로운 일이 잘못될 수 있는 모든 경로를 계산하게 될까요, 아니면 최초의 몰입형 스포츠 팬 축제를 안전하게 만들기 위해 열정적으로 뛰어들게 될까요?

2) 저희는 피드백과 비판을 환영합니다. Simone Biles가 자신의 잠재력을 최대한 발휘하기 위해 코치가 핵심이라고 생각한다면, 나머지 팀원도 피드백을 활용할 수 있습니다! 여기에는 다른 사람의 불만 사항을 열린 마음으로 경청하는 것이 포함됩니다. 더 많은 사람이 사이버 보안 이니셔티브를 인정하게 만들려면 그들의 피드백을 인정해야 합니다. 여러분은 다른 사람의 전문 분야에 대해, 그리고 어쩌면 여러분 자신에 대해서도 유용한 것을 배울 수 있습니다.

3) 저희는 비즈니스 전략을 깊이 이해하려고 노력합니다. 조직 전체가 보안을 진지하게 고려하기를 원한다면 귀하가 회사의 재정적 우선순위를 얼마나 진지하게 받아들이고 있는지 보여주세요. 저는 제품, 영업, 엔지니어링, 개발 등의 부서에서 어떤 일이 일어날지 항상 주의를 기울이고 있습니다. Fanatics에서 PointsBet의 미국 사업부를 인수한 후 스포츠 베팅 서비스를 출시할 계획을 세우기 시작했을 때, 저는 비즈니스와 규제 준수에 미치는 영향을 빠르게 파악하고 그에 따라 저희 팀의 중점 사항을 변경했습니다.


투명성을 통한 신뢰 촉진

사이버 안전 관행의 중요성을 심어주려면 사이버 취약점 강점을 투명하게 공개해야 합니다. '불명확성을 통한 보안'이라는 개념, 즉 보안 메커니즘의 취약점과 세부 정보를 난독화하는 것은 새로운 것이 아닙니다. 하지만 저는 많은 보안 리더들이 특히 내부 커뮤니케이션에 있어서는 이를 너무 지나치게 받아들이는 경향이 있다고 생각합니다.

항상 존재하지만, 주요 프로모션이나 스포츠 이벤트 기간에 최고조에 달할 수 있는 DDoS 공격의 위협을 예로 들어 보겠습니다. 다른 팀에서 HTTP POST 폭주 공격과 HTTP GET 폭주 공격의 차이를 알 것이라고 기대하지는 않지만, 다음과 같은 주요 동향에 대해 교육하는 것이 중요하다고 생각합니다. 공격이 특정 시기에 발생하는 경향이 있는가? 공격은 어디에서 시작되나? 경쟁사나 범죄자에게서 시작되나? 어떤 서비스가 타겟이 되나? 얼마나 많은 공격을 차단했나?

데이터와 투명성은 사이버 보안 투자(Cloudflare의 고급 DDoS 방어, 봇 관리, 부하 분산, 기타 애플리케이션 서비스 포함)에 대한 교차 기능 지원을 촉진하는 데 도움이 됩니다. 또한 정기적인 메트릭 기반 커뮤니케이션은 보안 덕분에 회사의 성장이 촉진되는 방법을 강화합니다.

업무 환경에서 사람들이 업무와 직접적으로 관련된 일에만 신경을 쓰는 것은 자연스러운 일입니다. 사이버 먼데이 프로모션을 담당하는 팀에서는 보안 벤더에는 관심이 없을 수도 있지만, 웹 사이트 성능과 판매에는 깊은 관심이 있습니다. 이들이 저의 역할(디지털 풋프린트를 방어하기)과 자신들의 역할(온라인 고객에게 다가가기)의 연관성을 이해한다면 보안 관행을 수용할 가능성이 높습니다.


포용을 위한 노력 - 그리고 나 자신이 되기

전 세계 사이버 보안 인력 부족이 아주 심각해서 Gartner에서 2025년까지 "중대 사이버 사고의 절반 이상이 인력 부족 또는 인적 실패에 기인할 것"이라고 예측할 정도입니다.

인력이 부족한 데는 여러 가지 이유가 있지만, 더 많은 직원을 유치하려면 다양하고 비전통적인 인재를 수용하기 위해 더 노력해야 합니다. ISC2에서 2024년 사이버 보안 인력 연구에서 언급한 바와 같이, “인력 부족이 심화되므로 사이버 팀에서는 부족을 해소하기 위해 모든 배경을 살펴봐야 합니다.”

저는 다양한 후보자로 구성된 강력한 파이프라인을 유지해야 한다는 채용 담당자들의 의견에 강력히 동의합니다. 모든 사람은 학위가 아니라 갖춘 기술에 따라 공정한 기회를 누릴 자격이 있습니다. 예를 들어, 저는 다양한 대학에서 캠퍼스 리크루팅을 하는 것을 강력하게 지지합니다.

저는 시간이 될 때마다 외부 채용 행사에 참여하고, 신입생 멘토링을 하며, 다른 여성들이 스포츠 기술 업계에서 경력을 쌓도록 장려합니다. 예를 들어, Grace Hopper Celebration에 참석하는 것은 특히 다양한 인재들로 인해 영감을 얻는 경험이었습니다. 비기술적 배경에서 기술 분야에 입문한 참석자들의 이야기를 그처럼 많이 들을 수 있다는 것은 정말 놀라운 일이었습니다. 이들의 여정에서 공통된 맥락은 그들의 잠재력을 보고 기술을 탐색하도록 격려하며 지원을 제공하는 지지자가 있었다는 것이었습니다. 이 지지자들은 경력의 다양한 단계에서 개인이 기술 분야로 전환하는 데 중추적인 역할을 했으며, 열정과 결의가 있으면 어떠한 나이에서든 성공할 수 있음을 입증했습니다.

후보자 풀을 다양화하는 것 외에도 채용한 인재를 유지해야 합니다. 여러 연구에 따르면 진정성과 진정한 리더십은 직무 만족도 향상이직률 감소와 관련이 있습니다. 안타깝게도 사이버 보안 업계에 종사하는 여성의 3분의 1(36%) 이상이 여전히 직장에서 진정성을 보일 수 없다고 느낍니다.

저는 다른 사람들에게 다음과 같은 방법으로 자신의 진정한 모습을 보이도록 권장하려고 노력합니다.

  • 내 모든 성격을 공유하기

  • 호기심을 갖고 많은 질문을 해보기

  • 저희 최고점 최저점을 살펴보기 위한 공간 확보

  • 걸러지지 않은 피드백 요청하기

  • 다른 사람의 성취를 지속해서 강조하기

누구도 직장에서 자신의 진면목을 드러내는 것이 불편하다고 느껴서는 안 됩니다. 그렇기 때문에 직장에서 매일 솔직하고 온전하게 나를 드러내는 것이 아주 중요합니다.


선제적인 사이버 보안은 최상위에서부터 시작됩니다

진정성을 유지하고, '예'라는 마음가짐을 유지하며, 투명성을 유지하는 것은 제가 Fanatics 전반에서 CFO, CTO, 기타 경영진과 강력한 관계를 형성하는 데 도움이 되었습니다. 우리 조직에 보안의 가치를 이해하는 리더가 많다는 것은 행운입니다.

이러한 하향식 사이버 보안 문화는 그 어느 때보다 중요합니다. 예를 들어, 모든 산업에서 AI 기반 고객 경험AI에서 생성되는 위협이라는 새로운 시대로 접어들고 있기 때문에 이를 ';올바르게' 달성하기 위한 핵심은 엄격한 정책과 기술 연계입니다.

궁극적으로 조직이 내부 마찰을 줄이면서 안전하게 운영되면 모두가 핵심 비즈니스에 더 자유롭게 집중할 수 있습니다. 누가 그걸 좋아하지 않을 수 있을까요?

이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.


이 주제에 관해 자세히 알아보세요.

온라인 게임 및 게임 회사를 위한 사이버 보안 모범 사례에서 업계 최고의 사이버 보안 위험을 관리하는 방법을 알아보세요.

작성자

Ami Dave
Fanatics CISO


핵심 사항

이 글을 읽고 나면 다음을 이해할 수 있습니다.

  • 디지털 스포츠 애플리케이션 및 온라인 베팅에서의 사이버 보안 공격 동향

  • 능동적인 사이버 보안 문화를 조성하기 위한 3가지 권장 사항

  • 보안 기능을 비즈니스 조력자로 포지셔닝


관련 자료


가장 인기있는 인터넷 인사이트에 대한 월간 요약을 받아보세요!