[사이버 보안의 인간화: 미션 중심의 사고방식]

[켈리 미사타 박사00:02]

[제가 이 일을 통해 얻은 가장 마음에 드는 공통적인 주제 중 하나는 바로 이 단체들이 항상 사명을 최우선으로 생각한다는 것입니다.]

[라구 난다쿠마라00:16]

[이제 Thé S~égmé~ñt의 또 다른 에피소드에 오신 것을 환영합니다.호스트인 라구 난다쿠마라 (Rá~ghú Ñ~áñdá~kúmá~rá) 입니다. 이번 시즌 3라는 비공식 테마로, 사이버에 대해 꼭 필요하지만 자주 들어보지 못한 관점을 제공하는 게스트를 모시겠다는 주제로 진행을 이어가겠습니다.오늘 팟캐스트에 오신 것을 진심으로 환영합니다.켈리 미사타 박사, 박사.그녀는 다른 비영리 단체가 사이버 보안을 일상 업무에 통합하도록 돕는 비영리 단체인 Sí~ghtl~íñé S~écúr~ítý의 설립자이자 C~ÉÓ이며 풍부한 지식과 경험을 가지고 있습니다.켈리, 이 부문에 오신 것을 환영합니다.여기 오게 돼서 반가워요.]

[켈리 미사타 박사01:01]

[여기 오게 돼서 반가워요.초대해 주셔서 정말 감사합니다.]

[라구 난다쿠마라01:06]

[물론이죠¡자, 배경에 대한 일반적인 주제를 말씀드리자면사이버 분야에서 특히 오래 지속되는 경력을 쌓으려면 개인이 매우 임무 중심적이어야 한다고 생각합니다.자신의 사명을 어떻게 설명하시겠습니까¿ 그리고 사이버 분야에서 경력을 쌓게 된 동기는 무엇인가요¿]

[켈리 미사타 박사01:24]

[그 질문이 정말 마음에 들어요¡그 프레임에서 질문을 받은 건 이번이 처음이에요.제 소중한 친구와 나눈 대화가 떠오릅니다. 저보다 훨씬 더 오랫동안 보안 분야에서 일해 온 친한 친구였죠.그녀가 제게 말했죠. “켈리, 당신은 항상 모든 일에 너무 흥분돼요.” 라고 말했고 저는 “그래요.” 라고 말했죠.마치 조직, 개인, 집단이 훨씬 더 자신 있게 사이버 보안을 받아들이도록 돕고, 수수께끼와 날아다니는 유니콘과 요정 가루를 없애는 일에 있어서 우리가 세상을 변화시킬 수 있는 기회가 온 것 같아요.매일 저를 움직이는 원동력이라고 생각해요. 제 작업의 모든 구석에서 그 가능성을 볼 수 있다는 거예요.그리고 저는 보통 아침에 일어나서 이렇게 말합니다. “와, 오늘은 정말 신나는 일이 제게 다가올까요¿”새로운 것을 배우든, 다른 사람이 다르게 생각하도록 도와주든, 세상을 더 나은 곳으로 만들기 위해 노력한다는 것을 알고 있는 작업 그룹에 참여하세요.정말 매일 아침마다 떠나는 여정이에요.]

[라구 난다쿠마라02:28]

[어메이징.다른 인터뷰와 팟캐스트에서 이에 대해 말씀하신 것을 들은 적이 있는데, 보안이 조직 내에서 묘사되거나 표현되는 방식이 정말로 어려움을 겪고 계신가요¿ 이에 대한 비판은 보안이 종종 사일로화된 기능으로 여겨지지만 실제로는 조직 전체에 스며들기를 원한다는 것입니다.이에 대해 좀 더 말씀해 주시겠어요¿ 이상적인 상태에서는 보안이 어떻게 조직될 수 있을까요¿]

[켈리 미사타 박사02:59]

[네, 알다시피, 우리는 매일 이 기술과 상호작용하고 있습니다. 그중에서도 더욱 그렇습니다. 그렇죠¿다시 생각해 보세요. 사무실 간 우편을 주고받던 시절이 기억나요.봉투를 들고 다니던 그 시절이 기억나시죠¿그리고 PÍ~Í에 대해 얘기하실 거예요.누군가의 이름을 지워버리면 마치, 오, 대통령한테 갔다가 인사부에 갔는데 누가 해고당하는 것 같죠¿하지만, 예를 들어, 우리가 어떻게 기술을 받아들이면서 그렇게 포기했는지가 많이 생각납니다. 어떻게 하면 안전을 유지할 수 있을까요¿그리고 제가 꿈꾸는 상황은 우리가 항상 이런 생각을 하는 거예요. 이걸 해야 할까요¿~제 행동이 어떤 영향을 미치나요¿새로운 소프트웨어를 사용하게 되면 어떤 영향을 미치나요¿제품 개발 모델에서 이 방향을 택하면 조직에 어떤 영향을 미치나요¿제 꿈은 우리가 한 발 물러서서 “응, 다시 생각해 봐야겠어.” 라고 말하는 것입니다.그러니까, 오 세상에, 보안팀에 가서 얘기해야 한다는 식으로 말하긴 커녕 거의 멈춘 것 같아요.그리고 보안팀이 우리 조직의 발전을 방해할 것이기 때문에 정말로 얘기하고 싶지 않아요. 그렇죠¿~아니면 우리를 더 겁나게 할 수도 있습니다.제 생각에는 조직과 개인의 근육 기억력으로만 사용하는 것이 꿈의 상태입니다.저는 우리가 거의 무의식적으로 이 곳으로 나아가고 있다고 생각하지만 시간이 오래 걸리고 보안 분야의 사람들은 이에 대해 참을성이 없다고 생각합니다. 그리고 제가 대화에 인내심을 조금 가져와서 “괜찮아, 진전이 있었어.” 라고 말할 수 있기를 바랍니다.그냥 계속 진행해 봅시다.”]

[라구 난다쿠마라04:44]

[보안 실무자를 참을성이 없는 사람으로 꾸민 방식이 정말 마음에 듭니다. 우리에게 필요한 것은 인내심입니다. 하지만 이에 대해서는 잠시 후에 설명하겠습니다.하지만 한 걸음 더 물러서서 모든 개인이 어떤 결정을 내리도록 권장되는지에 대해 말씀드리자면, “이것이 내 데이터, 우리 조직의 보안에 어떻게 기여할까요¿”그러면 보안이 대부분 게이트 키퍼나 발전의 장벽이라는 오늘날보다 훨씬 더 나은 보안 문화를 갖게 될 것입니다.그렇다면 개인 소유권을 더 많이 포함하도록 보안 인식 교육 방식을 수정할 기회가 있다고 생각하시나요¿]

[켈리 미사타 박사05:30]

[오, 물론이죠.문화적 차원으로 내려가야 할 것 같아요.그건 어려운 일이죠, 그렇죠¿보안에서 가장 어려운 것 중 하나가 바로 사람이니까요.우리는 가장 지저분하고 가장 복잡한 요소입니다.따라서 보안 인식 교육에 대해 이야기할 때는 시스템에 대한 인식 교육을 말하는 것이 아니라 사람을 말하는 것입니다.보안에서 해결해야 하는 가장 복잡한 목 통증에 대해 자동적으로 얘기하시게 되는 거죠.그러니까 훈련이라는 특별한 상자 밖으로 가져가서 제대로 해내서 우리가 이런 시스템과 장치를 어떻게 사용하고 있는지 얘기해 보죠.이제 우리가 무엇을 할 수 있는지, 그리고 그것이 우리 조직에 미치는 영향에 대해 이야기해 봅시다.제 생각에 정말 흥미로운 사례인데요, 제 관점이 조금 독특하다고 생각해요. 제 개인적인 소셜 미디어에 글을 올리더라도 그 글을 받을 수 있는 사람들에게 미치는 영향에 대해 생각한다는 것입니다. 제가 사진을 찍으면 사람들의 이미지를 매우, 매우 보호합니다. 왜냐하면 그들이 어떤 일을 하고 있는지 모르기 때문이죠. 살고 있습니다.그래서 그냥 “이봐, 여기 나와 내 뒤에 낯선 사람들이 많이 있어.” 라고 말하고 싶지 않아요.좀 더 깊이 생각해 보는 것도 중요하지만, 제가 이 기술을 사용하고 있다는 점을 감안한 것이기도 하죠.제 주변에도 사람들이 있어요.제 주변에는 시스템이 있어요.저뿐만 아니라 저와 연결된 모든 촉수에는 어떤 위험이 있을까요¿너무 벅차게 들리지만 근육 기억의 일부가 된다면 말이죠. 어떤 경우에는 이미 하고 있기 때문이죠.아마 기억하실 겁니다. 예를 들어, 제가 당신의 첫 번째 암호를 알아요.말도 안 돼요¡뭐였는지 말하고 싶지도 않지만 모두가 짐작할 수 있잖아요하지만 이제, 제 82세 어머니께도 그걸 좋아하신다면 팟캐스트에서 그 아이의 나이를 말씀드리죠. 왜냐하면 저는, 당신은 82살이라고 생각하거든요.하지만 엄마도 더 이상 그러지 않아요.그리고 그녀는 사이버 보안 인식 교육을 전혀 하지 않았어요.그녀는 그저 자신의 삶의 문화와 자신이 다르게 행동하도록 강요하기 위해 사용하는 시스템에 사로잡혔을 뿐이죠.저한테는 그게 가장 좋은 지점이에요.하지만 다시 말씀드리지만, 인내심이 필요합니다.미래에 대한 고민이 필요하죠.인내심이 필요하죠.한 걸음 물러서서 이렇게 말할 필요가 있어요. “아, 제대로 못했네요.이런 방식으로 돌아가 봅시다.”]

[라구 난다쿠마라08:04]

[그리고 제 생각엔 당신이 어머니에 대해 보여준 예가, 엄마가 할 수 있게 해줘서 고마워요. 그리고 지금 하고 있는 행동을 현실에서 공감할 수 있는 무언가와 연결시킬 수 있다는 의미죠, 그렇죠¿이런 점이 연관성을 만들어주고, 그 이유를 다시 한 번 만들어 줍니다. 예를 들어, 그 뒤에 숨은 사명이 훨씬 더 강력하게 작용한다는 동기죠. 그렇죠¿제 생각에 이러한 접근 방식을 통해 보안 인식 교육을 수행하는 방식을 재구성할 수 있는 중요한 기회가 있을 것 같습니다.핵심은 추상적 개념이 아니라 최대한 쉽게 공감할 수 있게 만드는 방법에 관한 것입니다.하지만 여기서 다시 말씀하셨으니 환자의 의견으로 넘어가겠습니다.그래서 여러분과 저는 보안 전문가들과 함께 일하고 있습니다.우리는 업계에 종사하고 있습니다.왜 우리는 참을성이 없나요¿]

[켈리 미사타 박사08:53]

[오, 나쁜 놈들이 어디 있는지 계속 생각하기 때문이에요.위협은 어디에 있나요¿다음에 누군가를 때릴 끔찍한 일은 어디에 있을까요¿저는 항상 그런 생각을 해요. 그리고 보안 분야의 여정 초반부터 사람들을 지켜봤어요.그 당시에 사람들이 피곤해하는 걸 보고 있었는데 왜 그런지 계속 생각했어요.그리고 보안을 향한 제 여정뿐만 아니라 그 안에서 조금 더 오래 머물고 나서야 비로소 깨달았어요. 다음에 어떤 나쁜 일이 일어날지 생각하면 할수록 정신적으로나 육체적으로 더 지치게 될 거라는 걸 깨달았어요.조바심은 거기서 비롯되는 것 같아요.또한 보안 담당자들은 다른 시각으로 세상을 바라본다고 생각합니다.아시다시피, 우리는 이러한 장치와 시스템을 다른 관점에서 바라볼 수 있는 조건과 훈련을 받았기 때문에 당연한 일입니다.제가 Tó~r 프로젝트에 참여했을 때, 개발자들이 세계의 타협한 지역에서 저널리스트들과 교류하는 것을 보곤 했는데 그들은 정말로 정신을 잃기 시작했어요.그들은 “왜 그냥 이해하지 못하는 거지¿”그리고 저는 계속 그들에게 “그들은 볼 수 없어요.” 라고 말했죠.네, 전부 미스터리예요. 그래서 우리가 그걸 볼 수 있게 도와준다면그래서 저는 트레이닝을 만들었어요. 어렸을 때 가지고 있던 검은 불빛과 펜을 기억하고 가장 친한 친구에게 주었죠, 그렇죠¿그래서 저는 이것저것 잔뜩 사서 이 봉투들을 이 훈련에 가져왔어요. 청중들이 자발적으로 노드가 되어줄 사람들을 불러서 메시지를 받아 검은 불빛에 썼죠, 그렇죠¿~PGP와 약간 비슷하기 때문이죠.마치, 좋아요, 이걸 암호화해서 봉투 세 개에 넣고 이리저리 던지면 토르가 어떻게 운영되는지 실제로 경험하게 되는 거죠.그리고 그 일이 끝날 무렵, 제가 본 사람들이 처음으로 뒤로 물러나서 말했죠. “아, 이제 토르가 왜 느린지 알겠네요.”제 생각엔, 네, 그래요. 왜냐면 토기가 이 모든 걸 이리저리 뛰어다니고 있으니까요.하지만 정말 그들을 위한 거였어요. 오, 이제 악당들이 어디 있는지 알겠네요.이제 시스템이 어디에 있는지 알겠네요.이제 어떻게 작동하는지 알겠네요.모든 보안 상태에서 그렇게 할 수는 없지만, 더 잘할 수 있습니다.모든 것을 마법처럼 보이게 하는 건 그만둘 수 있어요.]

[라구 난다쿠마라11:19]

[네, 네, 물론이죠.봉투와 함께 Tór 예제를 읽어주셔서 정말 기쁩니다. 왜냐하면 저는 Í~BM Sé~cúrí~tý Íñ~téll~ígéñ~cé에 관한 내용을 읽고 있었기 때문이죠.얼마 전에 그들과 함께 녹음을 하셨는데 제가 이 글을 읽었는데, 어떤 이유에서인지 오디오에 접근할 수 없다고 생각했는데, 그녀가 그 봉투 예시를 어떻게 표현하는지 잘 모르겠어요.하지만 지금은 완전히 이해했어요.그래서, 고마워요.고마워요.네.제 생각엔 맞아요, 또 그래요, 그렇죠¿다시 말씀드리지만, 인식에 대해 말씀드린 이전 글과 관련이 있습니다. 보안 전문가로서 마법처럼 들리지 않게 만들어야 한다고 생각합니다. 그렇죠¿~마치 그것을 실제로 그 맥락에서 이해할 수 있다는 것과 같습니다. 오늘날 비즈니스 성과 측면에서 보안 원칙에 대해 많은 논의가 오가고 있는데, 저는 거기에서 해야 할 일이 많다고 생각합니다.하지만 사이버 전반에 대한 수수께끼를 확실히 풀어주고 있다고 생각합니다. 왜냐하면 주변에는 훌륭한 엔지니어, ÍT 및 위험 분야에서 일하는 뛰어난 사람들이 너무 많기 때문입니다. 하지만 저는 사이버를 이해하지 못합니다.그래서 거기에는 아주 큰 기회가 있습니다.동의합니다. 지금 이 일을 현재 하고 있는 몇 가지 작업과 연결해 보겠습니다. 그렇죠¿그리고 빨리 알려주셨으면 좋겠어요. 청중들이 S~íght~líñé~이 하는 일과 여러분이 맡은 역할이 무엇인지 잘 모르실 거라 확신하기 때문이죠.흥미로운 분야인 이에 대해 자세히 알아보기 전에 Sígh~tlíñ~é에 대한 간략한 개요를 알려드리겠습니다.]

[켈리 미사타 박사12:51]

[네, 그래서 Sígh~tlíñ~é Séc~úrít~ý는 제가 논문 연구를 바탕으로 이곳 미국에 기반을 둔 비영리 단체입니다.그 당시 제 멘토였던 베키 베이스 (Béc~ký Bá~sé) 의 공로를 인정하고 싶습니다.제가 수년간 스토킹을 당한 후 박사 과정을 시작했고, 공격자가 어떻게 그 일을 할 수 있는지, 그리고 제가 언제 논문을 낼 수 있는지 이해하기 위해 박사 학위를 받기로 결정했기 때문에 만들어졌습니다. 그런데 저는 그들이 매 학기마다 저를 쫓아내는 줄 알았어요.저는 '아, 재밌었다'~ 이런 생각이 들었어요.그들이 언제 “정말 고마워요, 나중에 봐요.” 라고 말할지 기다릴게요.그래서 저는 논문을 작성하면서 “어떻게 해야 하나요¿” 라고 생각했어요.정말 벅찬 일이었어요.다시 한 걸음 더 나아가 예전에는 TQM~을 했었고 발드리지 어워드 평가자로도 잠깐 일했었기 때문에 평가를 할 줄 알았어요. 그래서 폭력 피해자와 협력하는 조직과의 사이버 보안 대비를 살펴보는 격차 분석에 관한 논문을 작성했습니다.비영리단체 전체를 원했는데 박사위원회에서 말했죠. 네, 박사학위를 먼저 받고 나서 세상을 구하자고 했죠.하지만 짧게 말씀드리자면, 그 경험이 제게 빛을 준 것은 비영리 단체에 다양한 곳에서 이 모든 것을 무료로 제공받았지만 아무도 한 발짝 물러서서 “나에게 무엇이 필요한지, 왜 필요한지, 내 비즈니스에 어떤 가치가 있는가¿” 라고 말하도록 도와주지 않았다는 것입니다.그래서 Síg~htlí~ñé이 생겨난 거죠.믿을 수 없을 정도로 저는 앉아서 변호와 논문을 준비하고 있었기 때문이죠.베키가 방에 들어와 저를 놀라게 하고 앨라배마 주 모빌에서 웨스트 라파예트까지 차를 몰고 와서 저를 놀라게 했습니다. 그리고 제 변론이 끝나자 그녀는 “이 연구를 중심으로 구축한 사고방식을 가지고 뭔가를 해야 합니다”라고 말했고 그것이 바로 Sí~ghtl~íñé이 되었습니다.그래서 저희가 하는 일은 비영리단체들이 어디에 있는지 알아내도록 도와주는 거예요.저희 입장에서는 보안 영역에 존재하는 통제 수단, C~SF, CÍ~S 규제 항목을 가져와 비영리 언어로 용도를 변경하는 것이 관건입니다.하지만 이를 위한 유일한 방법은 이러한 조직의 의견을 경청하는 데 많은 시간을 할애하는 것입니다.따라서 보안 영역과 비영리 영역 사이의 울타리에 있습니다. 그래서 비영리단체가 어디에 있는지 알아낼 수 있도록 도와줄 수 있죠.]

[라구 난다쿠마라15:24]

[매혹적.그리고 배경에 대해 말씀하셨는데, 박사 과정에서 이 분야를 탐구하도록 근본적으로 동기를 부여한 개인적인 경험이 어떤 것인지에 대해 말씀하셨는데, 그 경험에 대해 조금 이야기해 주실 수 있을까요¿공유해도 괜찮으시다면.]

[켈리 미사타 박사15:41]

[네, 알다시피, 제 생각에는, 제 생각에는, 제가 보안을 바라보고 이 공간 전체를 어떻게 바라보는지도 알 수 있습니다.알다시피, 저는 대부분의 사람들처럼 첫 직장을 맡아 커리어를 시작했지만, 비즈니스 개발을 많이 하는 쪽으로 승진했어요.저는 마케팅 MBÁ 학위를 가지고 있는데 정말 이상하죠. 왜냐하면 저는 사이버 보안 박사 학위와 마케팅 M~BÁ 학위를 가지고 있기 때문이죠.]

[라구 난다쿠마라16:07]

[올바른 방법이야.그게 올바른 방법이야.]

[켈리 미사타 박사16:11]

[맞아요, 하지만 저는 대기업에서 일하고 있었는데 직장 동료 중 한 명이 저에게 친절하지 않고 좋지 않은 태도로 따돌렸어요. 그리고 그 일은 7년 동안 계속되었습니다.그리고 저는 정말, 보안에 도착했어요. 계속 도움을 청했기 때문이죠. 3,000마일 떨어진 이 한 사람이 어떻게 제 삶을 망가뜨릴 수 있을 뿐만 아니라 저와 관련된 사람들에게 계속 손을 내밀어 줄 수 있을지 계속 생각했기 때문이죠.그래서 벌에 쏘인 것 같았어요. 제 주변 사람들로부터 이 모든 이메일을 받았기 때문이죠.아시다시피, 이런 상황과 많은 두려움으로 인해 많은 관계가 완전히 말살되었습니다.그래서 저는 두려움이 극심해졌지만 제 가족과 다른 사람들도 마찬가지였습니다.그리고 저는 그가 토르를 사용하고 있었기 때문에 토르 프로젝트에 참여했던 기억이 납니다. 앤드류 루멘에게 전화를 걸어 저를 도와야 한다고 말한 기억이 납니다. FBÍ와 다른 법 집행 기관들이 “우리는 당신을 도울 수 없어요, 그는 토르를 사용하고 있어요.”그리고 기술이 어떻게 나쁜 놈들을 보호하고 좋은 사람들한테는 증거의 부담을 떠넘길 수 있는지 당황스러웠죠, 그렇죠¿~그래서 이런 다양한 상황에서 저는 이런 생각이 들었어요. 어떻게 하면 이길 수 있는 걸까요¿조금은 그가 이겼지만, 오히려 기술이 이겼다는 거죠.저는 계속 이런 생각이 들었어요. 보안이 작동하는 방식으로는 안 되죠.도저히 그럴 수 없어요.그래서 운 좋게도 유진 배퍼트 박사를 만났어요. 제 삶의 방향에서 저를 구해준 것에 대한 일종의 찬사였죠.그러자 그는 제게 이렇게 말했습니다. “이봐, 퍼듀에 있는 이 박사 과정에 지원해 보는 건 어때¿”저는 이렇게 생각해요. “네, 그렇죠.보스턴에 사는 40대에 마케팅 MB~Á를 취득한 싱글맘이 사이버보안 박사 과정에 참여하길 바라시겠죠.정신을 못 차려야 돼요.”그래서, 네, 해냈어요.아멜리아 에어하트에 신청서를 썼어요.저는 그저 가능한 한 많은 정보를 얻고 싶다는 생각으로 이 일을 시작했어요. 그가 하는 일을 어떻게 할 수 있는지, 그리고 그 과정에서 다른 사람들이 어떻게 저를 도와주지 못했는지 이해할 수 있도록 말이죠.제가 보안에 접근하는 방식이 완전히 정립되었습니다. 왜냐하면 제가 그 오랜 세월 동안 살아온 초심자의 마음이었기 때문이죠.그러니까, 예전에 제 친구 마커스 레이넘에게 전화했던 게 기억나요.마커스에게 전화를 걸었더니 다른 친구의 소개를 받고 제가 말했죠. “방화벽이 어떻게 작동하는지 이해하도록 도와주세요.말 그대로 이 기술의 선구자 중 한 분이시군요.”그러자 그는 이렇게 말했습니다. “그럴 시간이 없어요.”전형적인 마커스 패션이죠¿예를 들어, 그게 그의 성격이고, 마음씨 좋은 사람이지만, 그게 그의 성격이었어요. 그리고 그게 제가 보안 분야에 들어갈 때, 와우, 제가 마지못해 말하고 싶지는 않지만 인내심이 없어서 이렇게 말할 수 있는 똑똑한 사람들이 있어요. 이것이 당신이 경험하고 있는 것과 어떻게 연결되는지 이해할 수 있도록 설명해 줄게요.그래서 제가 어디를 가든 그걸 가지고 다닙니다.]

[라구 난다쿠마라19:32]

[공유해 주셔서 감사합니다. 처음에 이야기했던 내용과 다시 연결하면 사명을 쉽게 이해할 수 있고 그 경험이 현재 수행 중인 일과 어떤 관련이 있는지 쉽게 이해할 수 있다고 생각합니다.공유해 주셔서 정말 감사합니다.이제 Sígh~tlíñ~é에 대해 이야기하고 비영리단체에 대해 이야기해 보겠습니다.Síg~htlí~ñé에 대한 소개를 하면서 말씀하신 내용은 비영리 단체가 사이버에서 해야 할 일을 이해하는 데 도움이 된다는 것이었습니다.그리고 CS~F 등이나 기타 프레임워크에 매핑하는 것에 대해 말씀하셨는데, 이를 이를 이를 나타내는 요구 사항으로 바꾸어 말씀하셨습니다.이 점을 좀 더 이해할 수 있도록 도와주세요.CSF~를 보면 모든 사람과 관련된 요구 사항을 알 수 있기 때문입니다.제가 읽었을 때 민간 부문과 공공 부문 대 비영리 부문 간의 관점이 잘 보이지 않나요¿하지만 분명히 차이가 있습니다.그래서 이해해 주셨으면 좋겠어요.]

[켈리 미사타 박사20:31]

[네, 정말 흥미로운 여정이었고 실제로 계속되고 있습니다. Sígh~tlíñ~é에서 작업을 계속하면서 정말 재미있어요. 제가 “아, 그거야”라고 생각하고 해낸 순간은 한 번도 없었다는 것입니다.정말 흥미로운 사례는 ÑÍS~T CSF~에 있는 표현이 대부분의 사람들이 생각하는 것처럼 논리적이라는 것입니다.이걸 미션 기반 조직에 적용하면 그들은 바로 “아, 사이버 보안이야.복잡하기 때문에 그 장벽 전체를 허물어야 합니다.또 다른 건 언어예요.제가 처음으로 비영리 단체에 하드웨어와 소프트웨어의 인벤토리를 요청했을 때 그들이 돌아와서 “인벤토리가 무슨 뜻이야¿” 라고 물었습니다. 누구든지 “음, 목록이 있니¿”네, 알아요.명단 있어요¿하지만 다시 말씀드리지만, 그 순간이 바로 그 순간이었죠. 그래서 사람들은 마치 어떤 시스템이나 응용 프로그램 같은 것을 가져와야 무언가를 잡을 수 있다고 생각하고 있는 거죠.그리고 제가 자산에 대해 이야기하기 시작하자마자 생선이 한 주전자 가득 차 있었어요. 마치 구석진 곳에 있는 것 같았죠.모든 로그처럼 탐지, 대응, 방화벽, 침입 탐지에 대해 이야기하는 제어 제품군의 내부에는 이런 내용이 담겨 있지도 않았습니다.비영리 단체는 로그가 무엇인지 이해하지 못하겠죠.보안의 영역에서 한 발짝 더 나아가 “보안이 자신의 사명과 어떤 관련이 있는지 알아내도록 돕기 위해 제가 할 수 있는 일은 무엇일까요¿~” 라고 물었습니다.Sígh~tlíñ~é을 설정할 때 가장 먼저 시작한 일은 회원들과 온보딩 통화를 하는 것이었습니다. “사이버 보안은 마케팅 용어입니다.그런 얘기는 하지 말자.”그러자 그들은 “좋아, 네 웹사이트 전체에 사이버 보안이 적혀있잖아.” 제가 말했죠. “하지만 자세히 설명해 드릴게요.”정보 보안이란 전화번호, 사진, 이름 등과 같은 정보를 보호하는 것입니다. 그렇죠¿직접 만져볼 수 있습니다.그들은 “네, 우주의 사이버 보안, 우리가 통제할 수 없어요. 그게 영역이에요.” 라고 말하죠.하지만 그들이 개입한 것에 초점을 맞추면 “아, 뭐, 여기 기부자 데이터베이스가 있잖아.”네, 아마 그걸 안전하게 하는 걸 생각해봐야 할 것 같아요.그 때가 바로 이 단체들이 개입해서 “아, 그래, 두 번째 교대 때는 무서운 것들을 다 없애는 거였어. 왜냐하면 그들은 이미 겁에 질려 있으니까.그들은 ÁÍ~와 머신 러닝과 같은 기술의 새로운 발전을 읽고 “맙소사, 로봇이 세계를 장악할 건가¿”그 순간 저는 한 걸음 물러서서 이렇게 말할 수 있었습니다. “이봐, 간단한 일을 하고 그에 관한 이야기를 들려주면 기부자들이 사명을 돕기 위해 공유하는 정보에 관심이 있다는 것을 실제로 알게 될 거라는 걸 알고 계셨나요¿”그들에게 들려줄 수 있는 멋진 이야기가 아닐까요¿ 그러자 그들은 바로 “오, 그래, 관련된 이야기를 좀 해보자.” 라고 말하죠.그러면 비즈니스를 어떻게 표현할지에 대한 사고의 틀이 달라지죠.이 모든 걸 다 합쳐서 우리가 들어가서 “당신 일을 모르겠어요.” 라고 말하는 것에 관한 것이었죠.저는 사이버 보안에 대해 잘 알고 있을 수도 있고 컨트롤 패밀리에 대해서도 잘 알고 있습니다.당신 일을 잘 모르겠어요.S~íght~líñé~에서 제 꿈은 단순히 비영리단체를 위한 사이버 보안을 제공하는 것이 아닙니다.사명별 보안을 이해하고 싶습니다.인신매매 조직과 푸드뱅크, 적십자사와 우리 동네 애완동물 보호소의 차이점을 알고 싶습니다. 마치 이 모든 계층이 있는 것처럼 말이죠.그래서 Sígh~tlíñ~é에서는 “이봐, 미국에 있는 백만 개의 비영리 단체만 해도 모두 똑같아. 그래서 우리는 여러분 모두에게 똑같은 도움을 줄 것이고 여러분도 똑같은 문제를 안고 있다고 가정할 것입니다.” 라고 말하는 것을 멈추는 것이 저의 사명입니다.이 모든 것을 세분화해서 말씀드리고 싶습니다. 더 잘할 수 있을 거예요.]

[라구 난다쿠마라24:53]

[저는 지금 스토리텔링이 매우 중요하다고 생각하기 때문에 그게 좋아요.사이버에서 진전을 이룰 수 있는 방법은 무엇일까요¿이는 규모와 복잡성에 관계없이 모든 조직에 적용된다고 생각합니다. 조직의 거의 모든 개별 부서에서 사이버가 왜 중요한지에 대한 효과적인 이야기를 들려주는 것이 동의를 얻는 데 필수적입니다.앞서 말씀하셨던 내용으로 돌아가서 보면 훨씬 더 그러하다고 생각합니다. 조직의 사명을 수행하는 개인과 ÍT 또는 사이버 보안 기능 사이에는 잠재적으로 매우 큰 거리가 있을 수 있습니다.그래서 그게 정말 중요하다고 생각해요.제 생각에 이것이 당신을 최고의 자리에 올려주는 일종의 이유라고 생각해요. 마케팅 M~BÁ, 사이버 보안 박사, 그렇죠¿완벽한 폭풍 속에서 정말 함께 뭉치는 것 같아요.하지만 네, 완전히 글을 쓴 것 같아요.과거에 비영리 부문에 대해 말씀하신 것이 하나 더 있는 것 같은데요, 흔히 하는 오해는 우리가 비영리단체를 바라본다는 것입니다. “아, 맞아요, 그들은 그저 제 손에 의존하고 있을 뿐이죠.”그리고 그들은 자원도 없고, 전문 지식도 없고, 돈도 없습니다.하지만 말씀하신 것은, 아니, 문제가 되는 경우가 많다는 것입니다. 특히 좀 더 규모가 큰 비영리 단체를 보면 사실, 자원이 충분하고, 자금도 충분하며, 모든 것을 이용할 수 있다는 것입니다.하지만 이들이 이 모든 것을 하나로 묶는 방법을 반드시 아는 것은 아니기 때문에 도움이 필요합니다.]

[켈리 미사타 박사26:33]

[정답.이런 맥락이 있는데, 이게 왜 중요할까요¿누구한테 물어보면 저는 RSÁ~를 기다릴 수가 없어요. 왜냐하면 저는 보통 강연 밖에서 전시장 주변을 돌아다니면서 친구나 동료들을 만나곤 하거든요.저는 이렇게 말할 거예요. “그럼, 이봐, 지금 비영리 공간에 대해 어떻게 생각하세요¿”그리고 평소에 하는 말이 떠오르네요. 가난하고 사이버 보안도 몰라요, 알다시피, 세탁 명단도 모르죠.저는, 네, 아니요, 네, 이랬어요.말해줄게, 걔네들은 돈이 있잖아¡그들은 돈을 어떻게 다르게 사용하는지 설명해야 합니다. 왜냐하면 사업 구조를 보면 기업과는 다르기 때문이죠.다시 말씀드리지만, 보안 전문가인 우리를 “아, CS~F 내의 통제 기준을 충족하도록 하는 방법을 알아내면 되겠네요.” 라는 생각에서 벗어나 “맙소사, 그들이 돈에 대해 어떻게 결정을 내리는지 궁금하네요.”이 점을 이해하고 나면 보안 투자 문제에 다르게 접근할 수 있습니다.그러니까, 들어가지 말고 “오, 그래, 알다시피, 너희들은 모두 다 똑같아.” 라고 말하는 게 중요하죠. 왜냐하면 그들은 그렇지 않기 때문이죠.솔직히 제가 정말 좋아하고 이 일을 통해 얻은 공통적인 주제 중 하나는 제 마음이 진심으로 따뜻해지는 주제입니다. 이 단체들은 항상 사명을 최우선으로 생각한다는 것입니다.제가 가정폭력 보호소에서 이야기를 나눈 적이 있든, 박사과정 연구 초기에 제 친애하는 친구가 현관에 앉아서 이렇게 물었던 기억이 납니다. “이봐, 내가 이 일을 할 거라고 말했는데 어떻게 생각하세요¿그리고 설문조사가 있는데 정말 좋아요.”그녀는 이렇게 말했죠. “켈리, 전 세계 곳곳에서 매일 10만 건의 조회수가 제 웹사이트에 올라와요.오늘 밤 잘 곳이 필요한 가족이 있어서 그런 건 생각할 수가 없어요.”그녀는 마치, 그게 제게 중요한 전부라고 생각해요.다시 말씀드리지만, 보안 전문가들이 실제로 어떻게 도움을 주고자 하는지에 대해 다시 말씀드리자면, 이러한 긴급성을 조직에 전달하고자 합니다.한발 물러서서 이렇게 말할 수 있겠죠. “아, 저는 그렇게 생각하지 않았어요.제가 뭘 도와드릴까요¿”그냥, 뭐, 댐에 손가락을 대고 붕괴 같은 거 안 좋아하세요¿~]

[라구 난다쿠마라29:02]

[마음 속에 간직할 수 있는 정말 강력한 이미지라고 생각해요.다시 말씀드리지만, 다시 말씀드리자면, 오늘 우리 대화의 주제가 될 것 같은 것은 사명 중심성에 관한 것이죠, 그렇죠.그리고 이를 사명에 맞추는 것, 예를 들어 영리 부문과 민간 부문 간의 조잡한 유사점을 도출하는 것에 대해 말씀드리자면, 제가 자주 말하듯이 모든 사람들이 보안에 신경을 쓰고 수익을 창출하는 핵심 애플리케이션에 장애를 일으키기 전까지는 말이죠.그 시점에서는 아무도 보안에 대해 신경 쓰지 않습니다.중요한 건 언제 다시 온라인 상태가 되느냐가 관건입니다.매초마다 오프라인 상태이기 때문에 저는 X천 달러 또는 그 무엇이든지 간에 손해를 보고 있습니다.그리고 비영리 부문에서는 그 영향이 인간의 영향인 경우가 많습니다. 그렇죠¿방금 설명하셨듯이 이 문제를 염두에 두어야 합니다. 어떻게 하면 사명을 손상시키지 않으면서 이 문제를 더 잘 보호할 수 있을까요¿]

[켈리 미사타 박사29:57]

[물론이죠. 저희 커뮤니티에서 랜섬웨어 공격을 받은 회원들의 사례를 본 적이 있습니다.공격 이름은 밝히지 않겠습니다.꽤 유명했어요.그래서 아이들은 며칠이 아니라 몇 주 동안 아이들에게 점심을 제공할 수 없었습니다.하지만 당신은 몇 주를 버티기 위해 그런 도움에 의존하는 가족과 아이들을 말하는 거잖아요.그렇지 않아요, 항상 이런 것들에 관한 건 아니에요. 슬픈 이야기는 하고 싶지 않아요. 하지만 비영리단체에 대한 중요한 점은 모든 것이 빗나가더라도 항상 곁에 있다는 거예요.LÁ에서 화재가 발생하든, 현지에서 수혈이 필요한 사람이 있어서 헌혈을 하든, 아니면 정말 힘든 시간을 보내고 있는 사람이 있어서 자살 핫라인에 전화를 걸든 상관 없습니다.이 비영리단체들은 우리가 필요로 할 때 곁에 있습니다.하지만 우리는 그들을 옆으로 미루고 “글쎄요, 그들은 돈이 아니에요, 시장에 나갈 것도 아니에요.” 라고 말하거나, 예, 돈이 없거나, 받지 못할 수도 있습니다. 아니면 시간이 많이 걸려서 많은 보안 전문가들이 개입하기가 어렵다고 생각합니다.너무 많이 회전하는 부분이 있는 것 같아요. 저도 이걸 본 적이 있는데, 그게 저를 좀 미치게 만드는 것 같아요.그들은 이렇게 말하죠. “이봐, 내 피 속에는 사이버 보안이 묻어났어.자원봉사를 하러 갈 거예요. 예를 들어, 그들을 도와주러 갈 거예요.”제 즉각적인 반응에 그는 “제발, 하지 마세요, 제발, 제발 가지 마세요.” 슈퍼히어로처럼 말하면서 제가 칠판에 앉을 것 같았어요.뭐든지 할 수 있게 제가 도와드릴게요.그냥 한 발짝 물러서서 “와, 그럼 어떻게 운영하세요¿” 라고 말했으면 좋겠어요.이를테면, 이게 뭐죠¿~예를 들어, 겸손한 자세로 참여하면 훨씬 더 많은 발전을 이룰 수 있습니다. 왜냐하면 이 단체들도 우리 분야를 슈퍼히어로들의 공간으로 여기기 때문이죠.그 중 한 명이 문을 두드리면 당연히 이렇게 말할 거예요. “들어오세요.우리 좀 고쳐줘.우린 무서워서.바빠서 무서워요.당신들은 슈퍼히어로니까 들어와서 우리를 고쳐줄 거예요.”이건 정말 위험한 조합이에요.]

[라구 난다쿠마라32:10]

[물론 다시 말씀드리지만, 제가 본 것과 유사점을 찾으려고 노력하는 것은 보안 전문가이든 공급업체이든 관계없이 매우 빠르게 “우리가 하는 모든 놀라운 일들이 여기 있습니다.” 또는 “여기에 모든 것이 있습니다, 여기에 저의 뛰어난 기술이 있습니다.” 라고 생각하죠, 그렇죠¿우리가 먼저 생각하지도 않고, 생각하지도 않죠. 사실 제가 제일 먼저 물어봐야 할 질문은 “당신은 무엇을 하세요¿뭐에 신경 쓰세요¿말해봐, 무슨 문제가 있니¿~”그런 식으로 대화를 거의 재구성하면 더 강력한 참여를 이끌어낼 수 있을 거예요. 그렇게 생각하시나요¿]

[켈리 미사타 박사32:45]

[정확히 말하자면, 제가 이런 조직들과, 그리고 사실 대부분의 보안 분야에서 일할 때, 저는 여전히 퍼듀에서 첫 학기에 박사과정 학생이 된 것 같은 느낌이 들어요. 알다시피, 암호학이란 무엇일까요¿예를 들자면¿타원 곡선이란 무엇인가요¿그나저나 저를 울게 만들었죠.그리고 제가 키노트를 했고, 제가 키노트를 했던 게 기억나요. 그리고 디피-헬만 거래소의 마틴 헬먼이 아침에 기조 연설을 했었죠.그린 룸에서 서로 만났고, 그에게 다가갔죠.제가 말했죠. “안녕하세요, 저는 켈리 미사타예요.”그리고 그는 직원들을 잘 알고 있고, 제가 그의 팔에 이걸 좀 해줬을 뿐이죠.그는 “그게 무슨 용도야¿~”저는 “당신 물건들이 날 울게 해요.” 라고 생각해요.그냥 말씀드리자면, 정말 우리가 이런 것들을 아주, 너무 복잡하게 만들고 있는 것 같아요.그래서 전문 분야이든 아니든 간에, 초심자의 마음으로 그 일에 들어갈 수 있다면, 굳이 할 필요가 없다면, 저는 이런 말을 멍청하게 만드는 그런 용어가 싫습니다.멍청하게 말하는 게 아니에요.호기심이 많은 거죠.네, 그래요, 이봐, 전에 한 번도 안 해봤다는 거예요.동물 보호소를 운영하려면 뭐가 필요한지 모르겠어요.조금도 안 돼요어떻게 하는지 말씀해 주세요.엄청나네요.그리고 그들의 말을 사용해서 대화를 나눈다면, 그들의 비즈니스를 알면 정말 큰 힘이 됩니다.듣고 싶은 이야기가 있어요¿네, 제발.좋아요, 이건 정말 겸손한 이야기 중 하나예요.우리 멤버 중 한 명과 함께 일하고 있었어요.그들은 이제 막 킥스타트를 마쳤고, 이것이 그들이 보안 여정을 시작할 수 있도록 하는 우리의 방법입니다.그리고 저는 외부에 대한 연구도 많이 해요.저는 그들의 모든 웹사이트와 소셜 미디어를 살펴봅니다.그래서 이 단체는 자살 생존자들을 돕습니다.포럼이 있고, 그 포럼은 널리 인기가 있습니다. 그리고 계속 이어지던 기억이 납니다. 오, 제 안의 보안 담당자가 마치, 비명을 지르며 가던 것처럼, 맙소사, 맙소사.예를 들어, 갔다가 갔던 기억이 나요. 오 이런 루이스, 어떻게 할 건데¿저랑 진짜 기억나요. 제가 그 길을 따라가고 있는 것 같았어요.그리고 “좋아, 쏴라, 이 사람들하고 얘기해 봐야겠어.” 라고 말하죠, 그렇죠¿그리고 즉시 전화하고 싶은 충동을 참으며 결과 발표를 기다렸습니다.저는 거기 앉아서 “아,” 이 특정 플랫폼에 대한 프레젠테이션을 시작하면서 제가 말했죠. 제가 말씀드린 것처럼, 몇 가지 우려 사항이 있습니다.그 단체를 설립한 여성이 제 발길을 막았더니 그녀가 말했죠. “켈리, 무슨 말을 할지 알 것 같지만 얘기해 볼게요.우리 플랫폼이 왜 열려 있는지 말씀드리죠.”그녀는 이렇게 말했습니다. “살면서 누군가 자살을 경험한 사람들은 의문, 슬픔, 스트레스, 불확실성, 신뢰의 문제로 가득 차 있습니다. 그리고 이 모든 일들은 계속되고 있습니다.”그녀는 이렇게 말했습니다. “이런 사람들은 그냥 앉아서 지켜보면서 무슨 일이 벌어지고 있는지, 대화 등에 대한 느낌을 얻을 수 있는 공간이 필요해요.그리고 그녀는, 가끔은 거기서 잠깐 놀다가 편할 때 들어와요.하지만 편안해지기 전까지는 안 돼요.”그리고 그녀가 말했죠. “이게 바로 우리 커뮤니티에 필요한 거예요.”제가 알았어야 할 것 같고, 생각해봤어야 할 정도였어요. 하지만 저는 하루도 빠짐없이 그런 세상에 살지 않기 때문에, 그들이 봉사하는 사람들이 도움을 청하기 위해 이 공간을 어떻게 헤쳐나가는지 어떻게 이해할 수 있을까요¿~그래서 저는 이렇게 말했습니다. “세상에, 본질을 바꾸지 않고도 조금 더 할 수 있는 창의적인 방법들을 생각해 봅시다. 이 플랫폼이 이런 식으로 운영되어야 한다는 필요성과 그 본질을 바꾸지 않고서요.”그래서 그녀는 그걸 이해했죠. “그래, 제안이 있으면 이해해. 하지만 우리는 사명을 최우선으로 생각하고 있어.”하지만 정말 겸손했어요.그리고 전 그 때문에 그녀를 사랑해요.그녀가 나한테 편하게 그런 말을 해줬다는 게 너무 좋아요.]

[라구 난다쿠마라36:57]

[네, 물론이죠.방금 설명하신 내용에서 얻을 수 있는 부분이 너무 많다고 생각해요.왜냐하면, 다시 말씀드리지만, 말씀하신 것처럼 말이죠, 그렇죠¿누군가나 조직이 왜 특정한 방식으로 운영되고 있는지 이해하기 위해 시간을 할애할 때, 그러다 보니, 당신이 갖지 못한 맥락이 떠오른다는 것은 겸손한 일입니다.다른 건, 예를 들어, 당신의 전문 지식이 그 길을 이끌려고 한다는 거죠. 아, 이 문제를 해결하는 방법을 알아요, 그렇죠¿반대로, 이렇게 하신 데에는 그럴만한 이유가 있을 거예요. 그러니 말씀해 주세요.다음 이야기로 넘어가기 전에 마지막으로, 여러분이 지원하는 조직뿐만 아니라 그들이 어떤 서비스를 제공하는지에 대해서도 말씀드리겠습니다.다양한 시나리오를 설명해 주셨는데, 이런 것들이 위기에 처한 조직들입니다.그곳이 첫 번째 기항지입니다.하지만 제 생각에는 여러분의 작업 중 일부가 무시되는 경우가 많지 않을 것 같아요. 공격자들이 바로 그 시기에 공격 대상으로 삼으려고 하는 대상이기도 하죠. 왜냐하면 그들은 자신이 가장 취약하다는 것을 알기 때문이죠.따라서 여러분은 스스로의 모습에 틀림없습니다. 그리고 여러분이 함께 일하는 조직들은 아마도 이 모든 문제를 함께 헤쳐나가고 있을 것입니다.]

[켈리 미사타 박사38:11]

[네, 흥미롭네요. 여기서 조직의 사명을 이해하는 것이 정말 중요한 역할을 합니다. 조직의 사명에 대해 알려주는 것이 아니라 다른 것에 귀를 기울이는 데 도움이 되기 때문입니다.그래서 제가 논문을 작성할 때 저는 인신매매 피해자를 지원하는 단체들과 함께 일했습니다.보안에 대한 사고방식과는 사뭇 다릅니다. 피해자가 공격 대상일 뿐만 아니라 그들을 지원하는 조직도 표적이 되기 때문이죠.그 중 한 명은 해커톤처럼 이런 일을 하고 있었습니다.자세한 내용은 말씀드리지 않겠습니다. 예수님이 겁을 먹었기 때문이죠. 하지만 그들은 해커톤을 하고 있었고 제가 그들에게 물었습니다. “그럼, 당신들은 시스템을 강화하기 위해 무엇을 하고 있나요¿”그러자 그들은 “뭐라고요¿”큰 눈이 마치 제가 “음, 이 해커톤을 홍보하고 있구나.” 라고 생각하죠.그들은 이렇게 말합니다. “네, 페이스북, 트위터 등 모든 곳에서 말이죠.”저는 이렇게 생각해요. “오, 나쁜 놈들도 그런 걸 읽어요.”그러자 그들은 바로 “뭐라고요¿오, 쏴.”하지만 맞아요.개입해서 정말 이해하고 있는 거죠. 누가 그들을 쫓고 싶어하겠어요¿~제가 정치적인 측면에서 활동하는 비영리단체들과 함께 일한 적이 있는 것 처럼요.알다시피, 그들의 사명은 논란의 여지가 많아요.저는 많은 타사 도구를 사용하고 있기 때문에 몇몇 단체들과 함께 일해봤는데, 그 중 일부는 너무 레거시 같아서 말도 안 되고, 여전히 존재해서, 오 세상에, 뭐 하는 거지¿우리는 여러분을 더 단단하게 만들어야 합니다.그러자 그들은 “그래, 근데 누가 우리를 데리러 올거야¿”그런 사고방식을 바꾸려고 노력하는 부분이기도 하죠. 제 전무 이사 한 명이 전화를 받았는데 그녀가 “어서 오세요”라고 하더군요.그녀는 이렇게 말하죠. “나쁜 놈들아.듣고 있는 거 알아요어쨌든, 오시면 돼요, 데리러 오세요.”그래서 저는 “그러지 마세요¡”그런 일은 일어나지 않을 거예요. 하지만 그냥, 그 여자애의 사고방식, 예를 들면, 우린 아무것도 없어요. 우리한테서 아무것도 얻을 수 없을 거예요.저는 “음, 네, 좋아요, 좋아요, 이랬어요.하지만 다시 말씀드리지만, 제가 S~íght~líñé~을 시작한 이래로 이것이 항상 직면해 있는 문제 중 하나라고 생각합니다. 아시다시피, 우리는 누군가가 우리에게 매우 미묘한 존재라고 말했지만, 제가 지난 몇 년 동안 수집한 정보는 정말 놀랍습니다. 그리고 보안을 다른 방식으로 보는 데 도움이 되었습니다. 왜냐하면... 우리가 할 수 있는 일이 몇 가지 있습니다. 많은 사람들을 덮을 것입니다.그러니까.MFÁ, 안녕하세요.정말 고마워요.좋아요.하지만 보안 분야에는 모두가 같은 수준에 맞지 않는 것들이 너무 많기 때문에 그러한 기회가 어디에 존재하는지 생각해 보아야 합니다.]

[라구 난다쿠마라40:57]

[화이트 글러브 비유가 정말 정확하다고 생각합니다.그리고 우리가 일반화하고자 하는 것은 사이버라고 생각합니다. 궁극적으로 우리가 성공할 수 있는 유일한 방법은 우리가 시도하고 해결하는 모든 문제에 화이트 글러브 접근 방식을 취하는 것임을 기억해야 합니다.자, 이제, 이 마지막 부분에서 말씀하셨듯이, 타사 소프트웨어의 사용 등에 대해 말씀하셨죠¿그래서 다른 열정이나 전문 분야를 투자하면 열정은 오픈소스라는 거죠.사이버 관점에서 볼 때 오픈소스는 이제 엄청난 관심을 받고 있는 것 같아요. 특히 타사 위험, 공급망, 공격 등이 현재 하루의 가장 중요한 부분이기 때문입니다.그럼 오픈 소스 보안부터 시작해 보겠습니다. 큰 그림이죠.당면 과제는 무엇일까요¿우리가 해결하고자 하는 것은 무엇일까요¿우선순위는 무엇인가요¿~]

[켈리 미사타 박사41:55]

[네, 좋은 질문이에요.그리고 아마 완전히 다른 부분일 거예요.]

[라구 난다쿠마라41:59]

[알아요¡제 생각엔, 어떻게 하면 이 일에 최대한 많이 집어넣을 수 있을까 하는 생각이 들어요. 그 자체로도 한 시즌 전체를 감당할 수 있을 것 같은데요.그래요, 그래요¡]

[켈리 미사타 박사42:09]

[글쎄요, 제 RSÁ 강연을 끝내지 말고 R~SÁ에서 이에 대해 이야기할 생각이에요.제 생각엔, 알다시피, 아직도 비슷한 비영리 단체가 있는 것 같아요.아직도 수수께끼가 많이 남아있죠, 그렇죠¿비영리단체인 경우 모두가 오픈소스 공간에서 무언가를 받아들이는 것과 같은 사고방식이죠.사람들은 보통 검은색 후드티를 입은 남자들이 G~ítHú~b의 어딘가 지하실에 앉아 일을 하는 것처럼 생각하죠, 그렇죠¿그들은 오픈 소스 공간이 어떻게 되었는지에 대해 크게 생각하지 않습니다. 저는 운 좋게도 오픈 정보 보안 재단의 회장으로 12년 동안 재직할 수 있었습니다.아시다시피 수리카타는 네트워크 보안 분야에서 큰 부분을 차지합니다.그리고 전 세계 어디에서든 상상조차 할 수 없는 곳에 수리카타가 있습니다.하지만 오픈 소스 작업 모델인 ÓÍ~S 세븐 수리카타를 사용하는 이유는 다차원적인 관점에서 바라보기 때문입니다.그러니까, 알다시피, 서로 어울려 노는 걸 좋아하는 사람들만 있는 게 아니죠.사실 이건 비즈니스 모델이에요.오픈 소스를 엔터프라이즈 벤더와 같은 방식으로 써드파티 벤더로 바라보게 되면 갑자기 대규모 조직에서 오픈소스를 채택하고 사용하는 방식이 바뀌게 됩니다.왜냐하면 그러려면, 아, 그 프로젝트가 망하면 어떻게 될지 생각해 봐야 하니까요.아니면 로드맵이 혁신을 멈추면 어떻게 될까요¿거버넌스는 어떨까요¿그들은 어디서 돈을 벌고 있는 걸까요¿~기부자 누구에게나 돈을 지불하고 있나요¿마치 그 모든 복잡성이 드러나기 시작하는 것 같아요.이게 바로 제가 오픈소스 공간을 좋아하는 이유죠.지금 당장은 물론 미래에도 더 간단해지지는 않을 거라는 거죠.점점 더 복잡해지겠지만, 이제 우리는 한 발짝 물러서서 “오픈소스가 무엇인지에 대한 우리의 생각을 어떻게 재구성할 수 있을까요¿” 라고 말할 수 있는 좋은 기회가 생겼습니다.커뮤니티 측면이 아직 다 남아있나요¿제가 가장 좋아하는 것은 물론 제가 가장 싫어하는 것은 저희 컨퍼런스인 써리 콘입니다.저희는 매년 써리 콘을 운영합니다.저는 컨퍼런스를 만드는 게 싫어요.죄송해요, 듣고 계신 모든 분들.제 통로가 아니에요.하지만 무대에 오르는 순간 10년 동안 보아온 커뮤니티 구성원의 얼굴이 여전히 나타나고 기여하고 있는 것을 볼 수 있습니다... 그것이 저를 원동력이자 우리 팀이 계속 나아갈 수 있게 하는 원동력입니다. 바로 이 팀이 세계에서 한 자리를 차지한다는 것을 알고 있다는 것입니다.모든 프로젝트에 이러한 기능이 있는 것은 아닙니다.따라서 공급망 관점에서 이러한 주요 결정을 내릴 때 오픈소스를 사용할 때는 눈을 뜨고 살펴야 합니다.여러분은 이 모든 다양한 차원에서 바라보아야 합니다.공급망 리스크를 중심으로 생각해 보셔야 합니다.다른 모든 것들과 마찬가지로 말이죠.이런 생각은 그만하세요. 아, 캠프파이어 주변을 둘러보면서 노트북으로 노래를 부를 거예요.저를 믿으세요. 투어 초창기에는 투어 개발자들이 보스턴에서 미팅을 가졌던 것을 절대 잊지 못할 거예요. 그리고 라자냐 디너에 모든 사람을 초대했어요. 그게 제가 하는 일이니까요.그리고 제 기억으로는, 그들 중 한 무리가 거실에 쪼그리고 앉은 것 같았어요.그때 중학생이었던 제 딸들이 말했죠. “엄마, 저 애들이 떠날 것 같지 않아요.여기 거실에서 다들 정말 편해졌어요.”그리고 제가 말했죠. “괜찮아요.그냥 시간이 되면 나가라고 말할게요.”]

[라구 난다쿠마라45:42]

[정말 웃겨요.글쎄요, 보스턴에 갈 기회가 있을 때마다 채식 라자냐를 대접해 주셨으면 좋겠어요.오픈 소스 프로젝트를 타사 벤더로 취급한다고 하셨죠¿하지만 여기서도 많은 부분을 단순화하고 있습니다. 공간에 대한 제 이해가 제한적이라는 것을 인정하기 때문이죠. 하지만 괜찮습니다. 그렇죠, 그렇죠, 그렇죠, 말씀하신 것처럼, 해당 공간을 타사 벤더로 취급했기 때문입니다.하지만 제가 규정 준수 체크리스트를 작성하고 있고 저와 계약을 맺은 타사 공급업체인 경우 체크리스트의 일부를 그들에게 보낼 수 있습니다. 그리고 저는 그것을 작성해서 다시 보내서 평가하겠다고 말할 수 있습니다.설문지에 답하는 사람 같은 오픈 소스 프로젝트에서는 어떻게 할 수 있을까요¿예를 들어, 그게 조직이 당면한 과제가 아닌 것 같은데요¿이런 위험을 어떻게 관리해야 할지, 이런 노출을 어떻게 관리해야 할지 잘 모르겠어요.]

[켈리 미사타 박사46:32]

[글쎄, 그게 바로 그 출처야.가장 먼저 결정하는 것은 조직 내 누가 그 소프트웨어를 사용할지 결정하는 것이죠¿프로그램 초반부에 말씀드렸던 것이 바로 이러한 일시 중지입니다.아시다시피, 저는 많은 사용자들이 Súr~ícát~á를 예로 들면서 이렇게 말할 것입니다. “아, 오, 라이선스에 대해 생각하기 시작해야 할 수도 있고, 규정 준수에 대해 생각하기 시작해야 할 수도 있습니다.”그리고 그 순간이 지나고 나서야 비로소 그들이 우리 문을 두드리게 되죠.하지만 많은 프로젝트의 경우 이러한 인프라가 없습니다.그들에게는 그런 질문을 할 수 있는 채널이 없어요.영리 기업과 연계된 오픈 소스 소프트웨어인지, 아니면 약간 해체되었거나 핵심 기여자가 더 이상 없는 오픈 소스 프로젝트인지 여부.하지만 그렇습니다. 왜냐하면 제 생각에 오픈 소스 분야의 일부 열성적인 사람들에게는 그냥 들어가서 무언가를 가지고 놀면서 제대로 작동하는지 확인하는 것이 가장 좋기 때문입니다.좋아요.그만 두지 마세요.하지만 일단 마음에 드는 환경에 들어서면 더 깊이 있게 사용하고 그것이 무엇이든 제품 로드맵에 넣으세요.그때는 정말 한 발짝 물러서서 “흠, 이제 이 문제에 대해 조금 다르게 생각해야 해요.” 라고 말해야 합니다.이것이 제가 ÓÍS~F에서 컨소시엄 회원들과 항상 나누는 대화들입니다.이것이 우리가 그토록 성공한 이유라고 생각합니다. 우리가 그들의 발전을 가로막는 장애물이 아니었기 때문인 것 같아요.하지만 저희가 하고자 하는 것은 수리카타가 계속 머물면서 더 오래 서비스를 제공할 수 있도록 하는 것입니다.프로젝트가 존재하지 않거나 찾을 수 없어서 해당 프로젝트와 대화를 나눌 수 없다면, 감수하고 있는 위험을 인식할 수 있을까요¿]

[라구 난다쿠마라48:21]

[네, 물론이죠.그리고 제 생각에 또 다른 문제는, 또 다른 문제일 수도 있겠죠. 여러분이 만들고 있는 무언가를 위해 오픈 소스 소프트웨어를 직접 사용할 수 있다는 점에서 말이죠.하지만 타사 공급업체로부터 라이선스를 받는 경우에는 해당 공급업체에서 오픈 소스를 사용하고, 다른 공급업체에서 라이선스를 부여할 경우에는 해당 공급업체에서 오픈소스를 사용하게 됩니다.그럼, 그 길을 얼마나 내려가면 모든 것이 최상위에 위치하는 나눌 수 없는 양자에 도달할 수 있을까요¿]

[켈리 미사타 박사48:55]

[그게 도전이고, 그게 바로 우리 가족이 이 아이디어를 억압하는 이유죠.하지만 저는 법학 학위를 따고 싶다고 생각했어요. 왜냐하면 저는 이 모든 것의 법적 요소를 이해하고 싶었기 때문이죠. 그 질문에 답할 수 있다면 정말 흥미로울 테니까요.제 생각에 오늘날 우리가 있는 것은 우리가 아직 모르는 것이 많기 때문인 것 같아요.다시 말씀드리지만, 체계와 조직을 중심으로 하는 프로젝트의 경우 말이죠.생각해 보지만 ÓÍSF~에서도 컨소시엄 회원들이 라이선싱과 관련된 복잡한 사소한 질문을 가지고 와서 머리를 긁적거리며 이렇게 묻습니다. “어떻게 되는 거죠¿그게 우리 문제인가요, 아니면 당신 문제인가요¿”그래서, 정말, 정말 어려운 일이기도 하지만 한편으로는 흥미진진하기도 하죠.]

[라구 난다쿠마라49:45]

[네, 특히 지금 보면 정말 흥미로울 것 같아요.아시다시피, 전 세계적으로 다양한 규제 기관들이 운영 레질리언스에 대해 점점 더 많은 규정을 발표하기 시작했으며, 그 일환으로 이에 대해 이야기하고 있습니다.이러한 타사 위험과 일종의 타사 서비스 공급자를 관리하는 것은 대체로 하이퍼스케일러를 대상으로 하거나 중요한 ÍT 서비스 공급업체를 대상으로 하는 경우가 많기 때문입니다.하지만 조직으로서 오픈 소스 프로젝트에 크게 의존하는 애플리케이션을 구축한 경우를 볼 수 있습니다.그리고 만약 그 오픈 소스 프로젝트가 있다면, 무슨 일이 생길까요¿이 애플리케이션의 레질리언스를 손상시키면, 그건 마치 긴장을 푸는 방식에 어떻게 영향을 미치는지, 궁극적으로는 누구를 가리키느냐가 관건인 것 같아요.]

[켈리 미사타 박사50:41]

[네, 그럼 긴장을 풀 수 있다면 말이죠.하지만 개발 주기의 더 나은 사례도 여기에 한몫을 해야 합니다.이것이 당면 과제 중 하나라고 생각합니다.수리카타는 사람들이 써줬으면 좋겠다는 생각이 들어요.사람들이 테스트하고 다양한 시나리오에 적용하기를 바라지만, 대기업의 일원이라면 물어봐야 할 질문이라는 것을 알고 있습니다. 그냥 구석으로 치워놓고 가지고 놀 수는 없습니다.그래서 저는 많은 사용자들이 이 문제로 어려움을 겪을 것이라고 생각합니다. 하지만 저는 긍정적인 면을 유지하려고 노력하고 있습니다. 왜냐하면 일부 오픈 소스 프로젝트는 우리가 이러한 프로젝트와 소프트웨어에 내재된 커뮤니티, 혁신, 자유의 본질을 잃게 될까 봐 정말 두려워한다고 생각하기 때문입니다.저는 우리가 창의력을 발휘할 수 있고 그것을 잃지 않을 것이며, 어떤 식으로든 균형을 이룰 수 있다고 믿고 싶습니다. 하지만 쉽지는 않을 것 같아요.다시 말씀드리지만, 우리는 함께 고민해 보아야 할 것입니다.백악관의 국립 사이버 국방부 (Ñátí~óñál~ Cýbé~r Déf~éñsé~ Óffí~cé) 가 오픈 소스 소프트웨어 보안에 관한 정보를 요청했을 때 저는 안전지대를 벗어나서 그에 대한 답변을 했습니다. 그들이 무슨 생각을 하는지 봤기 때문이죠.제 생각엔, 마치, 여러분은 다른 모든 부분을 놓치고 있는 것 같아요, 여러분.소프트웨어를 완전히 200% 보호하는 데 그치지 않고 오픈 소스의 모든 구성 요소를 어떻게 볼 수 있을까요¿ 저도 동의합니다.그게 전부가 아니에요.따라서 우리는 다양한 수준의 전문 지식을 가져와야 합니다.여기서 한 가지 간단히 말씀드리자면, 보안 분야는 항상 기술과 비기술을 구분합니다. 이러한 격차를 해소할 수 있다면 더 많은 사람들을 테이블에 모아 이러한 문제에 대해 더 나은 대화를 나눌 수 있습니다. 왜냐하면 사람들이 “아, 그래, 당신은 기술이 아니야, 매일 개발 작업을 하지 않기 때문에 당신은 그다지 중요하지 않아”라고 말한다면 아는 게 많지 않아요.” 우리는 특히 오픈소스에 대해 스스로에게 해를 끼치고 있습니다.]

[라구 난다쿠마라53:00]

[물론이죠. 이 문제를 제기해주셔서 기쁩니다. 거기에 무언가를 추가할 것이기 때문입니다.이 문제를 해결하려면 정말 다양한 의견과 창의성이 필요하고 기술 담당자와 비기술 담당자가 모두 필요하다고 말씀하셨습니다.제 생각에 사이버란 사이버뿐만 아니라 여기서 말하는 사이버의 접근 방식을 재고해서 훨씬 더 다양하고 포용적인 직업으로 만들 필요가 있다고 생각합니다. 그렇죠¿대단한 사람들이 정말 많지만, 우리는 여전히 사이버에서 통하는 아주 특별한 프로필에 초점을 맞추고 있습니다.저도 그렇게 생각해요, 그렇죠¿우리가 가져와야 할 엄청난 기회, 엄청난 양의 기술, 전문 지식이 있다고 생각합니다. 다양성, 형평성, 포용성을 위해 더 많은 노력을 기울여야만 우리가 스스로를 드러낼 수 있습니다.]

[켈리 미사타 박사53:53]

[네, 보안 분야에서 일하던 초창기에는 사람들이 프라이버시 권리에 대한 정의를 내리길 원했던 것을 기억합니다. 기술과 비기술적 관점에서 유사하게 말이죠. 그리고 저는 정중하게 반대했고, 제가 프라이버시를 바라보는 시각은 여러분과 매우 다르다고 말하고 싶습니다.저는 다른 배경에서 왔고, 다양한 경험을 가지고 있으며, 제 인생에서 그 사건 이전과 같은 방식으로 기술을 사용할 수 있을 것이라고 생각하지 않습니다.그래서 프라이버시에 대한 제 정의도 달라질 거예요.이것이 바로 우리가 정의하고자 하는 기술적 개념과 같습니다.사람들에게 물어보는데, 다시 말씀드리지만, 거슬릴 필요는 없습니다.호기심 때문이에요.네, 누군가 제게 “글쎄요, 당신은 기술자가 아니에요” 또는 “저 사람은 기술자예요”라고 말하면 저는 항상 이렇게 묻습니다. “그게 무슨 뜻이죠¿설명해 주실 수 있나요¿그래서 제가 궁금한 건 대화의 방향을 어떻게 바꿀 수 있을까요¿하지만 타원 곡선을 계산할 수 있으니까 이해가 안 된다는 말이 먼저 나옵니다. 그건 다시는 할 일이 아니에요.그러니까, 묻지도 마세요.하지만 할 수 있어요.제가 할까요¿~아니요, 코딩할 수 있어요.제가 할까요¿아니요.내 말은, ÓÍS~F에 있는 우리 팀은 내가 수리카타에 대한 풀 리퀘스트를 받길 간절히 바라고 있어.그래, 그냥, 잠깐만, 얘들아하지만 제 열정과 사랑은 모두 다른 것들이에요.이제 제가 재밌는 곳에 앉을게요.네, 그렇다고 제가 대화의 가치가 없다는 뜻은 아니에요. 그래서 미사타 박사를 꺼냈어요.]

[라구 난다쿠마라55:26]

[확실히 말씀드리자면, 오늘 우리가 나누고 있는 대화 전체를 마무리하셨다고 생각합니다. 이 대화의 핵심은 고객, 고객, 파트너에게만 서비스를 제공할 수 있다는 것입니다. 제가 말하자면, 개인이든 팀이든, 우리가 해결하려는 목표와 이유를 이해할 수 있다면 가장 좋습니다.이는 경청을 통해서만 가능하지만, 팀원 중에 그러한 경험에 공감할 수 있는 사람들이 있어야만 가능합니다. 그렇기 때문에 사이버 환경에서 발전하기 위해서는 개인에 대한 다양한 배경을 갖는 것이 매우 중요합니다.]

[켈리 미사타 박사56:20]

[저도 동의합니다.동의해요.그리고, 알다시피, 제 세계로부터 한 바퀴 돌아가는 느낌이랄까요.사람들이 저한테 말하곤 했죠. 왜 그 사람을 쫓는 게 어때요¿그러니까, 가서 그렇게 하세요.왜 박사학위를 받으러 갔어요¿제가 계속 말했죠. 제가 그걸 바꿀 수 있을지 모르겠어요.사람은 바꿀 수 없어요.제가 변화에 영향을 미칠 수는 없지만 제가 생각하는 방식과 사물이 작동하는 방식을 이해하는 방식, 이러한 기술을 사용하는 방식에 접근하는 방식, 그리고 그 지식을 바탕으로 제 자신을 보호할 수 있는 방법에 있어서는 변화에 영향을 미칠 수 있습니다.통제와 변화, 영향이 일어나는 곳이지, 여기 있는 끔찍한 상황을 바꾸려고 할 때가 아니에요.그래서 저한테는 좀 더 폭넓은 대화를 나누고 겸손한 자세로 임함으로써 어떻게 하면 상황을 더 좋게 만들 수 있을까 하는 생각이 들어요.]

[라구 난다쿠마라57:19]

[물론이죠.미사타 박사님, 켈리, 이 대화를 끝내는 데 이보다 더 좋은 방법이 생각나지 않았어요.슬프게도, 덧붙이자면, 계속 이야기하고 싶지만, 당신의 시간을 의식하고 있어요.진전을 돕는 것을 사명으로 삼은 매우 중요한 두 가지 문제에 대해 여러분의 지혜, 겸손, 경험, 그리고 관점을 제시해 주셔서 정말 감사합니다.]

[켈리 미사타 박사 57:50]

[고맙습니다.초대해 줘서 고마워요.정말 즐거웠어요.]

[라구 난다쿠마라57:53]

[마찬가지로.더 많은 정보와 제로 트러스트 자료를 보려면 이번 주 에피소드를 시청해 주셔서 감사합니다. 저희 웹 사이트 íllú~míó.c~óm을 방문해 보세요. Lí~ñkéd~Íñ과 Tw~ítté~r Íll~úmíó~를 통해서도 저희와 연락하실 수 있습니다. 오늘의 대화가 마음에 드시면 팟캐스트를 어디서 구하든지 저희의 다른 에피소드를 찾아보실 수 있습니다.제가 진행자인 라구 난다쿠마라입니다. 곧 다시 찾아뵙겠습니다.당신.]

‍