[레포트] ‘What “security is our top priority” means to AWS’ #reInforce

AWS re:Inforce 2022 "What “security is our top priority” means to AWS" 세션의 레포트 입니다.
2022.07.27

안녕하세요. 클래스메소드 컨설팅부 서은우입니다.

26일 ~ 27일 AWS re:Inforce 이벤트가 진행됩니다.

그 중 26일에 진행된 What “security is our top priority” means to AWS 라이브 세션에 참가한 레포트를 작성하고자 합니다.

세션 참가 전, 세션이 영어로 진행되기에 이해할 수 있을까 걱정 했지만 라이브 스트림 채널에서 한국어 동시 통역을 지원해주어서 어렵지않게 내용을 이해할 수가 있었습니다. 하지만 동시 통역 기능을 진행 중반에 발견해서 초반의 내용은 빠져 있으며 제가 잘못 이해한 부분이 있을 수도 있기에 이 점은 양해부탁드리겠습니다.

세션 개요

이 세션에 참여하여 AWS 리더로부터 AWS 서비스 및 시설을 설계, 구축 및 운영하여 고객의 기밀 유지 기대치를 충족시키는 방법에 대해 들어보십시오.

AWS가 신뢰할 수 있는 운영자 및 서비스로부터 데이터를 보호하는 방법과 AWS 보안 원격 측정법에 대해 자세히 알아보고, AWS 운영 문화가 고객을 위한 데이터 보안 및 기밀 유지로 어떻게 전환되는지 알아보십시오.

발표자

  • Eric Brandwine, VP & Distinguished Engineer, AWS
  • Mark Ryland, Director, Office of the CISO, AWS
  • Colm MacCárthaigh, VP & Distinguished Engineer, EC2 Networking, AWS
  • Lena Smart, Chief Information Security Officer, MongoDB

레포트

에스컬레이션 문화에 대해

Eric

  • 에스컬레이팅 -> 고퀄리티의 판단(결정)을 만드는 것.
  • 어떤 문제가 있을 때 에스컬레이팅으로 쉽게 빠져 나올 수 있다.
  • 에스컬레이팅이란 해결해달라는 것이 아니라 약간의 정보가 필요한 상황.
  • 상황이 발생했을 때 지속적인 대화를 통해 우선사항으로 올리고 즉각적인 반응을 해준다.

Colm

  • 빌더가 빌드할 수 있고 장벽을 무너뜨릴 수 있다. 그리고 그러한 Job이 진행될 수 있는게 고마운 일이다.
  • 고객에게 중요한 것이 무엇인지 찾을 수 있는 것이 에스컬레이션이다. 이러한 것들은 물이나 공기 같이 일이 아니라 나의 소명이 된다.

Mark

  • 즉각적인 응답이 최우선이 되며 책임을 질 수 있는 것.

공유된 책임

Mark

  • 우리가 성공하기 위해 어떤 일이든지 한다는 뜻이다. (성공이란, 문제점을 해결하거나 고객이 기대이상의 만족을 보이는 것)
  • 당신도 우리의 파트너이며 협업하는 관계임을 알려준다.

Eric

  • 유연성이 중요하다
  • 많은 고객들이 하이 레벨로 가고 있다. 로우 레벨의 일들은 직접적으로 처리하지 않아도 된다.

Mark

  • 로우레벨이라고 하더라도 옛날에 하던 보안적인 걱정을 하지 않게됨. 필드 올가니제이션 구성원들이 함께함.
  • 전체 산업에서 윈윈할 수 있는 방법이다.

잘 생각나지 않는 질문에 대한 답변

Mark

  • 협업을 하면서 좋은 시너지가 발생함

Eric

  • 어떠한 빌드를 하더라도 힘들 수 밖에 없다.
  • 해결해야할 과제들 그 모든 것들이 일반화되어야한다.

Colm

  • 성숙한 고객들이 많이 늘었다
  • 새로운 것을 도전해도 많은 것들을 얻을 수 있다

고객 데이터의 고립에 대해서 어떻게 생각하는지

Mark

  • 우리(AWS)는 데이터를 보려 하지도 않고 보면 안되고 보기 싫어한다.
  • 겹치는 부분도 없지 않다고 생각하지만, 프라이버시와 아이솔레이트(고립)을 분리 시켜서 이해하는 것이 중요하다.

log4j의 이야기가 중간에 나왔습니다.

Colm

  • log4j 취약성의 발견 당시, 빨리 해결할 수 있는 능력이 있었지만 매우 조심했다
  • 리더쉽 회의가 시작하기 전에 플랜이 다 짜여져 있었고 작업 중이었다

Eric

  • JAVA만 집중적으로 다루는 팀이 있는데, 거기서 패치에 대한 이야기가 나왔고 빨리 패치 작업을 할 수 있었다.
  • 핫 패치에 대한 오픈소스를 진행하기도 하였다.

보안에서 고객들이 가장 중요하게 생각하는 것

Mark

  • 커뮤니티로써 리스크를 줄이고 더 좋은 일을 하게 만드는 것

Colm

  • 나는 고객들에게 서비스할 수 있는 것에 대해 감사하게 생각한다

Eric

  • 오랫동안 일 하고 있는 팀들이 많은 가치를 창조해냈고 그리고 또 계속해서 발전해나가고 있다.

(이 부분에 대해 구체적으로 어떠한 질문이 있었는지 잘 기억나지 않습니다.)

끝으로

에스컬레이션 이야기를 통해 혼자서 해결할 수 있는 것이아니라 다 함께 문제를 해결할 수 있으며, 주저없이 도움을 청할 수 있는 문화가 AWS에는 있음을 느낄 수 있었습니다.

초반의 내용들을 제대로 듣지 못해서 아쉬웠고, 중간 중간의 내용도 잘 이해가 되지 못했던 부분이 있었습니다. 내용을 완벽하게 소화하지 못한 것 같아 개인적으로는 아쉬움이 많이 남아 있습니다만, 보안 관련 직무의 리더들에게 여러 이야기들을 직접 이야기를 들을 수 있어 매우 좋은 시간이었습니다.