AWS CISO Amy Herzog가 보안을 비즈니스 가속기로 바라보는 관점, AI를 방어 도구로 활용하는 방법, 그리고 에이전트 시대에 아이덴티티 개념이 어떻게 재정의되어야 하는지를 이야기합니다.
개요
이 영상은 AWS의 보안 리더십 팟캐스트 시리즈인 “Executive Insights”의 에피소드로, AWS CISO인 Amy Herzog가 보안을 비즈니스 가속기로 바라보는 관점, AI를 방어 도구로 활용하는 방법, 그리고 에이전트 시대에 아이덴티티 개념이 어떻게 재정의되어야 하는지를 깊이 있게 이야기합니다. 단순한 기술 소개가 아니라, 조직 문화와 리더십 구조까지 연결해 보안을 어떻게 사업의 일부로 내재화할 수 있는지를 다룹니다.
이 영상은 Clarke Rodgers(AWS Office of the CISO)가 진행하며, Amy Herzog는 Amazon Devices(Ring, Alexa) 부문에서 비즈니스 리더십 역할을 거쳐 AWS CISO로 부임한 인물입니다. 고객 입장에서 AWS를 직접 사용해 본 경험을 바탕으로 실질적이고 균형 잡힌 시각을 제공합니다.
핵심 내용
보안은 가속기다
Amy Herzog는 자신이 “본질적으로 참을성이 없는 사람”이라고 표현하면서, 보안을 느리게 만드는 장애물이 아니라 개발을 더 빠르고 깔끔하게 만드는 도구로 이해해야 한다고 강조합니다. 고객이 원하는 것은 “제품”과 “보안”이 따로 존재하는 게 아니라, 처음부터 보안이 내재된 제품입니다.
실제로 영상에서 그녀는 PKI(공개키 기반 구조) 설정을 예로 들었습니다. 과거에는 전담 인력과 수개월에서 수년의 시간이 필요했고, 어디서 실수했는지조차 나중에야 알 수 있었습니다. 지금은 KMS로 몇 번의 클릭만으로 수분 안에 완료할 수 있습니다. 보안의 복잡성을 AWS가 대신 짊어짐으로써 고객은 자신의 비즈니스에 집중할 수 있게 됩니다.
GuardDuty도 같은 맥락에서 언급됩니다. AWS가 수집하는 방대한 네트워크 가시성을 바탕으로 위협 인텔리전스를 자동으로 보호에 통합하여, 고객이 “알 필요도, 신경 쓸 필요도 없이” 보호받을 수 있게 해줍니다.
AI를 방어 도구로 활용하기
Amy는 AI가 공격자보다 방어자에게 더 큰 기회를 제공한다고 단언합니다. 보안 업무의 상당 부분이 대규모 정보에서 의미 있는 신호를 뽑아내는 작업이기 때문입니다. 영상에서 그녀는 이를 “바늘 더미에서 바늘을 찾는 일”이라고 표현했습니다.
AWS는 이미 내부적으로 로그 분석 준비 시간을 크게 단축했다고 밝혔습니다. 핵심은 생성형 AI를 “모든 것을 해결하는 도구”로 보는 것이 아니라, 잘 해결하는 특정 문제에 집중적으로 적용하는 것입니다. 대규모 정보 분석, 반복적인 수동 작업 자동화, 코드 작성 및 테스트 개선 등이 그 예입니다.
반면, 그녀는 헤드라인을 장식하는 “더 광범위하고 거대한 AI 주장”보다는 실제로 AI가 잘 하는 좁고 구체적인 문제를 해결하는 데 더 관심이 있다고 솔직히 밝힙니다. 이 균형 잡힌 시각이 영상에서 가장 실용적인 통찰 중 하나입니다.
에이전트 시대의 아이덴티티 재정의
아이덴티티(신원 인증) 분야에서 가장 흥미로운 논의는 AI 에이전트를 기존의 “인간 vs. 서비스” 이분법으로 이해하려는 시도의 한계입니다. Amy는 에이전트가 이 두 범주 어디에도 완전히 속하지 않는다고 설명합니다.
에이전트는 인간처럼 비결정론적이고 선택을 내리지만, 그 자율성의 범위는 훨씬 좁아야 합니다. 또한 서비스처럼 매번 동일하게 작동하지도 않습니다. 이 특성은 최소 권한(least privilege) 원칙을 에이전트에 적용하는 방식에 직접적인 영향을 미칩니다. 에이전트가 특정 작업 하나를 잘 해결하도록 설계될수록, 그 에이전트의 권한을 명확하게 정의하고 제한하기가 더 쉬워집니다.
동시에 그녀는 기본기의 중요성도 강조합니다. 나쁜 행위자들이 시스템에 “해킹해 들어오는” 것이 아니라 “로그인해서 들어오고 있다”는 현실 앞에서, 최소 권한, 자격증명 로테이션, 자격증명 유출 시 빠른 탐지와 정리 능력은 새로운 도구와 함께 더욱 중요해집니다.
보안 문화: 가디언즈 프로그램
AWS 내부의 “Guardians” 프로그램은 보안 전담팀이 아닌, 각 서비스 팀 내에 있는 보안에 열정적인 개발자들이 보안 팀과 가교 역할을 하는 구조입니다. 이들은 본업인 개발자 역할을 유지하면서, 보안 팀과의 피드백 루프를 형성합니다.
핵심은 가디언이 “보안팀 사람”이 되어서는 안 된다는 점입니다. 그들이 매일 개발 현장에서 직접 마찰을 느끼기 때문에 유용합니다. “왜 이 정보를 또 요청하는 거지?”, “이 보안 작업을 새로 만들 때마다 반복해야 하는데, 그냥 기본 기능으로 만들어 줄 수 없나?” 같은 피드백이 실질적인 개선으로 이어집니다.
Amy는 이 프로그램이 성공하는 더 넓은 맥락도 설명합니다. AWS에서 보안은 Andy Jassy(전 CEO)와 Matt Garman(현 CEO)이 직접 관심을 갖고 강조하는 사안입니다. 보안 리더가 CEO에게 직접 보고하는 조직 구조, 그리고 “보안은 모두의 일”이라는 인식이 최상위에서부터 내려오는 것입니다.
실전 가이드
영상의 내용을 실제 조직에 적용하려면 다음 세 가지 영역에서 구체적인 행동을 시작할 수 있습니다.
먼저 AI 적용의 범위를 명확히 설정합니다. “우리 보안 업무 중 반복적이고 대량의 정보를 다루는 작업이 무엇인가?”를 목록으로 만들고, 거기서부터 에이전트나 생성형 AI 도구를 실험합니다. 로그 분석, 취약점 스캔 결과 정리, 코드 리뷰 보조 등이 출발점으로 적합합니다.
다음으로 에이전트 아이덴티티 전략을 지금부터 준비합니다. 조직에서 AI 에이전트를 사용하거나 도입을 검토 중이라면, 해당 에이전트에게 어떤 권한을 부여할지 명시적으로 정의해야 합니다. “이 에이전트가 정확히 어떤 작업 하나를 수행하는가?”라는 질문에 명확히 답할 수 있어야 최소 권한 원칙을 적용할 수 있습니다.
마지막으로 개발팀 내 보안 챔피언을 식별하고 지원합니다. 가디언즈 프로그램의 핵심은 보안에 열정적인 개발자를 발굴하고, 그들이 보안팀과 정기적으로 소통할 수 있는 채널을 만드는 것입니다.
핵심 요점
- 보안은 사업 가속기다. 보안을 별도의 문을 통과해야 하는 관문이 아니라, 제품에 기본으로 내재된 요소로 만들면 개발 속도와 품질이 함께 높아진다.
- AI의 강점은 ‘넓게 잘하는 것’에 있다. 방어 측면에서 AI를 가장 잘 활용하는 방법은 대규모 정보 분석, 반복적인 수동 작업 등 AI가 잘 하는 특정 문제에 집중하는 것이다.
- 에이전트는 인간도, 서비스도 아니다. AI 에이전트에 아이덴티티와 권한을 부여할 때 기존 이분법을 그대로 적용하면 위험하다. 명확히 정의된 범위의 작업에만 최소 권한으로 제한하는 새로운 프레임이 필요하다.
- 보안 문화는 최상위 리더십에서 시작된다. CEO가 보안을 중요하게 생각하고 사업 리더도 보안에 책임을 지는 구조가 만들어질 때, 가디언즈 같은 프로그램이 진정한 효과를 발휘한다.
- 기본기는 새로운 위협 앞에서 더 중요해진다. 나쁜 행위자들이 로그인으로 침입하는 시대에, 최소 권한·자격증명 로테이션·빠른 탐지와 복구 능력은 지금도 가장 효과적인 방어선이다.