Cloud CISO Perspectives: CISO에게 묻다, 어떻게 기술과 문화의 보안 회복탄력성을 확보할 것인가?
Thiébaut Meyer
Director, Office of the CISO
Lia Wertheimer
Program Manager, Office of the CISO
Get original CISO insights in your inbox
The latest on security from Google Cloud's Office of the CISO, twice a month.
Subscribe해당 블로그의 원문은 2026년 4월 16일 Google Cloud 블로그(영문)에 게재되었습니다.
2026년 4월의 첫 번째 '클라우드 CISO 퍼스펙티브(Cloud CISO Perspectives)'에 오신 것을 환영합니다. 오늘은 구글 클라우드 CISO실의 티에보 메이어(Thiébaut Meyer)와 리아 워트하이머(Lia Wertheimer)가 로이드 뱅킹 그룹(Lloyds Banking Group)의 최고 보안 책임자(CSO) 맷 로우(Matt Rowe)와 나눈 대담을 소개합니다. 보안 리더가 어떻게 기술적 회복탄력성과 문화적 회복탄력성을 동시에 추구할 수 있는지에 대한 깊이 있는 통찰을 확인해 보시기 바랍니다.
기존의 모든 '클라우드 CISO 퍼스펙티브'와 마찬가지로, 이 뉴스레터의 내용은 구글 클라우드 블로그에도 게시됩니다. 웹사이트에서 이 글을 읽고 계시며 이메일 버전으로 받아보고 싶으신 분은 여기에서 구독하실 수 있습니다.
CISO에게 묻다, 어떻게 기술과 문화의 보안 회복탄력성을 확보할 것인가?
티에보 메이어(Thiébaut Meyer) 디렉터 및 리아 워트하이머(Lia Wertheimer) 프로그램 매너저, CISO실
사이버 보안 분야에서 우리는 오랫동안 한 가지 위험한 가정하에 활동해 왔습니다. 바로 보안 관리자의 '항상 연결된(Always-on)' 근무 형태를 일종의 영예로운 훈장처럼 여겨왔다는 것입니다. 우리는 CISO를 마치 조직의 생물학적 완충기처럼 취급하며, 끊임없는 변동성 속에서도 지속적으로 높은 성과를 낼 것을 기대합니다. 그러나 변화의 속도가 갈수록 빨라짐에 따라, 이러한 개인의 노력에 대한 의존은 더 이상 지속 가능한 전략이 아니라 조직 구조상의 취약점이 되는 전환점에 도달하고 있습니다.
보안 리더와 그들의 팀에 지속적으로 요구되는 빗발치는 요구와, 항상 수동적으로 대처해야 하는 상황에서 벗어나려면 어떻게 해야 할까요? 우리는 개인의 근성에만 초점을 맞추는 데서 벗어나, 회복탄력성이라는 두 가지 필수 과제로 나아가야 합니다. 이를 위해서는 우리의 기술적 구조와 인적 문화가 교차하는 지점을 정직하게 살펴봐야 합니다.
진정한 회복탄력성은 단순한 단일 이니셔티브를 의미하지 않습니다. 이는 두 가지 뚜렷한 규율이 교차하는 지점입니다:
- 운영적 회복탄력성: 기술적인 “하향 이동(Shift down)” 즉 급진적인 통합과 단순화의 과정으로, 파편화된 도구들이 유발하는 노이즈를 줄여 ‘기본 보안 설계(Secure-by-default)’의 토대를 구축하는 것을 의미합니다. 지속적인 수동 개입 없이도 충격을 견뎌낼 만큼 견고한 기술 환경을 만드는 것입니다.
- 문화적 회복탄력성: 조직적인 “안전한 업무 시스템”으로 압박 속에서도 팀이 효과적으로 기능하는 데 필요한 사고방식, 행동, 심리적 안전감에 중점을 둡니다. 이 시스템은 기술 시스템이 공격을 받거나 긴급 상황에 처해 있을 때에도 팀이 적응하고 성공적으로 대응할 수 있도록 돕습니다.
이 두 가지 회복탄력성 전략이 정렬(Align)될 때, 우리는 혼란 속 임기응변 상태에서 지속 가능한 운영 모델로 나아갈 수 있습니다.
우리는 최근 마드리드에서 열린 CISO 커뮤니티 행사에서 로이드 뱅킹 그룹(Lloyds Banking Group)의 최고 보안 책임자(CSO)인 맷 로우(Matt Rowe)와 만나 이 정렬을 어떻게 추구할 수 있는지 논의했습니다. 행사에서 우리의 기술적 논의는 자원 낭비 관리를 위한 스택의 하향 이동에 초점을 맞췄지만, 맷은 문제의 인적 요소 측면에서 대가다운 통찰을 제공했습니다. 우리는 장기전을 견뎌낼 수 있는 기능적인 부서로 이러한 성과에 대한 통찰을 어떻게 확장할지에 대해 의견을 교환했습니다.
다음 녹취록은 약간 편집되었습니다.
티에보 메이어 (Thiébaut Meyer): 보안 업계에서 CISO의 인내심을 개인적인 짐(Burden)으로 이야기하곤 하지만, 당신은 보안 기능 자체에 그러한 회복탄력성을 내재화해야 한다고 주장해 왔습니다. 제 관점에서 볼 때 고성과와 회복탄력성은 떼려야 뗄 수 없는 관계인데, 고위험 환경에서 이 둘의 관계가 어떻게 작용한다고 보시나요?
맷 로우 (Matt Rowe): 티에보, 전적으로 동의합니다. 고성과와 회복탄력성은 동전의 양면과도 같다고 봅니다. 이 직무는 정말 고된 일입니다. 위험 부담은 크고 변화의 속도는 자비가 없죠.
아이티(Haiti) 속담에 이런 말이 있습니다. "산 너머 산이다(Behind the mountains, more mountains)." 사이버 보안의 세계에서는 이것이 우리의 일상적인 현실입니다. 팀 수준에서의 회복탄력성이란 사람들이 내재적 동기를 잃지 않고 그 산들을 계속 넘을 수 있는 환경을 조성해 주는 것입니다.
티에보 메이어 (Thiébaut Meyer): 이 분야에서 종종 줄다리기 같은 상황을 보곤 합니다. 우리는 CISO를 마치 24시간 내내 최고의 성과를 내기 위해 끊임없이 '연료'를 공급받아야 하는 생물학적 자산처럼 취급하지만, 실제로는 조직의 임무가 리더 개인의 정체성과 직무 자체의 지속 불가능한 결합을 요구하는 경우가 많습니다. 조직이 충격을 흡수하는 모델로 어떻게 나아갈 수 있다고 생각하십니까?
맷 로우 (Matt Rowe): 개인의 필요, 팀의 필요, 그리고 회사의 필요, 이 세 가지의 균형을 맞추는 것이 중요합니다. 웰니스(Wellness)는 그 원동력이지만, 훌륭한 성과에서 탁월한 성과로 어떻게 나아갈 것인지에 대한 논의는 팀 차원에서 이루어져야 합니다. 고립된 개인에게만 초점을 맞춰서는 안 되며 그들의 강점이 팀의 성공에 어떻게 기여하는지 보여줘야 합니다.
티에보 메이어 (Thiébaut Meyer): 저도 많은 CISO처럼 한순간도 쉴 틈이 없는 쳇바퀴 위에서 긴 시간을 보냈습니다. 저는 강제로라도 멈추지 않으면 결국 팀이 부서진다는 것을 개인적으로 경험했습니다. 조직의 운영 모델에 이러한 멈춤을 어떻게 포함시키고 계십니까?
저는 심리적 안전감은 단순히 누군가에게 위임할 수 있는 것이 아니라고 굳게 믿습니다. 특히 일이 잘못되었을 때 리더 자신이 직접 본보기를 보여줘야 합니다.
맷 로우: 인위적으로라도 휴식과 회복의 순간을 만들어야 합니다. 넘어야 할 산은 끝이 없기에, 리더가 업무의 리듬을 설정해야 합니다. 우리는 구성원들이 큰 영향력을 발휘할 수 있도록 영감을 주고, 더 나은 성과를 위해 정진할 수 있는 환경을 조성해야 합니다.
시간에 비해 할 일이 너무 많을 때의 정답은 '절제된 우선순위 설정'입니다. 지금 당장 하지 않아도 될 일을 명확히 거절하는 능력을 길러, 팀이 실제로 유의미한 변화를 만드는 일에 집중할 수 있도록 해야 합니다.
티에보 메이어: 저 역시 심리적 안전감은 단순히 위임할 수 있는 것이 아니라고 믿습니다. 특히 상황이 나빠졌을 때 리더가 직접 몸소 보여줘야 하죠. 거대 조직에서 심리적 안전감을 모델링하기 위해 어떤 방식을 취하시나요?
맷 로우: 저에게 그것은 투명성에서 시작됩니다. 구성원들은 제가 도전에 직면했을 때 어떻게 반응하는지 직접 볼 수 있어야 합니다. 용기를 내어 의견을 말하거나 기존 프로세스에 의문을 제기하는 것이 우리 조직이 가치 있게 여기는 일임을 분명히 보여주는 것이죠. 심리적 안전감을 바탕으로 행동하는 사람들이 롤모델로 인정받는 실질적인 사례를 만들어야 합니다.
티에보 메이어: 우리 둘 다 보안 팀이 조직의 나머지 부분으로부터 고립되거나, 심지어 성벽을 쌓고 대립하는 위험성을 본 적이 있습니다. 회복탄력성이 있는 팀이 어떻게 비즈니스의 조력자로 남을 수 있을까요?
맷 로우: 팀의 목표를 비즈니스의 우선순위와 직접 연결해야 합니다. 회사의 미션이 소상공인에게 대출을 제공하는 것이라면, 우리의 미션은 그들이 관련 상품을 더 빠르고 안전하게 시장에 내놓을 수 있도록 돕는 것이 되어야 합니다.
팀원들이 스스로를 비즈니스 미션의 관리자로 인식하기 시작하면, '보안 vs 비즈니스'라는 대립 구도에서 벗어나 공동의 회복탄력성(Shared resilience)을 추구하는 사고방식으로 변화하게 됩니다.
회복탄력성 있는 조직 구축에 대해 더 알아보기
회복탄력성 있는 조직을 만드는 것은 지속적인 여정입니다. 우리 앞에 놓인 산들을 넘을 때, 팀을 보호하는 것은 결국 직무 뒤에 있는 '사람'을 보호하는 것에서 시작됩니다.
- 재정비의 순간을 포착하십시오: 도구의 통합을 복잡성을 해소하는 촉매제로 삼으십시오. 툴 스택을 줄이는 것은 팀의 정신적 부하를 줄이는 첫 번째 단계입니다.
- 물처럼 유연해지십시오: 유연한 사고방식을 채택하십시오. 가장 회복탄력성이 높은 조직은 빠르고 유연한 의사결정을 내릴 수 있는 조직입니다.
- 강제적인 휴식을 명령하십시오: 끝없는 산이 펼쳐진 환경에서 리더의 가장 중요한 업무는 회복의 리듬을 설정하고 절제된 우선순위 설정을 강제하는 것입니다.
- 노력보다 구조에 집중하십시오: 회복탄력성은 단순히 역경을 견딜 만큼 강해지는 것이 아닙니다. 목표를 달성하면서도 번아웃을 피할 수 있도록 기술, 팀 설계, 그리고 공유된 미션에 대해 더 의도적으로 접근하는 것입니다.
라스베이거스에서 열리는 Google Cloud Next 현장은 이미 가득 찼지만, 무료 디지털 티켓을 등록하여 주요 세션에 참여하실 수 있습니다.
Google Cloud Security 최신 소식
보안 팀이 이번 달 발표한 최신 업데이트와 제품, 서비스 및 정를 정리해 드립니다.
- Google은 어떻게 할까: 사이버 보안의 내부 들여다보기: Google의 전문가들로부터 직접 오늘날 가장 시급한 보안 주제와 도전 과제, 우려 사항에 어떻게 대응하고 있는지 들어보세요. 컬렉션 보기.
- 보안의 새로운 기준: 필수 AI 및 클라우드 보안, 이제 '기본'으로 제공됩니다: 차세대 AI 혁신가들을 지원하기 위해 Security Command Center Standard에서 필수 AI 및 클라우드 보안 기능을 기본(On by default)으로 제공합니다. 자세히 보기.
- 게이트웨이에서의 가드레일: Model Armor를 활용한 GKE 기반 AI 추론 보안 강화: 고성능 스토리지와 Model Armor를 활용하여 Google Kubernetes Engine(GKE) 기반 AI 추론 환경을 안전하게 보호하는 방법을 소개합니다. 자세히 보기.
- Google Cloud, 2026년 2분기 Forrester Wave™ '소버린 클라우드 플랫폼' 부문 리더 선정: 구글 클라우드가 소버린 클라우드 플랫폼 부문 리더로 선정되며 고객에게 최적의 선택지를 제공하는 포트폴리오 전략의 가치를 입증했습니다. 자세히 보기.
- IP를 넘어 URL까지 보호하는 Google Cloud NGFW: Cloud NGFW Enterprise에서 와일드카드 기능이 포함된 도메인 필터링 기능을 발표했습니다. 이를 통해 강화된 보안과 세밀한 정책 제어를 누릴 수 있습니다. 자세히 보기.
- VRP 2025년 성과 리뷰: 구글의 취약점 보상 프로그램(VRP)이 15년 차를 맞아 어떤 성과를 냈을까요? 전년 대비 40% 이상 증가한 1,700만 달러의 보상금이 지급되었습니다. 자세히 보기.
- Google Workspace의 간접 프롬프트 인젝션 완화를 위한 지속적인 노력: 간접 프롬프트 인젝션 방어의 계층적 아키텍처를 개선하고 새로운 공격에 대응하기 위한 구글의 지속적인 노력을 상세히 공유합니다. 자세히 보기.
- DBSC를 통한 쿠키 보호: 세션 탈취 대응을 위한 중요한 진척인 DBSC(Device Bound Session Credentials)가 이제 Chrome 146 버전의 Windows 사용자에게 정식 제공되며, 곧 macOS로도 확대될 예정입니다. 자세히 보기.
이번 달에 발표된 더 많은 보안 이야기는 Google Cloud 블로그를 방문하여 확인해 보세요.
위협 인텔리전스 뉴스
- M-Trends 2026: 최전선에서 확보한 데이터, 인사이트 및 전략: 2025년 한 해 동안 맨디언트(Mandiant)가 전 세계적으로 수행한 50만 시간 이상의 최전선 침해 사고 조사 결과를 바탕으로, 오늘날 실제 침해 사고에 사용되는 공격 기법(TTPs)을 심층 분석합니다. 자세히 보기
- 다수의 위협 행위자가 채택한 iOS 익스플로잇 체인 'DarkSword': 구글 위협 인텔리전스 그룹(GTIG)은 제로데이 취약점을 악용해 iOS 기기를 침해하는 새로운 풀체인 익스플로잇을 식별했습니다. 또한 다수의 상업용 감시 소프트웨어 업체와 국가 지원 배후로 의심되는 위협 행위자들이 이를 각기 다른 캠페인에서 사용하고 있음을 확인했습니다. 자세히 보기
- vSphere 및 BRICKSTORM 멀웨어: 방어자를 위한 가이드: 구글 위협 인텔리전스 그룹(GTIG)의 최근 BRICKSTORM 연구에서 밝혀진 위험에 선제적으로 대응할 수 있도록 돕는 가이드입니다. 핵심 자산을 보호하기 위한 필수 보안 강화 전략과 완화 제어에 집중할 수 있도록 구성되었으며, 안내 사항 중 일부를 자동으로 적용할 수 있는 스크립트도 제공합니다. 자세히 보기
- 북한 연계 위협 행위자, 침해된 Axios NPM 패키지 악용해 공급망 공격 수행: GTIG는 인기 있는 노드 패키지 매니저(NPM)인 Axios를 겨냥한 활발한 소프트웨어 공급망 공격을 추적하고 있습니다. 우리는 이 활동을 최소 2018년부터 활동해 온 금전적 목적의 북한 연계 위협 행위자인 UNC1069의 소행으로 보고 있습니다. 자세히 보기
이번 달에 발표된 더 많은 위협 인텔리전스 이야기는 Google Cloud 블로그를 방문하여 확인해 보세요.
Google Cloud 팟캐스트
- AI 네이티브 MDR이 문제 많은 SOC 워크플로우를 해결할 수 있을까?: Tenex.AI의 에릭 포스터(Eric Foster)와 바샤르 아부세이도(Bashar Abouseido)가 호스트인 안톤 추가킨(Anton Chuvakin), 팀 피콕(Tim Peacock)과 함께 AI가 보안 관제 센터(SOC) 워크플로우에 미치는 영향과 성공 측정 방법에 대해 논의합니다. 듣기
- 공급망 보안에서 계속 실패하는 이유: 우리의 보안 도구 자체가 관리되지 않는 가장 큰 공격 표면(Attack surface)이 된 것은 아닐까요? Chainguard의 설립자이자 CEO인 댄 로렌츠(Dan Lorenc)가 호스트인 안톤, 팀과 함께 편의성이 공급망 보안에 미치는 영향에 대해 이야기합니다. 듣기
- 방어자의 이점(Defender’s Advantage): 구글 위협 인텔리전스를 활용한 다크웹 위협 추적: 호스트 루크 맥나마라(Luke McNamara)가 구글 위협 인텔리전스 전문가인 호세 나자리오(Jose Nazario), 브랜든 우드(Brandon Wood)와 함께 새로운 다크웹 및 언더그라운드 모니터링 기능, 그리고 AI가 방어자들의 적대 세력 추적 방식을 어떻게 근본적으로 바꾸고 있는지 알아봅니다. 듣기
- 바이너리 이면의 이야기: 봇넷 운영자가 법정에 서면 어떤 일이 벌어질까: 호스트 조쉬 스트로샤인(Josh Stroschein)이 구글 위협 분석 그룹(TAG)의 피에르 마르크 뷔로(Pierre-Marc Bureau)와 함께, 바이너리 리버스 엔지니어링부터 뉴욕 법정에서의 초현실적인 대결에 이르기까지 전례 없는 글루테바(Glupteba) 봇넷 무력화 과정을 파헤칩니다. 듣기
한 달에 두 번 'Cloud CISO Perspectives' 게시물을 편하게 이메일로 받아보고 싶으시다면, 뉴스레터를 구독해 주세요. 몇 주 후 Google Cloud의 더 많은 보안 관련 업데이트와 함께 다시 찾아뵙겠습니다.
