[보안뉴스 한줄요약] 넷플릭스 보안 엔지니어가 말하는 넷플릭스의 위험 관리 방법

넷플릭스의 수석 정보 보안 리스크 엔지니어인 토니 마틴베그는 지난 주
열린 페어컨퍼런스에서 “누구나 사업을 하다보면 위험한 순간을 맞닥트리고, 또 위험을 감수해야 하는 순간을 경험한다”

“조직 입장에서는 ‘어느 정도의 리스크가 지나치게 많은 리스크인가?’를 판단할 수 있어야 한다”고 설명했다.

리스크 관리자들은 CEO, CFO, CIO 등 최고 결정권자들과 보다 가까운 곳에서 일을 해야함.

넷플릭스는 내부적으로 정량적 모델을 사용해 이러한 결정을 내려옴.

1. 리스크의 단위를 바꿔라

리스크와 관련된 소통을 돕기 위해 정량적인 모델링을 사용하는 건 넷플릭스만의 강점은 아니다. 

다만 대부분의 기업들이 채용하는 ‘상/중/하’ 모델이나 ‘적/황/녹’ 평가 시스템과 넷플릭스에서 말하는 리스크 모델링은 조금 다르다.

만약 상급 리스크가 동시에 3가지가 나왔다면? 

동시에 3가지 일을 할순 없으니 이것의 기준을 달러로 1000달러, 1500만달러, 2000만달러로 추가 정보가 들어감.


2. 단계별 리스크 추상화(risk abstraction)

첫 번째 수준에서는 전략적인 부분에서 리스크를 추상화 함.

그 다음은 ‘전술적 고민’을 시작한다고 한다. 즉 위에서 보다 큰 틀에서의 결정이 내려지고 나면, 그 결정들을 실행하는 데 있어서 필요한 내용을 파헤친다는 것.
세 번째 단계에서는 실제 운영에 있어서 필요한 내용들이 결정된다. 즉 중간 관리자를 넘어 실무자들에게 영향을 주는 내용들이 정해진다는 것.



3. 정량적 리스크 관리, 어디서부터 시작해야 할까?

마틴베그는 “일단 천천히 시작하라”고 말함.

“정량적 리스크 모델을 구축할 것이다", 라고 전사적으로 선포해 버리면 마치 지금 가지고 있는 위험 평가 모델을 완전히 폐기해야 할 것 같은 분위기가 생김.