/
사이버 레질리언스

전 FBI 최전직 해커로부터 배운 5가지

A headshot of Brett Johnson
브렛 존슨, 개혁파 FBI 모스트 원티드 사이버 범죄자

사이버 보안에서 우리는 흔히 “공격자처럼 생각하라”고 말합니다.하지만 그런 삶을 살다가 그 삶을 변화시킨 누군가의 이야기를 직접 들을 수 있는 기회는 거의 없습니다.

The Segment에서 가장 잊을 수 없는 에피소드 중 하나에서 저는 한때 미국 비밀 경호국이 “오리지널 인터넷 대부”라고 불렀던 브렛 존슨과 이야기를 나눴습니다.

브렛은 최초의 조직화된 사이버 범죄 커뮤니티를 구축하고 FBI의 Most Wanted 명단에 오른 후 삶을 재건했으며 지금은 법 집행 및 보안 리더 모두에게 신뢰할 수 있는 목소리를 내고 있습니다.

다음은 브렛이 개혁적인 범죄 생활에서 배운 다섯 가지 교훈 중 가장 인상 깊었습니다.

1.인식은 새로운 현실입니다

브렛 메시지의 핵심에는 냉담한 진실이 있습니다. “진실이 무엇이든 상관 없습니다.제가 뭘 설득할 수 있는지가 중요해요.”

이는 단순한 범죄 수법이 아니라 사회적 관심사입니다.에서 피싱 이메일 정치적 허위 정보에 대한 신뢰는 무기화되고 있습니다.딥페이크 비디오와 오디오가 빠르게 발전하면서 진짜와 가짜의 경계가 빠르게 사라지고 있습니다.

“우리는 딥페이크가 실시간으로 이루어질 지경에 이르렀습니다.“라고 Brett은 경고했습니다.

그는 악의적인 공격자가 Zoom 화상 회의를 통해 CEO를 딥페이킹할 수 있는 공격을 예로 들었습니다.Payroll은 CEO와 실시간으로 대화하고 있다고 생각하지만 실제로는 다른 은행 계좌로 돈을 송금하도록 속이고 있습니다.

“정말 효과적이에요.” 라고 그는 말했습니다.“그리고 마법처럼 작동할 거예요.”

여기서 얻을 수 있는 교훈은 가정이 아니라 검증하는 시스템을 구축하는 것입니다.제로 트러스트는 보안 프레임워크일 뿐만 아니라 디지털 속임수가 난무하는 세상에서 신뢰를 회복할 수 있는 방법이기도 합니다.

“우리는 딥페이크가 실시간으로 이루어질 지경에 이르렀습니다.”

2.범죄자는 천재가 아니라 기회주의자입니다

할리우드는 해커들을 훌륭한 무법자로 묘사합니다.브렛은 다르게 보고 있어요.

“대부분의 공격은 현금 기반이며 기회주의적입니다.” 라고 그는 설명했습니다.“범죄 투자에 대해 가장 큰 수익을 낼 수 있는 가장 쉬운 방법을 찾고 있어요.”

그렇기 때문에 베이직 사이버 위생 여전히 중요합니다: 취약점 패치, 자격 증명 보안, 열린 포트 닫기.이러한 단계는 눈에 띄지 않지만 건너뛰는 경우가 많습니다.

보안은 비용이 많이 들 필요가 없습니다.하지만 일관성이 있어야 합니다.

3.신뢰는 가정이 아니라 행동을 기반으로 합니다.

공격자들은 우리가 기기를 신뢰한다는 것을 알고 있습니다.그들은 그런 신뢰를 우리에게 불리하게 이용합니다.

“우리는 휴대폰, 노트북, 데스크탑을 본질적으로 신뢰합니다.” 라고 Brett은 말했습니다.“우리는 방문하는 웹사이트를 신뢰하기 때문에 신뢰의 문이 열리는 경향이 있습니다.”

브렛은 사람과 조직 모두에게 디지털 시스템에 대한 신뢰를 재정의할 것을 촉구합니다.행동을 확인하고, 상황에 주의를 기울이고, 합법성이라는 단일 신호에 의존하지 않는 시스템을 설계하세요.

“세상의 모든 사기를 막을 수 있습니다.해야 할 일은 웹을 폐쇄하는 것뿐입니다.” 라고 그는 농담했습니다.“보안과 마찰 사이의 균형을 유지하고 싶지만, 그 균형은 확실히 보안 측면에 더 큰 영향을 미쳐야 합니다.”

4.공격자들은 협력합니다.방어 진영도 그래야 합니다.

그의 가장 날카로운 비판 중 하나는?“나쁜 사람들은 여러분보다 공유와 협업을 더 잘해요.” 라고 그는 말합니다.

사이버 범죄자들은 도구, 전술, 팁을 교환합니다.하지만 방어자들은 산업, 경쟁, 관료주의에 의해 격리되는 경우가 많습니다.

“제가 특정 업종에 속해 있고 회사가 특정 유형의 공격을 당한다면 해당 정보를 공유하면 같은 공간에 있는 다른 사람들도 표적이 되기 전에 스스로를 보호할 수 있습니다.” 라고 그는 말했습니다.

요점은 위협 환경이 격리되어 있지 않으므로 방어 체계도 사일로화되어서는 안 된다는 것입니다.

“제가 특정 업종에 속해 있고 회사가 특정 유형의 공격을 받는 경우 해당 정보를 공유하면 같은 공간에 있는 다른 사람들도 공격 대상이 되기 전에 스스로를 보호할 수 있습니다.”

5.제로 트러스트는 신뢰를 재건하는 방법입니다.

브렛은 그렇게 믿어요 AI 생성 콘텐츠딥페이크와 마찬가지로 사람들이 무엇을 믿어야 하는지 알기가 더 어려워지고 있습니다.온라인에서 비판적으로 사고하고 회의적인 태도를 유지하는 것이 중요합니다.하지만 조직은 신뢰를 회복할 방법을 찾아야 합니다.

“고객과 조직 간의 모든 새로운 계약은 다음을 통해 이루어져야 합니다. 제로 트러스트 관점이요.” 라고 그는 추천합니다.

인식이 실시간으로 위조될 수 있는 세상에서는 신뢰가 전제될 수 없습니다.몇 번이고 반복해서 얻어야 합니다.

브렛은 “사기 가능성을 예측하기 위해 백그라운드에서 할 수 있는 모든 일을 한 다음 그 시점에 조치를 취하라”고 조언했다.

제로 트러스트는 단순한 기술 전략이 아닙니다.이는 일상적인 습관이자 사고방식입니다.그리고 진화하는 위협 환경에 대비하는 것이 최선의 방법입니다.

청취, 구독, 리뷰 더 세그먼트

브렛 존슨의 이야기를 더 듣고 싶으신가요?전체 에피소드를 시청하세요 더 세그먼트: 제로 트러스트 리더십 팟캐스트 ...에 당사 웹사이트, 애플 팟캐스트, 스포티파이, 어디에서든 들을 수 있습니다.

관련 주제

관련 기사

두 번의 보안 침해, 하나의 은행: ICBC 사이버 위기가 주는 교훈
사이버 레질리언스

두 번의 보안 침해, 하나의 은행: ICBC 사이버 위기가 주는 교훈

미국의 랜섬웨어와 런던의 데이터 도난이라는 두 가지 주요 보안 침해로 글로벌 뱅킹의 시스템적 취약성이 드러난 ICBC 사이버 위기에서 얻은 중요한 교훈을 확인해 보십시오.

하이브리드 클라우드 환경을 보호하려면 어떻게 해야 할까요?
사이버 레질리언스

하이브리드 클라우드 환경을 보호하려면 어떻게 해야 할까요?

Illumio의 선임 제품 마케팅 관리자인 Erika Bagby가 하이브리드 클라우드 환경의 보안에 대해 설명합니다.

에너지 산업을 위한 사이버 레질리언스를 위한 3단계
사이버 레질리언스

에너지 산업을 위한 사이버 레질리언스를 위한 3단계

TSA 보안 지침 업데이트, 전문가 보안 권장 사항, 에너지 부문의 사이버 복원력 3단계에 대해 알아보십시오.

비영리 단체가 사이버 보안 산업을 가르치는 내용
제로 트러스트 세그멘테이션

비영리 단체가 사이버 보안 산업을 가르치는 내용

비영리 사이버 보안 전문가인 Kelley Misata 박사로부터 사명 중심의 조직이 공감, 목적, 경청을 우선시하는 사고방식으로 보안에 접근하는 방법에 대해 알아보세요.

사이버 보안의 비난 문화에 대한 사이버 심리학자의 견해
제로 트러스트 세그멘테이션

사이버 보안의 비난 문화에 대한 사이버 심리학자의 견해

스트레스, AI 위협 및 인간 행동이 제로 트러스트를 사이버 레질리언스에 어떻게 필수적으로 만드는지 알아보십시오.

CISO가 AI에 대해 물어봐야 할 8가지 질문
사이버 레질리언스

CISO가 AI에 대해 물어봐야 할 8가지 질문

CISOS가 AI 지원 랜섬웨어 공격으로부터 조직을 보호할 때 반드시 고려해야 하는 8가지 질문에 대해 알아보십시오.반드시 읽어야 할 내용입니다.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?