전 FBI 최전직 해커로부터 배운 5가지

사이버 보안에서 우리는 흔히 “공격자처럼 생각하라”고 말합니다.하지만 그런 삶을 살다가 그 삶을 변화시킨 누군가의 이야기를 직접 들을 수 있는 기회는 거의 없습니다.
The Segment에서 가장 잊을 수 없는 에피소드 중 하나에서 저는 한때 미국 비밀 경호국이 “오리지널 인터넷 대부”라고 불렀던 브렛 존슨과 이야기를 나눴습니다.
브렛은 최초의 조직화된 사이버 범죄 커뮤니티를 구축하고 FBI의 Most Wanted 명단에 오른 후 삶을 재건했으며 지금은 법 집행 및 보안 리더 모두에게 신뢰할 수 있는 목소리를 내고 있습니다.
다음은 브렛이 개혁적인 범죄 생활에서 배운 다섯 가지 교훈 중 가장 인상 깊었습니다.
1.인식은 새로운 현실입니다
브렛 메시지의 핵심에는 냉담한 진실이 있습니다. “진실이 무엇이든 상관 없습니다.제가 뭘 설득할 수 있는지가 중요해요.”
이는 단순한 범죄 수법이 아니라 사회적 관심사입니다.에서 피싱 이메일 정치적 허위 정보에 대한 신뢰는 무기화되고 있습니다.딥페이크 비디오와 오디오가 빠르게 발전하면서 진짜와 가짜의 경계가 빠르게 사라지고 있습니다.
“우리는 딥페이크가 실시간으로 이루어질 지경에 이르렀습니다.“라고 Brett은 경고했습니다.
그는 악의적인 공격자가 Zoom 화상 회의를 통해 CEO를 딥페이킹할 수 있는 공격을 예로 들었습니다.Payroll은 CEO와 실시간으로 대화하고 있다고 생각하지만 실제로는 다른 은행 계좌로 돈을 송금하도록 속이고 있습니다.
“정말 효과적이에요.” 라고 그는 말했습니다.“그리고 마법처럼 작동할 거예요.”
여기서 얻을 수 있는 교훈은 가정이 아니라 검증하는 시스템을 구축하는 것입니다.제로 트러스트는 보안 프레임워크일 뿐만 아니라 디지털 속임수가 난무하는 세상에서 신뢰를 회복할 수 있는 방법이기도 합니다.
“우리는 딥페이크가 실시간으로 이루어질 지경에 이르렀습니다.”
2.범죄자는 천재가 아니라 기회주의자입니다
할리우드는 해커들을 훌륭한 무법자로 묘사합니다.브렛은 다르게 보고 있어요.
“대부분의 공격은 현금 기반이며 기회주의적입니다.” 라고 그는 설명했습니다.“범죄 투자에 대해 가장 큰 수익을 낼 수 있는 가장 쉬운 방법을 찾고 있어요.”
그렇기 때문에 베이직 사이버 위생 여전히 중요합니다: 취약점 패치, 자격 증명 보안, 열린 포트 닫기.이러한 단계는 눈에 띄지 않지만 건너뛰는 경우가 많습니다.
보안은 비용이 많이 들 필요가 없습니다.하지만 일관성이 있어야 합니다.
3.신뢰는 가정이 아니라 행동을 기반으로 합니다.
공격자들은 우리가 기기를 신뢰한다는 것을 알고 있습니다.그들은 그런 신뢰를 우리에게 불리하게 이용합니다.
“우리는 휴대폰, 노트북, 데스크탑을 본질적으로 신뢰합니다.” 라고 Brett은 말했습니다.“우리는 방문하는 웹사이트를 신뢰하기 때문에 신뢰의 문이 열리는 경향이 있습니다.”
브렛은 사람과 조직 모두에게 디지털 시스템에 대한 신뢰를 재정의할 것을 촉구합니다.행동을 확인하고, 상황에 주의를 기울이고, 합법성이라는 단일 신호에 의존하지 않는 시스템을 설계하세요.
“세상의 모든 사기를 막을 수 있습니다.해야 할 일은 웹을 폐쇄하는 것뿐입니다.” 라고 그는 농담했습니다.“보안과 마찰 사이의 균형을 유지하고 싶지만, 그 균형은 확실히 보안 측면에 더 큰 영향을 미쳐야 합니다.”
4.공격자들은 협력합니다.방어 진영도 그래야 합니다.
그의 가장 날카로운 비판 중 하나는?“나쁜 사람들은 여러분보다 공유와 협업을 더 잘해요.” 라고 그는 말합니다.
사이버 범죄자들은 도구, 전술, 팁을 교환합니다.하지만 방어자들은 산업, 경쟁, 관료주의에 의해 격리되는 경우가 많습니다.
“제가 특정 업종에 속해 있고 회사가 특정 유형의 공격을 당한다면 해당 정보를 공유하면 같은 공간에 있는 다른 사람들도 표적이 되기 전에 스스로를 보호할 수 있습니다.” 라고 그는 말했습니다.
요점은 위협 환경이 격리되어 있지 않으므로 방어 체계도 사일로화되어서는 안 된다는 것입니다.
“제가 특정 업종에 속해 있고 회사가 특정 유형의 공격을 받는 경우 해당 정보를 공유하면 같은 공간에 있는 다른 사람들도 공격 대상이 되기 전에 스스로를 보호할 수 있습니다.”
5.제로 트러스트는 신뢰를 재건하는 방법입니다.
브렛은 그렇게 믿어요 AI 생성 콘텐츠딥페이크와 마찬가지로 사람들이 무엇을 믿어야 하는지 알기가 더 어려워지고 있습니다.온라인에서 비판적으로 사고하고 회의적인 태도를 유지하는 것이 중요합니다.하지만 조직은 신뢰를 회복할 방법을 찾아야 합니다.
“고객과 조직 간의 모든 새로운 계약은 다음을 통해 이루어져야 합니다. 제로 트러스트 관점이요.” 라고 그는 추천합니다.
인식이 실시간으로 위조될 수 있는 세상에서는 신뢰가 전제될 수 없습니다.몇 번이고 반복해서 얻어야 합니다.
브렛은 “사기 가능성을 예측하기 위해 백그라운드에서 할 수 있는 모든 일을 한 다음 그 시점에 조치를 취하라”고 조언했다.
제로 트러스트는 단순한 기술 전략이 아닙니다.이는 일상적인 습관이자 사고방식입니다.그리고 진화하는 위협 환경에 대비하는 것이 최선의 방법입니다.
청취, 구독, 리뷰 더 세그먼트
브렛 존슨의 이야기를 더 듣고 싶으신가요?전체 에피소드를 시청하세요 더 세그먼트: 제로 트러스트 리더십 팟캐스트 ...에 당사 웹사이트, 애플 팟캐스트, 스포티파이, 어디에서든 들을 수 있습니다.