사이버 형평성 및 보안을 통한 역량 강화

00:00 라구 난다쿠마라

글쎄요, 니콜, 더 세그먼트에 오게 되어 정말 기쁩니다.어서 오세요!

00:06 니콜 티스데일

고맙습니다.초대해 줘서 고마워요.여기 오게 돼서 행복해요.

00:09 라구 난다쿠마라

당신의 배경은 놀랍습니다, 그렇죠?국가안전보장회의, 미국 의회에서 애드보커시 블루프린트를 설립하셨잖아요.게스트가 현재 위치와 현재 상황에 도달하고 동기를 부여하는 요소를 이해하기 위해 거쳐온 배경과 여정에 대해 듣는 것은 언제나 흥미로운 일이라고 생각합니다.자, 거기서부터 시작해 보죠.우리를 그 여정에 데려다 주세요.

00:35 니콜 티스데일

물론이죠!여정은 제가 가고자 하는 곳에 도착했고, 처음 시작했을 때 제가 어디로 가고 있는지 알고 있었다는 것을 의미할 수 있습니다. 하지만 그건 제가 사이버에 대해 처음 접해본 적이 전혀 없다는 뜻이죠.그럼 제 억양을 들으실 수 있을 거예요.저는 아주 남쪽에 있어요.저는 미시시피의 신호등이 없는 마을에서 자랐어요. 그들은 진짜이고 존재하죠.제가 공공 정책에 입문하게 된 이유는 미시시피 대학교에서 학부생으로 시작해서 정치학 입문 수업과 같은 정치학을 듣고 있었기 때문입니다. 공공 정책을 통해 타인을 옹호하는 사람들이 있다는 생각만으로도 정말 재미있어 보였습니다.그때까지만 해도 저는 가족 중 첫 번째 변호사가 되고 싶었고 동네 첫 변호사가 되고 싶었어요.그리고 생각했던 기억이 납니다. “아, 차라리 공공 정책에서 사람들을 옹호하고 싶어요. 그러면 아무도 감옥에 가지 않을 거고, 제가 잘못해도 아무도 돈을 잃지 않을 테니까요.”분명히 저는 공공 정책이 어떻게 돌아가는지 완전히 이해하지 못했어요!하지만 그 후, 학부 시절과 그 후에 로스쿨에 갔을 때는 항상 공공 서비스 인턴쉽을 했어요.7년 동안 저는 여덟 번의 인턴십을 했어요. 사람들을 만나서 그들의 문제에 대해 듣고, 공공 정책 해결책을 찾아내는 것을 정말 좋아해요.제가 말씀드리자면, 저는 일찍부터 공공 정책이 사람들의 문제를 해결할 수 있다는 생각에 푹 빠졌습니다. 왜냐하면 공공 정책은 규모에 도움이 되기 때문이죠.그렇죠?예를 들어, 당신이 제게 제시한 문제에 대한 공공 정책 해결책이 있다면 미시시피에 사는 사람과 뉴욕에 사는 사람에게 똑같은 공공 정책 해결책을 제시할 수 있어요.그래서 일찍부터 저는 공공 정책이 사람들의 일상 생활을 돕는 데 있어서 얼마나 확장 가능한지 알게 되었고 정말 마음에 들었습니다.저는 캐피톨 힐에서 일하기 시작했어요.제 인턴십 중 다수가 캐피톨 힐에서 했어요.결국 저는 하원 국토안보위원회에 들어가게 되었는데, 대부분의 사람들은 “아, 그냥 전투의 한가운데에 뛰어들었어요.”그리고 저는 항상 사람들에게 이 위원회가 미국 의회에서 가장 양당적인 위원회 중 하나라고 말하죠. 하지만 그 위원회들이 무언가를 놓고 싸울 때만 그 얘기를 들을 수 있죠, 그렇죠?그래서 그들이 이민 정책에 대해 싸울 때나 대테러 정책을 놓고 싸울 때 듣게 되죠.하지만 그들은 국토안보부 전체의 관할권을 가지고 있기 때문에 사이버 관련 일을 하고 있습니다.제가 위원회에 있었을 때 저희도 사이버 정책에 대해 많이 연구했었죠.하지만 아시다시피 언론에서 사이버 보안 정책과 그 정책에서 다루는 방식을 다루지 않는 경우가 있습니다.그래서 제가 사이버 정책을 처음 접하는 과정이었죠.솔직히 저는 대테러 정책과 방첩 정책을 연구하던 시기에 사이버 포트폴리오를 가지고 있었습니다. 스파이 정책의 긴 단어일 뿐이죠.그리고 제가 The Hill에서 2009년에 처음 작업을 시작했을 때 사이버 보안 정책은 그 목록의 최상위에 있지 않았죠?저는 ISIS와 알카에다, 그리고 백인 민족주의자들의 성장에 정말 집중했는데 스노든 유출도 일어났습니다.그냥 이런 모든 것들이었죠.그리고 가끔씩 데이터 유출과 데이터 유출이 일어나서 의회는 이 문제에 조금 집중하곤 했습니다. 하지만 그게 우선순위가 아니었죠.제가 말씀드리고 싶은 것은, 2016년은 선거에 끼어들었을 때 대부분의 사람들이 사이버 보안이 그들의 집 앞, 투표장에 나타났던 때라고 말하고 싶습니다.그 전에는 데이터 유출이 있었죠. 아주 중요하긴 했지만 사람들이 데이터 유출의 즉각적인 영향을 알아보기는 어려웠어요. 이에 대해 조금 더 자세히 알아보도록 하겠습니다.많은 사이버 정책이 실체적이지도 않고 즉각적이지도 않습니다. 하지만 2016년 러시아가 미국 선거에 개입한 것은 보통 사람과 매우 비슷한 수준이었습니다.그래서 많은 사람들이 이렇게 말합니다. “선거 보안이란 무엇인가?사이버 보안이란 무엇일까요?

04:27 라구 난다쿠마라

그건 이미 흥미롭네요.마지막으로 조 (Joe) 나 지넷 (Jeanette) 이 사이버에 대해 생각할 때 말씀하신 마지막 요점은, 당신 말이 맞아요. 예를 들어, 데이터 유출은 한 푼도 안 돼요.하지만 그걸 연관지을 수 있을 때, 좋아요, 전 투표소에 가서 당신이 던진 투표가 기록된 투표인지 궁금해지겠죠?그게 갑자기 현실이 돼요.같은 생각으로, 왜 사이버 보안이 가장 중요한지 사람들이 알고 있는 이유를 생각해보면, 이런 사이버 공격의 영향이 보통 사람에게도 훨씬 더 가시적으로 다가오고 있기 때문이라고 생각합니다.그게 바로 그 연관성 때문이죠. 아, 몇 년 전의 콜로니얼 파이프라인이 제 가스 가격에 영향을 미쳤다고 해봅시다. 그렇죠?“오, 맙소사, 알겠어, 이제 신경이 쓰이네.”제 생각엔 그게 전환점이었던 것 같아요.

05:29 니콜 티스데일

네, 제 말은, 제가 작업하고 있다고 말씀드린 다른 문제들과 일맥상통합니다. 그렇죠?제가 항상 사람들에게 국가 안보에 대해 말하듯이, 특히 제 친구와 가족에 대해 말이죠. 왜냐하면 우리는 국가 안보와 관련하여 입국 및 교육에 대한 장벽을 설정했기 때문입니다.우리는 정말 속물쟁이일 수 있습니다.사이버 커뮤니티도 그 점에 대해 조금은 죄책감을 갖고 있는 것 같아요.솔직히 말해서 저는 사람들에게 매일 국가 안보 정책에 대해 고민하는 것을 원하지 않는다고 말합니다.좋은 징조는 아니에요.제가 대테러 정책을 연구할 때 사람들에게 말하곤 했어요. 축구 경기에 나가는 걸 두려워하지 말았으면 좋겠어요. 테러 공격이 있을까봐 두렵기 때문이죠.사이버 보안 정책도 마찬가지입니다.사람들이 사이버 보안에 대해 두려움을 느끼지 않았으면 좋겠어요.힘을 실어주었으면 좋겠어요.그래서 말씀드리자면, 사이버 보안이 사람들에게 가시화될 때 할 말이 있다고 생각합니다. 정해진 시간 동안만 관심을 기울여야 하기 때문입니다.제 생각에는 공공 정책에서는 좋은 정책이 필요한 것만큼이나 타이밍도 필요합니다.재미있네요. 콜로니얼 파이프라인에 대해 말씀하셨는데, 아시다시피 저에게 콜로니얼 파이프라인은 사이버 사고 보도에 대해 다시 이야기할 수 있는 기회였습니다.하지만 저는 국회 의사당에 있을 때 그 법안을 만들었죠.콜로니얼 파이프라인이 생겼을 때 저는 백악관에서 일하면서 국가안전보장회의 (NSC) 의 입법부 국장을 지냈습니다.사람들에게 말하는데 그건 새로운 개념이 아니었어요.저는 의회의 관심을 끌었고 의회에는 유권자들이 있었고 대중이 그들에게 무언가를 하라고 강요했습니다.사람들은 실제로 중대한 사이버 사고를 미국 정부에 신고하지 않아도 된다는 사실에 정말 놀랐습니다.콜로니얼 파이프라인 (Colonial Pipeline) 에 이어 JBS의 육류 가공 공격이 뒤따랐을 때 저는 백악관에 있었습니다. 그래서 언론에서 7월 4일에 햄버거를 먹지 않는 이유가 조 바이든이라는 말이 나왔을 때 좀 짜증났어요.하지만 가스 부족의 영향을 받지 않은 사람들은 쇠고기도 먹고 핫도그도 먹고 싶어하죠.그 후 카세야 공격이 일어났습니다.log4j가 있었죠.시기적으로 볼 때 미국 대중에게 우리가 지금 모든 해결책을 가지고 있지는 않을 수도 있다는 것을 보여주는 많은 일들이 있었습니다. 하지만 최소한 이런 사건들을 정부에 신고할 사람들이 필요하죠.

07:51 라구 난다쿠마라

네, 당신 말이 맞아요.그리고 제 말은, 지난 몇 년 동안 있었던 세간의 이목을 끄는 사이버 사건을 엄청 많이 겪으셨잖아요, 그렇죠?사실 무섭습니다. 시간을 돌려 생각해보면 아마도 일 년에 한 번씩은 이런 중대한 일들이 있었을 겁니다. 그렇죠?그리고 지금은 마치 메이저 이벤트 같아요.분기당 한 번도 아니죠.몇 주에 한 번씩 신고할 만한 내용이 있는 것 같아요.그리고 당신 말이 맞아요. 제 생각에 보고는 투명성이 중요하기 때문에 매우 중요하다고 생각합니다.이런 종류의 비밀을 비밀로 유지하는 것은 정보를 투명하게 공개하고 소유한 다음 어떻게 하면 이런 일이 다시 일어날 가능성을 최소화할 수 있을지 논의하는 것보다 훨씬 더 큰 위험입니다.

08:45 니콜 티스데일

네, 좋은 공공 정책이 그렇게 하죠, 그렇죠?제가 보기에, 그 법안은 투명성에 관한 것이었어요. 정부가 보고하기 위해 필요한 것은 투명성뿐 아니라 이러한 공격도 랜섬웨어의 증가와 일치하죠, 그렇죠?예를 들어, 우리에게 필요한 것은 모든 점들을 종합하기 위한 시도를 시작할 수 있어야 한다는 것이었죠.신고하는 사람도 있고 신고하지 않는 사람도 있으면 다음 사람을 보호하기가 정말, 정말 어려워요.하지만 공공 정책을 할 때는 그 반대편에 대해서도 생각해 보는 것이 중요합니다.그래서 저는 항상 사람들에게 말하죠. 백악관에 있을 때는 약간 논쟁이 되기도 했었죠. 하지만 저는 항상 신고하는 사람들을 피해자라고 부릅니다.기업도 아니고, 중요한 인프라 소유주나 운영자도 아닙니다. 그들을 피해자라고 부른 것은 매우 의도적이었습니다.의회 의원들과도 이야기를 나누었지만 다른 정책 입안자들과도 이야기를 나누었습니다.제가 말씀드리고 싶은 것은, 제 인턴십 중 한 번은 가정 폭력 클리닉에서 일했는데 피해자를 대하는 방식은 피해자가 신고하기까지 너무 오래 기다렸고 신고할 때 모든 정보를 가지고 있지 않기 때문에 처벌하지 않는 것이었습니다.신고해 주셔서 감사합니다.가지고 있는 정보를 가지고 더 많이 수집하려고 노력하죠.정말 논쟁의 여지가 많았죠, 그렇죠?어떤 사람들은 신고를 할 필요가 없다는 사실을 악용한 것처럼 느껴지고, 그 망치를 정말 빨리 없애고 싶어하는 사람들이었죠.예를 들어, 좋은 공공 정책은 모든 일을 한 번에 하지 않는다는 것을 잘 알고 있습니다.사람들이 해야 할 일은 신고를 시작하는 거예요페널티에 대해 이야기할 수 있고 인센티브에 대해 이야기할 수 있습니다. 그런 모든 것들이 적용될 것입니다.하지만 최소한 신고 대상, 신고 대상, 신고 대상 등에 대한 프레임워크를 마련하는 것만으로도 시작하기에 정말 좋았습니다.하지만 저는 공공 정책에 매우 능숙하기 때문에 창문이 닫힐 수도 있다는 것도 알고 있었습니다.그렇죠?그리고 2년 동안 과태료를 두고 싸우거나 신고에 대한 인센티브를 놓고 싸울 수도 없었죠.저는 의회가 법을 자주 폐지하지는 않지만 자주 개정한다는 생각으로 그 틀을 완성해야 했습니다.따라서 사이버 사고가 또 발생할 수 있다고 말할 수 있게 되면 누군가가 보안 설정 방식에 대해 무모했던 부분을 보게 될 수도 있습니다. 그래서 처벌에 대해 대화를 나눠야 할 수도 있습니다.지금으로부터 2-3년 후에 사람들이 신고를 하고 있을 수도 있습니다.신고할 때는 미국 정부에 데이터를 제공할 뿐만 아니라 촉발 요인도 될 수 있습니다.마치 사이버 형평성에 대해 이야기하려는 것 처럼요.중요 인프라 소유주와 운영자가 신고를 했는데 신고할 때 대응할 수 있는 자원이 없다는 것을 알게 되면 정부로부터 기술 지원을 받을 수 있을까요?그러니까, 분명히 말씀드리자면, 이것이 기준이고, 이것이 프레임워크이고, 우리는 이를 기반으로 계속 발전해 나갈 것입니다.

11:34 라구 난다쿠마라

그 정도로 자세하게 설명해 주셔서 정말 감사합니다. 청취자들에게도 중요하다고 생각하기 때문이죠. 그리고 이에 대해 잘 알고 있는 분들도 있을 거라는 걸 알지만, 마찬가지로 처음으로 이걸 정말, 진정으로 이해하고 있는 분들도 많을 거예요. 보고의 필요성이 무엇이냐고 의문을 제기할 것입니다.그 점을 아주 분명하게 말씀하셨다고 생각합니다.피해를 입은 조직 등이나 영향을 받는 비즈니스를 상대로 피해자라는 단어를 사용합니다.이 단어를 사용하는 것이 왜 중요한지, 피해를 입은 사람들을 피해자로 생각하는 것이 왜 중요한지 좀 더 자세히 설명해 주세요.

12:15 니콜 티스데일

네, 그럴게요.그래서 저는 예제를 사용하는 걸 좋아해요.그래서 공공 정책 분야에서 일하고 사이버 관련 일을 할 때 한 가지 예를 들어야 합니다.비유를 해봐야죠.저는 사람들에게 평신도들을 위한 설명이 가득한 툴박스를 사용하는 것을 좋아한다고 말하지만, 다른 분야에 대한 전문 지식을 갖춘 사람들도 좋아합니다.제가 피해자들을 위해 사용하는 사례 중 하나는 미시건 주 플린트나 미시시피 주 잭슨에 있는 물 소유주와 운영자들입니다.청취자 대부분은 몇 년 전에 일어난 플린트 물 위기에 대해 잘 알고 있을 것입니다. 하지만 몇 년 전에 일어난 잭슨 물 위기에 대해서도 말이죠.이건 물리적인 문제예요. 둘 다 물리적인 물 부족이었죠.하지만 사이버 영역에서 생각해보면 중화인민공화국인 중화 인민 공화국이 우리의 주요 인프라 중 일부에 대해 사전 조치를 취하고 있을 수 있다는 정보 보고서가 나온 것 같습니다.아마도 이러한 핵심 인프라 중 일부는 수자원 부문일 수도 있습니다.생각해보면 항상 사람들에게 말하죠. 마치 미시건 주 플린트와 미시시피 주 잭슨이 상수도 시설을 위한 물리적 인프라에 투자할 자금이 충분하지 않았으면 좋겠어요.사이버 인프라에 투자할 자금도 없다는 것은 놀라운 일이 아닙니다.그래서 우리가 그들을 피해자가 아닌 다른 어떤 것으로 생각한다는 건 거의 우스꽝스러운 생각이죠. 국가 행위자가 그들의 인프라를 표적으로 삼는다는 건 거의 우스꽝스러운 생각이죠.제 말은, 마치, 어떻게 그들이 정부 행위자나 국가 행위자를 상대로 대응할 수 있는 충분한 자원을 확보할 수 있다고 생각할 수 있겠어요?그래서 그 희생자들에 대해 생각할 때, 맞아요, 미시시피 주 플린트시나 미시시피 주 잭슨시는 도시 기반 시설의 피해자일 뿐만 아니라 그들이 봉사하는 사람들의 피해자이기도 하죠, 그렇죠?그래서 이들은 저소득층 커뮤니티이거나 도시 기반 시설에 전적으로 의존하는 커뮤니티이기도 합니다.제가 보기에는 그 사슬에 있는 모든 사람들이 피해자입니다.그래서 저는 항상 사람들에게 그 예를 들면서 이렇게 말하죠. “어떻게 그럴 수 없지?”사람들은 이렇게 말할 것입니다. “음, 알다시피, 시간이 흐르면서 인프라에 투자했어야 했어요.”그럴 수도 있고, 할 수도 있겠네요.공공 정책은 사람들이 할 수 있었거나 했어야 하는 일에 대해 벌칙을 주는 것이 아닙니다.현재에는 더 나아지고 미래에는 더 나아지도록 하는 것이 관건입니다.

14:46 라구 난다쿠마라

정말 환상적이죠. 예전에 했어야 할 일에 대해 벌을 주기보다는 현재에는 더 나아지고 미래에는 더 나아질 수 있게 만드는 것처럼요.그리고 당신은 표적과 근본적으로 공격하는 사람 사이의 불균형에 대한 훌륭한 예를 보여줬습니다.그리고 이 경우에는, 지역, 주, 주 (州) 지역 단체가 있는데, 이미 알고 있듯이 예산 문제로 어려움을 겪고 있습니다.그들은 보통 상당한 빚을 지고 있죠.그리고 국민국가 행위자가 생겼는데, 이 주머니 사정에는 바닥이 없을 수도 있습니다.따라서 공격자와 피해자 사이에는 불균형이 있습니다.그리고 저는 여러분이 특히 관심을 갖고 있는 부분이 사이버 평등이라는 것을 알고 있습니다.이런 불균형을 어떻게 줄일 수 있을까요?논의에 들어가기 전에 먼저 사이버 형평성에 대해 정의해 주세요.

15:43 니콜 티스데일

물론이죠. 왜냐하면 정의가 존재하지 않기 때문이죠. 그래서 제가 여러분과 같은 분들과 이야기를 나누면서 만들어야했지만, 다른 사람들은 우리 모두가 알고 있는 것에 이름을 붙이고 완전한 정의를 구성해야 하기 때문입니다.따라서 사이버 평등이란 취약하고 소외된 커뮤니티를 중심으로 사회 모든 부문에 걸쳐 사이버 보안 자원, 보호 및 기회를 공정하고 공정하게 분배하는 것을 말합니다.이것이 의미하는 바는 사이버 형평성은 안전한 기술과 인프라에 대한 동등한 접근을 의미한다는 것입니다.이는 포괄적인 사이버 보안, 교육 및 인식 프로그램을 의미합니다.제가 항상 사용하는 예로는 디지털 리터러시를 말하는 것이 아닙니다.저는 사이버 리터러시를 말하는 게 아닙니다.그건 포괄적 언어가 아니에요. 엄밀히 따지자면 틀린 말이에요.저는 항상 사람들에게 이렇게 말하죠. 그러니까 문해력이란 더 이상 아무것도 배울 필요가 없는 수준의 이해도를 얻을 수 있다는 뜻이죠, 그렇죠?6학년이면 읽기 수준은 항상 6학년입니다.오늘날 사이버 보안 모범 사례에 대해 배운 것이 있다면 10년 후에는 시간이 초과될 것이라고 장담합니다.더 이상 쓸모가 없을 거예요.그러니 분명히 말씀드리자면, 평등한 교육 기회를 누리지 못했거나 교육에서 차별을 받아온 지역 사회에 가서 그들의 문해율에 대해 이야기하지 않겠습니다.마치 우리가 그렇게 하지 않는 것처럼 말이죠.하지만 이는 사이버 위협과 사이버 공격으로부터의 적절한 보호를 의미하기도 합니다.이는 방금 말씀드린 내용으로 거슬러 올라갑니다. 일부 커뮤니티는 적에게 더 큰 표적이 될 것이라는 점을 이해하기 위해서입니다. 해당 커뮤니티가 서비스를 제공하는 지역 사회 때문이 아니라 보호 장치가 없기 때문입니다.사람들은 더 쉬운 표적을 노립니다.또한 사이버 보안 인력과 의사 결정 프로세스를 공정하게 대표할 수 있어야 합니다.그래서 제가 매우 열광하는 것 중 하나는 저 역시 사이버 보안 분야에서 좀 더 다양한 목소리가 필요하다고 생각한다는 것입니다. 하지만 초급 운영 역할에서 그 목소리가 지나치게 강조되는 것은 원하지 않습니다.왜냐하면 저는 정책 담당 부서에서 일하기 때문입니다. 정책 테이블에 다양한 사람들이 없을 때는 대부분 초급 직책이 아니라 고위급 리더급 직책입니다.조직, 기업, 정부 등 다양한 목소리가 정책 테이블에 있을 때 정책은 어려움을 겪고 운영 역할을 맡은 사람들이 정책을 바꿀 수 없습니다.분명히 말씀드리자면, 취약하고 소외된 지역사회를 다양하게 대표한다는 것은 모든 수준의 인력을 의미하며, 모든 직위를 의미합니다.마지막으로 말씀드리자면, 다양한 인구를 위한 고유한 사이버 보안 요구 사항을 해결하는 공평한 정책과 규정을 명확히 설명하겠습니다.이제 사이버 보안 관점에서 우리가 요구하는 가장 기본적인 몇 가지 사항에 대해 알아보겠습니다.하지만 저는 항상 사람들에게 말하죠. 많은 사이버 정책 사용자들이 시골 지역의 광대역 및 광대역 접속 프로그램이나 정책을 거부하는 것 같을 때 저는 항상 조금 실망스럽다고 말하죠.그러자 사람들은 “아, 우리는 그런 일을 제대로 하고 있지 않아요.” 라고 말하죠.그래서 저는 항상 물어보는데요.저는 이렇게 생각해요. “음, 일반적으로 비밀번호 관리자를 지원하나요?다단계 인증을 지원하나요?”“제로 트러스트를 지원하시나요?” 와 같은 제로 트러스트 팟캐스트를 진행하고 있습니다.그러면 “네”, 저는 “이 모든 것을 구현하려면 인터넷이 필요하지 않나요?”사람들이 안정적이고 안전한 인터넷에 접속할 수 없고, 인터넷을 사용하기 시작하며, 사이버 관행이 매우 미묘하다면 어떻게 광대역 대화를 거부할 수 있을까요?따라서 일반적인 기술 도구 상자에 포함되어 있지 않다는 이유만으로 규정과 정책을 거부할 수는 없습니다.

19:37 라구 난다쿠마라

아주 상세한 개요를 설명해 주셔서 감사합니다. 제 생각에 사이버 형평성은 정말 중요하다고 생각합니다. 왜냐하면, 마지막으로 말씀하신 것과 거의 연관이 있기 때문이죠. 모두가 사업을 운영해야 하는 이런 연결된 세상에서 말이죠. 그렇죠?여러분이 어디에 있든, 경제적 지위, 인종 등등, 민족성은 중요하지 않겠죠?궁극적으로 우리는 모두 연결된 세상에 살고 있고, 우리 모두는 어떤 식으로든 같은 위협에 노출되어 있습니다.하지만 우리가 적절한 수준의 보호 의식을 갖지 못한다면 우리 중 일부가 가진 권리에 대한 위험은 그 권리를 가진 사람들보다 훨씬 더 커집니다.제 생각에는 이것이 사이버 형평성을 통해 여러분이 해결하고자 하는 문제의 핵심이라고 생각합니다.

20:34 니콜 티스데일

네, 방금 말씀하셨듯이 운영 역할과 정책이지만 좋은 정책을 만드는 데 필요한 모든 것이기도 합니다.제가 사람들에게 말씀드리는 것 중 하나는, 사이버 연구에 있어서 인간을 대상으로 하는 영향이나 대상에 초점을 맞춘 연구가 별로 없다는 거죠, 그렇죠?마치 우리가 적에게 지나치게 집착하고 있는 것 같아요.그들은 어떤 도구를 사용하고, 어떤 기술을 사용하고, ATP는 어떤 전술을 사용하고 있을까요?우리가 그렇게 해서는 안 된다는 말은 거의 한 번도 하지 않았어요.하지만 제가 이야기를 하려고 하면 암호 관리자를 사용하는 인종, 소득, 연령에 대한 인구 통계를 알고 싶거나 다중 요소 인증을 채택하고 있는데 데이터가 존재하지 않습니다.거의 모든 단계에 이르렀습니다. 우리는 적들이 어떻게 이를 악용하고 있는가에 초점을 맞추고 싶다는 얘기죠.좋아요, 두 가지가 사실일 수 있는 것 같아요.우리는 적들이 무엇을 하고 있는가에 초점을 맞출 수 있지만, 그 다음에는 사람들, 평균적인 조, 평균적인 제인도 무엇을 하고 있는지를 연결시켜야 합니다. 그래야 그러한 방어 체계를 구축하기 시작할 수 있습니다.왜냐하면, 당신 말로는 저한테는 아무 소용이 없거든요.제 가족을 예로 들자면, 저는 아주 안전한 관습이 있는 것 같아요.하지만 우리 가족 중 누군가가 은행 정보나 금융 정보를 도난당하면 상황이 많이 달라지죠. 그 중 상당수가 이미 빈곤선 아래 살고 있기 때문이죠.그래서 제가 이야기할 때, 저는 올해 초에 WIRED 잡지에 이 기사를 썼는데, 사람들에게 이 이야기를 전하기 위해서였어요.그리고 저는 우리의 식량 보충 프로그램인 SNAP 프로그램에 벌어지고 있는 사이버 공격에 대해 이야기합니다. 사이버 범죄자들은 EBT 카드, 전자 혜택 이체 카드를 공격하고 있습니다. 혜택을 사용하는 방식이죠. 심지어 지금 정책 분야에서 이에 대해 이야기할 때 사용하는 용어까지도 말이죠. 저는 이것을 바꾸기 위해 노력하고 있지만 우리는 저달러 범죄라고 부릅니다.그리고 저는 이것이 잘못된 명칭이라고 생각합니다.충격이 큰 범죄들이죠. 한 가족이 훔친 돈의 평균 금액은 1,000달러입니다.메릴랜드를 예로 들겠습니다. 2023년에 메릴랜드에서 가장 많은 돈이 도난당했기 때문입니다.메릴랜드에서는 4인 가족이 연간 4만 달러 이상을 벌 수 없습니다.또한 본인 수표와 저축 계좌를 합하여 2,000달러를 초과할 수 없습니다.그래서 아이들이 하는 일, 우리 모두가 하는 일, 가끔은 음식을 살 돈이 더 필요할 때가 있습니다. 크리스마스 연휴에 아이들이 여름 방학에 외출하면 더 많이 먹죠.많은 아이들이 EBT 카드에 저금할 수 있는 돈을 가지고 있어서 비상시에 사용할 수 있습니다.자연재해 피해자나 퇴역 군인도 마찬가지인데, 그들은 모두 식량과 생필품 재정을 관리하는 수단으로 EBT 카드를 사용합니다.한 해 4만 달러를 벌어들이는 4인 가족에게서 1,000달러를 훔친다면 엄청난 피해를 입게 됩니다.그리고 EBT 카드에는 직불카드나 신용카드처럼 칩 카드가 없습니다.사기 방지 기능이 없습니다.그냥 전화해서 계좌로 돈을 돌려받을 수는 없어요.이 점을 이해하면 큰 영향을 미칠 수 있습니다.그리고 우리의 적대자들은 공공 정책에 덜 초점을 맞추거나 해결책에 덜 초점을 맞추고 있다는 것을 알아낸 것으로 보입니다. 왜냐하면 그들은 계속해서 그러한 프로그램들을 공격하고 있기 때문입니다.모든 주, 모든 테리토리는 자체 SNAP 프로그램을 운영하고 있으며 모두 공격을 받고 있습니다.그 해결책이 어떤 건지 알아내는 건 “아, 사기 방지 기능이 있어야 하니까 누군가 돈을 잃으면 주정부가 그냥 돌려줘야죠.” 라는 말이 아니에요.그리고 제가 말하자면, 이 주들은 당신이나 이것들을 살 돈이 없어요. 저는 사이버 직원들과 이야기를 나눴는데 그들은 “칩 카드와 이 모든 EBT 카드를 가져와야 해요.”그리고 제가 말씀드렸듯이, 여러분이 생각하는 속도로는 그런 일이 일어나지 않을 것입니다.앞으로 일어날 일은 캘리포니아가 먼저 칩 카드를 갖고, 그 다음에는 뉴욕을 갖게 될 거라는 겁니다.하지만 미시시피는 어떨까요?미시건은 어때?인구 중 상당수가 이미 빈곤선 아래 살고 있어서 과세 기준이 많지 않은 주들은 어떨까요?여러분이 목표물을 등에 업고 있을 뿐입니다. 캘리포니아에는 보호구역이 있고 뉴욕에는 보호구역이 있는 지역에 가면 보호구역이 없는 주의 프로그램들에 더 많은 관심을 받게 되기 때문입니다.네, 맞아요.긴 예시이긴 하지만 어떻게 생겼고 어떻게 통합하느냐에 대한 질문의 관점에서 보면 사회적 형평성 정책과 사회적 형평성 관점을 취하지 않고는 이러한 문제에 대한 해결책을 제시할 수 없다는 것을 사이버 커뮤니티에 알리는 것입니다. 왜냐하면 보안 답변은 실용적이지 않고 구현할 수 없는 보안 해답일 수 있기 때문에 그렇지 않을 수 있기 때문입니다. 좋은 공공 정책.

25:32 라구 난다쿠마라

이것은 우리가 여기서 논의하고 있는 매우 흥미로운 분야입니다. 하지만 실제로 사이버 사고가 미디어에 어떻게 보도되는지를 생각할 때, 여러분은 종종 이런 이야기를 듣게 될 것입니다. 좋아요, 백만 개의 기록이 도난당했다고 가정해 봅시다.아니면 아주 최근에 일어난 일을 생각해보면 사이버 사고가 아니라 IT 사고는 대규모 정전이었죠?수백만 개의 시스템이 오프라인 상태가 되는 등, 아주 드물게 말씀드린 예시와 연계하는 경우는 거의 없습니다. 예를 들어 EBT 카드 같은 거죠?이런 사건들이 사회에 미치는 영향에 대해서는 아주 아주 드물게 들으실 겁니다. 아니면 좀 더 큰 글에서 하위적으로 다루게 될 겁니다. 아, 그들은 X를 했어야 했고, Y, 등등을 했어야 했죠, 그렇죠?저는 이 점을 바꿔야 한다고 생각합니다.그리고 세간의 이목을 끄는 사이버 사고와 같은 이런 종류의 보도는 사회적 영향에 초점을 맞춰야 합니다.조직처럼 우리가 앞으로 어떻게 이런 일을 피할 수 있을지에 초점을 맞출 수 있는 유일한 방법이 있다고 생각하기 때문입니다.보고가 매우 중요하다는 것을 알지만, 다시 이런 일이 발생하지 않도록 하려면 어떻게 해야 하는지에 대해서도 생각해 봐야 하기 때문입니다.그렇게 될 수 있는 유일한 방법은 사회적 영향이 더 많이 보고되고 사람들이 그 사실을 알게 되는 것뿐이라고 생각합니다.“맙소사, 그렇군요.이는 매일 사람들에게 영향을 미치고 있습니다.” 그리고 종종 가장 큰 영향을 받는 사람들은 영향을 받을 여유가 없는 사람들입니다.

27:07 니콜 티스데일

예, 예를 들어, 가장 큰 피해를 입은 사람들은 회복하는 데 가장 어려움을 겪을 것이고, 그 중 일부는 결코 회복되지 않을 것입니다. 그렇죠?이를테면, EBT 프로그램을 통해 그 돈을 계좌에 다시 넣지 못하면 식비 예산이 두 달밖에 안 남았기 때문에 식품 보호소에 가야 합니다.다른 방법을 찾아야 해요. 그렇지 않으면 부모님은 그냥 식사를 거르실 거예요.하지만 요점을 말씀드리자면, 사이버 형평성 문제는 모든 사이버 정책의 근간을 이루고 있습니다.여러분이 의료 공격에 대해 이야기할 때 항상 말씀드렸듯이, 공격을 받고 있는 의료 시설 중 일부를 생각하면 그들이 누구에게 서비스를 제공하는지에 대한 사회적 경제적 지표를 볼 수 있습니다.이들 중 다수가 가장 취약한 집단에 서비스를 제공하고 있습니다. 저소득층이든, 퇴역 군인이든, 인구 고령화이든, 이로 인해 사이버 커뮤니티와 연결되지 않은 신뢰가 무너집니다. 그렇죠?이러한 지역사회 중 상당수가 이미 치료 받기를 주저하고 있습니다.이러한 커뮤니티 중 상당수는 이미 디지털 의료 서비스와 원격 의료 서비스 사용을 주저하고 있습니다.그들이 맡긴 시스템을 공격하는 것은 누군가가 그 검진이나 예방적 건강 검진 일정을 변경하지 않는 것과 다른 차이입니다. 아니면 제가 두 달 후에 마지막으로 갔을 때 제 당좌 예금 계좌가 없어졌기 때문에 그 병원에 다시 가지 않을 수도 있습니다.실제로 그런 일이 벌어지는데 사람들은 그런 인맥을 만들죠.확실히 말씀드리자면, 사이버 공격은 단지 그 시설에서 일어난 일에 관한 것이 아닙니다.사람들이 아주 무시하고 “음, 랜섬웨어 보험에 가입했잖아”라고 말하고 싶어한다는 걸 알아요. 제 말은, 시설이 복구할 수 있는 곳에 있다는 뜻이죠.지금 데이터를 도난당한 환자들은 전부 어때?학교도 마찬가지죠. 사람들이 학교, 그 중 상당수가 공립학교에 랜섬웨어 공격을 한다는 사실은 사람들이 “아, 로스앤젤레스 공립학교 시스템, 저건 돈 주머니일 뿐이야, 공격하자.” 라고 말하는 것이 아니라는 것을 압니다.마치 LA 공립학교에 다니는 학생 중 100% 가 무상 급식 프로그램을 받고 있는 것과 같습니다.그건 돈에 관한 게 아니에요.그 학생들의 신원을 훔치는 것에 관한 거예요그리고 이 학생들은 지역 사회에서 온 학생들입니다. 부모님이 자녀에 대한 신용 모니터링 프로그램을 설정하지 않고 스스로 설정해 놓지도 않았죠.이 아이들이, 그 사이에 있는 모든 일에서 살아남아 양질의 교육을 받을 수 있다면 말이죠.이제 졸업해서 학자금 대출을 받거나 직장을 구하고 보안 허가를 받으려고 하면 10년 전에 신원이 도용되었고 찢겨졌습니다.그래서 사이버 세계에서 이런 것들을 확실히 알게 된 사실은 우리의 보호가 가장 큰 영향을 받는 사람들을 보호하지 못한다고 생각합니다.

30:12 라구 난다쿠마라

제 생각에 이것은 그 영향을 보여주는 아주 강력하고 파괴적인 예라고 생각합니다. 그렇죠. 정체성을 갖기 위해 고군분투하는 사람들의 정체성을 빼앗는 것이죠.그리고 저는 여기서 정체성이라는 단어를 가지고 놀고 있죠, 그렇죠?이들은 자신의 정체성을 확립하기 위해 고군분투하고 있으며, 결국 디지털 정체성이 박탈당하고 있다는 뜻입니다. 이는 곧 어려움을 의미하죠.이건 사이버 공격의 영향을 보여주는 아주 충격적인 예죠.실제로 이러한 움직임은 데이터에서 볼 수 있습니다. 예를 들어 IBM 데이터 침해 비용 보고서에서 볼 수 있습니다. 정말로 파괴적인 사이버 공격의 증가에 관한 것입니다.우리는 종종 파괴에 대해 생각할 때 생산 라인에서 칩을 생산하지 못하는 것을 떠올립니다. 하지만 방금 설명하신 것이 진정한 혼란이라고 생각하죠, 그렇죠?이런 혼란은 도무지 수량화할 수 없습니다.자, 여기서 좀 넘어가고 싶은데요, 앞서 말씀하셨듯이 이 팟캐스트는 제로 트러스트 팟캐스트라고 하셨는데요.우선 여러분께 제로 트러스트란 어떤 의미일까요?

31:22 니콜 티스데일

제가 말하는 청중에 따라 다르겠지만 정말 좋은 질문입니다.그냥 다른 방식으로 설명할게요.사이버 커뮤니티에 한 가지 부탁이 있다면, 마블 영화에서 항상 악당으로 등장하는 것처럼, 가장 무섭고 최악의 용어인 것처럼 이런 용어들은 이제 그만 만들었으면 좋겠어요.그래서 제 예시는 사이버 보안에 대한 두려움을 최소화하는 경향이 있다고 말씀드리고 싶습니다.그래서 저는 보통 사람들에게 Q&A 같은 질문을 합니다. Q&A는 사람들의 대화를 유도하는 좋은 방법이기 때문이죠.그래서 저는 “차 문 잠그세요?”그러자 그들은 “네”라고 하죠.저는 “차가 마당에 주차되어 있을 때 차 문을 잠그나요?”사람들은 “네”, 이랬죠. “왜요?왜요?”그러면 사람들이 말하겠죠. “내 집에 있긴 한데 사람들이 제 마당에 와서 차 잠금을 해제하지 않을 거라니 믿을 수가 없어요.”그래서 제가 얘기할 수 있는 게 바로 제로 트러스트라는 거죠.제로 트러스트는 아무도 없다고 말하는 게 아니에요. 제로라고 말하는 사람은 아무도 없으니까요.신뢰는 로그인에 관한 것이 아니라 절대 신뢰할 수 없습니다. 사람과 기술은 절대 신뢰할 수 없습니다.하지만 신뢰가 필요하다는 것을 확실히 하기 위해서는 몇 가지 조치를 취해야 합니다.그래서 저는 공공 정책에 대한 제로 트러스트라고 생각합니다. 제가 사람들에게 설명하는 방법은 가능한 한 가장 강력한 방어 수단을 갖추도록 하는 것입니다.어떤 것도 완벽하지 않을 거라는 걸 이해하면서 우리는 우리를 공격하기 더 어렵게 만들려고 할 뿐이에요.그래서 공공 정책에 대해 생각해보면 의원의 정책 입안자와 3분 동안 대화하는 것과 같기 때문에 알게 됩니다. 하지만 공공 정책에서 제로 트러스트가 무엇인지 이해하도록 하는 정말 좋은 방법이죠.말씀드리자면, 기술적인 측면에 대해서는 한 번도 다루지 않았습니다.그럴 필요는 없어요. 보통 좋은 공공 정책이라면 항상 사람들에게 말하죠. 사이버 커뮤니티는 의원들이 무슨 일이 벌어지고 있는지 기술적 세부 사항을 이해하는 데 집착하는 것 같기 때문이죠.제 생각엔 그들이 기술적 세부 사항을 이해할 필요는 없다는 거죠.그들은 사람들에게 미치는 영향과 사물에 미치는 영향을 이해해야 합니다.그래서 저는 보통 그런 예를 들어요. 누군가 “아, 그래, 제로 트러스트가 말이 되잖아, 그래야지. 그래야지.” 라고 말하게 되면 괜찮다는 이야기를 할 수 있어요.따라서 미국 정부가 처음부터 제로 트러스트를 구현하는 제품과 서비스만 조달하도록 해야 합니다.또한 이제 이 부서나 이 기관의 정책을 변경할 예정입니다. 이전 정책에서는 우리가 진입로에 있는 자동차 문을 잠글 필요가 없다고 믿었기 때문입니다.사람들이 보기에 이 점이 이해가 되죠.제가 항상 예를 들어 말씀드리는데, 제 생각엔, 의회 의원들은 심장 절개 수술이 어떻게 작용하는지 잘 모르겠지만, 사람들의 가슴을 절개하려는 경우 무엇이 필요한지에 관한 법률과 규정이 있습니다.그래서 제로 트러스트가 무엇을 의미하는지에 대한 질문에 대해서는 매우 광범위하고 비기술적인 정의를 내린다고 할 수 있겠습니다. 하지만 이는 공공 정책 변호사에게도 통합니다.

34:21 라구 난다쿠마라

완전히 성공하신 것 같아요, 그만제로 트러스트에 대한 매우 기술적인 정의를 들어봤어요.제로 트러스트에 대한 비유를 많이 들었습니다.자동차 도어에 대한 비유는 들어본 적이 없고 정말 마음에 들었습니다.하지만 제 생각에 당신은 잠재적으로 기술적인 개념을 받아들여 그것을 접하게 될 모든 사람이 완전히 접근할 수 있도록 해야 한다는 필요성을 확실히 요약했다고 생각합니다. 그렇죠. 그리고 마블의 비유를 들어 설명하자면, 이러한 개념에서 두려움을 없애야 한다는 것입니다.그렇죠?사람들이 이렇게 말하게 만드세요. 아, 그건 상식이죠, 그렇죠?제 생각엔 그게 당신이 착지한 것 같아요, 그렇죠?제가 가끔 생각하는 제로 트러스트예요. 마케팅에 대한 과대 광고는 제쳐두고 보면 제로 트러스트는 보안 구축에 대한 상식적인 접근 방식이고, 확보하려는 것이 무엇이든 보호하는 것은 상식적인 접근법이라는 거죠, 그렇죠?자동차 문을 잠그는 것과 같은 방식으로, 차고가 차고에 있든 마당에 있든 상관 없습니다. 미국에서 말하는 것처럼 상식입니다.그래서 정말 마음에 들어요.고마워요, 니콜. 다른 보석들과 함께 공유해 주셔서 정말 고마워요.자, 이제 제로 트러스트를 사이버 에쿼티와 연결해 보겠습니다.이 둘은 어떻게 연결되어 있을까요?

35:45 니콜 티스데일

그래서 저는 사이버 형평성 정책 프레임워크를 만들어 사람들이 이해하기 시작할 수 있도록 노력하고 있습니다.많은 사람들이 여러분의 반응을 듣고 “아, 그래, 내가 이 일을 해야겠어.” 라고 말하죠.그러면 그들은 “좋아, 근데 어떻게 모든 걸 다 할 수 있지?”그래서 이걸 준비했어요.그리고 제로 트러스트를 사이버 형평성의 관점에서 생각하는 방식은 설계상 안전할 것이라고 생각합니다.그리고 몇 분이 오셔서 보안 설계에 대해 이야기하신 적이 있는 것으로 알고 있습니다.그래서 제가 말씀드릴 것은 제로 트러스트는 사이버 평등에 대한 최종 사용자의 부담을 없애야 한다는 것입니다.그리고 보안을 염두에 두고 설계했으면 좋겠어요.최종 사용자가 제로 트러스트를 더 쉽게 이해하고 구현할 수 있도록 보안 설계를 완전히 구현해야 합니다.제가 의회에 있는 백악관에서 하는 일 중 일부는 마치 업계 사람들을 만나는 것입니다. 왜냐하면 정책을 알아내려고 할 때, 제품을 만들 조직들과 실제로 이야기를 나누기 전에는 미국 정부가 모든 것이 제로 트러스트여야 한다는 연방 규정을 통과시키는 것을 절대 원하지 않는 것과 같고, 그 다음에는 옹호 단체들과도 대화하기 전에요.또 한편으로는 저는 신뢰를 피하고 확인하려고 합니다. 왜냐하면 저는 신뢰를 사용하는 것이 정말 싫기 때문입니다.공공 정책 세계에서는 다른 의미이긴 하지만 최종 사용자가 특정 측정치를 충족하면 신뢰할 수 있다는 생각이죠.제품이 처음부터 안전하도록 설계되어 있다면 제품을 더 쉽게 사용할 수 있을 뿐입니다.그래서 제가 항상 얘기하는 것 중 하나는 사람들에게 다단계 인증을 사용하는 가장 좋은 방법은 문자 메시지를 사용하는 것이 아니라고 조언하는 것입니다. 하지만 대부분의 경우 저는 다단계 인증은 고사하고 이중 인증에 대해 들어본 적도 없는 커뮤니티와 이야기를 나누고 있습니다.분명히 말씀드리자면, 문자 메시지에 의존하지 않으셨으면 하는 이유는 스팸 문자 메시지도 많이 받기 때문입니다.그래서 저는 처음부터 암호 키를 사용하는 방법을 가르쳐 주려고 합니다. 그래야 문자 메시지를 통해 안전한 세상이 존재할 수 있다는 사실조차 모르는 것처럼 말이죠.그래서 제게 있어 제로 트러스트는 사이버 에쿼티에서 무엇을 의미하는지만 최종 사용자, 즉 공평한 부분에 도달하기 전에 제품을 만들고 제품을 설계한 사람들이 이미 보안을 내장하고 있다는 것을 알 수 있습니다.그래서 제로 트러스트가 되는 것은 약간 이상한 방법인 것 같아요. 왜냐하면 대부분의 사람들에게 제로 트러스트는 제품과 제품을 조달하는 사람들에 관한 것이라고 생각하기 때문입니다.항상 최종 사용자에 관한 건 아니죠?그래서 어떤 회사는 제로 트러스트 아키텍처를 만들기로 결정했고, 여기서 일하려면 어떤 상황에서든 이 아키텍처를 사용해야 한다는 이야기를 합니다.주식 분야에서의 제로 트러스트가 항상 필수 사항은 아닙니다. 그렇죠?예를 들어, EBT 시스템이 모두 키 전달 방식으로 전환되지 않은 이유 중 하나는 해당 시스템이 서비스를 제공하는 커뮤니티에서 해당 디바이스에 액세스할 수 없기 때문입니다. 따라서 제로 트러스트 아키텍처의 가치를 인식하지 못하는 것은 아닙니다.그들은 이를 구현할 수 없습니다. 그러면 프로그램이 설계된 커뮤니티에 서비스를 제공할 수 없기 때문입니다.

39:19 라구 난다쿠마라

좋은 지적입니다. 저는 보안 설계에 대해 생각해 본 적이 없습니다. 실제로 Secure by Design을 채택하면 보안 공급업체이기도 하지만 서비스를 제공하고 앱을 구축하는 등의 조직이기도 합니다.Secure by Design을 채택하면 고객, 즉 귀사를 지원하는 사람들이 보안 관행을 더 쉽게 채택할 수 있겠죠?따라서 설계상 Secure by Secure (Secure by Secure by Secure) 를 채택하지 않는다면 고객이 보다 안전한 삶을 살도록 쉽게 만들 수 있는 것은 아니겠죠?즉, 그들은 자신에게 편리한 방법을 기본으로 사용한다는 뜻입니다.제가 말씀드리는 것은 좋은 보안이야말로 채택하기 쉬운 보안이라고 생각합니다.좋은 실천을 장려하기 때문이죠. 매일, 정기적으로 제품을 접하는 것을 좋아하는데 언제 사용하느냐와 비슷하죠. 그렇죠?보안 공급업체의 직원으로서 말하자면 일종의 사이버 형평성의 핵심은 매우 정교한 사용자뿐만 아니라 가장 숙련도가 낮은 사용자도 보안 제품을 최대한 쉽게 채택할 수 있도록 하는 것이라고 생각합니다.이것이 변화를 주도하는 방법입니다.앱이나 칩 및 PIN 카드 등을 통해 지원하는 최종 사용자에게도 동일한 원칙이 적용됩니다.

40:48 니콜 티스데일

네.제가 사용하는 또 다른 예로, 피싱에 대한 우리의 인식과 교육이 “나쁜 링크는 클릭하지 마세요”와 같은 것이 저를 미치게 만들고 있다는 것입니다.그리고 저는, 여러분, 사람들이 이렇게 말하지만 그건 정말 맞는 말이에요.범죄자는 한 번만 옳으면 돼요우리 할머니한테 하루에 500번씩 옳게 행동해 달라고 부탁하는 거잖아그건 미친 짓이야.보안은 의도적으로 설계된 거죠. 예를 들어 연방 정부가 보안을 향해 나아가고 있고 우리가 사람들을 밀어붙이고 있는 것처럼 말이죠.제 생각엔, 애초에 이런 링크가 사람들의 전화와 수신함에 나타나지 않도록 하려면 어떻게 해야 할까요?미국에서는 미국 우정청의 웹 사이트 끝이.gov로 끝나는 것으로 알고 있습니다.사람들이 왜 스팸 메시지, 즉 ups.com의 문자 메시지를 받나요?그렇지 않아요. 사실 그건 진짜가 아니에요.그런 짓을 하는 사람은 누구든 사람들에게 스팸을 보내려는 것 같아요.그러니 분명히 말씀드리자면, 제가 커뮤니티에 나가서 “좋아요, 그러니까, 문자 메시지를 열고 보게 되면 아마존이 아마존의 철자를 어떻게 쓰는지 생각해 보셔야 합니다.그리고 링크를 클릭한 후에는 상단에 자물쇠가 있는지 확인하세요. “여러분, 우리는 이러한 도메인 이름 시스템이 실제로 Amazon이나 UPS인 사람들에게 등록되어 있지 않다는 것을 알고 있습니다.그게 전화에 어떻게 나타나는 거죠?그럼 우리가 뭘 할 수 있을까요?”그래서 분명히 말씀드리자면, DNS 커뮤니티와 전 세계 아마존에 우리가 이 문제를 해결하려면 협상에 나서야 한다고 말하는 것이 훨씬 쉽습니다.그런 다음 수백만 달러 규모의 잘못된 링크 클릭 금지 캠페인을 시작했습니다.

42:33 라구 난다쿠마라

오, 물론이죠.재밌네요, 그 예를 들자면, 아빠는 한 달에 몇 번씩 아주 규칙적으로 이렇게 말씀하십니다. “이봐, 방금 이 문자 메시지를 받았어.클릭해야 할까요?”한 번 살펴본 결과 “아니”, 맞아요, 그건 합법적인 도메인이 아니에요.당신 말이 맞아요?왜냐하면 교육이 판도를 바꾸는 어떤 것들도 있잖아요. 하지만 똑같은 반복적인 메시지가 끊임없이 쏟아져 나오는 것도 사실 불가능하기 때문에 아무런 영향을 주지 않는 다른 영역도 있기 때문이죠.여기서 아빠를 대신해서 말씀드릴게요, 그렇죠?저는 아빠에게 “좋아, 이게 합법적인 도메인인지 아닌지를 알아내는 방법이야.” 라고 말할 수 있겠죠.그는 절대 할 수 없을 거예요.그는 절대 그걸 실천에 옮길 수 없을 거예요.그러니까, 네, 제 생각엔 그 부담을 덜어줘야 할 것 같아요. 마치 설계 원칙에 따라 보안을 되돌려주는 거죠, 그렇죠?이를 제공할 수 있는 조직에게 부담을 주고 업스트림으로 옮기면 최종 사용자가 틀에 얽매이지 않고 배울 수 있는 내용을 줄일 수 있습니다.

43:35 니콜 티스데일

네, 그리고 그들은 힘을 얻었다고 느낍니다.제가 항상 사람들에게 하는 말의 일부인 것 같아요. 예를 들어, 우리가 사용하는 용어나 용어에 대해 다시 얘기해보죠.이들 중 상당수는 단지 권한을 부여하지 않습니다. 그래서 사람들이 “글쎄요, 저는 이미 제 데이터를 잃어버렸기 때문에 이번 데이터 유출에 대해 별로 신경 쓰지 않아요.” 또는 다른 모든 회사들이 이전에 데이터를 잃어버렸듯이 권한 부여의 메시지가 아니기 때문입니다.예를 들어, 이전 데이터 유출로 인해 귀하의 정보가 도난당했을 수도 있습니다. 하지만 그것도 10년 전이고 10년 전에는 지금처럼 많은 돈을 벌지 못했습니다.너도 애가 없었잖아.여러분의 삶에서 변한 것들이 있습니다. 우리는 인터넷을 멀리하고 악의적인 행위자들의 손에서 벗어나고 싶습니다.그리고 우리는 여러분이 그렇게 할 수 있도록 힘을 실어주고 싶습니다.그리고 그것은 회복력에 대한 메시지이기도 하죠, 그렇죠?제가 항상 사람들에게 말하죠. 마치 제가 미용실에 있을 때나 식료품점에 있을 때는, 마치, 모든 것이 진짜 미친 것 같아요.그냥, 제 생각은 모든 사람이 비밀번호 관리자를 사용하도록 할 수 있고 사람들이 2단계 인증을 사용하도록 할 수 있을까요?사람들에게 부탁할 수 있는 더 정교한 일들도 있다는 건 알지만, 다시 말씀드리지만, 저는 그 누구도 암호 관리자라는 말을 하지 않은 커뮤니티에 살고 있습니다. 마치 여기 온 사람들이 자신의 생일과 별표가 안전하다고 생각하는 것처럼 말이죠.그렇죠?그래서 너무 웃겨요. 왜냐하면 저는 미용실이나 네일 살롱에 가서 “여러분, 들어가서 휴대폰의 비밀번호 관리자를 사용하기 시작할게요.” 라고 생각하거든요.예를 들어, 제가 사람들에게 그렇게 말하죠.제 생각엔, 그냥 지금 있는 곳부터 시작해보죠.제가 사용하는 물건들 중에 다른 것들이 있긴 하지만, 그냥 휴대폰에서 사용해보시길 바라요.일 년 후에 다시 대화를 나눌 수 있어요.그 후에 사람들은 이렇게 말하죠. “그럼 난 해킹당하지 않을거야.예를 들어, 난 잘할 거야.”저는 “아니요, 하지만 해킹을 당하는 것이 훨씬 더 힘들 거예요. 이렇게 하면 해킹당했을 때 더 빨리 복구하는 데 도움이 될 거예요.” 라고 생각했죠. 좋은 메시지입니다.예를 들어, 아무도 “아, 시간 낭비했어.” 라고 말해본 적이 없어요.전화하느라 시간 낭비했잖아그들은 이렇게 말하죠. “아, 알았어, 뭐라고요?그거 가져갈게요.”따라서 보안을 통해 사람들에게 힘을 실어주는 것은 단순히 좋게 들리는 것이 아니라 현실에 기반한 것입니다.농담이 아니에요. 대부분은 돌아와서 좋아하거나 그냥 어디서든 하기 시작하죠.제 생각엔, 이 사람들 중 상당수가 소셜 미디어 인플루언서 같은 사람들이에요.마치, 그건 네 돈인 것 같아.네, 인스타그램에 2단계 인증을 설정해야 해요. 인스타그램이 2주 동안 잠기면 어떻게 될까요?그게 바로 여러분의 생계이고, 그들은 다시 제게 와서 “좋아요, 그래서 비밀번호 관리 프로그램을 사용하고 있었는데 정말 빠져들었어요. 그래서 이제 다른 걸 다운로드할까 생각중이에요.그래서 저는 이렇게 생각했어요. “잘됐네요.그리고 여러분의 관심을 끄는 동안 PASS 키에 대해 말씀드릴게요. 예를 들어 암호 열차를 타고 있으니까요.보안을 강화해 봅시다.”권한을 부여받은 사람들은 더 많은 일을 하고 싶어하죠.그들은 활용하고 싶어하죠.그들은 스스로 선택하지 않습니다. 왜냐하면 당신이 그들에게 무엇을 하든지 간에 그들은 여전히 해킹을 당할 것이라고 말했기 때문입니다.마치 사람들에게 정직하면서도 힘을 실어줄 수 있는 것과 같습니다.

46:39 라구 난다쿠마라

네, 물론이죠.그게 바로 변화를 사는 거예요, 그렇죠?그것은 여러분의 메시지를 실천하고 그것을 여러분의 커뮤니티, 즉 여러분이 일상적으로 교류하는 커뮤니티에 전달하는 것입니다. “이봐, 저는 사람들이 공감하고 사람들이 이해할 수 있는 단순한 것들로 여기서 변화를 가져왔어요.”니콜, 많은 것들이 있는 것 같아요. 단지 당신의 배경과 당신이 만진 모든 것들 때문에 우리가 계속 이야기할 수 있는 것들이 너무 많다고 생각해요. 하지만 저는 당신의 시간을 매우 존중하고 의식합니다.하지만 2016년 선거가 그런 식으로, 선거 조작 등에 대한 우려가 있었던 아하 순간이었다고 말하지 않았다면 우리는 후회할 것입니다.사람들이 궁금해하죠. 일종의 민족국가들의 위협이 뭘까요?이제 2024년에 올바른 선거가 코앞에 다가왔습니다.지금까지 선거 보안과 관련된 우려에 대해 말씀드렸습니다.올해 선거의 무결성을 지키기 위해 무엇이 필수적이라고 생각하시나요?

47:44 니콜 티스데일

질문 해주셔서 감사합니다.다른 사람들로부터 들을 수도 있는 기술적인 답변은 아닌 것 같아요.선거 보안에 대해 생각할 때요.선거 보안에는 세 가지 기둥이 있습니다.투표하고 유권자 등록을 하는 데 사용하는 인프라가 있습니다.물리적 보안도 제공되므로 투표소에 물리적으로 접근할 수 있는 사람이라도 협박이나 두려움 없이 투표할 수 있도록 하세요.그리고 세 번째 기둥은 사고방식과 영향력 행사입니다.저는 특히 미국의 첫 번째 기둥에 대해 매우 확신하고 있습니다.2016년 이후로 저는 엄청난 성장이었어요. 2016년에는 정말 화가 났어요. 왜냐하면 제가 생각하는 것들이 너무 많았기 때문이죠. 어떻게 이런 일이 일어났을까요?그렇죠?예를 들어, 선거를 관장하는 국무장관들에게 우리가 정보를 가지고 있다는 사실조차 말할 수 없는 상황에 처하게 된 이유는 정보가 기밀이고 그들 중 누구도 보안 허가를 받지 못했거나 우리가 가지고 있지 않기 때문이죠, 모든 국무장관의 전화번호도 없잖아요, 그렇죠?우리가 그들의 1-800 번호로 전화하는 것 처럼요.하지만 우리가 물리적 인프라에 투자한 방식은 사이버 커뮤니티가 어떤 일이 일어날 때까지 기다렸다가 거기에 많은 돈을 투자하고 나서 그냥 나가서 “고쳤어”라고 말하는 것과 같았습니다.그래서 말씀드리자면, 2016년 이후 8년 동안 우리는 하원의 중요 인프라 측면과 선거 인프라 측면에서 많은 일을 해왔기 때문에 정말 기분이 좋습니다.미국의 물리적 안보 측면에서 볼 때, 우리는 투표에 대한 물리적인 협박에 시달리고 있습니다.저는 우리가 이 문제에 대해 진전을 이루고 있다고 생각합니다.저는 사람들이 협박당하거나 괴롭힘을 당하거나 신체적 공격을 당하지 않고도 투표하러 갈 수 있다고 느끼는 곳에 있는 것 같아요.하지만 지금 미국에서는 하원의 영향력이 매우 다르게 보입니다. 왜냐하면 사람들이 민주주의가 그만한 가치가 있는지 궁금해하기 시작한 것 같거든요.그리고 제 생각에 이건 버그가 아니라 특징이라고 생각해요. 누가 이겨야 하는지, 어떤 정당을 장악해야 하는지를 놓고 싸워야 한다는 것을 사람들에게 납득시킬 수 있다는 생각이 아니라 그들이 전혀 신경 쓰지 않기로 결정할 것이라고 설득할 수 있다는 생각이죠.제게는 그 반대라기보다는 문제이자 두려움에 훨씬 더 가깝습니다.미국의 2024년으로 접어들면서 저는 최근에 DEF CON에서 이에 대해 이야기했지만 뉴스에서도 이에 대해 이야기했습니다.2024년에 미국에서 해야 할 일은 투표에 전념하는 것입니다.투표에 전념해야 합니다.지금부터 선거일 사이에 무슨 일이 일어나든, 어떤 해킹과 유출이 나오든, 어떤 심오한 가짜 오디오나 비디오가 나오든, 위조가 있다면, 어떤 경우이든, 때가 되면 나타나서 투표할 것이라고 말씀하셔야 합니다.제 생각에 이러한 디지털 불황은 미국에서뿐만 아니라 전 세계적으로도 정말 새로운 현상이라고 생각합니다.제 생각에 많은 국가들이 이것을 보고 있다고 생각합니다. 사람들은 민주주의가 실현된다고 완전히 믿지 않기 시작했어요.사이버 형평성에 대한 논의로 돌아가 보겠습니다.이미 어려움을 겪고 계신다면 자연재해를 겪은 적이 있을 것입니다. 그리고 지금은 SNAP 프로그램이나 식품 혜택 프로그램에 가입되어 있는데 누군가 여러분의 돈을 훔치고 있는 것입니다.제가 민주주의를 지지하러 가야 하는 것처럼 행동할 수 있도록 정신적으로 준비하기란 정말 어렵습니다.분명히 말씀드리자면, 이런 사이버 형평성 문제 중 상당수는 보기에 좋지 않습니다. 민주주의의 기둥이죠.민주주의는 국민을 위해 봉사해야 합니다. 그렇지 않으면 민주주의가 무너집니다.종말이 가까워지고 있는 지금, 제가 보기에 선거 보안은 사람들이 우리 사회의 불평등을 해결할 수 있는 도구를 갖출 수 있도록 하는 것과 같습니다.그리고 사람들의 민주적 권리를 빼앗거나, 민주적 참여, 참여 의지를 빼앗으면, 제가 지금까지 말씀드린 것처럼 이러한 사이버 불평등을 해결할 수 없습니다.예를 들어, 저는 사실 공공 정책이 필요해요.범죄자들이 우리 의료 시설에 대한 공격을 멈추게 할 방법을 정부가 알아낼 수 있다는 것을 사람들이 믿었으면 좋겠어요.자녀가 학교에 다닐 때 데이터를 보호할 수 있다는 것이죠. 만약 제게 그렇게 하지 않는다면 그걸로 종말의 시작이죠.

52:21 라구 난다쿠마라

이 대화를 끝낼 이보다 더 강력한 메시지는 생각나지 않습니다.그냥 계속하고 싶어요, 니콜. 하지만 제 생각에 그건 슬램덩크였어요.이건 정말 우리 아이들이 안전하게 학교에 다닐 수 있도록 하기 위한 거예요. 올바른 교육을 받아서 아이들이 성장할 수 있도록 말이죠.사람들이 거리에 들어오지 못하게 하는 거죠.식탁에 음식을 올려놓는 게 관건이에요.병원 치료가 필요한 사람들이 제때 치료를 받을 수 있도록 하는 것이 관건입니다.그리고 사이버 형평성, 즉 모든 중요 인프라를 안전하게 유지하고 사람들의 안전을 유지하는 것은 모든 민주주의, 어느 사회에서든 가장 중요한 책임입니다.니콜, 오늘 강연하면서 많은 영감을 받았어요.이 세그먼트에 참여하기로 동의하고 멋진 게스트가 되어주셔서 정말 감사합니다.고마워요,

53:16 니콜 티스데일

물론 저를 초대해 주시고 청취해주셔서 감사합니다.너무 벅차게 느껴지길 바라요. 사람들을 위해 이런 문제에 대해 이야기하기 시작하면 좋겠지만, 이 팟캐스트를 듣기 전에 무엇을 했든 사이버 평등을 실천할 수 있습니다.그냥 형평성의 관점을 통해 설명하면 됩니다. 즉, 최종 사용자에 대해 생각하고 인간에게 미치는 영향을 생각하는 거죠.사실 저는 모두가 사이버의 공공 정책 측면에서 우리와 함께 할 필요가 없는 것처럼, 그들이 옳은 자리에서 그렇게 할 수 있는 사람들이 필요합니다.그렇게 해주셨으면 좋겠지만, 사이버 형평성의 관점에서 사이버 솔루션을 살펴보는 데 전념할 수 있는 기술 인력도 필요합니다.

53:55 라구 난다쿠마라

정말 멋지네요.고마워요.

53:56 니콜 티스데일

초대해 주셔서 감사합니다.

‍