FBI 플레이북 내부

라구 난다쿠마라 0:12

안녕하세요 여러분.The Segment의 또 다른 에피소드에 다시 오신 것을 환영합니다.이번에는 브라이언 보티그와 이야기를 나눌 수 있어서 정말 기쁩니다.이제 브라이언은 35년 동안 국가 안보, 공공 안전 및 컨설팅 분야에서 경력을 쌓았습니다. 여기에는 FBI 부국장, 미국 외교관, CIA 연락 담당관, 주, 시, 대학 경찰관, 국제 비즈니스 자문 회사의 파트너 등 35년 간의 국가 안보, 공공 안전 및 컨설팅 경험이 있습니다.그는 현재 맞춤형 자문 회사인 Global Trace에서 수석 고문으로 재직하고 있습니다.그가 지금까지 사용한 세 글자 두문자어는 정말 많은데, 오늘 그가 어떤 이야기를 들려줄 수 있을지 정말 기대가 됩니다.브라이언, 더 세그먼트에 오신 걸 환영합니다.

브라이언 보잉 1:01

초대해 줘서 정말 고마워요초대해 주셔서 정말 반가웠고, 지금까지 여러 번 들려온 이야기들, 그리고 아마도 몇 년 전처럼 전해지지 않았거나 관련성이 없었던 이야기들을 공유하게 되어 정말 기대가 됩니다. 이러한 이야기들이 오늘날의 환경에서 이루어질 수 있을 것입니다.

라구 난다쿠마라 1:16

환상적.기다릴 수 없어요.흥미롭네요. 우리가 이걸 녹음하고 있을 때, 브라이언, 제가 최근에 발견한 “The Rest is Cascied”라는 팟캐스트에 푹 빠졌어요. 제 생각엔 전직 영국 비밀경호국 요원이나 전직 미국 CIA 요원이 진행하는 것 같은데요, 그렇죠?정말 환상적이에요.그냥 스파이 크래프트의 다양한 측면과 실제 임무에 대해 논의하는 것과 비슷하죠.그래서 정말 흥미로웠어요.사실, 예를 들어 말씀드리자면, 여러분도 경험을 통해 공유할 수 있는 이야기를 좋아하실 겁니다.거기서부터 시작해서 그것이 당신을 어떻게 만들었는지 알아보는 건 어떨까요?

브라이언 보잉 1:52

글쎄요, 제가 DC에 있을 때 겪었던 낯선 이야기 중 하나를 말씀드릴게요.이건 사실 로버트 한센과 함께한 9/11 이전이었어요.로버트 한센은 FBI 스파이였죠. 최근에 감옥에서 죽었죠. 하지만 유죄 판결을 받고 종신형을 선고받았지만 그는 러시아에 정보를 넘겨주고 있었습니다.이 이야기는 아마 여러분이 생각하시는 대로 흘러가지 않을 거예요. 하지만 제 아내와 저는 DC에서 닥스훈트를 걷고 있었어요.우리가 아이를 갖기 전이었는데 한 신사가 제게 와서 닥스훈트도 키웠어요.그는 이 닥스훈트를 키우고 싶어했어요.그래서 아내가 그와 대화를 나눴는데 저는 그 대화 전체를 무시했어요.그러자 아내가 이 대화에 대해 말하더군요. 저는 엄마가 산책하는 동안 공원에 앉아 있었는데 제가 집에 돌아오기 전까지는 아무 생각도 하지 않았어요.다시 말씀드리지만, 지금은 2000년 초인데 로버트 한스가 체포된 직후입니다.하지만 9/11 이전에 집에 돌아왔을 때 발신자 ID 박스로 세 통의 전화가 왔어요. 기본적으로 러시아 대사관이었죠.알고보니 닥스훈트를 데리고 있던 사람은 대사관에서 일하는 러시아인이었어요.제가 생각할 수 있는 건, 로버트 한스 시대에 사람들에 대한 감시가 심해졌고, 이제 저는 이 행사에 러시아인들과 묶여 있었다는 것이었어요. 알다시피, 그들은 지금 제 집에 전화를 걸고 있어요.어떤 유형인지 알아내는 중이에요.그래서 다시 돌아가서 FBI에 이걸 보고해야 했어요.정말 웃겼어요. 제가 그들의 안내를 받자 그들이 물었거든요. 알다시피, 제가 뭘 해야 하는지 물었거든요.그러자 그 사람들이 말했죠. “계속 해봅시다.”그래서 다음 주말에 저는 러시아 대사관 앞에서 제 강아지를 데리고 왔다갔다갔죠.그리고 계속 생각했어요. 러시아인들이나 미국 스파이 기관에서든, 누군가, 누군가, 누군가 저를 보호하고 있어야 한다는 생각이 들었어요.그리고 이건 정말, 알고 보니 가장 어색한 상황 중 하나였어요.그 후 그가 와서 우리는 공원으로 돌아갔고, 개들은 우리가 원했던 것만큼 서로 어울리지 않았어요.어쩌면 언어 장벽이 있었을지도 몰라요. 그게 뭔지는 모르겠지만 그냥, 그냥 모든 일의 타이밍이었을 뿐이었어요.아시다시피, 많은 청취자들은 아마 발신자 ID 상자를 기억하고 있을 것입니다. 그 당시에 러시아인에 대한 감시가 강화되고 인식이 높아졌을 때 그 박스를 봤을 것입니다. 알다시피, 제가 런던에 있을 때, 우리는 노비촉으로 신경 작용제 발작을 일으켰습니다.그때가 2018년이었는데, 러시아와 우크라이나 전쟁이 있었던 오늘날을 보세요. 그 전쟁은 어디에 있는지, 그리고 최근에 있었던 미국의 개입의 일부분이죠.그래서 스파이 게임이 멈추지 않는다는 게 재밌네요.그리고 예상하지 못했던 순간에도 언제든 맞을 수 있습니다.

라구 난다쿠마라 4:30

물론이죠!오, 그거.멋지네요.러시아계 미국인들의 이런 교섭은 다 뭐야?아, 아무것도 아니에요.우리 개들은 단지 번식하고 싶어할 뿐이야그게 다예요.이건 그냥 개 사육용 반지입니다.

브라이언 보잉 4:38

어려운 부분은 제가 정말 할 수 없었고, 아내에게도 우리가 뭘 하고 있는지 말할 수 없었어요. 그래서 아내도 다음 주말에 계획을 세웠지만 우리는 이미 그곳에 다시 갈 준비를 했어요.하지만 저는 정말 어색했어요. DC에 있는 러시아 대사관 앞을 이리저리 걸어다니면서 개를 산책시키다가 언젠가는 개를 데리러 문 너머로 던질 거라는 생각이 들었어요. 알다시피, 거기 달려가서 뭔가 할 거라는 생각이 들었어요.하지만 그냥 스파이 게임은 전혀 예상하지 못했던 아주 이상한 반전을 경험하게 해준다는 거예요.아시다시피, 여러분이 보고 있는 TV 프로그램 중 상당수는 꽤 비현실적이라고 생각해요. 저도 가끔 보는데 극적인 요소 중 일부는 비현실적일 수도 있습니다. 하지만 너무 작아서 결국 일종의 교전이나 방첩 활동으로 전환될 수는 없습니다.

라구 난다쿠마라 5:26

정말 멋져요!좋아요, 브라이언, 지금 말씀드리자면, 그게 최고예요. 게스트 중 한 명이 팟캐스트의 세 번째 시즌이 될 이야기를 들려줬을 뿐만 아니라 아마도 최고의 이야기일 것입니다.그러니까, 이전 게스트들 중에 제가 누구에게 추천했든 간에, 와서 그보다 더 재미있고 신기한 경험을 공유해 주세요.

브라이언 보잉 5:53

필요한 것은 닥스훈트를 사는 것뿐입니다. 그러면 그런 우스꽝스러운 상황에 처하게 될 것입니다.

라구 난다쿠마라 5:59

정말 멋지네요. 제가 말했던 팟캐스트로 돌아가서, 사실 제가 듣고 있는 현재 에피소드를 기반으로 한 것은 책을 기반으로 한 것입니다.분명 십억 달러 스파이를 읽으셨을 겁니다.그리고 그들이 애셋을 먼저 다루고 나서 정보를 교환하기 위해 사용하려고 하는 다양한 스파이 기술에 대한 설명일 뿐이죠.창의성이 정말 대단하죠?마치 아이들이 하는 게임 같은 느낌이 들죠?제 생각엔 가장 긴장감 넘치는 극장 중 한 곳에서 정보를 교환하기 위해서였죠. 80년대 당시 세계에서 말이죠.

브라이언 보잉 6:33

네, 승무원 모집 과정은 매우 창의적입니다. 때로는 역할극을 하고, 참여하고, 만족스러운 상호 작용에 대해 토론하는 데 몇 주, 몇 달을 할애할 것입니다. 우연한 만남이 5초 미만으로 지속되기를 바랄 뿐입니다. 하지만 식료품점이나 교통 상황에서 우연히 마주치는 일이 성공했는지 확인하기 위해 5~6개월의 노력을 기울일 때도 있습니다.창의성의 양뿐만 아니라 여기에 들어가는 물류 작업도 놀랍습니다.

라구 난다쿠마라 7:13

물론이죠.그러니까, 제 말은, 특히 영화에서 볼 때, 우리가 미디어와 책에서 소비한 것, 스파이 기술의 많은 부분이 심리적이고 신체적인 접촉 같은 것들이죠. 그럼 세상이 점점 더 사이버로 변해감에 따라 어떻게 될까요?그리고 스파이 우주선이 사이버로 옮겨가는 추세는 어떻게 변할까요?사이버 세계와 보조를 맞출 수 있는 스파이크래프트는 어떻게 진화했을까요?

브라이언 보잉 7:44

흥미로운 점은 여전히 매우 행동적인 요소가 있다는 것입니다.심지어 사이버나 FBI에서도 크리미널 마인드를 수십 년간 지켜본 결과 모두가 아는 집단인 행동 분석 부서가 있습니다. 거기에는 사이버를 전문으로 하는 그룹이 있습니다.멀웨어와 다른 유형의 코드를 만드는 사람들이 있더라도 그 안에는 시그니처가 있기 때문이죠.사람들이 손을 잡는 걸 좋아하죠. 질문이나 문서 손글씨 분석을 할 때 코드 안에 서명이 있다는 거죠.그리고 코드 작성자들은 자신의 이름을 어딘가에, 자신을 식별할 수 있는 무언가에 광고적으로 넣거나, 그렇지 않을 수도 있지만 광고적으로 하지는 않지만, 무의식적으로 거기에 삽입하고 있습니다. 코드를 쓰는 방식, 작성된 문서에 문자 A를 쓰는 방식, 알다시피, 누군가가 코드에 쓰는 것과 같은 방식으로 자신이 누구인지 식별하는 데 도움이 됩니다.따라서 작성된 코드와 스크립트를 읽는 데에는 행동 분석 요소가 있습니다. 즉, 정말 놀랍도록 성장하고 있는 분야입니다.

라구 난다쿠마라 8:55

다른 행동과 마찬가지로 주변에 있는 것 같아요. 말씀하신 것처럼 공격자가 남기거나 식별하는 데 도움이 되는 그런 종류의 시그니처도 있는 것 같아요.하지만 또한 사이버 공격자의 전술이나 행동이 지난 몇 년간 진화하고 있다는 사실을 어떻게 알게 되셨나요?

브라이언 보잉 9:13

실제로 사이버 범죄를 기반으로 만들어진 비즈니스 모델이 있습니다.돌이켜보면 우리가 처음에 사이버 공격을 했을 때 우리가 했던 많은 작업은 웹사이트 훼손에 불과했습니다. 지금은 사소하고 기업으로서 쉽게 받아들일 수 있는 것처럼 보이지만 실제로는 비즈니스 모델로 옮겨갔습니다.저는 지난 10년 동안 랜섬웨어를 연구해 왔습니다. 아시다시피 FBI에서 근무하고 그 다음에는 컨설턴트로 일해왔습니다. 그리고 아시다시피, 여기 뒤에는 여전히 인간이 있고 그들은 사업을 운영하고 있다는 것을 깨달아야 합니다.똑같아요. 제가 처음 맡은 임무는 FBI에 들어갔을 때 영토 외 분대에서 일했는데 FBI 직원들의 영토 외 관할권을 담당하는 부대였죠.가끔씩 생각해 보세요.외계인이긴 하지만 그건 외계인이야.우리가 관할권을 갖고 있는 미국 밖에서는 사람들이 살해되거나 납치되고 FBI가 그들을 조사할 관할권을 가지고 있습니다. 우리는 몸값을 받고 많은 납치를 했고 아프리카에서는 어떤 집단이 누군가를 납치할지 알고 있었고 그들이 무엇을 원하는지 정확히 알고 있었습니다.아시다시피, 그들은 천만 달러를 요구하고 5명이면 사람들을 무사히 돌려보낼 수 있다는 것을 알았습니다. 그리고 이 그룹에 정보가 있다고 해서 미국 관광객들에게도 반복해서 그럴 것입니다.요즘 랜섬웨어에서 일어나는 것과 마찬가지로 여러분도 랜섬웨어가 발생합니다.들어가서 보면 알겠네요. 이게 어떤 그룹이든 상관없죠.알다시피, 저는 FBI나 다른 자문 회사의 모든 담당자들과 이야기를 나눴습니다. 이 문제를 이해하려고 말이죠.이것이 바로 그들이 운영할 방식입니다.24시간 이내에 후속 이메일을 보내게 됩니다.이걸 협박할 거예요.그들은 천만 달러를 요구할 거예요.다른 사람들이 지불할 때 지불하는 금액은 다음과 같습니다.이런 일이 일어납니다.알다시피, 랜섬웨어에 감염될 수 있을 만큼 명백하게, 아니면 보조 랜섬웨어를 얻게 될 수도 있습니다. 알다시피, 이제 컴퓨터를 잠금 해제했으니까요.하지만 이제 데이터를 파괴하고 싶다면 그 사이클을 이해해야 합니다.이건 정말 비즈니스이고 사이버 범죄는 비즈니스 모델로 변했습니다.보시는 것처럼, 북한이 무슨 짓을 하는지 보세요. 제 말은, 북한이 낮은 수준의 사소한 사이버 범죄를 통해 자금을 모으고 있다는 거죠. 그게 바로 이 시점에서 북한이 자국에 자금을 지원하는 방식이죠.그래서 저는 사이버 범죄를 하나의 사업이라고 생각합니다. 심지어 일부 스토킹 사건이나, 아시다시피 전 애인이 사적인 전 애인의 사진을 더러운 사진으로 올리는 경우도 있습니다.이건, 복수야, 복수야.하지만 여기에는 어느 정도의 사업적 측면도 있습니다.그들은 이 사람에게서 무언가를 얻으려고 합니다. 그게 그들을 더 좌절시키거나, 잠재적으로 돈을 지불하게 하는 것이든 말이죠.그러니까 그냥, 저는 이걸 비즈니스 모델로 보는데, 그게 이에 대응하는 가장 좋은 방법이에요.

라구 난다쿠마라 12:04

정말 흥미롭죠?왜냐하면 제 생각에 그 비즈니스 모델을 거의 복제하거나 적어도 방어자 쪽에서는 복제해서 어디에 가장 잘 배치할 수 있는지 찾아내서 비즈니스를 근본적으로 망가뜨리거나 방해할 수 있다고 생각하기 때문이죠. 예를 들어, 그 사슬의 어디에 집중해서 생산성을 떨어뜨리는 것을 막으세요?그렇게 접근하는 건가요?

브라이언 보잉 12:29

맞아요. 범죄자가 되는 비즈니스 모델에서 생각해 보면 훨씬 더 안전하죠.범죄를 저지르기 위해 이 예를 꽤 자주 들어요. 편의점에 침입할 경우, 영국에서는, 아시다시피, 시험 삼아 식료품점에 들어갔을 때, 영국의 테스코에서 돈을 훔쳤거나 711에서 돈을 훔쳤을 때 말이죠.침입해서 점원에게서 물리적으로 강도를 당했거나, 아니면 그들이 없을 때 금고에 들어가서 50달러를 훔쳤을 때 경찰이 나타나게 할 거예요. 경찰이 아주 편하게 지문을 찍고, 인터뷰하고, 비디오를 가져갈 거예요.하지만 같은 테스코와 같은 711에 누군가가 50만 달러를 훔쳤다면 사이버 범죄로, 아시다시피 사이버 관점에서 볼 때 침입해서 훔쳤다면 경찰에 신고할 수 있고 대부분의 관할 구역에서는 경찰이 손을 들어 “어떻게 해야 할지 모르겠어요.” 라고 말할 것입니다.이게, 우리가 하는 일이에요.그래서 만약 여러분이 범죄자들에게 조언을 해주려는 것은 아니지만, 사이버 세상에서보다 물리적 세계에서 잡히기 훨씬 쉽다면 말이죠.재택근무죠.컴퓨터에서 할 수 있어요.그래서 문제는 지리적인 사이버 세계에서 사람들을 희생시키고 있다는 것입니다.현실 세계에서는 어딘가에 가서 뭔가를 해야 합니다. 그래야 당신이 살고 있는 도시나 마을만 피해자가 되는 것과는 대조적으로 말이죠. 그렇지 않으면 여행하거나 어딘가를 구할 필요가 없죠.그렇기 때문에 전통적으로 오토바이 갱단을 무법자로 삼았던 스마트 조직이 사이버 범죄로 옮겨가는 것을 보셨을 것입니다.아시다시피, 그들은 여전히 마약과 폭력을 많이 저지르고 있지만 사이버 범죄도 저지르고 있습니다. 안전하고 돈을 벌었기 때문이죠.정말 재미있는 세상이네요.하지만 저는 항상 사이버 범죄를 비즈니스로서 먼저 바라봅니다. 이해하기가 더 쉽기 때문이고 그 다음에는 그런 식으로 비즈니스의 일부를 구분하려고 하기 때문이죠.

라구 난다쿠마라 14:21

네, 동의합니다. 사이버 범죄가 궁극적인 재택 근무라고 비유하거나 말씀하신 방식이 마음에 드네요, 그렇죠?아주, 아주 멀리 떨어져 있을 수도 있어요. 궁극적으로는 수익을 창출할 수 있는 게 뭐가 있을까요? 안전하죠. 하지만 그래도 매일 집에 가져가세요, 그렇죠?

브라이언 보잉 14:40

저는 FBI에 합류하기 전에 대학, 도시, 주, 경찰관이었어요. 그리고 당신은 관할권에 정말 집중하고 있어요.그러니까, 같은 사람이 있을 때 영국은 43개 기관과 조율이 좀 더 잘 되어 있는 게 조금은 낫지만 미국에는 17,000개의 법 집행 기관이 있죠.그리고 말이지요.그리고 그들은 피를 흘리는 물건들과 사람들의 집에서 물리적으로 도난당한 것들에 대해 걱정하고 있습니다.그리고 일단 한 도시에서 다른 주의 다른 곳으로 건너가면 경찰서의 자원을 고갈시킬 뿐이죠. 그렇게 할 수 있으려면 경찰서의 자원이 고갈될 뿐이죠.그러니까 사이버 범죄의 암울한 속내가 제대로 집행되지 않는 거죠.심지어 심지어 고등 범죄라도 연방 차원의 기소 기준을 충족하지 못하는 경우도 있습니다.예를 들어, 미국 국경, 몬태나나 아이다호에서 100파운드의 마리화나를 주려고 비유를 훔쳤다면 그건 큰 사건이죠.만약 여러분이 국경 순찰대원인데 남쪽 국경에서 누군가에게서 100파운드의 마리화나를 발견한다면, 그건 마치 경고와 같습니다. “이봐, 얘들아, 이거 부어라.치워 버리세요.”알다시피, 범죄가 일어나는 곳은 연방 관할 구역마다 다릅니다. 범죄와 관련된 달러 가치가 일종의 기소를 유도하죠.그러니까 뉴욕의 남부 지역인 뉴욕시에서는 아마 화이트칼라 범죄에 대해 10만 달러를 기소하지 않을 겁니다. 아마 그들이 사건을 제기하기도 전에 백만 달러의 기준액이 있을 겁니다. 만약 그게 어디에 있는지를 안다면, 그곳에서 일을 할 수 있고 대부분의 경우 처벌을 받는 일을 할 수 있습니다.

라구 난다쿠마라 16:18

네, 그렇게 표현하는 방식이 정말 마음에 들었어요, 그렇죠?일종의 관할 구역 밖에서 무언가를 목표로 삼을 때 법 집행을 피할 수 있는 것은 아닙니다. 하지만 법 집행 기관이 이에 대해 조치를 취하는데 드는 비용이 훨씬 더 많이 들기 때문에 그 전환점에 도달할 때까지 거의 반복적으로 일을 할 수 있다는 뜻입니다.

브라이언 보잉 16:43

캘리포니아에서는 물리적으로 볼 수 있습니다. 그들은 당신이 체포된 것에 대한 기준을 높였죠. 도둑질 혐의로 950달러 정도였거나 그 외의 모든 것은 그냥 티켓일 뿐이었죠.그래서 도둑질이 엄청 심해졌어요. 모두가 이렇게 말했기 때문이죠. “뭐, 할 수 있어요.그들은 아무 것도 하지 않을 거예요.”그러니까 우리가 사이버 범죄에 휘말렸다는 거죠.이에 대해 조치를 취하는 사람이 많지 않아요.

라구 난다쿠마라 17:03

그럼 그냥 그 주제에 대해서만 생각하세요, 그렇죠?자주 질문을 받는데 거의 매달 하는 것 같아요. 다른 기사가 있거나 기자가 “아, 그렇죠.” 라고 하더군요.좋아요, 랜섬웨어처럼, 조직에서 비용을 지불해야 할까요, 아니면 지불을 거부해야 할까요? 그리고 돈을 지불하면 벌금을 물어야 할까요?하지만 랜섬웨어는 절대 돈을 지불해서는 안 된다는 법을 제정해야 할까요?몸값을 지불해야 하죠?그거 어디 앉으세요?

브라이언 보잉 17:33

FBI에 있었을 때 저는 그 자리에 앉을 수 없었고 사건을 처리하는 동안에도 알 수 없었습니다.저는 어떤 기업이나 단체에 그런 지침을 줄 수 없었어요. 그들은 스스로 결정을 내려야 했어요.그러다가 사이버보안 컨설팅 업무로 자리를 옮겼고, 결국 그 자리에 꽤 많이 머물게 되었고, 자리에 앉아 이러한 결정을 주도하는 CEO와 CFO의 이야기를 들어야 했습니다.정말 개개인에 따라 결정되죠.제가 생각하기에, 우리는 한 법률 회사가 랜섬웨어의 피해자가 된 사례를 다루고 있었는데, 그들이 돈을 지불하지 않았다면 그들은 더 이상 존재하지 않을 것이기 때문이죠.그렇죠?정확히 말하자면, 그들의 독점 정보, 변호사 고객 정보가 압수되었고 그로 인한 평판 훼손도 공개되었습니다.그들은 자신의 정보에 액세스할 수 없었을 뿐만 아니라, 비즈니스 관점에서 볼 때 이러한 지원 없이는 존재할 수 없었습니다. 그들이 정보를 되찾을 수 있다고 생각한 유일한 방법은 몸값을 지불하는 것이었습니다.백업을 더 잘 해낸 곳도 있지만 그렇지 않은 곳도 있습니다.회사에서 할 수 있는 최악의 일 중 하나는 데이터를 저장하는 것입니다. 더 이상 필요하지 않다는 것을 알면서도 그냥 보관하기만 하면 됩니다.왜냐하면 어떤 유형의 침입이나 랜섬웨어의 피해자가 되면 수십 년 동안 축적된 데이터를 이제 수백만 명의 고객에게 알려야 할 책임이 있기 때문입니다.여러분의 이전 고객은, 그들은 어디에서도 여러분의 고객이 아닙니다.더 이상 그들과 아무 상관이 없는데 이제는 범죄를 없애지 않았기 때문에 그들은 범죄의 피해자가 되었습니다. 하지만 이에 대해 아주 잘 대비하고 있는 회사들이 있습니다.이들은 데이터 거버넌스를 잘 활용하고 있으며, 랜섬웨어에 감염될 경우 자체 복구 및 재구축 기능을 갖추고 있으며, 몇 개월이 아닌 하루 분량의 작업을 잃을 수도 있습니다.그래서 저는 앉아서 양쪽 진영을 모두 봤어요.당신이 절대 몸값을 지불하지 않을 거라고 절대 말하지 않을 거예요.그리고 납치된 사례로 돌아가서, 제가 일하던 미국인들 중에 몸값이 나오는 경우도 있어요.아시다시피 몸값을 지불한 이유는 5,000달러, 다시 5,000달러 정도로 낮출 수 있기 때문이죠. 아직 이에 대한 지침을 제시할 수 없었죠.정부 관료로서 사람들은 그 문제에 대해 각자 스스로 결정을 내려야 했지만, 때로는 그것이 사건을 해결하는 가장 좋은 방법이었죠.

라구 난다쿠마라 19:47

그래서 제 생각엔, 이 특정 항목에 대해 마지막으로 말씀드리자면, 일종의 랜섬웨어 지불 금지 조치가 시행되고 있다는 얘기는 사람들이 생각하는 방식으로는 아마도 생산적이지 않을 것 같다는 생각이 듭니다. 왜냐하면 그들은 그것이 범죄자들을 미루게 할 것이라고 생각하기 때문입니다.하지만 사실, 이로 인해 조직이 미묘한 입장을 취하고 최선의 이익을 위한 일을 하는 것이 더 어려워질 것이라고 생각합니다.

브라이언 보잉 20:13

이것은 중요한 도구를 없애 버릴 것입니다. 놀랍게도 말이죠.자, 컨설팅을 통해 많은 사람들이 랜섬웨어의 피해자가 되면 법 집행 기관에 개입하기를 원하지 않는다는 것을 알게 되었습니다.그래서 FBI에서 봤던 것들도 알고 있었죠.하지만 제가 법 집행 기관이 관여하지 않는 곳에서 일하는 사람들이 너무 많아서 회사는 자체적으로 해결하기로 전략적 결정을 내렸습니다.그래서 그 돈을 제쳐놓으면 피해자를 두 배로 만들 수도 있습니다. 피해자의 피해자였던 사람이 사업적 결정을 내렸는데 이제 갑자기 또 처벌을 받게 되는 거죠.그러니까 비즈니스 도구를 아예 없애 버리는 거죠.인센티브를 떨어뜨릴 수도 있겠죠.사이버 보험은 돈을 지불하고, 누가, 어떻게 지불하는지, 지불하기 전에 어떤 일을 했는지에 대한 일종의 와일드 웨스트 (Wild Wild West) 라고 할 수 있는 방법이 있습니다.따라서 특정 방법을 통해 지불에 대한 인센티브를 줄일 수 있습니다.하지만 그걸 만드는 건 잘 모르겠어요, 알잖아요.다시 말씀드리지만, 만약 당신의 아이가 납치되어 ISIS에 붙잡혀 있고 미국인으로서 해서는 안 되는 상황이라면 우리는 ISIS에 돈을 주어서는 안 됩니다. 만약 제 아이를 돌려받는 방법이 대금이었다면, 그리고 제가 테러 조직에 물질적 지원을 제공했더라도 저는 제 아이를 되찾을 거예요.따라서 옵션을 배제하는 것이 기업에 더 좋은 결과를 가져다 줄 수 있을지 모르겠습니다.

라구 난다쿠마라 21:43

네, 아니요, 동의해요, 그렇죠?그리고 조직이 최대한, 가장 신중한 결정을 내릴 수 있도록 하려면 유연성이 있어야 한다고 생각합니다.그렇지 않으면, 제 생각엔 완전히 숙고할 수 있는 무기고나 선택지가 없는 것 같아요. 그렇죠?그리고 그렇습니다. 그리고 그들은 차선책인 접근법을 취하고 있을지도 모릅니다.사이버 보험에 대해 다루셨잖아요그리고 보험 등에 대해 많이 말씀하셨는데, 사이버 보안 공급업체로서 이 분야는 매우 애매한 영역이죠, 그렇죠?이런 대화를 나누는 것은 언제나 흥미로워요. 예를 들어 통제력이 제대로 되어 있는 걸까요?이게 사이버 보험을 망가뜨리고 있는 걸까요?얼마예요?다양한 시나리오, 지급금 등에서 보험 제공자의 의무는 무엇입니까?예를 들어, 사이버 보험 전반에 대해 어떻게 생각하시나요? 오늘날 사이버 보험이 조직에 혜택이 되든 적절한 보험을 제공하고 있는지요?이 주제는 정말 방대합니다.어떻게 생각하세요?

브라이언 보잉 22:45

정말 지루한 일이에요. 제가 드리는 모든 것을 알아차린 것 같아요.잠깐 현실 세계로 가져가 볼게요.제 보험에는 10대 운전자 두 명과 어린 쌍둥이 운전자 한 명이 있습니다.그러니까 제 자동차 보험, 운전하다가 사고가 나면 말이에요.안전벨트를 착용하지 않았더라도 착용해야 합니다. 그러길 바라요.보험은 여전히 보장을 해주고 있어요.사고로 우리 잘못이 있더라도 보상은 받을 수 있어요.사이버 보험에 가입한 결과, 많은 서비스 제공자와 브로커들이 저희가 요구하는 조치를 취하지 않은 부분이 있는지 알아보는 초기 기간이 있다는 걸 알게 되었어요?이제 돌아가서 제 사이버 자동차 보험 정책을 읽어봐야겠어요. 아마 안전벨트를 매야 한다고 적혀있을 거예요.안전벨트를 착용해야 하고 또 착용해야 합니다.하지만 사이버 보험이 들어왔고 그 중 몇 군데에서 알게 되었는데 그들이 가장 먼저 하는 일은 우리가 이 일을 어떻게 해결할 수 있을지 알아내는 것입니다.그런 것도 없으셨나요? 왜냐하면 사이버 보험료를 지불하는 데 드는 비용이 너무 커졌고, 게다가 그들이 할 수 있는 일도 매우 제한적이기 때문이죠.그래서 그들은 누군가를 데려올 것입니다. 하지만 10가지 다른 문제를 발견했더라도 무엇이 잘못되었는지 찾아내고 그 문제를 완화하는 데만 도움을 주거나, 다시 시작하고 운영할 수 있게 해 주지만, 그렇지 않습니다. 하지만 백업과 운영은 복구와 다릅니다. 그리고 복원력은 보통 몇 달, 몇 달 동안 고쳐야 합니다.그래서 제한된 부분만 다루는데, 이는 도움이 될 수 있습니다.하지만 사고가 발생한 지 4~5일이 지났는데도 사이버 보험이 비용을 지불할지 또는 어떻게 처리할지 알아내려고 하는 경우가 많습니다.그래서 이 분야는 계속 진화하고 있는데 몸값이 3백만 달러를 지불하기 때문에 비용이 너무 많이 들어요. 아시다시피, 보험에 포함되는 것을 제외하고는 우리의 몸값이 적용되나요?글쎄요, 만약 당신이 이런 일을 했다면 말이죠.그래서 저는 정책이 복잡해지고 점점 더 복잡해지고 제한적이게 되고 그런 회사들을 요구하고 있습니다. 만약 제 아이들이 길을 운전하면서 펜더 벤더를 쓰게 되면 안전벨트를 착용하지 않았다면, 음, 미안해요, 안전벨트를 매고 있어야 하는 것처럼 말이죠.이제 의료비와 그 밖의 모든 비용을 부담하시게 되셨으니 저희가 이 특정 비용을 지불하는 것은 아닙니다.아니면, 네, 당신은 이 특정한 교통법규를 따르지 않았잖아요.음, 그게 우리가 사고를 당한 이유죠.네, 정말 복잡한 세상인 것 같아요. 지금 사이버 보험에 가입하고 보험을 유지할 수 있다면 저는 계속 유지할 것입니다. 왜냐하면 지금 사이버 보험에 가입하고 보험을 유지할 수 있다면 더 비싸질 거라는 보장만 할 수 있으니까요.

라구 난다쿠마라 25:14

제가 말씀하신 것처럼 사이버 보험의 복잡성에 대해 말씀하셨던 것처럼, 실제로 보장되는 내용입니다. 그리고 우리 모두 알다시피 사이버 사고의 수가 말 그대로 매일 증가하고 있기 때문입니다.이런 생각이 들기 위해 우리는 점점 더 많은 사이버 보험에 가입하고 있습니다. 하지만 여러분들의 의견은 사이버 보험에 대한 많은 투자가 아마도 우리가 생각하는 것과 같은 보장을 제공하지 못한다는 것을 암시하는 것 같아요.제 생각에 우려스러운 점은 제가 이 수준에서 보장을 받을 것으로 예상되기 때문인데, 실제로는 여러분이 여기서 보장된다는 뜻입니다. 즉, 보험사가 아닌 한 사람만 지불하는 엄청난 격차라는 뜻입니다.

브라이언 보잉 25:59

사이버 보험에 대한 많은 오해가 있습니다.그래서 컨설턴트로서 우리가 한 일 중 하나는 사이버 사고와 사이버 보험 정책을 살펴본 것입니다.흥미롭게도 가장 어려웠던 점 중 하나는 회사가 때때로 보험을 찾는 것이었습니다.그 때는 모든 시스템이 랜섬웨어에 갇히지도 않았죠.알다시피, 저는 “좋아요, 사이버 보험은 어디 있어요?” 라고 생각했죠.누가 가지고 있는지는 모르겠지만 DC에 있어요.아무도 찾을 수 없어요.그냥 컨설턴트의 입장이었어요. 정말 좋았어요. 컨설턴트가 보험을 찾는 동안에도 4시간 동안 비용을 청구할 수 있으니까요.하지만 그걸 꺼내서 자세히 살펴보고 어떤 내용이 보장되고 어떤 것이 보장되지 않는지 이해하려고 노력하는 것은 매우, 매우 복잡했습니다.그리고 후속 전화가 정말 많이 걸려왔고, 심지어 브로커도 가끔씩 “뭐, 이걸 했거나 저걸 했으면.”매우 복잡합니다. 그리고 제가 컨설턴트로 일했던 계약에 사이버 보험을 사용하는 경우가 대부분이었는데, 결국 보험 적용 대상이 아닌 추가 작업에 대해 다른 사람을 고용하거나 본인 부담으로 비용을 지불해야 사고에 대응할 수 있습니다. 하지만 앞으로 몇 달이 걸리는 복구 및 복원력을 모두 보장할 수는 없습니다.전에 말씀드린 그 로펌의 경우 사이버 보험에 가입하지 않았지만 랜섬웨어를 사용하는 동안 완전히 새로운 네트워크를 구축해야 했습니다. 우리는 완전히 새로운 네트워크를 만들어 고객이 고객과 통신할 수 있도록 하고 있습니다. 기존 시스템을 폐기하고 새 시스템을 구축하는 것이 더 쉬웠지만 보험 정책이 적용되지 않았을 것입니다.

라구 난다쿠마라 27:32

그건 미친 짓이야.제 말은 말 그대로 최악의 시나리오라고 할 수 있습니다. 말 그대로 전체 인프라가 쓸모없게 되는 것이죠. 왜냐하면 당신이 가진 어떤 것도 믿을 수 없고 처음부터 새로 구축해야 하기 때문이죠.그러니까, 절대 갖고 싶지 않고 꼭 하고 싶은 일이잖아요.하지만 제가 궁금해하는 것은 사이버 보험의 전체 개념이 분명히 있기 때문이죠. 그리고 문제는, 조직으로서, 여러분도 그걸 가지고 있느냐는 거죠.일반 보험 증권의 일부로만 포함되어서는 안 되는 것과 같고 분명히 있습니다.적절한 보장을 받을 수 있는 전담 전문 사이버 보험에 가입해야 합니다.하지만 그 결과 우리가 쇠퇴할 수도 있다고 생각하시나요, 아니면 실제로 나쁜 습관을 들이고 있다고 생각하시나요?이것이 의미하는 바는 우리가 환경에 미치는 위험을 완화할 방법을 찾고 있다는 것입니다. 그리고 그에 대한 투자를 하고 있다는 거죠.그 대신, 우리는 근본적으로 수용할 수 있는 사이버 보험을 찾는 데 훨씬 더 집중하고 있습니다. 아니면 우리가 해결하지 못했지만 근본적으로 해결하지 못한 취약점의 위험을 그냥 이전할 것입니다.우리가 잘못된 문제를 해결하려고 한다고 생각하시나요?

브라이언 보잉 28:45

네, 왜냐하면 보험은 절대 해결책이 될 수 없으니까요.네, 바로 우리가 위험에 대해 이야기할 때 위험을 감수할 수도 있고, 제거할 수도 있고, 이전할 수도 있습니다. 그리고 위험을 이전하는 것은 제가 다루었던 대부분의 기업에 적합하지 않습니다. 아시다시피, 포춘지 선정 500대 기업이라면, 감당할 수 없습니다.그리고 대부분의 중견기업은 위험을 그냥 전가하고 싶어하지 않습니다. 왜냐하면 기본적으로 저는 회사를 포기할 의향이 있기 때문이죠.하루가 끝날 때 제게 그 대가를 지불해 주셨으면 좋겠어요.정기적으로 투자해야 하는 투자에 대한 경종을 울릴 수 있을 거예요.바로 조직 내에서 정기적으로 실시하는 인프라, 보안 및 데이터 프라이버시입니다.문제는 잘 해낼수록 사고가 발생할 가능성이 적다는 것입니다.그리고 사건이 없으면 “아, 내가 뭘 구했는지 봐봐.” 라고 보여줄 수 있는 게 거의 없어요.그러니까, 어, 일종의 양날의 검이긴 하지만, 모든 기업이 조직의 사명과 비전에 대한 책임감을 갖고 서로 연결되어 있는 세상에서는 그럴 수 없습니다.인력 및 인력 개발에 투자하는 것만큼이나 이 분야에도 투자해야 합니다.소프트 스킬 관련 교육을 위해 사람들을 다양한 분야에 파견하는 거죠.사람들을 리더십 교육에 보내거나 정책 작성이나 엔진 수리 방법이 아닌 기술적 기술이 아닌 다른 일에 파견하고 있습니까?하지만 이러한 소프트 스킬 중 일부에 투자하는 것은 조직에서 더 큰 관점에서 해당 소프트 스킬에 투자하는 것과 일종의 기능상 같습니다.

라구 난다쿠마라 30:23

제 생각엔 이런 식으로 생각해요, 그렇죠?제 말은, 미국의 국가 사이버 보안 전략 같은 것들에 대해 말씀하신 적이 있으시죠.이 부분에서는 미국의 내부, 즉 미국의 소유권, 공공 부문과 민간 부문에 대해 다루고 있다는 것을 알고 있습니다.통제와 방어가 점점 더 강해지죠?그럼, 그런 전략은 어때요?그러면 그들은 어떻게 실제 실행에 들어갈 수 있을까요?사이버 위험 감소의 단계적 변화를 볼 수 있도록 말이죠.

브라이언 보잉 30:57

정말 C 스위트 수준입니다.위에서 아래로 내려와야 합니다.재밌는 게, 제가 FBI에 있었을 때 2012-13년에 저는 40개의 미국 기관으로 구성된 전국 사이버 수사 합동 태스크 포스를 운영했습니다.그 후 우리는 두 개의 외국 기관을 데려와 다양한 위협에 대해 협력했습니다. 주로 중국, 러시아, 북한을 비롯한 몇몇 다른 지역에 초점을 맞췄습니다.하지만 예전에는 항상 CEO를 데려왔고, 이런 상황이었죠. 사이버 업계에 민간 부문을 들여오기 시작한 시기가 바로 그 때였죠.그 전에는 한 회사에 가서 “이봐, 네 네트워크에 러시아가 있다는 걸 알려주고 싶어서”라고 말하곤 했습니다.그러면 그들은 이렇게 말하겠죠. 음, 무슨 말이에요?그러면 이렇게 말하세요. “뭐, 더 말씀드릴 수 없어요.전부 기밀이에요. 하지만 아시다시피.”그리고 저기서 알람이 울리는 것 같아요.그리고 기부하기 시작했고, 언젠가는 허가를 줄 수 있게 하는 과정에 들어갔죠.사람들을 데려와서 기밀 브리핑을 하고 구체적으로 말하죠. “이게 무슨 일이야?” 라고 하면서 C 스위트에 브리핑을 시작했습니다. “이봐, 세상에 무슨 일이 벌어지고 있는지 알 수 있는 기회가 필요하다는 걸 깨달았어요. 이런 침입과 문제의 피해자였던 민간 부문이 우리에게 돌려줄 수 있을 거라는 걸 깨달았어요.C 제품군을 도입해야 할까요?다시 말씀드리지만, 10여 년 전만 해도 이 CEO 중 일부는 자신의 IT 부서에서 이런 일이 벌어지고 있는지 전혀 몰랐습니다.그 당시에는 그냥 “아, 그래요.네, 알았어요.IT 부서에 제가 가지고 있다고 나와요.”신뢰였어요. 하지만 신뢰와 검증은 아니었어요.그냥 “오, 그래, IT 담당자”였고, 모든 것에 대한 해답은 “IT 담당자, 오, IT 담당자”였습니다.하지만 IT 담당자가 누구인지는 알려줄 수 없었죠.그는 아직 조직의 고위급 회원이었음에도 불구하고 클럽에 합류하지 못했습니다.지난 12년 동안 이러한 변화가 있었고 C 스위트가 사이버 보안에 훨씬 더 많이 참여하고 있는 것을 보았습니다.첫 번째는 그래야 하기 때문이죠. SEC와 다른 사람들을 통해 규제를 받고 있기 때문이죠. 좋은 정부 개입이나 문제 해결의 예가 될 것 같아요. 다시 말씀드리지만, 이들 중 상당수가 포춘지 선정 500대 기업이었는데 CSO들은 전혀 몰랐습니다.그래서 제 생각에 우리는 일종의 사이버 방어 체계를 가지고 있는 것 같아요. 아시다시피, 그들은 전혀 몰랐던 것 같아요.하지만 이제 아시다시피 컨설턴트 시장이 곳곳에 있습니다. C 스위트에 나가서 C 스위트에 대한 간략한 설명으로 사람들이 사이버에 정통한 사람이 되려면 최고위급 수준에서 빠르게 적응할 수 있게 될 것입니다.하지만 최고위급 수준에서 이를 믿지 않으면 절대 해결될 수 없습니다.절대 조직에 맡길 수 없을 거예요.수익을 창출하는 것도 아니고, 수익 창출원도 아니기 때문에 밀어올릴 수 없습니다. 하지만 숨겨져 있는 간접 수익 창출원이기 때문입니다.

라구 난다쿠마라 33:45

네, 네, 물론이죠.저도 동의해요, 그렇죠?그리고 저는 사이버 시대가 단순히 IT 부서의 문제라기보다는 이사회 차원에서 지나치게 많이 사용되는 용어를 사용하게 된 것이 상당한 영향을 미쳤다고 생각합니다. 하지만 제 생각에 우리는 그렇다고 생각하지만, 다른 관점에서 생각해 보면 보안 리더, CSO, CSO, 그들이 우려하는 것 중 하나는 보안과 마찬가지로 예산 부족으로 어려움을 겪지 않는 기능인 경우가 많습니다. 그렇죠?하지만 문제가 되는 것은 투자에 사용하는 예산이 위협이나 공격 위험을 실질적으로 줄이는 결과를 가져오는지 어떻게 알 수 있느냐는 것입니다. 그렇죠?왜냐하면 우리는 온갖 종류의 그래프를 볼 수 있기 때문이죠, 그렇죠?사이버 환경에 대한 가장 최근의 설문조사를 꺼내보면 두 개의 직선이 보이시죠?하나는 사이버에 대한 투자죠?일종의 기하급수적인 성장 차트와 사이버 공격 비용 차트가 좋든 좋든 좋을까요?성장 차트도 좋죠?그럼, 언제쯤 가능하죠.그 변화죠.언제부터 사이버 투자로 인해 사이버 플랫라이닝 비용이 발생하기 시작할까요?

브라이언 보잉 35:07

실제로 기업 위험에 빠지기 위한 요구 사항이 있다고 생각합니다.아시다시피, 전략 관리는 조직의 다른 모든 위험과 함께 사이버도 살펴봐야 합니다.이렇게 하면 모든 비즈니스 매니저, 심지어 마케팅, 배송, 공급망 등 어떤 부서에 속해 있든, 비즈니스에서 해야 하는 일이 무엇이든 간에, 기업 전반을 살펴봐야 합니다.이렇게 하면 위험 순위를 매길 때 IT가 모든 것에 영향을 미친다는 것을 알 수 있습니다.여러분이 인사 담당 책임자이고 채용부터 은퇴까지 모든 것을 책임지고 있다면, 요람에서 요람으로 넘어가겠지요.HR 부서에는 IT 위험을 안고 있는 수많은 HR 부서가 있지만 IT 담당자가 CISO가 모든 위험을 감수할 수는 없습니다.HR은 이러한 위험을 감수해야 합니다.그들은 이렇게 말해야 합니다. “오, 우리는 여기서 원격 근무를 하는 가짜 탈북 직원을 고용하고 있는데, 아시다시피 모두 인도에 거주하는 줄 알았어요.”알다시피, 그건 HR 문제예요.하지만 여기에는 IT 리스크도 있습니다.아니면 최고 재무 책임자 (CFO) 일 수도 있습니다. 그는 아웃소싱을 맡아서 계약을 담당하고 있는데, 알다시피 우리가 속았다는 사실을 깨닫게 되죠.한 기업의 사례를 보고 CISO에게 이렇게 말하게 하는 거죠. “이봐, 내가 이 위험의 주인이 아니야.저는 여러분의 조언자가 되어 이 모든 위험을 해결할 수 있도록 도와드리기 위해 여기 있습니다.” 하지만, 한 조직의 모든 IT, 모든 것을 책임지는 단일 부서로 만드는 것과는 대조적으로 말이죠.IT는 인적 자원이든, 재정이든 상관 없지만 기업 위험 전략의 관점에서 보면 우리가 그냥 위험이라고 부르는 많은 위험을 감수할 수 있는 유일한 방법이라고 생각합니다. 왜냐하면 그것은 IT 위험이 아니고, HR 위험이거나, 재무 위험이거나, 공급망 위험인데 CISO로서 제 것이 아니기 때문입니다. 0과 1과 전선이 연결되어 있기 때문입니다. 그건 당신의 위험입니다.저는 여러분이 이러한 위험을 관리할 수 있도록 도와드리기 위해 왔습니다. 하지만 CISO에 모든 부담과 책임을 지우지는 않습니다.

라구 난다쿠마라 37:17

좋은 지적이라고 생각합니다. 다시 말씀드리지만, 여기서 설명하는 것은 조직의 관점과 비슷한 진화라고 생각하기 때문이죠, 그렇죠?보안이 단순한 IT 문제를 넘어서는 것으로 진화한 것과 마찬가지로 사이버 위험도 기업 위험의 핵심 부분으로, 사이버 위험이 이러한 다른 요인으로 이어지는 방식을 훨씬 더 총체적으로 살펴보아야 합니다. 사실상 아무 것도 격리되지 않도록 말이죠.

브라이언 보잉 37:46

네, 제가 뉴욕 버펄로에서 FBI 사무소를 운영할 때는 매주 월요일 아침마다 제 모든 리더십을 맡았어요.회의실에는 40명 정도 있었는데 우리는 여기저기 돌아다니며 다양한 주제에 대해 토론하곤 했습니다.마치 새터데이 나이트 라이브를 건너뛰고 있는 것 같았어요. 왜냐하면 대테러리즘에 대해 이야기하던 사람이 돌아다니면서 범죄에 대한 이야기를 하고 그 다음에는 첩보부 담당자를 만나고, 그 다음에는 새러데이 나이트 라이브라는 IT 담당자와 만나게 되죠.거의 모든 사람들이 고개를 숙이고 메모를 시작하는 것을 볼 수 있었습니다. 예를 들어, 그가 언제 그렇게 기술적인 것에 대해 이야기할지 아세요? 저는 신경 쓰지 않아요.우리 IT가 제대로 작동하지 않았다면 사람들은 시간을 투자할 수 없었기 때문에 돈을 받지 못했을 겁니다.네, 자동차를 고칠 수는 없었어요. 아시다시피 앱을 통해 자동차 일정을 잡아야 했고 IT 담당자가 이 방에서 가장 중요한 사람이었기 때문입니다. 사람들은 자신의 전체 업무, 전체 기능이 키보드에 손가락을 대고 무언가를 할 수 있는 능력에 달려 있다는 것을 인식하지 못했습니다.저희 애널리스트를 위해 다크 웹을 통해 정보를 찾아보는 것이든 말이죠. 하지만 거의, 아시다시피, 거의 볼 수 있을 거예요.그러면 누구나 시간을 내서 자리나 그 밖의 모든 것을 재정비하겠지만, 자신의 직책이 조직의 다른 모든 것을 지원하는 역할이라는 것을 깨닫게 되면 그 사람이 하는 일의 중요성이 정말 높아집니다.그리고 무언가가 무너질 위험이 정말 그의 것일까요?내 말은, 컴퓨터가 고장나면, 네, 그 사람이 바로 그 사람이에요.그는 소리를 지르겠지만 자동차가 고쳐지지도 않을 것이고, 사건들도 해결되지 않을 것이고, 사람들은 돈을 받지 못할 것입니다.

라구 난다쿠마라 39:17

네, 네, 물론이죠.사실, 맞아요. 일종의 위험과 위험 관리에 대해 말씀드리죠.사실 흥미로운 게 있어요.런던에 있을 때 LinkedIn에 올린 게 불과 며칠 전이었잖아요이건 인류 역사상 가장 큰 비극 중 하나인 그렌펠 타워 참사 직후의 일입니다.당신의 말을 인용하거나 LinkedIn을 인용하자면, “런던의 그렌펠 타워를 지나서 야외 행사에 가다가 비극적으로 많은 목숨을 앗아간 끔찍한 지옥을 목격했습니다. 이 파괴적인 사건은 최악의 시나리오는 불가능에 불과하다는 가정에 뿌리를 둔 여러 번의 실패의 결과였습니다. 최악의 시나리오는 위험 관리로서 불가능에 불과하다는 가정에 뿌리를 두고 있습니다. 안전 및 보안 업계의 전문가 여러분, 우리의 책임은 이를 어느 정도 인식하는 것입니다.재해 발생 가능성이 미미해 보이더라도 완화 노력은 매우 중요합니다.”제 생각에 이 글을 인용하는 이유는 사이버 위험과 사이버 공격을 적용할 때 이것이 매우 중요하다고 생각하기 때문입니다. 왜냐하면 공격이 성공할 확률은 낮지만 0은 아니라고 생각하기 때문입니다.우리가 당면한 문제는 예방, 예방, 예방을 위해 너무 많은 노력을 기울였기 때문에 예방이 실패할 경우에 제대로 대비하지 못했다는 것입니다.그리고 실패하면 큰 실패를 겪습니다. 그래서 우리는 그 영향을 어떻게 억제할 수 있을까요? 완화에 훨씬 더 많은 투자를 해야 하는 이유죠.그렇죠?그게 당신의 관점인가요?

브라이언 보잉 40:53

그거야.제 법 집행 경력에서 가장 충격적인 두 가지 사건을 다시 설명해 드릴게요. 제 양심에 정말 충격을 주었고 믿을 수 없었죠.1995년 오클라호마 시티 폭탄 테러였어요.그 당시 저는 앨라배마주에서 경찰관으로 근무했지만 뉴스를 켜고 건물만 보고 있을 때 그게 가능하다는 생각조차 하지 않았던 기억이 납니다.그 후, 9/11 테러가 일어났을 때 저는 DC에 있었는데, 첫 비행기가 탑에 부딪히는 것을 봤어요. 끔찍한 비극이었죠.거기서 큰 사고가 났어요.그러다가 다른 한 명이 맞았어요.알았어, 알았어, 그건 나쁘다.그리고 저는 펜타곤의 최초 대응 요원이었죠.하지만 그건 정말 제 양심에 충격을 줬어요.그건 제가 생각지도 못했던 일이었어요. 그런 일이 일어날 가능성에 대해서요.그러니까, 당신이 말하는 건 아주 작은 가능성이죠.이제 저는 여러분이 보험 및 의료 산업에서 보는 모든 것에 대비할 수 있게 되었습니다.방금 CEO가 살해됐어요. 처형은 아마 생각지도 못했을 거예요.그런 일이 일어날 수 있는 아주 작은 가능성 중 하나였는데 실제로 일어났고 이제는 행동이 바뀌었죠.제 시대로 돌아가서 CEO들에게 브리핑을 하면서 다시 한 번 얘기하곤 했어요.저는 일종의 유머러스하게 만들려고 했어요. 마치 AA 미팅처럼 말이죠. “사이버 공격의 피해자가 되어도 괜찮아요.사이버 공격의 피해자가 되어도 괜찮아요.”그게 일종의 표준이었기 때문이죠. 아, 아시다시피, 사이버 범죄와 인식의 진화는 우리가 피해자가 될 수 없다는 것이었습니다. 어떤 유형의 공격도 피해자가 될 수 없으니까요.그래서 그들은 우리가 피해자가 될 수 없다고 말하겠죠.많은 회사들이 그랬고, 저는 그들을 뒷방으로 데리고 가서 이렇게 말하곤 했습니다. 이봐, 음, 어디서 볼 수 있는지 보여드릴게요.아시다시피 중국은 여러분의 네트워크에 팝 포인트를 설정하고 있습니다.오, 맙소사.따라서 사이버 공격의 피해자가 되어도 괜찮습니다. 이를 완화하고 대응할 준비가 되어 있지 않은 것은 좋지 않습니다.아시든 모르든 모든 회사는 사이버 공격의 피해자였습니다. 사이버 공격은 아시든 모르든 말이죠. 그래서 예전에는 사이버 공격은 평판에 흠집을 주기도 했습니다.이제 그들이 사이버 공격의 피해자가 되어도 괜찮습니다. 하지만 10년 치 데이터를 보관하고 있었거나 고객 데이터를 잃지 않았거나 적절하게 암호화했습니다.만약 당신이 해낼 수 있다면 저는 30살이고 32살의 총을 들고 다니는 32살이에요.길을 걷다 보면 여전히 범죄의 피해자가 될 수 있어요.자, 제가 어떻게 반응하느냐에 따라 달라지죠. 만약 제가 바닥에 쓰러져서 태아의 자세를 잡기 시작하면 울기 시작하죠. 알다시피, 그게 끝이에요.하지만 누군가 제 얼굴에 총을 맞았는데 제가 반응할 총이 없어서 지갑을 주죠.그들이 원하는 건 뭐든 줘요.저는 떠나요.저는 살아있어요.제가 이겼어요.그러면 신용카드, 운전면허증, 그 외 모든 것을 되찾을 수 있어요.그럼 그 공격에 어떻게 대응하세요?하지만 예전에는 피해자가 되는 것이 평판에 흠집이 났어요. 적어도 사람들은 그렇게 생각했었죠.따라서 자신이 그럴 수 있다는 것을 인식하는 것만으로도 그 사건에 어떻게 대응하느냐에 따라 사람들이 당신을 어떻게 바라보는지에 따라 달라질 수 있습니다.

라구 난다쿠마라 43:51

네, 저는 이것이 훌륭하게 바로잡았다고 생각합니다. 그리고 제가 말씀드리는 것은 일종의 제로 트러스트 접근 방식을 취하는 것과 비슷합니다. 예를 들어 사이버 보안 방어 체계를 구축하는 방법을 알려주는 제로 트러스트 전략과 같습니다.다시 말씀드리지만, 그것도 거기에 뿌리를 두고 있는 것 같아요, 그렇죠?공격자가 조직 환경에 침입할 방법을 찾아낸다는 사실에 뿌리를 두고 있죠, 그렇죠?따라서 제로 트러스트, 즉 제로 트러스트의 채택이 관건입니다. 그러면 공격자가 자유롭게 움직이거나 사물에 액세스할 수 없도록 하려면 어떻게 해야 할까요?우리는 누군가가 침입자가 되어 우리 환경에 들어와 그들이 할 수 있는 일을 제한할 수 있는 상황에 대비하고 있습니까?그리고 제 생각에는 사이버 레질리언스에 대한 요구가 점점 더 커지고 있는 추세는 세계경제포럼 (World Economic Forum) 에서 하향 조정되고 있는 것 같아요. 그렇죠?다시 말씀드리지만, 완전히 괜찮다는 점에서 상당히 많은 부분이 일치합니다.사실, 여러분은 사이버 공격의 피해자가 될 수도 있지만, 이에 대처할 준비가 되어 있지 않다고 말할 수는 없습니다.말씀하신 것처럼 브라이언은 매우 강력하다고 말씀하셨습니다.정말 고마워요.사실, 우리 앞에 있는 그 지점이죠.끝으로, 제가 한 가지 여쭤보고 싶은 게 있는데요, 영토 외계인에 대해 말씀하셨는데 혀를 놓치셨고 외계인에 대해 말씀하셨잖아요.그럼 51구역에는 정말 뭐가 있는 걸까요?

브라이언 보잉 45:13

글쎄요, 거기서 일하는 보안관을 알고 있었어요.네, 사실 그 사람은 학생 중 한 명이었고, 수업 중 한 명이었어요.재밌네요. 기억에 남는 X 파일이라는 프로그램이 있었으니까요. 아마 앞뒤로 재생될 거예요.FBI는 X 파일을 가지고 있지 않았어요. 그들은 X 파일을 가지고 있지 않아요.X 파일은 없어요.이 사이트에는 파일이 전혀 없기 때문에 파일을 보낼 수 있습니다. 순환 파일 또는 휴지통이라고도 합니다.하지만 들어오는 모든 것은 기록되고 보관됩니다.그리고 한번은 어떤 사건도 겪었는데요, 누군가 신고하다가 외계 영토를 목격했다고 보도했었죠.그래서 그 사람들이 그랬기 때문에 우리는 그것을 기록해 놓았죠. 그리고 그 사람은 돌아서서 정보 자유법 (Freedom of Information Act) 요청을 제출해서 우리가 그 정보를 가지고 있는지 알아보곤 했습니다.그리고 우리가 이 정보를 제로 파일에 넣었기 때문에 그의 우려는 사실로 확인되었습니다.그가 말했죠. “아, 거기에 대한 정보가 있네요.” 하지만 그건 그의 정보일 뿐이었죠.그러면 그 사람, 우리는 그걸 나한테 돌려주고 “아, 더 가져야 돼.” 라고 말하곤 했어요.하지만 그가 의장에게 정보를 제출했기 때문에 이제는 요청이 들어왔기 때문에 더 많은 정보가 남았습니다.그러니까 이게 바로 이 회람식 보도였죠.그 사람은 이렇게 말하곤 했죠. 아니요, 그들이 가지고 있는 정보도 있어요.글쎄요, 맞아요. 그래서 그게 어떻게 돌아가는지 웃기네요.하지만 지금 무인 항공기의 세계, 그리고 뉴저지 상공에서 벌어지고 있거나 보도되고 있는 것을 보면, 미국에서 우주군이 창설되면 앞으로 벌어질 더 많은 것을 배우고 볼 수 있는 기회가 있습니다.아시다시피, 우리는 사이버 공간의 물리적 세계에 대해 많이 이야기했습니다. 하지만 지상과 건물 위에는 우버와 다른 회사들을 볼 때 사람들이 이곳 저곳으로 날아다니는 모습을 보기 시작하는 세계가 있습니다.이건 완전히 새로운 세상입니다. 제가 오클라호마 시티와 9/11에 대해 말씀드렸던 것의 창으로 다시 들어오게 된 거죠. 아시다시피, 제가 누군가를, 아시다시피, 제 딸이 공항에서 내려왔고, 여기 문앞에 날아다니는 드론을 타고 왔을 때 의식에 충격을 주죠.내 말은, 우린 아니야, 우린 그런 것들과 그리 멀지 않아.

라구 난다쿠마라 47:16

물론이죠, 브라이언, 여러분의 경험에 대해 듣고 이야기를 나눌 수 있어서 정말 기뻤습니다. 팟캐스트에서 했던 이야기 중 가장 재미있는 이야기를 들려주셨어요.하지만 그 외에도 사이버 보험, 사이버 위험 완화, 복원력 구축, 공격자에 대한 사고 등 매우 통찰력 있는 관점이 많이 있습니다.시간을 내주셔서 정말 감사합니다.

브라이언 보잉 47:43

기회를 주셔서 감사합니다. 그리고 다른 사람들이 자신과 조직을 위해 할 수 있는 최선의 결정을 내릴 수 있도록 최선을 다하는 데 필요한 최고의 정보를 제공해주셔서 감사합니다.정말 고마워요.

라구 난다쿠마라 47:53

정말 고마워요, 브라이언.이번 주 The Segment 에피소드를 통해 더 많은 정보와 제로 트러스트 자료를 찾아주셔서 감사합니다.저희 웹사이트 illumio.com에서 확인해 보세요.LinkedIn과 Twitter Illumio를 통해서도 저희와 연락하실 수 있습니다. 오늘의 대화가 마음에 드신다면 팟캐스트를 어디서 얻으시든 저희의 다른 에피소드도 찾아보실 수 있습니다.제가 호스트 라구 난다쿠마라입니다. 곧 다시 찾아뵙겠습니다.

‍