


사이버 보안의 재검토: 인식에서 권한 부여까지
이 에피소드에서는 호스트 라구 난다쿠마라가 스탠포드 대학교 학생이자 열정적인 사이버 보안 옹호자인 카일라 구루와 이야기를 나눕니다.카일라는 14살에 여정을 시작하여 Bits N' Bytes 사이버 보안 교육을 설립하게 되었습니다.그녀는 사전 예방적 사이버 교육의 중요성, 정부 및 민간 부문 조직과의 협력에서 얻은 통찰력, 사이버 보안 방어에서 AI의 역할을 공유합니다.Kyla는 또한 제품 개발에 보안을 통합하는 것과 사이버 보안에 대한 인식을 제고하는 데 있어 풀뿌리 커뮤니티 참여의 중요성을 강조합니다.
성적 증명서
00:00
다시 말씀드리지만, 더 세그먼트의 또 다른 에피소드입니다.이번에는 카일라 구루를 맞이하게 되어 정말 기쁩니다.그녀는 가장 놀라운 배경과 놀라운 스토리를 가지고 있어요.그래서 더 이상 고민하지 않고 바로 그 이야기로 들어가고 싶어요.카일라, 더 세그먼트에 오신 걸 환영합니다.
00:19
고맙습니다.고마워요, 라구초대해 줘서 고마워요, 일루미오
00:23
이 팟캐스트에 여러분을 초대하게 되어 기쁩니다.제 말은, 보통 게스트에 대한 간단한 소개 자료를 만들지만, 여러분만 제대로 하실 수 있을 것 같아요.그럼 배경에 대해 말씀해 주세요.질문은 이것으로 남기겠습니다.
00:42
네, 모든 것이 시작된 곳으로 데려다 줄 수 있어요.그래서 저는 카일라예요. 지금은 스탠포드 대학교에 재학 중이에요.저는 컴퓨터 과학과 국제관계를 공부했어요.그리고 저는 이제 석사 과정을 밟고 있습니다.하지만 제가 열네 살이었을 때 사이버에서의 제 여정이 본격적으로 시작되었죠.저는 고등학교에 들어갈 무렵이었어요. 그때가 1학년 초반이었던 것 같아요.그리고 사이버보안에 관심을 갖기 시작했어요.사이버에서 여름 캠프를 몇 번 했어요.그냥, 관심이 너무 많아져서 인터넷 검색으로 가까운 여름 캠프를 검색해 봤어요.가장 가까운 곳을 찾아서 찾아갔어요.이것이 바로 이 거대한 여정의 시작이었습니다.그리고 그 여정이 시작되었어요. 여름 캠프에서 돌아왔을 때 깨달았어요. 제가 배운 교훈들은 고립된 것만이 아니라 여름 캠프에서의 1주일간의 학습에만 국한되어서는 안 된다는 것이었죠.사람들이 인터넷을 할 때 염두에 두어야 할 상식이 바로 이런 것 같다는 생각이 들었어요.정말 한 가지 생각이 떠올랐고, 그때부터 저는 어떻게 하면 이런 종류의 사이버 위협과 생활 속의 사이버 위험에 대해 실제로 교육하고 인터넷을 할 때 배운 기술을 발휘할 수 있을 것 같은 느낌을 줄 수 있는지 알아보기 시작했습니다.그래서 제가 사는 지역의 기존 사이버 교육 프로그램과 존재하던 NGO (비정부 조직) 에 대해 알아보았습니다.그 당시 제가 온라인에서 본 것들 중 상당수는 반응성이 매우 강해서 개인을 사전에 교육하는 것이 아니라 단지 교육을 위한 것이었습니다.그리고 현지 CIO와 우리 동네의 CISO와 이야기를 나눴을 때, 그들도 자신들이 취한 많은 노력이 사후 대응적이었다고 말했습니다.그 때 저는 이제 누군가가 능동적인 측면에서 좀 더 노력해야 할 때라고 생각했습니다.그래서 어떻게 하면 아주 지역적인 차원에서 사이버 교육 프로그램을 시작할 수 있을지 찾기 시작했습니다. 그냥 자전거를 타고 동네 초등학교에 가서 아이들이 한가할 때마다 5~10분씩 수업을 해주면 되죠.이것이 오늘날 비츠앤바이트의 사이버 보안 교육 비영리 단체인 눈덩이처럼 불어났습니다.사이버 교육을 위해 노력하고 전 세계 모든 사람들이 사이버 교육에 더 쉽게 접근할 수 있도록 하는 데 전념하고 있는 국제 비영리 단체라고 말할 수 있어서 기쁩니다.간단히 말해서, 저는 이러한 교육 활동을 꽤 오랫동안 이끌어 왔고, 이제 거의 8년째 되는 걸까요?그리고 그 과정에서 저는 걸콘 컨퍼런스라는 여성 기술 컨퍼런스도 시작했습니다.그 이유는 제가 사이버 전문가들이 모인 이 방에 들어갈 때마다 회의실에 있는 남성과 여성 사이에 심한 불균형이 있다는 것을 어찌어찌 깨달았기 때문입니다.그리고 성별 불균형이 꽤 두드러졌습니다. 특히 회의실에서 레벨을 올리고 이사회 수준이나 최고경영자 수준의 대화와 같은 수준으로 진행하면서 더욱 그랬습니다.저는 이런 변화가 아주 심란하다는 걸 깨달았어요.그래서 그때부터 여성 테크 컨퍼런스를 시작했어요.오늘 이 행사도 열리고 있습니다.이제 막 일곱 번째 연례 행사를 가졌는데, 커뮤니티에서 계속 성장하고 있고, 저 자신도 리더이자 학습자로서 계속 성장하고 있습니다.정말 신나는 여정이었어요.
04:15
좋아, 난 그냥 그 모든 것에 경외감을 느낄 뿐이야.잠깐 시간을 내서 그 부분에 대해 좀 더 자세히 설명해 보죠.다시 돌아가고 싶습니다. 방금 말씀하신 많은 내용을 좀 더 자세히 살펴보고 싶기 때문입니다.하지만 다시 14번으로 돌아가서 사이버에 관심이 있다고 하셨잖아요.저한테는 어린 자녀가 있고 저와 저희 맏이는 14살도 채 안 돼요.그리고 그는 사이버에 특별히 관심이 없어요.그래서, 어떤 점에 푹 빠졌는지, 어떤 점에 끌렸나요?
04:50
네, 좋은 질문이네요.솔직히 우리 가족이 저녁 식사 때 이런 대화를 나눴던 것 같아요.저희 아버지는 캐나다에서 사기 수사관으로 일하셨어요.그는 사이버 전문가는 아니지만 직업과 교육을 받은 회계사입니다.그 때문에 그는 돈 사기나 금융 범죄 같은 것들에 쉽게 노출되어 있습니다.그래서 그는 이런 것들에 대해 말하기 시작하곤 했는데 어느 날 저를 그의 전문 행사에 데려갔는데 그 연사는 전직 금융 범죄자였는데 그 연사는 전직 금융 범죄자였습니다. 그리고 그는 자신의 일하는 방식과 왜 그런 일을 했는지에 대해 이야기하곤 했습니다.그리고 그는 회계사들로 구성된 방 밑에서 괜찮다는 이야기를 하고 있었습니다. 다음 번을 위해 실사를 하고 감사를 하는 방법은 다음과 같습니다.그런 대화들이었는데 처음에 제가 관심을 가지게 된 계기는 뭐죠? 이 분야가 뭐죠?이런 것들에 맞서 싸우고 이 사람들을 이해하려고 하는 사람들은 누구일까요?사실 제가 사이버에 관심이 없었던 것과는 다른 방향으로 갈 수도 있었을 것 같아요. 하지만 GenCyber에서 했던 첫 캠프에 대한 이야기였죠.제 생각에 그 중 일부는 교수님들을 보여줬다는 점이었다고 생각합니다. 예를 들어 디지털 포렌식을 하던 교수님이나 사이버 범죄자의 이면에 있는 심리학을 연구하는 교수님들, 아주 멋진 부분들이었어요. 저한테는 정말 다양한 학제들처럼 느껴졌어요.마치 컴퓨터 공학 전문가가 아니어도 이 분야를 이해하거나 이 분야의 전문가가 될 수 있었던 것 처럼요.그게 모든 것의 작은 부분인 것 같아서 정말 흥미로웠어요.그리고, 네, 하지만 제 생각엔, 사람마다 다를 것 같아요.제 생각엔, 아이들이 스파이 영화 같은 영화를 더 많이 보게 하는 것도 도움이 될 것 같아요.아, 제가 어렸을 때 했던 일 중 하나는 애로우 (The Arrow) 라는 프로그램을 본 거였어요.애로우에는 슈퍼히어로를 돕는 해커 우먼이 있어요.그리고 그녀는 지하에서 일종의 구세주로서 물류 같은 작은 일들을 하느라 시간을 절약해 주죠. 여기로 가서 이 남자를 태깅하는 등 말이죠.그래서 펠리시티 스모크를 봤는데 제 모습을 정말 볼 수 있었어요. 미디어를 통해 제 모습이 표현되는 걸 처음 보는 것 같았어요.그 때 저는 “좋아, 어쩌면 이게 내가 실제로 할 수 있는 일일지도 몰라요.” 라고 생각했죠.그리고 이건 정말, 정말 멋질 것 같아요.그것도 일부분인 것 같아요.
07:22
확실히 사이버에는 멋지다는 이미지로 훨씬 더 많은 것을 할 수 있을 것 같아요.어떤 면에서는 일종의 스타트업 문화가 개발자가 되는 것을 멋지게 만들었죠, 그렇죠?30년 전만 해도 멋진 직업은 아니었죠.하지만 이제는 누구나 개발자가 되고 싶어하고, 개발자가 되고 싶어하죠.그거 정말 대단하네요.그러고 나서 어떻게 돌아가셨는지 말씀하시고 CISO, 즉 현지 커뮤니티의 CIO와 이야기를 나누셨죠.그리고 그들의 반응은 사이버 교육에 관한 것이었습니다.우리가 사이버에 대해 이야기하는 방식은 매우 반응적입니다.그래서 뭔가 나쁜 일이 생기면 우리는 이에 반응해서 “아, 미래엔 이런 일은 피하자”라고 말합니다. 암호를 예로 들어보죠.네, 맞아요.애완동물의 이름을 비밀번호로 사용하지 마세요. 좋아요, 가서 변경하세요.그래서 소개하기 시작한 것들 중에 사이버 교육에 대한 사전 예방적 접근이 가능했던 것들은 무엇이었나요?
08:28
네, 그리고 처음에는 아주 작게 시작했죠, 그렇죠?학교가 동의한 것은, 분명히 이 길을 따라 이 첫 번째 학교와 파트너십을 맺은 것이었고 제가 몇 가지 제안을 했을 때 학교도 동의해야 했습니다.그래서 첫 번째는 5분짜리 정보 비디오였는데, 학생들을 위해 애니메이션으로 제작되었죠.그래서 제가 이 비디오를 만들었죠. 마치 아주 오래된 애니메이션 소프트웨어를 사용해서 학교에 가서 배운 것 같아요.프레젠테이션에 대한 반응 같은 게 훨씬 더 많은 도미노를 촉발시킨 것 같아요.첫 반응과 마찬가지로 학생들은 매우 적극적으로 상호작용하면서 “어떤 종류의 암호를 말하는 거니?” 와 같은 질문을 던졌습니다.매우 비판적인 질문처럼 “학교에 이메일 계정을 가지고 있는데 이메일 비밀번호에 신경을 써야 할까요?”학생들이 보안이 자신의 삶에 어떻게 적용되는지에 대해 생각하기 시작했다는 것을 알 수 있습니다.그 때 저는 이런 생각이 들었어요. 다른 학교들과도 관련이 있을 수 있겠네요. 제가 사는 동네 학생들뿐만 아니라제 커뮤니티가 상당히 진보적이었기 때문이죠. 마치 크롬북과 디바이스를 학생들이 일대일로 사용할 수 있었던 것처럼 말이죠.그리고 저는 그저 기술 접근성의 스펙트럼에 있는 다양한 커뮤니티를 상상해 보았습니다.저는 우리가 사이버 교육을 많이 하지 않는다면 사이버 교육이 어떤 모습일지 크게 상상할 수 없을 거라고 생각했습니다.그래서 그 당시에는 초중고 표준화된 사이버 교육 과정이 없었죠.그렇게 시작했죠.그리고 그때부터 웹사이트를 시작했고, 더 많은 자료를 내놓기 시작했죠.정말 첫 번째 도미노였다고 할 수 있겠네요.
10:11
그리고 저는 사이버 교육이 매우 중요하다고 말하고 싶습니다.기업 세계에서는 크고 작은 모든 조직과 마찬가지로 매년 테스트하는 일종의 보안 인식 교육을 실시합니다.그리고 정말 좋아요.우리 애들 학교에서 본 적이 있는데, 아주 어릴 때부터 온라인 안전, 온라인 보안에 대한 얘기가 오갔었죠.하지만 제 질문은 항상 그렇죠. 인식이 정말 중요하죠.하지만 그 영향을 어떻게 측정할 수 있을까요?네, 우리 모두 알다시피, 예를 들어 강력한 암호를 만들어야 한다는 거죠. 이 경우에는 암호문으로 넘어가거나 심지어 암호 목록을 사용하는 것에 대해 이야기했는데, 이는 현재로서는 큰 움직임입니다.하지만 인식의 효과를 어떻게 측정할 수 있을까요?그리고 그것이 실제로 영향을 미치고 사이버 보안을 개선하고 있는지 어떻게 알 수 있을까요?
11:09
영향은 측정하기 어렵습니다.이것은 아마도 NGO와 비영리 단체들이 가장 다루기 어려운 질문일 것입니다. 여러분이 교육하고 있는 일이 실제로 일어나지 않는다는 것을 어떻게 알 수 있을까요?성공의 궁극적인 척도는 사이버 범죄의 감소나 사이버 위협의 감소이기 때문입니다.이는 업계 종사자들도 측정하기 매우 어려운 수치입니다.이를 완화할 수 있는 몇 가지 방법이 있다고 말씀드리고 싶습니다. 즉, 즉각적인 측정이 가능하죠.예를 들어 단기 측정치를 예로 들자면, 프로그램 직후에 설문조사를 보내면 즉각적인 결과를 많이 포착할 수 있습니다. 예를 들어 세션 후에 더 안전하다고 느끼시나요?우리는 이런 내용을 더 많이 보고 싶습니다. 그런 즉각적인 반응이 나왔으면 좋겠어요.그리고 우리는 학생들에게 질문을 던진다는 점에서 학생들이 세션을 통해 실제로 무엇을 배웠을까요?때때로 우리는 단지 그들이 그 내용을 알아차리고 그 내용을 인지하고 있는지 보기 위해 객관식 선택을 하기도 합니다.그리고 우리는 장기 프로그램을 통해 학생들을 여러 번 만나거나 다음 해, 다음 해에 학생들을 볼 수 있는 프로그램도 하고, 좋아요, 종단적 연구처럼, 학생들이 이런 프로그램 때문에 사이버에 갈 가능성이 더 높다고 생각하는지 알 수 있습니다.그리고 그 부분은 질적, 양적 측정을 통한 것입니다.그들과 이야기를 나누고 그들의 한 해가 어땠는지, BitsnBytes가 그들에게 어떤 영향을 미쳤는지에 대해 이야기하는 것과 같습니다.그리고 설문조사를 양적으로 살펴보기도 했죠.이 두 가지가 모두 약간씩 작용한다는 뜻이죠. 일반적으로 NGO에 미치는 영향이 크다고 할 수 있겠습니다.그리고 BitsnBytes는 학생들이 공유하는 이야기와 이야기를 통해서입니다.그리고 그 중 많은 부분이 정말 강력했습니다.예를 들어, 우리가 주최하는 행사에서 주최하는 컨퍼런스를 바탕으로 섀도잉 기회를 얻을 수 있었던 학생들 말이죠.그리고 학생들 중에는 자신의 여동생이 비슷한 사기를 당했거나 데이터 유출 상황과 같은 비슷한 데이터를 겪었다는 이야기를 들려주기도 했습니다. 그리고 그들은 마침내 그 세션에서 정확히 무슨 일이 일어났는지 이해했습니다.마치 설문조사에서처럼 비슷한 이야기를 나누는 것 처럼요.그리고 이것들을 읽으면 정말 흥미로워요. 실제로 무언가를 연결한 것 같은 느낌을 주기 때문이죠.네, 제 생각에 진정한 영향력과 비전은 5~10년 후에 이 사람들이 업계에 뛰어들 때 매우 보안을 중시하는 전문가라는 것입니다.
13:53
네, 물론이죠.맞아요.그리고, 제가 생각하기에 특정 부분의 초반부에 말씀하셨는데, 이러한 프로그램들의 영향을 측정하는 것은 어렵다고 생각합니다.출석률과 프로그램 참여도를 측정할 수 있습니다. 모두 중요한 척도이지만 사이버 보안 클러스터의 개선 결과를 실제로 측정하는 것은 정말 어렵습니다.그리고 데이터를 볼 수 있고 성공한 사이버 공격의 수를 볼 수 있습니다.그리고 그 횟수 또는 그 횟수의 사이버 공격이 시도되었죠.그 숫자는 계속 올라가고 있습니다.그렇죠?확실히 하락 추세는 아니에요.그런 다음 초기 공격 벡터가 무엇이었는지 보세요. 초기 침입의 물결은 거의 항상 피싱, 소셜 엔지니어링 공격, 피싱 이메일과 비슷합니다.그리고 전 매니저의 책상에 붙은 스티커가 기억납니다. “인간의 어리석음을 막을 방법은 없습니다.” 라고 적혀 있었죠.제 생각에 잠깐, 제가 사이버 보안에 대해 생각할 때는 우리가 거의 항상 그렇다는 생각이 들어요. 우리가 여러 방면에서 하고 있는 일은 근본적으로 인간이 궁극적으로 할 일을 완화하는 통제 수단을 구축하는 것입니다.그렇죠?의도해서 그런 게 아니라 무지 때문인 경우가 많아요.그러니까, 제가 여러분과 같은 프로그램이 가져다 주고 있다는 인식을 제가 얼마나 잘 알고 있는지를 어떻게 알 수 있냐면, 한 단계 더 올라가는 게 중요해요. 제가 인간의 멍청함을 가지고 장난을 치는 것과 같다는 거죠.하지만, 여러분이 본 영향은 무엇일까요?
15:41
네, 좋은 질문입니다.즉, 저는 보안에 대해 매우 일반적인 사고방식을 가지고 있는 것 같아요. 디자인 분야에서는 특히 언제 사용자를 비난하고 언제 디자이너를 비난할지에 대한 논문과 연구가 실제로 있었던 것 같아요.제 생각에 불안감에는 우리가 최선을 다한다는 사고방식이 있다고 생각합니다. 예를 들어, 모든 것이 최종 사용자에게 달려있습니다. 우리가 개발한 후에는 우리의 손에서 벗어나는 것처럼 말이죠.그리고 그들은 링크를 클릭하고 이 모든 일을 하는 사람들입니다.하지만 결국에는 개발자들도 인간인 것처럼 말이죠.그리고 이러한 위협과 공격 중 일부는 어떻게 보면 점점 현실화되고 있고 감정적으로 느껴지기도 합니다.그게 요점이죠, 그렇죠?그들은 여러분이 평소에 하지 않던 일을 할 수 있도록 일종의 감정적 자극을 주려고 하는 거죠.인간으로서, 우리 모두 그런 경향이 있죠.제 생각엔, 특히 이 세대에서는 이미 그 문제에 정통하고, 이런 위협 속에서 자랐고, 소름 끼치는 인스타그램 DMER에 대해 알고 있는데, 이 시점에서 보면 손바닥 같죠.그냥 그런 상황에 이름을 붙이기만 하면 되죠.이렇게 가르치는 것은 사실 국가 안보의 문제입니다.여러분과 마찬가지로 여러분도 사실 우리가 가진 이 모든 안보 분야의 일원입니다.그래서 가장 큰 부분이 바로 권한 부여라고 생각해요.제 생각에는 더 중요한 것이 아니라, 인식이 정말 쉬워진다는 걸 알게 되었어요. 왜냐하면 그들은 거의 이미 알고 있으니까요.그게 더 중요해요. 예를 들어, 질문에 답하는 방법은 다음과 같다는 걸 알 수 있게 하는 거죠.이들 중 상당수는 대답만 하면 되는 질문을 많이 합니다. 예를 들어, 이 개인정보 보호정책이 결국 무슨 의미가 있는 걸까요?아니면 Snapchat이 제 데이터로 무엇을 하고 있나요?예를 들어, 데이터를 기기 또는 서버에서 호스팅하나요?개발자들도 복잡한 질문을 가지고 있는 것처럼, 두 번 생각하고, 다시 생각해 보고, 답을 찾게 되는 거죠.따라서 권한 부여가 정말 중요하다는 말은 말이 안 되는 것 같아요. 심지어 인식을 넘어서도 말이죠.저는 학생들과 아이들이 알고 있는 것들에 항상 놀라움을 금치 못한다는 것을 알게 되었습니다. 그래서 제가 보안에 대해 이야기할 때 일이 정말 쉬워집니다. 왜냐하면 그들은 이미 너무 많은 질문으로 대화를 이끌어낼 때가 많기 때문입니다.
18:03
정말 멋지네요.그래서 저는 인적 요소와 사이버 보안에 대해 좀 더 자세히 알아보고 싶습니다. 조직 내 사이버 분야에서 조직이 채택하고 있는 전략 측면에서 볼 수 있는 추세 중 하나이기 때문입니다.제로 트러스트와 관련된 단연 중 하나입니다.특히 제로 트러스트란 신뢰를 완전히 없애는 것을 의미하지 않습니다. 그럴 경우 네트워크에서 모든 연결을 끊고 작업을 완료하는 것이 좋기 때문입니다.네, 맞아요.암묵적이고 자유롭게 사용할 수 있는 신뢰를 없애는 거죠. 하지만 인간의 입장에서는 우리가 일상적으로 하는 일의 많은 부분이 암묵적 신뢰에 달려 있습니다.맞아요.그리고, 저도 알아요, 제가 대화를 나눈 적이 있는데, 특히 제로 트러스트라는 말을 듣는 것만으로도 불쾌감을 주는 지역에서는 이런 일이 특히 민감합니다. 아, 어떻게 그럴 수 있죠?그렇죠?사용자로서 저를 신뢰하지 않는다는 뜻이죠.그리고 당신은 제가 하는 일을 믿지 않아요.제로 트러스트에 대해 특별히 대화를 나누셨을 수도 있고 그렇지 않으셨을 수도 있습니다. 하지만 온라인 활동에 대해 암묵적인 신뢰를 갖지 못하는 교육 프로그램에서 어떻게 균형을 맞출 수 있을까요?그렇다고 해서 개인을 신뢰하는 능력이 떨어진다는 뜻은 아닙니다.
19:25
네, 그런 이유로 제로 트러스트가 까다로운 것 같아요.다른 사람을 완전히 믿어서는 안 된다는 생각, 온라인상에서 자신을 믿지 말아야 한다는 생각을 주고 싶지 않기 때문이죠.힘을 실어주는 쪽지에 가깝죠.제 생각엔 신뢰와 비슷하지만 검증은 허위 정보 전쟁이나 정보 전쟁에 대해 제가 주로 가르치는 좋은 자세라고 생각해요.검증이 정말 중요한 것 같아요.그리고 제 생각에는 용어를 “예, 제로 트러스트와 같이 바꾸는 것도 정말 중요하다고 생각해요. 하지만 이건 발판이에요.많은 것들이 그렇듯, 이런 것들에도 우리가 즉시 신뢰하지 않는 데에는 이유가 있습니다.그리고 이 모든 사례들이 우리가 즉시 신뢰했을 때의 사례들이죠.마치 더 큰 교훈으로 삼아 제로 트러스트라는 브랜드를 붙이는 것과 같습니다.예를 들어, 제로 트러스트는 많은 의미가 있는 표현이라고 생각해요.그냥 아무것도 아닌 게 아니에요. 전혀 신뢰가 안 되는 거죠.신뢰가 중요하지만 일반적으로 검증이 그 이면에 있는 아이디어입니다. 그냥 제로 트러스트라고 하는 이유는 마치 처음부터 시작해야 한다는 느낌을 주기 때문입니다.하지만 교육적인 측면에서는 학생들이 있는 곳에서 학생들을 만나고 사례 연구나 이런 사례를 제시하는 측면에서 제로 트러스트가 의미하는 바라고 생각합니다.그 당시에는 인증이나 사람들에게 권한을 부여하는 것과 같은 제로 트러스트와 같은 실제 사용 사례를 보지 못했을 수도 있기 때문입니다.그래서 좀 더 현실적으로 느껴질 수 있는 예시를 보여주세요.확실히 이 문제를 완화할 수 있는 방법 중 하나죠.
21:12
네, 거기서 말씀하신 내용이 정말 마음에 들어요. 지상에서 시작해서 비계를 만드는 거잖아요, 그렇죠?다시 말씀드리지만, 그걸 현실로 만들어 보세요. 그냥 낯선 사람을 만나고 있다고 해봅시다. 그렇죠?상대방이 누구인지 등을 확인하기 전까지는 굳이 높은 신뢰도를 유지하지 않는 것처럼 교제하지 않는 거죠.그리고 여러 가지 요인이 있죠.만약 친구를 통해 인맥을 쌓았다면 어느 정도 괜찮은 것 같고, 이를 한 단계 더 끌어올리기 위해 어느 정도 초기 인증을 거쳤다는 거죠.예를 들어 LinkedIn에서 방금 만났지만 공식적인 추천이나 인증 같은 건 없는 사람을 예로 들어보죠.뭐, 뭐, 뭐, 제가 약간 한 단계 낮은 것 같아요.그리고 저는 이것이 기술과 시스템을 다루는 방식에도 같은 원칙을 적용하는 것이라고 생각합니다.네, 같은 상식적인 접근법이죠. 왜냐하면 궁극적으로는 이 사람이나 이 기술 기술을 어느 정도 신뢰할 수 있다고 말할 수 있을 만큼 충분한 검증이 이루어졌다고 말할 수 있는 시점에 도달하기 때문이죠.그리고 제 생각에는, 네, 그 상식에서의 근거는 전적으로 옳다고 생각합니다.
22:22
네, 물론이죠.마음에 들어요.예를 들어, 모든 것을 디지털 방식으로, 물리적으로 미러링하면 교육에 항상 도움이 된다고 생각합니다. 왜냐하면 사람들은 보통, 출발하기 전에 차를 잠그거나 잠들기 전에 문을 잠가야 한다고 이해하기 때문이죠.이런 것들은 우리에게 아주 중요한 요소들이에요. 우리가 소중히 간직하고 있는 가치들처럼요.하지만 이걸 사이버로 옮기는 것만으로도 교육의 핵심 요소죠. “아, 디지털도 마찬가지야.”누군가가 여러분의 물리적 위치나 GPS 좌표에 매번 접근할 수 있다고 상상해 보세요. 위협 모델에 대해 생각할 때는 이런 사고방식을 가져야 합니다.
23:01
그거, 대단한 일이야.잠시 후에 위협 모델링에 대해 알아보죠.하지만 제 생각에 그 비유가 정말 중요하다고 생각해요. 자신의 소중한 물건, 보호하고자 하는 물리적 물체에 대해서는 매우, 매우 경계심이 강하다는 거죠, 그렇죠?문을 잠그면 갇힐 수도 있습니다. 그래서 소중한 물건은 금고에 넣거나 금고의 보관함에 넣거나 그런 곳에 보관하죠. 그렇죠?그러니까.하지만 우리가 온라인에서 상호작용하는 방식은 마치 온라인이고 온라인이라는 이유만으로 우리가 원하는 것은 사용 편의성, 액세스 용이성, 빠르게 무언가를 할 수 있는 것과 거의 같습니다.생산성을 높이는 데 방해가 되는 장애물을 갑자기 줄여야 할 것 같습니다.다시 말씀드리지만, 물리적 물체에 적용하는 것과 같은 수준의 검사와 관리를 적용해야 한다고 생각합니다.
23:52
네.그리고 제 생각에 이건 단지 사용자 문제만은 아닌 것 같아요.제 생각에 인터넷은 거의 편의성과 보안 사이에 절충점, 혹은 절충점이 있는 것처럼 보이도록 설계된 것 같아요.네, 그래요.그리고 때로는 단순한 사용자 결정이 아닐 수도 있습니다.그리고 저희는 디자이너로서 사용자가 보안을 선택하도록 동기를 부여하는 것을 정말 어렵게 만듭니다.그래서 지금 제가 보고 있는 것은 보안을 강화하거나 보안을 제품에 적용하려는 이러한 모든 움직임이 마음에 든다는 것입니다.그래서 사용자는 보안에 대해 생각할 필요도 없고, 보안은 마치 미친 듯이, 잠긴 설정처럼 켜고 끌 수 있는 것으로, 아, 기본적으로 보안이 유지되는 것처럼 말이죠.예를 들어, 애플의 락다운 모드를 보셨는지 모르겠지만 애플의 제품은 설계상 분명히 안전하지만 위험도가 높은 개인에게는 추가 보안 계층이 있다는 것입니다.그러니까 이런 설계가 있거든요. 사용자가 결국에는 그런 결정을 내릴 필요도 없으니까요. 문을 잠그거나 차를 잠글 때 물리적 보안이 중요하죠.이와 같은 비용 편익 분석을 해보면, 각별한 예방 조치를 취해도 손해 볼 것이 없는 것처럼 우리 머릿속에는 이 계산이 이해가 됩니다.그래서 인터넷 제품을 기반으로 디바이스를 만들어 봐야 한다고 생각합니다. 사용자들이 사용하는 디바이스는 보안을 다른 어떤 것에도 뒤쳐서는 안 되는 것으로 생각하고 있습니다.
25:26
맞아요. 제 2의 자연이죠.다시 자동차에 비유하자면, 차에서 멀어질 때 “사실 차 잠그는 게 귀찮을 순 없어요”라고 말하지 않아도 됩니다. 버튼을 한 번 더 누르면 되니까요.그렇죠?그래, 그냥 해, 너, 무의식적으로 하는 거야.하지만 먼저 말씀드리자면, 보안을 통한 설계와 제품 개발 라이프사이클에 보안을 통합하는 것에 대해 말씀드리고자 합니다.맞아요.제 생각에 이건 흥미로운 진화라고 생각해요.왜냐하면 역사적으로 볼 때, 보안 기능과 보안이 담당해 온 역할을 생각해보면, 다시 말씀드리지만, 이를 크게 단순화시켜 보아야 합니다.아주 오랜 시간 동안, 그리고 지금도 대부분 그렇듯이 보안은 승인 기능 역할을 합니다.그러니까, 보안 팀에 와서 물어보세요. 제가 뭘 할 수 있을까요?그리고 그들은 예, 아니오라고 대답합니다.어떤 건물을 짓고 있든 끝까지 가서 “축복 해 줄 수 있겠어요?” 라는 질문을 받곤 하죠.그렇죠?하지만 제 생각엔 그게 항상 어려운 일인 것 같아요. 그럼 보안 담당자가 '안 된다'고 하죠, 그렇죠?그러고는 이렇게 말하죠. 아, 그럼 다시 그 일로 돌아가면 생산성이 정말 떨어지나요?아니면 보안 담당자가 “음, 아니요.” 라고 말하기도 하죠.그리고 여기에 모든 위험이 있습니다.그러면 여러분은 이렇게 말하죠. “음, 좋아요, 뭐, 위험은 감수할게요, 그렇죠?”왜냐하면 저는 생산성을 높여야 하는데 당신이 뭔가를 내놓으면 불안하거든요.하지만 제가 말씀하신 것처럼 아주 초기의 프로세스에 보안을 통합하는 것에 대해 말씀하신 것처럼 거의 초반에는 보안과 보증이 제대로 기능하도록 해야 한다고 생각합니다.즉, 전체 설계 및 구축 프로세스에 보안을 이미 통합했기 때문에 무언가를 배포하면 안전하다는 것을 알 수 있습니다.그러니까 같은 패턴으로 다시 배포해도 안전할 거라는 걸 아는 것과 거의 비슷하죠.왜냐하면 나만이 안전한 일만 할 수 있으니까요.이것이 바로 우리가 추진해야 할 더 큰 문화적 변화라고 생각합니다.
27:26
네, 아뇨, 마음에 들어요.예전에 어떤 교수님이 이 문맥에서 제가 항상 기억하고 있는 이 인용문을 말씀하신 것 같아요. 그는 이렇게 말했습니다. “보안은 항상 배관의 일부로 생각되지만 보안은 문제의 일부이자 초기 문제 설명의 일부로 생각해야 합니다.”자, 어떻게 할 수 있을 뿐만 아니라 어떻게 하면 안전하게 할 수 있는지도 중요하죠?그리고 어떻게 하면 사용자를 안전하게 보호할 수 있을까요?그래서 좋은 디자인 관행과 좋은 디자인 가치를 살펴보면 고객들이 회사에 책임을 묻게 될 것이라고 생각합니다.Apple 제품이 하는 일과 살아 숨쉬는 일에서 그런 모습을 볼 수 있을 것 같아요. 하지만 요즘에는 다양한 디자인 솔루션을 통해서도 볼 수 있을 것 같아요.특히 2단계 앱을 사용하면 마치 앱을 연 것처럼 생각할 필요 없이 아주 쉽게 2단계 작업을 수행할 수 있게 해주는데 이미 인증이 되어 있는 것처럼 말이죠.제 생각에는 이런 종류의 디자인 변경이 안전하면서도 안전하다고 생각합니다.하지만 디자인도 잘 되어 있고, 매우 편리하고, 사용하기 쉬우며, 보기에도 아름답습니다.이것이 바로 차세대 디자인과 보안이라고 생각합니다.그리고 디자인을 가르치는 학교가 더 많아지면 안전과 보안을 위한 디자인에 관한 수업이 생겼으면 좋겠어요.왜냐하면 우리 학교의 CS 프로그램에서도 자신만의 길을 개척하고 교실 환경에서 제가 이 문제에 대해 정확히 어떻게 배울 수 있을지 알아내야 제가 필요한 기술을 갖출 수 있으니까요.접근성을 고려한 디자인이나 게임 디자인을 위한 디자인 같은 다양한 수업이 있지만, 안전과 보안을 위한 디자인은 정말 다음 세대라고 생각합니다.
29:14
물론 25년 동안 컴퓨터 과학 과정이 계속해서 보안을 가르치고 있지만 아직 교육 과정의 모든 측면에 보안을 완전히 통합하지는 못했다는 것도 좋은 사실입니다.그리고 이 학문은 거의 독립적이고 독립적인 학문입니다.
29:33
네, 영원히 이 일을 계속할 수 있을 것 같아요.그래서 저는 항상 이 사실을 바꾸기 위한 정책 입안자가 되고 싶게 되죠.하지만 미국의 상위 14개 컴퓨터 과학 프로그램 중 개발자에게 보안 수업을 요구하는 프로그램은 단 하나뿐이라는 말도 안 되는 통계가 있습니다.저를 포함한 다른 학교에서는 보안이 필수 수업이 아니므로 보안에 대해 더 자세히 알고 싶다면 수강할 수 있습니다.하지만 아예 수강하지 않아도 졸업할 수 있는 경우가 많습니다.
30:09
네, 그리고 사이버 업계에서 거의 20년 동안 일했던 사람의 밑에서 말이죠.어떤 산업 분야에서든 기술 분야에 뛰어들어 놀라운 제품을 개발하려는 졸업생들의 수를 생각해 보세요.그들이 반드시 사이버에 대한 탄탄한 배경을 가지고 있는 것은 아니라는 사실이 전문가라는 말은 아닙니다. 하지만 인식과 같은 인식은 핵심 기술처럼 들리는데, 이는 그들의 역할에 매우 중요할 것입니다.정말 무섭네요. 다시 말씀드리지만, 우리가 개발하고 사용하고 있는 것들이 무엇인지, 그리고 보안 기반이 얼마나 그렇지 않은지에 관한 것이기 때문입니다.그리고 제가 알기론 조직들은 그걸 만회하기 위해 많은 노력을 기울인다는 걸 알아요.하지만 여러분과 마찬가지로 학교, 학령기 같은 어린 나이에 사이버 교육의 문제를 다루고 있는 것처럼 느껴집니다. 고등교육에서는 상당히 쉽게 해결할 수 있는 문제이고 매우 필수적입니다.굳이 말씀드리자면, 코딩은 어떤 일을 하든 필수적이기 때문에 누구나 코딩을 배울 수 있어야 합니다.자, 그럼 이제 아이들이 안전하게 코딩을 할 수 있도록 합시다.
31:29
네, 저는 이것이 교육 시스템에 엄청난 변화가 될 것이라고 생각합니다.정말 그런 일이 일어나길 바래요.그게 바로 우리가 올바른 도구를 고안해낸다고 생각해요.제 생각에 꽤 많은 스타트업과 신생 기업이 개발자에게 도구를 제공하는 방법을 연구하고 있는 것 같아요. 보안을 정말 이해하기 쉽게 만드는 방법이죠. 특히 잘 모르는 문서의 경우 말이죠.그래서 저는 올바른 도구와 올바른 교육 기반이 있고, 단순한 관심을 갖고, 이에 대해 알고 싶어하는 것과 같이, 원래 말했던 내용으로 되돌아가는 것 같아요. 개발자들은 보안 담당자들이 항상 들어와서 “그럴 수 없어요, 정말 미안해요.” 라고 말할 거라는 고정관념이나 이런 관점을 가지고 있지 않은 것 같아요.좋아할 수 없었던 것처럼 발전할 수 없습니다.사람들이 일반적으로 느끼는 감정입니다. 특히 이번 AI 혁명 전체에서 사람들이 느끼는 감정은, 아, 보안 담당자를 데려오거나 보안에 관심이 생기면, 예를 들어 개발 속도가 빠르지 않을 것 같으면, 그렇게 빨리 혁신하지 못할 거라는 생각이에요.하지만 제 생각에 고정관념을 무너뜨리는 것도 그만큼 빠르게 발전할 수 있을 뿐만 아니라 안전도 염두에 두어야 한다고 생각합니다.그런 예들이 정말 많죠.이것이 바로 핵심입니다.
32:50
네, 물론이죠.제 생각에 그 중 한 부분이 분명히 바뀌고 있다고 생각합니다. 사고방식, 그리고 실제로 만들어낸 것은 사이버 보안 업계에서 가장 오래된 것인데, 스스로를 파트너로 만드는 것입니다.그렇죠?스스로 판단해, 굳이 이렇게 예/아니오 경찰이 될 필요는 없다고 생각하지 마세요.하지만 파트너에 대해서는 훨씬 더 많은 것이 있습니다. 파트너는 파트너의 참여와 채택률을 높일 수 있기 때문입니다.하지만 보안 공급업체와 마찬가지로 최종 사용자가 애플리케이션을 만드는 사람들이 최대한 쉽게 활용할 수 있도록 보안 제품 및 보안 기술을 개발하는 업체의 책임도 있다고 생각합니다.그래서 보안을 도입하는 것이 즐거움이 되죠.요점은 알겠네요, 그렇죠?우리는 사용자 경험에 너무 집착하고 있어요.소비자 제품을 디자인할 때 사용자 경험이 좋지 않다면 정말 중요하죠?이 제품은 멀리 갈 수 없을 거예요.맞아요, 도살될 거예요.따라서 보안 제품에 대해서도 동일한 접근 방식을 취해야 합니다. 엔터프라이즈 제품일 수도 있고, 최종 사용자 제품일 수도 있지만 보안을 채택하는 것이 즐겁도록 합시다.
34:10
네, 그리고 채택하기도 더 쉽습니다.제가 가끔 힘들어하는 부분 중 하나는 중소기업이 와서 “아, 보안 제품을 찾고 있어요.” 라고 조언하는 것입니다. 마치 보안을 유지하거나 무언가를 채택하기를 원하는 것처럼 말이죠.세상에는 정말 많은 도구가 있습니다.지금은 파싱하기 어렵다는 거, 알겠어, 정확히 뭐, 실제로 뭘 하고 있는 거지?그래서 제 생각에는, 제품이 무엇을 하는지, 그리고 어떤 고객에게 서비스를 제공하고자 하는지에 대한 전반적인 이해가 필요한 것 같아요.그것도 대단한 일이죠. 현재 시중에 제품이 너무 많기 때문이죠.
34:56
잠깐 여러분과 AI에 대해 얘기하고 싶은데요, 제 말은, 여러분은 단순한 사이버 교육자가 아니잖아요, 그렇죠?당신은 단지 인식 제고에만 집중하는 사람이 아니라 위협 사냥꾼이기도 하고 기술의 잡초에 깊이 빠져 있는 사람이기도 합니다.자, 이에 대해 조금 이야기해 보죠.예를 들어, 여러분의 일상 생활은 어떤가요?
35:28
네, 정말 이 교육 요소에 대한 저의 관심에서 비롯된 것이라고 말하고 싶습니다.그래서 저는 고등학교 내내 교육과 사이버 옹호 활동을 했어요.그러다가 대학에 진학하고 나서 더 관심을 가지기 시작했어요. 자, 이런 실제 위협 행위자들은 누구이고 왜 이런 일을 하는 걸까요?그리고 그들이 하는 일을 어떻게 하고 있는 걸까요?그들의 전술과 기법은 뭐죠?그래서 저는 위협 인텔리전스에 대해 알아보기 시작했습니다.그리고 위협 인텔리전스는 MS-ISAC에서 1년 동안 일했어요.그 후 저는 Apple로 옮겨 그곳에서 보안 작업을 수행하고 AI와 ML을 사용한 사기 탐지 작업을 수행했습니다.그 후 저는 정부로 자리를 옮겨 CISA에서 일했어요. 국제 사이버 역량 강화, 파트너와 공급망 파트너의 보안 지원 등에 초점을 맞췄죠.그리고 다시 애플로 자리를 옮겨 시민사회 파트너들과 함께 제품 보안을 담당했습니다. 언론인, 반체제 인사, 인권 운동가들을 보호했죠.그리고 정부가 세금을 돌려받는 것에 정말 관심이 생겼어요.그리고 그게 바로 제가 이번 여름에 SpaceX에서 하고 있는 일이기도 합니다. 정부 공격자와 우리 제품에 대한 정부 공격에 대응하기 위해서죠.제가 연구하는 것도 바로 이것입니다.그래서 교육 측면에서 정말 많은 열정이 쌓였어요. 실제 피해자를 보고 이런 일을 겪은 사람들을 만나고 온라인 착취 피해자들과도 많은 세션을 진행했어요.그래서 일반적으로 공격의 반대편에 있는 사람들에게 노출되는 것이 이 분야에 대해 잘 알아가고자 하는 저의 많은 관심을 불러일으켰다고 생각합니다.그리고 저는 이게 저를 사이버의 이런 토끼굴에 점점 더 깊이 빠져들게 해준 것 같아요. 하지만 다른 방법으로는 할 수 없었을 거예요.연구도 하고 교육도 같이 할 수 있어서 정말 재미있어요.
37:36
제 말은, 사이버 보안 업무를 수행한 공공 부문 및 민간 부문 조직과 거의 비슷합니다.그리고 제가 말씀드릴 수 있는 것은 사이버 분야에서 경력을 쌓은 사람들 중 일하면서 30대가 되기 전까지는 사이버 관련 일을 한 번도 해본 적이 없다는 것입니다.그러니까, 여러분은 이미 15년 동안 다른 사람들보다 먼저 출발한 것 같다는 생각이 드실 겁니다.이건 공평하지 않아요.하지만 흥미롭네요. 보시는 것처럼 국가 배우들처럼요.그래서 앞서 말씀드렸던 사이버 공격의 증가에 대해 말씀드린 내용을 연결해 보죠.맞아요.한 편으로는 국가, 국가 주체, 그리고 일반적인 서술의 등장을 보면 공격자들이 점점 더 정교해지고 있다는 겁니다.
38:21
네, 좋은 질문이네요.저도 펜테스팅 쪽에 속했던 것 같아요.흥미롭네요. 왜냐하면 이런 학습 경험 중 하나를 할 때마다 시험 삼아 시험을 치르거나 처음부터 끝까지 본 것 같은 느낌이 들기 때문이죠.저는 항상 교육 주제로 돌아가곤 했는데, 그 중 일부는 처음 사용된 벡터가 80% 의 시간이 인간을 통해 이루어진다는 것을 매번 깨달았기 때문이라고 생각합니다.따라서 공격자가 AI에 액세스할 수 있든 상관없이 AI를 통해 일종의 이메일을 생성하거나 AI가 생성한 음성 메일 또는 AI가 생성한 음성을 생성하여 초기 공격 벡터를 수행하는 것이 더 쉬워지기 때문입니다.저는 매번 교육 분야로 돌아가고 있는 것 같아요. 그게 제가 14살 때 시작한 이래로 교육 일을 멈추지 않는 가장 큰 이유라고 생각합니다.그래서 말씀드리고 싶은 게 맞아요. 인공지능을 사용한다고 해도 우리의 방어 태세와 보안 태세가 그렇게 많이 바뀌지 않았는지 깊이 생각해야 한다는 거죠.개선된 측면에서는 변했지만 고양이와 생쥐 게임이고 위협 행위자들도 개선되고 있습니다.따라서 우리는 적응해야 합니다.그냥 한 번 끝나는 게 아니에요.보안을 다했어요.이제 끝났어요.그런 건 생각하지 않을게요.더 그래요, 좋아요, 위협 행위자들이 진화하고 있는 지금 이걸 수정해도 될까요?한발 앞서 나가기 위해 우리가 할 수 있는 일은 무엇일까요?제 생각에 디자이너로서 제품을 디자인할 때 생각해 봐야 할 중요한 점은, 좋아요, 제가 이걸 만든다면, 이런 식으로 디자인하면 공격자들은 어떻게 우회하려고 할까요?그리고 그들의 다음 행보는 무엇일까요?
40:13
그거 멋지네요, 그렇죠?왜냐하면 그것은 제품 구축에 대한 위협 중심적 접근 방식과 매우 흡사하기 때문입니다. 제로 트러스트에 대해 이야기할 때 제로 트러스트에 대해 이야기한 것처럼 말이죠. 공격자가 내부에 있다고 가정하면 어떻게 제어 기능을 구축할 수 있을까요?공격자가 더 이상 접근하지 못하도록 보안을 구축하시겠습니까?그렇죠.그리고 제 생각엔 정말 맞는 것 같아요.왜냐하면 제가 이걸 AI 기반 공격자들과의 관계라고 생각할 때 궁극적으로는 AI 모델의 연료가 무엇이냐에 관한 것이기 때문입니다.그것은 바로 여러분의 조직에 대한 정보이고, 여러분이 보유한 인프라에 관한 정보입니다.그러니까 무료로 이용할 수 있는 자료가 적을수록 그렇죠?더 많을수록 공격자가 처리해야 하는 작업도 줄어듭니다.그러니까, 앞서 말씀드린 것처럼 공격 표면을 줄이거나 공격 표면을 관리하는 것에 대해 말씀드렸듯이 굶주림에 시달리는 거죠. 하지만 학습 표면을 관리하는 것과 같기도 합니다. 예를 들어, 노출된 표면에서 공격자가 배울 수 있는 것은 무엇일까요?
41:24
네, 네, 전적으로 동의합니다.그리고 저는 작년에 대규모 언어 모델을 사용하여 사이버 방어를 수행하고 공격 후 전술과 기술을 추출 또는 식별하는 방법을 살펴보았습니다.인공 지능을 사용하여 생산적인 도구가 될 수 있도록 미세 조정하면서 배운 것은 단지 AI가 확실히 발전했지만 미묘한 차이도 분명히 있다는 것입니다.예를 들어, LM과 상호작용해 보면 LM이 꽤 환각을 일으킨다는 것을 확실히 알 수 있습니다.그래서 저는 모든 사람들이 이 문제에 대해 알고 있다고 생각합니다. 예를 들어 경기장에서는 우리와 같은 수준의 도구를 사용하는 것처럼, 더 빨리 만들어 보자는 의미에서요.방어 도구를 더 빨리 만들어 봅시다.이런 잠재적 위험을 이들보다 더 빨리 피합시다.
42:24
그렇다면 AI가 사이버 보안 환경을 어떻게 변화시킬 것이라고 보십니까?이를 통해 해결할 수 있는 핵심 사항은 무엇이라고 생각하시나요?
42:38
제 생각에는 작은 하위 과제가 너무 많은 것 같아요.하지만 제 생각에 사이버 전문가뿐만 아니라 AI 엔지니어들도 그것을 바라보는 시각은, 다시 말씀드리지만, 우리가 있는 곳에서 어떻게 서로 만날 수 있을까? 라는 생각입니다.그렇죠?AI가 사이버 전문가를 대체하는 데 사용될 것이라는 얘기는 아닙니다.하지만 분석가, 인간 분석가가 이 작업에 그렇게 많은 시간을 들이지 않았다면 인간의 분석가 노력을 더 어려운 작업이나 더 어려운 사람이 필요로 하는 하위 작업에 투입할 수 있는 작은 하위 작업 같은 것을 어떻게 찾을 수 있을까요?그래서 제가 초점을 맞췄던 것 같아요. 벤치마크를 만들 수 있는 이런 작은 하위 작업을 어떻게 찾을 수 있을까요?그리고 두 번째로 말씀드리자면, LM 모델이 작업에 유용하다는 것을 알 수 있도록 실제로 과학적이고 엄격하게 테스트하려면 어떻게 해야 할까요?아니면 작업에 적합할까요?이건 정말 대단한 질문인데요, 제 생각에 현재 학술 연구에 관한 질문은, 모든 사이버 벤더가 AI 기반 제품을 가지고 있다고 주장하는 이 모든 도구들이 나오고 있다는 것입니다.하지만 동시에 연구 결과를 보면 LLM 벤치마크 같은 것은 많지 않습니다. 좋아요, 인간이 이 작업을 수행하는 방식이죠.이것이 LLM의 작동 방식입니다. 실제로 나란히 놓고 비교해 보겠습니다.실제로 수백 배 규모로 진행해 봅시다. 이것이 잠재적인 도구가 될 수 있을까요?그래서 제 생각에 학술 연구의 다음 단계는 과학적으로 엄격한 증거를 제공하는 벤치마크를 만들 수 있느냐는 것입니다.다시 말씀드리지만, 이것이 바로 우리가 말하는 사이버 산업이기 때문에 중대한 결정과 같은 것에 대한 증거가 필요하죠, 그렇죠?
44:25
물론이죠.어젯밤에 예전 동료와 이야기를 나눴어요.우리가 이 이야기를 한 건 그가 지금 우리가 만들고 있는 기술에 AI를 많이 활용하는 스타트업을 만드는 중이었기 때문이죠.그리고 우리는 AI가 어떤 것인지에 대해 이야기하고 있었습니다. 인공지능이 정말 유용하다는 것을 확신시켜주죠.그리고 말씀하신 내용을 요약해서 정리한 것은 제가 하기 싫지만 꼭 해야 하는 일상 업무가 무엇일까요?그리고 만약 제가 AI를 사용할 수 있다면, 그리고 AI가 그 작업이 무엇인지 이해해서 저를 대신해 줄 수 있다면 정말 유용하죠.그래야 제가 정말 하고 싶은 일에 초점을 맞출 수 있으니까요.할 수 없는 건 제가 해야 할 일들에 너무 많은 시간을 할애하고 있기 때문이죠. 하지만 하는 건 싫어요.
45:24
물론이죠. 네, 좋은 표현인 것 같아요.그리고 제가 공공 부문 사람들과 이야기를 나눠보면, 정부가 AI 측면에서 바라보는 채택은 무엇일까요?거의 똑같은데요.전부 아주 작은 것들이에요. 그들이 보고 있는 건 섹시한 문제들이 아니에요.아시다시피, HR 담당자를 채용하는 것부터 신입 사원과 같은 사람을 채용하는 방법, 너무 많은 자원과 인적 노력을 들이지 않고도 그들을 온보딩하는 방법을 알아내는 것까지 모든 것이 중요하죠.예를 들어, 어떻게 하면 이러한 도구를 사용하여 실제로 우리가 하는 일을 더 잘 하고 우리가 하는 일을 강화할 수 있을까요?네, 제 교수님 중 한 분이 아주 흥미롭게 말씀하신 것 같아요. 자동화가 아니라 지능 증강에 관한 것입니다.
46:13
네, 물론이죠.맞아요.그리고 그 중 하나를 찾아보면, 해결하려는 섹시한 문제들이 아니죠.그게 바로 그들이 해결하려고 하는 엉뚱한 문제들이야.그렇죠?그리고 매일 꼭 해결해야 하는 문제들 말고는?네, 전적으로 동의합니다.이것이 바로 인공지능의 시대, 즉 혁명이 지난 몇 백 년 동안 우리가 보아온 기술의 다른 도약들과 비슷한 점이 많은 이유라고 생각합니다. 그렇죠?아닙니다. 근본적으로 아주 수동적인 것들을 가능하게 하거나 없애는 것이죠.정말 멋지네요.이제, 수정구 안에서 사이버, 정책, AI에 관한 인간적 요소에 대해 생각해 봅시다.미래는 어떻게 보이시나요?
47:09
백만 달러짜리 질문입니다.
47:12
수십억 달러짜리 질문!아이디어가 떠오르시죠?
47:17
젠장, 스타트업을 만들어야 해!하지만 사이버 산업에는 여러 가지가 있다고 생각해요.저기요.지금 너무 많은 일이 벌어지고 있는 것 같아서 한 가지를 정확히 정의하기는 어렵지만 제 생각에는, 요약하자면, 말씀하신 것처럼 인간의 분석과 지능 증강 사이의 경계를 어디에 두어야 하는지에 대한 훌륭한 균형이 될 것 같아요.누군가 이해한다면, 맞아요, 제 생각에는 수십억 달러 규모의 도구가 될 것입니다. 지능을 향상시켜 우리를 더 똑똑하게 방어할 수 있을 뿐만 아니라 인간이 가장 잘하는 것, 즉 변칙 탐지를 활용하거나 기계가 알아낼 수 없는 무언가가 조금 이상하거나 이상하다는 것을 알아낼 수 있는 무언가를 만들 수 있을까요?그리고 문제 설명을 세밀하게 조정하고 있는 것이죠. 제 생각에는 큰 도움이 될 것 같아요.
48:16
그렇다면 스타트업은 언제 출시되나요?
48:22
이를 위한 소프트 런칭입니다.소프트 런칭입니다.그리고 그 역할을 맡기 위해 오디션도 보고 있어요.
48:32
환상적.그렇게 말이에요.마무리하면서 교육과 인식에 다시 적용해 봅시다.그리고 많은 보안 전문가들이 이 팟캐스트를 듣게 될 것 같은데요, 그렇죠.여러분이 전하고 있는 메시지는 무엇입니까? 예를 들어, 아직 고등학교를 졸업하고 대학을 졸업하고 있는 사람들과의 유대감 같은 것은요.하지만 고급 공공 부문, 고급 민간 부문에서도 그런 경험을 하셨나요?오늘날의 사이버 보안 전문가들에게 전하고 싶은 메시지 중 미래의 사이버 보안 전문가에 대해 알아두어야 할 메시지는 무엇입니까?
49:20
네, 몇 가지가 있을 것 같아요.첫 번째는 모든 것이 시작된다는 거예요. 아주 풀뿌리입니다.제가 일하는 업계의 사이버 전문가들에게 보낼 수 있는 메시지가 하나 있다면, 이 모든 것이 여러분의 커뮤니티에, 여러분이 보내는 메시지에 미치는 영향에 관한 것입니다.그래서 저는 항상 지역 학교에 나가서 자신이 하는 일에 대해 이야기하고 처음에 이야기했던 이미지를 가져오라고 권합니다. 그렇죠. 사이버가 꼭 필요한 사람이나 이런 배경이 아니라는 거죠.어디에나 있고, 그게 전부예요.어제 저는 한 친구와 이야기를 나눴습니다. 사이버를 선택하는 것이 아니라 사이버가 여러분을 선택합니다. 그게 바로 커뮤니티에 참여하여 자신이 하는 일에 대해 공유하는 것입니다. 아시다시피, Illumio, 또는 당신이 어디에 있든 다양한 배경을 가진 사람들로 구성된 패널이 다양한 관점에서 이 문제를 바라보고 있다는 것을 알 수 있습니다.이것이 바로 커뮤니티에 참여하는 것입니다.그리고 두 번째는 이 세대가 이러한 문제에 무관심하기만 한 것이 아니라는 것을 알아야 한다는 것입니다. 우리는 잘 알고 있고, 정통하며, 해답을 알고 싶어하죠.우리는 어려운 질문을 던질 것입니다.그러니 준비만 하고 흥분을 느끼며 사이버 교육 측면에서 우리가 어디에 있는지 서로 만나야 하는 것처럼 이해하세요.
50:49
어메이징.카일라, 너랑 이야기할 수 있어서 정말 즐거웠어, 그렇지.더 오래 있었으면 좋겠어요. 하지만 당신의 시간이 소중하다는 건 알아요.다시 한번, 시간을 내주셔서 정말 감사합니다.정말 고마워요.정말 환상적이었어요.
51:02
고마워요, 라구정말 재밌었어요.고마워요.