


현실에 대한 인식
The Segment의 눈길을 사로잡는 이 에피소드에서는 한때 “오리지널 인터넷 대부”이자 전직 U.S. Most Wanted 사이버 범죄자였던 브렛 존슨을 소개합니다.지금은 개혁파 전문가인 브렛은 법 집행 기관과 조직이 디지털 위협에 미리 대비할 수 있도록 돕고 있습니다.
성적 증명서
라구 난다쿠마라00:12
세그먼트 청취자 여러분, 소중한 팟캐스트의 또 다른 에피소드인 세그먼트: 제로 트러스트 리더십 팟캐스트에 다시 오신 것을 환영합니다.오늘, 전설적인 브렛 존슨과 함께하게 되어 정말 기쁩니다.브렛이 누구인지 모른다면 인터넷 검색만으로도 그의 배경을 알 수 있는 몇 가지 결과를 얻을 수 있을 것입니다.하지만 간단히 말씀드리자면, 그는 사이버 범죄 커뮤니티의 전설입니다.이제 그는 개혁된 사이버 범죄자로, 법 집행관들이 범죄자를 잡도록 교육하고 돕는 일을 하고 있습니다.하지만 한때는 “사이버 범죄의 대부”로 불리기를 좋아했어요.이제 이 쇼에 오신 것을 환영합니다. 사상 처음으로 미국 모스트 수상자 명단에 오른 브렛 존슨, 웰컴 투 더 세그먼트를 소개해 드립니다!
브렛 존슨01:11
정말 고마워요.정말 고마워요.제가 전설적인지는 모르겠지만, 더 악명이 높다고 할 수 있겠네요.
라구 난다쿠마라01:17
글쎄요, 한 사람의 악명은 다른 사람의 전설이니까 둘 다인 것 같아요.브렛, 만나서 반가워요. 여러분과 이야기를 나눌 수 있어서 정말 기쁩니다.뒷이야기가 정말 흥미로워요. 하지만 많은 팟캐스트와 TEDTalks 등에서 다뤘잖아요.하지만 한 가지 변함없는 주제부터 시작할게요. 이걸 반복하고 여기에 적어두었죠. 현실에 대한 인식이 현실 그 자체보다 더 중요하다고 말씀하셨잖아요.거기서부터 시작해보죠.설명해 주세요.
브렛 존슨01:47
물론 진실이 무엇인지는 중요하지 않습니다.제가 뭘 설득할 수 있는지가 중요해요, 알겠죠?그리고 흥미로운 점은 지금 그 어느 때보다 더 많이, 더 많이 볼 수 있다는 것입니다.그게 정말 중요할까요?DOGE 팀이 무엇을 하고 있는지가 정말 중요할까요, 아니면 팀이 무엇을 하고 있다고 설득하는지가 중요할까요? 그게 요점이에요.자, 제가 범죄자였을 때 그게 실제로 무슨 뜻이었냐면, 이봐, 내가 그 은행 계좌를 실제로 소유하고 있는지는 중요하지 않다는 거였어요.정말 중요한 건 당신 은행의 고객 서비스 부서에 내가 당신이고 계좌의 소유라는 걸 납득시킬 수 있는지가 중요해요. 그게 정말 중요하죠.진실은 전혀 중요하지 않아요.그게 바로 예전에 제가 말했던 거예요.하지만 요즘은 상황이 바뀌었습니다. 생각해보면 온라인 공격을 보면 왜 그런 일이 일어나는지에 대한 동기는 세 가지뿐입니다. 지위, 현금, 이데올로기 때문이죠.지위예요. 저는 동료 범죄자들에게 깊은 인상을 주려고 하는 거예요.현금이에요. 돈을 벌려고 하는 거예요.아니면 네가 날 화나게 해서 내가 널 잡으려고 하는 거지그런 동기에 대해 생각해보면, “현실에 대한 인식이 현실 그 자체보다 더 중요해요.”그게 중요해요. 지금은 현금에만 국한된 문제가 아니기 때문이죠.이제 다른 이데올로기에 관한 얘기죠.정치적 의제에 관한 거예요.옳고 그르다는 것을 대중에게 납득시키는 거죠. 그게 옳든 싫든 말이에요. 이런, 젠장, 이봐요, 제가 섀도우 크루 시절부터 그 말을 하기 시작했을 때부터 오늘날까지, 저는 지금이 그 어느 때보다 중요하다고 생각합니다.
라구 난다쿠마라03:28
네, 맞아요.제 생각에 당신은 정말 잘한 것 같아요. 특히 인터넷의 무기화 같은 것이죠, 그렇죠.그리고 모든 종류의 미디어 플랫폼, AI의 무기화, 특히 그 분야에서요, 그렇죠?현실보다 더 사실적인 인식을 만들어 디지털 세상의 불확실성을 가중시킬 수 있다는 것이죠.그게 제 생각인데, 어떻게 생각하세요?
브렛 존슨03:56
AI에 대해 이야기해주셔서 기쁩니다.지난 몇 년 동안 AI가 실제로 구현된 이래로 AI에 대한 인식은 범죄자들이 대량으로 인공지능을 사용하고 있다는 것이었습니다.사실 그건 사실이 아니었죠.범죄 쪽에서는 많은 잡담이 있었지만 실제 사용 사례에 대해서는 그다지 많지 않았습니다.하지만 지금 말씀드렸듯이, 몇 분 전에 말씀드린 흥미로운 점은 온라인 공격의 동기라는 지위, 현금 이데올로기입니다.비즈니스, 이메일 침해에 대해 생각해 보세요.이는 현금 기반 공격입니다.제가 이익을 얻으려고 하는 부분이에요.시스템에 있는 기존 수취인 대신 저에게 결제대금을 보내도록 회사를 설득하려는 거예요.가장 인기 있고 가장 성공적인 방법 중 하나는 유니코드 도메인을 사용하여 새 이메일 주소가 실제 이메일 주소임을 확인하는 것입니다.하지만 정말 효과적인 방법 중 하나는 딥 페이크를 사용하는 것입니다. 딥 페이크는 오디오든 비디오든 상관 없습니다.이건 아주 성공적이었어요. 생각해 보면 정말 성공적이었어요. 제가 여러분을 속이려면 회사에서든 개인에서든 잠재적 피해자를 찾아가야 합니다.그 잠재적 피해자가 저를 믿도록 해야 해요.온라인 환경에서 신뢰는 어떻게 작동할까요?도구, 기술, 그리고 마지막으로 소셜 엔지니어링을 통해 작동합니다.그래서 우리는 기술, 휴대폰을 기본적으로 신뢰하고, 노트북과 데스크톱을 신뢰하고, 방문하는 웹사이트, 사용하는 소프트웨어, 사용하는 하드웨어를 신뢰합니다.공격자들이 다양한 도구를 사용하여 해당 기술을 조작하여 발신하는 전화번호를 볼 수 없게 한다는 사실을 우리는 잘 이해하지 못합니다.우리는 클라이언트의 전화번호를 볼 수 있습니다.금융 기관의 전화번호를 볼 수 있습니다.가짜 전화를 사용하죠.그들은 SOCKS5 프록시를 사용하기 때문에 저처럼 그들이 가나, 나이지리아, 앨라배마에서 왔는지 알 수 없습니다.유럽이나 뉴욕, 브라질에서 온 것으로 보입니다.그래서 그들은 이러한 도구를 사용하여 기술을 조작하고, 이는 신뢰의 문을 여는 경향이 있습니다.문이 열리면 사기꾼이 얼마나 거짓말쟁이인지, 기술 분야에 종사한다면 소셜 엔지니어에 얼마나 능숙한지 알 수 있습니다. 정보, 접근 권한, 데이터 또는 현금을 포기하도록 사용자를 조종하는 공격자가 얼마나 좋은지 알 수 있습니다.여기서부터 딥 페이크가 등장합니다.그래서 우리는 그 기술을 본질적으로 신뢰합니다.우리는 기본적으로 Zoom의 통화가 있어야 할 사람이라고 믿습니다.그리고 우리의 눈은 우리를 속여, 네, 그 회사의 CEO라고 생각하게 합니다.그러면 신뢰가 형성되고 신뢰가 쌓입니다.그러면 급여 담당자가 이제 AI가 실제로 이 일에 중요한 역할을 하기 시작한 누구에게든 그 대금을 보낼 수 있다는 확신이 들게 됩니다.그리고 AI는 범죄자들에 의해 어느 정도 사용되고 있습니다. 우리는 AI가 신뢰를 겹치는 것을 볼 수 있습니다.심층적인 페이크 제작 과정이 실제로 효과를 발휘하고 있는 분야입니다.딥 페이크는 역사적으로 존재해왔지만 실제는 아니었기 때문입니다.녹음된 후 그 피해자에게 퍼뜨린 내용이었어요.하지만 딥 페이크가 계속 발전하고 진화함에 따라 딥 페이크는 실시간으로 구현되는 지경에 이르렀습니다.따라서 현금 기반 공격의 경우 회사의 CEO가 어떤 지체도 없이 실시간으로 대화를 나누고 급여 담당자와 실시간 대화를 해야 합니다. “이 돈을 새 은행 계좌로 송금해 주세요.주소를 변경했으니 지금 변경하세요.” 음, 매우 효과적이고, 정말 유용할 것입니다.하지만 그건 딥 페이크를 만든 한 가지 동기에 불과합니다. 아시다시피, 우리가 미국을 봤다는 그 심오한 가짜를 생각해 보세요.우리는 COVID 기간 동안 미국이 폭파하는 것을 보았습니다. 왜냐하면 법 집행 기관은 비무장 흑인 남성을 쏘는 것을 좋아하기 때문이죠.그래서 이 나라는 폭발했습니다.폭동이 일어났습니다.약탈을 당했어요.앞으로 법 집행 기관이 비무장 개인을 총으로 쏴 죽이는 영상을 보게 되면 어떻게 될까요?도시가 폭발하고 며칠 후에 그 도시가 나오는데, 이봐, 그건 진짜 가짜였다는 게 밝혀졌어.알고보니 가해자가 총을 가지고 있었다는 거예요범인은 법 집행 기관에 총격을 가하고 있었지만 인공 지능을 통해 그 비디오를 삭제하고 편집하여 법 집행 기관이 무자비하게 이 사람을 살해하는 것처럼 보이는 새 비디오를 만들 수 있었습니다.피해는 이미 그 시점에 이미 이루어졌습니다.딥 페이스와 AI에 관한 한, 이것이 바로 우리가 보게 될 모습입니다.정말 그렇게 될 거예요.제 걱정은 이거예요.지금 우리는 딥 페이크가 만들어지고 딥 페이크가 탐지되는 것을 볼 수 있습니다.일종의 고양이와 생쥐 같아요.보다시피, 공격자들은 심오한 가짜를 가지고 나오는데, 아마도 보안 회사가 그것을 그렇게 인식할 수도 있고 아닐 수도 있습니다.그렇게 하지 않으면 회사는 알고리즘을 수정해서 딥 페이크 공격자를 찾아내고 나가서 앞뒤로 수정합니다.제 생각에 우리는 인공지능이 좋은 딥 페이크를 만들어낼 수 있어서 선량한 사람들이 피해의 종료를 감지하지 못하는 시점에 도달할 수 있다고 생각합니다.그렇기 때문에 저는 우리가 사회로서 그 어떤 것도 진정으로 신뢰하거나 믿을 수 없는 지경에 도달할 가능성이 매우 높다고 생각합니다.현실에 대한 인식이 현실 그 자체보다 더 중요하죠.더 이상 중요하지 않아요.누군가를 어떻게 설득할 수 있는지가 중요하죠.
라구 난다쿠마라09:42
말씀하신 것처럼 미래 상태로의 발전은 정말, 대단히 우려스러운 일이죠. 왜냐하면 저는 신뢰가 우리가 하는 모든 일에서 어느 정도 근본적이라고 생각하기 때문입니다.네, 그래요.현실 세계에서든 디지털 세상에서든, 그렇죠?우리가 의존하는 일종의 암묵적인 신뢰가 있다고 말씀드리죠.따라서 이러한 의존성, 즉 의존도가 낮아지면 이를 어떻게 극복할 수 있을까요?그렇다면 현실과 허구를 구분할 수 없는 세상에서 어떻게 하면 우리가 계속해서 자신감을 갖고 활동할 수 있을까요?
브렛 존슨10:29
제게는 진정한 개인적인 관계로 귀결됩니다.비즈니스 이메일 보안 침해를 어떻게 극복할 수 있을까요?글쎄요, CEO와 온라인에서만이 아니라 개인적인 관계를 맺으면 문제를 해결할 수 있습니다. 하지만 “이봐요, 얘기 좀 할 수 있을까요?전화 받아서 다시 전화해도 돼요?”그거 가져도 돼요?여러분과 저 개인적으로만 논의된 적 없는 이 옛날 학교 비밀 표현이 있나요?그거 있어요?이렇게 되죠. 옛날 보안 방식으로 되돌아가는 거죠.하지만 그 이상입니다. 소셜 미디어는 우리를 우리 자신의 작은 반향 공간에 집어넣는 것을 좋아한다는 사실을 꼭 알아두셔야 합니다.우리가 객관적으로 행동하는 건 싫어요.우리가 주관적으로 행동하는 걸 좋아하죠.서로 말다툼하는 걸 좋아하죠.그래서 객관적이고, 열린 마음을 갖고, 받아들이고, 이해하고, 틀렸을 때 이를 인정하기 위해 노력해야 한다는 생각이 떠오릅니다.트위터를 하면 정말 어려운 일이죠. 일단 틀렸다는 걸 인정하면 상어가 들어와 산 채로 잡아먹기 마련이니까요.하지만 그건 현실 세계가 아니라는 걸 이해해야 합니다.아시다시피, 우리는 오늘날 사회에 살고 있습니다. 지난 몇 세대 동안 우리는 A, 넘버 원 (No.1) 을 찾도록 훈련받았습니다.바로 당신이에요.알다시피, 조심해야 해요. 다른 누구도 그러지 않을 테니까요. 하지만 그게 제대로 기능하는 사회가 작동하는 방식이 아니니까요.사회란 바로 그런 것입니다. 바로 사회입니다.개개인의 문제가 아니라 모두가 서로를 바라보는 거죠.우리가 서로를 돌보면 하루가 끝날 때는 모두가 더 나아지고, 하루가 끝날 때는 더 성공하고, 하루가 끝날 무렵에는 더 많은 수익을 올릴 수 있기 때문입니다.그게 문제고, 우리 자신을 돌볼 때 궁극적으로는 모든 것이 무너지는 거죠.제가 범죄자였을 때, 그리고 지금도 스스로를 범죄자라고 부릅니다. 하지만 제가 적극적으로 법을 어겼을 때, 제가 범죄의 삶을 살게 된 이유 중 하나인데, 이에 대해 많은 생각을 했습니다.제가 범죄의 삶을 살게 된 이유 중 하나는 제 운명을 스스로 통제할 수 있기를 원했기 때문입니다.다른 사람에게 전혀 의지하고 싶지 않았어요.제가 말씀드리자면, 범죄를 저지르고 성공했을 때, 그 환상은 마치 마법처럼 작용하죠.당연하죠, 100% 그렇습니다.하지만 모든 것이 무너질 때, 모든 것이 무너지고, 모든 것이 무너질 때, 땅에 쓰러지고, 진정한 삶은 다른 사람들과 함께 일하고 다른 사람들에게 의존하는 데 달려 있다는 것을 알게 됩니다.아시다시피, 많은 남자들은 다른 사람들에게 무언가를 요구하는 것을 좋아하지 않아요.우리는 다른 사람에게 의지하는 걸 좋아하지 않아요.하지만 진실은, 제가 할 수 있었을 때, 인생을 바꿀 수 있는 기회가 주어졌을 때, 그리고 그 기회를 잡았다는 것입니다.제가 그렇게 할 수 있었던 방법은, 네, 제 선택이었어요.하지만 동시에, 제게 커뮤니티가 없었다면, 사이버 보안 커뮤니티, FBI, 친구, 가족, 동료들이 없었다면, 저를 지지해주고 제 헛소리에 대해 말해주지 않았더라면, 여전히 헛소리가 남아 있습니다.그들이 그렇게 하지 않았다면 저는 오늘 이 자리에 있을 수 없었을 거예요.저는 다시 20년 동안 감옥에 있을 거예요.저는 이 점을 확실히 확신합니다. 우리 사회가 이해해야 할 점은 한 사람만이 아니라 집단이 중요하고 서로 돕는 것이 중요하다는 것입니다. 그게 바로 우리가 해야 할 일이기 때문이죠.
라구 난다쿠마라14:12
섀도우 크루를 설립하거나 운영할 때 사회 개념에 대해 말씀드리자면, 섀도우 크루가 집단적으로 운영되는 방식에 영향을 준 시민사회의 특성이 많이 있었나요? 사람들이 서로 도와서, 물론 사이버 범죄를 지원하기 위한 것이었죠. 하지만 그 커뮤니티 내에는 그런 암묵적인 신뢰가 많았을까요?
브렛 존슨14:42
그래서 저는 두바이에 있었고 몇 달 후에 두바이로 돌아갈 예정입니다. 하지만 두바이에서 열린 GITEX 컨퍼런스의 보안 부분에 대해 기조 연설을 했고 패널로 참여하여 패널로 참여한 다른 사람들의 말을 듣고 있었는데 거기 앉아서 좋은 말을 많이 해주었습니다.그리고 마침내 제가 이야기를 할 차례가 왔고, 그들은 제게 질문을 했는데 저는 그 질문을 완전히 무시하고 제가 “이봐,” 하고 청중을 바라보며 이렇게 생각했습니다. “이봐, 왜 나쁜 놈들은 이기고 너희들은 매일 지는지 알고 싶니?”답은, 그리고 지금도 여전히 답입니다.우리 나쁜 놈들이야, 우리는 너희들보다 공유와 협업을 더 잘한다.방금 말씀하셨듯이 우리는 여러분들보다 사회에 더 가깝습니다.여러분들은 규제에 대해 걱정하고 있습니다.경쟁 우위가 걱정되고 자신에 대해서도 걱정됩니다.Shadow Crew를 통해 이해한 결과, 앉아서 계획을 짜낸 것 같지는 않았습니다.우린 안 했어요.우리가 한 일은 현대 사이버 범죄의 근원이 있었냐는 것이었습니다. 사실 세 개의 웹사이트였죠.위조 라이브러리, 섀도우 크루, 카터 플래닛입니다.저는 위조품을 운영했고, 제 우크라이나 동료인 드미트리 골로프는 섀도우 크루를 운영했고 그는 카터 플래닛을 설립했어요. 그 세 곳을 만들었죠.앉아서 계획을 짜는 사람이 아니었어요.이런 것들이 커지면서 문제가 생겼고 우리는 그 문제를 해결했습니다.이것이 바로 이런 일이 벌어지는 방식입니다.Counfeit 및 Shadow Crew를 통해 빠르게 이해한 것 중 하나는 정보를 공유하고 교환하는 것이 중요하다는 것입니다.동료 범죄자를 조심하는 것이 중요합니다.우리가 그 사실을 이해한 이유는 우리가 범죄를 저지르고 있다는 것도 금방 이해했기 때문입니다. 서로 돌보지 않으면 보안 요원이 많이 생길 거고, 더 중요한 건 여기 경찰관들이 많이 있어서 우리를 체포해서 영원히 감옥에 보낼 거라는 거죠.그래서 동료 인간을 살피는 것이 매우 중요해졌습니다.네, 비록 범죄자였지만 우리는 서로를 정말 조심했어요.우리는 서로 도와서 법을 어겼어요.우리는 서로를 도왔고, 서로를 교육하는 것을 도왔습니다.개인적인 문제가 생기면 보통 서로 해결하곤 했어요.그곳은 진정한 커뮤니티가 되었죠.더 이상 많이 볼 수 없는 흥미로운 점 중 하나죠.요즘 우리가 사는 동네는 보통 옆집 이웃도 모르고 말도 안 해요.우리는 앞쪽에 블라인드를 꽂아 두고 밖을 볼 수 없고 다른 누구도 안을 볼 수 없게 합니다. 우리는 계속해서 스스로를 고립시키고, 다른 사람의 반대 의견을 받아들이는 것조차 거부하는 우리 자신의 작은 반향실에서 계속 살아갑니다.다른 사람이 우리에 대해 반대의 시각을 가지면 갑자기 우리의 적이 됩니다.그리고 그것은 사람으로서 성장하는 방법이 아닙니다.지식이나 지평, 전망, 통찰력을 어떤 것으로든 넓힐 수 있는 방법은 아닙니다.하지만 확실히 오늘날에도 범죄 공동체를 보면 텔레그램, 다크 웹, 심지어는 표면 웹 등 범죄 커뮤니티를 보면 협력하고, 돕고, 서로를 돌보는 것의 핵심을 알 수 있습니다. 그리고 범죄 세계에서 그것이 착한 사람 세상보다 더 생생하다는 것은 불행한 일입니다.
라구 난다쿠마라18:15
정말 흥미로워요.걱정되는 것은, 제 생각에 여러분이 다루시는 것은 역사적으로 우리가 사회에, 생산적인 사회를 위해 중요하다고 느꼈던 가치들 중 일부는 우리가 법적, 권리, 비범죄 세계라고 부르는 것을 사실상 잊고 있다는 것입니다.하지만 범죄 세계에서는 이러한 핵심 특성 중 일부가 실제로 보존되고 실제로 성공하기 위해 매우 엄격하게 실천됩니다.저는 그 자체로도 교훈이 있다고 생각합니다. 특히 정보의 공유와 지식의 공유와 관련해서요.그게 정말 중요하다고 생각해요.그게 우리가 발전하는 방법일 뿐이야.그럼 사이버 범죄에 대해 반복해서 강조하시는 동기에 대해 다시 말씀드리죠?지위, 이념, 돈.그리고 우리 모두 돈 부분을 어느 정도 이해하고 있는 것 같아요.우리는 이데올로기 부분을 어느 정도 이해하고 있습니다.하지만 지위에 대한 여러분의 관점을 들어보고 싶은데요, 제가 말씀드린 것처럼, 사이버 범죄자로서 조금이라도 힘을 내고 싶을 때 말이죠, 그렇죠?그냥 보여줘요, 총을 좀 보여주고, 운동을 해왔다는 것만 보여주세요.그럼 어떻게 할 수 있을까요?
브렛 존슨19:28
자, 제가 무슨 말을 하는지 이해하세요. 아시다시피, 링크드인이나 트위터에서 항상 보는데, 보안이나 법 집행 담당자는 페이스북이나 텔레그램에서 현금 더미를 흔드는 어떤 아이의 동영상을 올립니다. 또는 랩 아티스트가 자신이 저지른 모든 사기에 대해 이야기하는 비디오를 올립니다.그리고 그들은 보통 그 사람은 멍청한 사람이라고 말하죠.그 반응은, 네, 그 사람은 정말 멍청한 사람이에요. 하지만 당신은 거기서 실제로 무슨 일이 벌어지고 있는지 제대로 이해하거나 이해하지 못하고 있잖아요.여러분이 이해해야 할 것은 범죄 공동체는 모두가 성공할 수 있도록 하기 위함이긴 하지만, 그 범죄 공동체들도 덩치 크고 작은 개라는 것을 이해해야 합니다. 그게 바로 그거예요.그러니까 큰 개는 작은 개를 잡아먹는다는 거죠. 지위가 높으면 그 커뮤니티의 모든 구성원으로부터 더 존경을 받는다는 뜻이죠. 그리고 결국 그 존중을 받는 것이 수익과 동일하다는 뜻이죠.생각해 보시고 모든 범죄자가 좋은 것은 아니라는 걸 이해하세요. 그러니까 숙련된 범죄자라는 뜻이죠.그래서 그 사람들 중 저는 전혀 아는 게 없어요.요즘은 무슨 범죄인지는 중요하지 않기 때문에 그들은 모든 것을 진열대에서 사들이고 있어요.범죄를 저지르는 데 필요한 모든 부품을 기성품으로 구입할 수 있습니다.튜토리얼을 가져갈 수 있고, 구입할 수 있습니다.실시간 수업 수업을 들을 수 있습니다.자신이 저지르는 범죄의 동태를 이해할 필요는 없습니다. 그래도 성공할 수 있습니다.만약 여러분이 저지르고 있는 범죄를 이해하지 못하지만 돈을 많이 훔칠 수 있다면, 어떻게 하면 그 커뮤니티 구성원들로부터 존경을 받을 수 있을까요?글쎄요, 이제 남은 건 제가 PS5 30대를 훔칠 수 있다는 걸 보여줄 수 있는 거고, 실업 보험 청구로 일주일에 3만 달러를 벌 수 있다는 걸 보여줄 수 있는 것뿐입니다. 그리고 당신은 그 현금을 면제해 주죠.그리고 결국에는 그게 정말 중요하죠.제가 이 문제에 대해 이야기할 때, 그 커뮤니티의 다른 누구도 할 수 없는 일을 여러분이 할 수 있느냐는 거죠.랜섬웨어를 만들 수 있나요?랜섬웨어를 배포할 수 있나요?그게 정말 중요하니까요.소셜 엔지니어링 공격을 성공적으로 시작할 수 있을까요?피싱 캠페인을 시작할 수 있나요?대인 공격과 중간 공격을 할 수 있나요?봇넷을 구축하고 배포할 수 있나요?도난당한 신용카드 정보를 이용해 Amazon이나 Apple을 속일 수 있는 사람이 아무도 없는데 사용할 수 있을까요?할 수 있다면 커뮤니티 내의 모든 사람들로부터 존경을 받을 수 있고, 그 존중이 중요합니다.이것이 실제로 의미하는 바는 회원들이 찾아와 조언을 구한다는 것입니다.그들은 여러분과 더 많은 정보를 공유할 것입니다.“이봐요, 방금 제 지역에서 이런 특정한 유형의 범죄가 벌어지고 있다는 걸 알게 됐어요. 그리고 이건 이 회사에 불리하게 작용하고 있어요.” 그런 다음 오프라인에서든 시그널을 통해서든 다른 방식으로 그들과 대화를 나누게 할 수 있습니다.“좋아요, 이건 어떻게 작동하는 거죠?어떤 도구를 사용하고 계세요?”하지만 결국에는 수익성이 더 높고 지식이 풍부하다는 뜻이죠.따라서 이러한 존경심이 쌓이기 시작하면 더 많은 사람들이 들어와 더 많은 정보를 공유할 수 있습니다.그런 다음 다른 사람들과 먼저 비공개로 공유하고 그 다음에는 더 공개적으로 공유할 수 있습니다. 그러면 전반적으로 지위가 높아져 마침내 먹이사슬의 정상에 오르기 시작할 수 있습니다.다시 말씀드리지만, 큰 개 대 작은 개, 그게 중요하죠.따라서 지위는 절대적으로 중요한 요소 중 하나입니다. 착한 사람은 아무도 인정하거나 이해하지 못합니다. 앞으로 생각해 보면 사이버 범죄가 오늘날 국가라면 세계에서 세 번째로 큰 경제 규모를 갖게 될 것입니다.정말 엄청나죠. 엄청나죠.그리고 이러한 유형의 집단 내에서 지위의 중요성을 무시하거나 이해하지 못하는 것은 이러한 범죄가 왜 많이 저질러지는지에 대한 요점을 놓치는 것입니다.
라구 난다쿠마라23:24
정말 흥미롭네요.여러분께 여쭤보고 싶은데요, 말씀해 주실 수 있다면, 커뮤니티에서 큰 개, 대부 지위를 얻기 위해 어떤 중요한 일을 하셨나요?
브렛 존슨23:37
좋아요, 그럼, 이런, 어디서 시작해야 할까요, 어디서부터 시작해야 할까요?그래서 오늘날 아시다시피 사이버 범죄가 처음 시작되었을 때 저는 정말 그 사건의 기초에 있었습니다.그 사이트는 위조 도서관이었는데, 이미 기존 사이트였어요.거기 포럼이 있었는데 없어졌어요.정말이지, 아무도 안 썼어요.저는 그 포럼의 첫 번째 회원 중 한 명이었어요.제가 그 포럼에 가입한 이유는 사기를 당했기 때문입니다.저는 아무것도 몰랐어요.그러니까, 저는 이베이 사기와 페이팔 사기를 할 줄 알았어요.그곳에서의 수많은 사이버 범죄의 동태를 제대로 이해하지 못했어요.가짜 신분증을 찾고 있었는데 한 남자가 저를 훔쳤어요.깜짝 놀랐어요.화가 났어요.그래도 가짜 신분증이 필요했는데 이 위조 도서관을 찾았는데, 그들이 다루고 있는 것은 위조 학위와 인증서였고, 그 당시에는 사이버 범죄 채널에 가장 근접할 수 있는 자료였어요.그래서 그들의 포럼에 들어갔죠.아무도 그걸 사용하지 않았고, 말 그대로 제가 한 유일한 일은 매일 바가지를 당했다고 개자식 신음하며 불평하는 것뿐이었죠.그리고 거의 같은 시간에 저도 거기 있었어요.다른 두 사람도 거기 있었어요.하나는 Mr. X의 이름을 딴 거였는데 그는 로스앤젤레스 밖에 있었어요.다른 한 명은 Beelzebub이라는 스크린 네임으로 불렸는데, 그는 사스캐처원 주 무스 조 (Moose Jaw) 같은 여러 곳을 떠나 있었습니다.그래서 우리는 이런 친구 그룹이 되었죠.그러던 어느 날 ICQ를 사용했었죠.서로 메시지를 주고받기 위해서요.그러던 어느 날 벨제밥이 저를 ICQ에 데려다 줬어요. 메세지가 왔어요.저는 골룸이라는 스크린 네임을 들었어요.그는 “골룸!” 이라고 말했죠.저는 “네, 이봐요.” 라고 생각했어요.그는 “가짜 운전면허증을 만들어 줄 수 있어요.” 라고 말했죠.그래서 저는 “음, 친구, 해봐.” 라고 생각했죠.그러자 그는 “아니요, 비용을 청구할게요.” 라고 말했죠.글쎄요, 그 무렵에는 욕하고, 신음하고, 불평을 너무 많이 해서 위조 도서관의 진짜 주인이 저를 좋아했고, 저도 그를 알았고, 우리는 정말 잘 지냈어요.그는 “내가 요금을 청구했을 거야.” 라고 말했어요.저는 이렇게 생각했어요. “그래, 진짜 너네 같아.”그는 “아니요, 청구할게요, 이봐요.”그는 이렇게 말했습니다. “제가 요금을 청구하려는 이유는, 이 사업을 하려면 언젠가는 누군가를 믿을 수 있어야 하기 때문이에요.”뭐, 그래, 라고 생각해서 그 사람한테 말했죠.저는 “야, 내가 너한테 200달러를 보낼 거고 네가 나를 바가지 치면 네 엉덩이가 이 사이트에서 금지될 거고, 더 이상 너에 대해 걱정할 필요 없어.” 라고 생각했어요.그는 “베팅하세요.” 라고 말했어요.제가 “알았어요” 라고 생각해서 그에게 200달러를 보냈고 제 사진도 보냈어요.몇 주 후에 스티븐 슈웨이크 이름으로 가짜 운전면허증을 받았어요.진짜 남자는 지금도 일하고 있고 ADP 페이롤 (ADP Payroll) 에서 일하고 있는데 제가 뭘 보고 있는지 몰랐어요.저한테는 이 세상에서 제일 좋은 가짜 운전면허증이었어요.알고 보니 아니었어요.통행이 가능했지만 사기를 칠 때는 패스워블만 있으면 돼요. 저는 그 운전면허증을 이용해 은행 계좌를 개설하고 수표를 현금화하는 등 모든 것을 할 수 있습니다.그 거래는 X씨가 아주 훌륭하거나 무난하게 사용할 수 있는 사회보장 카드를 만들었다는 것이었습니다.Beelzebub은 무난한 오하이오 운전면허증을 만들었어요.그 당시에는 아무것도 몰랐어요.저는 eBay와 PayPal 사기를 할 줄 알았어요.결국 Beelzebub은 운전면허증을 팔고 싶다는 것이었습니다.X씨는 사회보장 카드를 팔고 싶었어요.저한테는 기술이 하나도 없었어요. Beelzebub은 제가 리뷰어가 되자고 제안했어요. 그러면 제품을 팔겠다고요.저는 외부에서 독립된 리뷰어가 되고 싶어요.무엇이든 팔고 싶은 사람은 저한테 사본을 보내야 할 거예요.어떻게 사용하는지 배우고 무엇이 좋고 무엇이 좋지 않은지 배우곤 했어요.그래야 이 커뮤니티가 형성될 수 있을 거예요.그리고 바로 그 일이 일어났습니다.이건 거의 꿈의 밭이 되었어요. 지으면 범죄를 저지르기 위해 놈들이 몰려올 거예요.제가 이 리뷰어가 됐어요.모든 제품과 서비스가 저를 거쳐갔고, 어느 순간 바로 그 일이 일어났습니다.모든 비즈니스 거래는 Johnson을 통해 진행되었습니다.그래서 저는 이렇게, 제가 승낙을 하면 사람들이 돈을 벌게 되는 그런 신이 되었죠.제가 안 하면 사람들이 파산했어요.그래서 저는 범죄자들이 사용하는 초기 신뢰 메커니즘, 검토 과정, 사람들을 위한 보증 프로세스, 그리고 그것이 에스크로 채널의 의미를 만든 사람이라는 거죠.제가 처음에 그걸 만든 사람이에요.도난당한 은행 계좌를 팔았거나 도난당하지 않았더라도 온라인으로 덤프 은행 계좌를 만든 사람은 제가 처음이에요.저는 세금 신고서 신원 도용을 만들기 시작했어요.그래서 모든 사람들의 세금 신고가 매년 지연되는 이유는 바로 이 SOB 때문이죠.저기, 호스트가 있어요.저는 우크라이나 사람들을 전부 미국으로 데려온 사람이에요.제가 말씀드린 카터의 동료, 행성 드미트리 골로프요.그는 우리가 위조 도서관을 통해 거두고 있는 성공을 목격했습니다.그는 자신이 스팸 발송자였으면 좋겠다고 했어요.그는 이 모든 신용카드 정보를 받고 있었어요.그리고 그는 도난당한 신용카드 정보를 사람들이 사지 않을까 하는 생각이 들었어요.알고보니 그럴 거예요.그래서 그는 전화를 받습니다.그는 친구들에게 전화해요.자기네 애들한테 전화해그들은 오데사에서 물리적인 회의를 가졌어요. 150명의 범죄자들이 나타나서 카터 플래닛을 쏘아 올립니다. 우리가 부르는 현대 신용 카드 도난의 근원이죠.문제는 그들이 유럽 동부에서 너무 많은 사기를 저질렀기 때문에 모든 카드가 폐쇄되었다는 것입니다.그래서 디미트리가 제게 와서 말했죠. “이봐요, 현금 인출이 가능해야 돼요.”그래서 저는 사이버 범죄자들 간의 우크라이나어 영어 사용 관계를 이어주는 역할을 맡았습니다.글쎄요, 몇 년 동안 지속되었죠.아직 어느 정도까지는 남아있지만 제가 처음으로 저지른 범죄의 수는, 맙소사, 정말, 정말 많아요.제 말은, 그 일에 많은 시간을 할애할 수 있다는 거죠.비밀 경호국이 저를 오리지널 인터넷 대부라고 부르는 데에는 이유가 있습니다. 좋은 표현이 아니에요.그리고 제가 미국의 최우수 수상자 명단에 오른 데에는 이유가 있습니다.말해줄게, 남자애들아, 미국의 최다 수상자 명단에 있는 사람이라면 누구라도 말해줄게.그 시점에선 넌 착한 사람이 아니잖아내 말은, 넌, 넌, 위험한 놈이야.그건, 정말, 자랑스러워 할 게 하나도 없어요.
라구 난다쿠마라29:30
그들은 당신에게 메달을 주러 온 것이 아닙니다. 그건 확실합니다.
브렛 존슨29:33
아뇨, 오 글쎄요, 그들은 당신을 금속으로 만들려고 거기 있는 거예요.
라구 난다쿠마라29:38
그럼 전환해 봅시다. 근본적으로 사이버 범죄자와 어느 정도 공격자의 사고방식에 대해 많은 관점을 제시하셨으니까요. 그렇죠?제가 생각하기에 앞서 말씀하신 것이 있는데, 맞나요?사이버 범죄는 그 규모와 가치도 증가하고 있는 것처럼 흘러가고 있습니다.그게 뭐죠?이제 방어 진영의 편에 서게 되면, 방어 진영이 어떤 실수를 저지르면서 사이버 범죄 예방에 있어 우리가 더 나아지지 않고 있다고 느끼게 되는 걸까요?
브렛 존슨30:13
제 친구는 어제 LinkedIn에 글을 올렸는데 그가 한 말은 정말 눈을 뜨게 하는 것 같았어요.제가 몇 년 전부터 이 말을 해왔습니다.사이버 범죄자들이 엄청난 성공을 거두는 이유 중 하나는 우리가 어떤 행동을 할 때 그 일을 하기 때문입니다. 왜냐하면 그게 우리가 먹는 방식이기 때문이죠.성공하지 못하면 그날 먹지 않는 거죠.그러니까 소셜 엔지니어링 공격은 나쁜 사람이 소셜 엔지니어링 공격을 하는 방식과 좋은 사람이 하는 방식에는 차이가 있습니다.알다시피, 좋은 사람이에요. 데프콘이나 블랙햇에 가면 거기에 소셜 엔지니어링 농장이 있는데 모두가 모두의 노트북을 훔치는 등 다른 모든 헛소리들을 훔치고 있어요.소셜 엔지니어링이 실제로 작동하는 방식은 그렇지 않습니다.소셜 엔지니어로서 만약 여러분이 정말로 이익을 얻거나 공격 동기가 무엇이든지 간에 이런 일을 한다면, 잠재적 피해자가 그 일을 하기로 선택했다고 생각하게 만들 수 있는 아주 작은 방법으로 무언가를 시도하는 것입니다. 그리고 여러분은 그들이 알아차리기를 원하지 않을 것입니다.그들이 알게 되면 흥을 돋우기 때문이죠.그러니까, 행동할 수 있는 공간만 남았어요.따라서 그들이 알아차리지 못하는 공간이 가능한 한 길어졌으면 하는 거죠.그래서 선량한 사람들이 어떤 행동을 하는 것을 보면서 저도 농담을 합니다. 이봐, DEFCON은 사람들이 가서 진짜 범죄자는 절대 하지 않는 공격과 공격 방법에 대해 이야기할 수 있도록 하기 위해서죠.좋아요, 농담이긴 하지만 거기에도 많은 진실이 있습니다.그리고 저는 항상 이런 것을 봅니다. 사람들은 범죄자들이 어떻게 생각하는지 이해한다고 생각하고 저도 범죄자처럼 생각할 수 있다고 생각하죠.글쎄요, 안 돼요.할 수만 있다면 범죄자가 될 거예요그게 사람들이 정말 놓치고 있는 것 중 하나라고 생각해요.그렇다고 제가 뭘 할지 예상할 수 없다는 뜻은 아니에요.할 수 있어요. 하지만 열린 마음을 가져야 해요.객관적이어야 하고 모든 것을 안다고 생각하지 않아야 합니다.제 생각에도 문제점 중 하나는 이런 회사 중 상당수가 보안 관련 예산이 엄청나게 많다는 것입니다.꼭 큰 예산을 책정할 필요는 없다고 생각합니다.예산이 정말 크다는 건 그 많은 돈으로 할 수 있는 일을 찾아야 한다는 뜻인 것 같아요.때로는 효과가 있을 때도 있고 그렇지 않을 때도 있지만 어쨌든 돈을 많이 쓰자.저는 이 모든 것을 종합해서 볼 때 적절한 사이버 보안이라고 생각하며, 보호는 사실 대중을 대상으로 하는 것이 아니라고 생각합니다.로맨틱한 건 아니에요. 그냥 해야 할 일을 하기 위한 기본 사항일 뿐이죠.8500개 이상의 보안 회사가 있습니다.세상에는 공격자를 해커, 컴퓨터 천재로 묘사하는 매스 미디어가 많이 있습니다.원하는 모든 유형의 컴퓨터 시스템에 침입할 수 있습니다.실제로는 그렇지 않아요.전체 공격의 90% 이상이 알려진 익스플로잇을 사용하기 때문에 공격이 발생합니다.네, 컴퓨터 천재는 아니에요.몇 년 동안 우리가 얘기해왔던 것들인데 우리는 아무것도 하지 않고 있습니다.이로 인해 위협이 확산되고 있습니다. 90% 이상의 공격은 피싱 공격으로 시작되는 보안 침해의 핵심입니다.그러니까 인간을 해치는 거죠.알려진 취약점을 찾고 있는 거죠.이런 것들을 이해하는 거죠.공격자를 이해하는 거죠.대부분의 공격은 현금 기반이며, 대부분의 공격은 기회주의적 공격입니다.범죄 투자에 대해 가장 큰 수익을 낼 수 있는 가장 쉬운 방법을 찾고 있어요.그걸 이해하고 보안을 조금만 넣으면 괜찮을 거예요.하지만 그렇게 해야 돼요그냥 10억 달러를 가질 순 없어요.그래서 이 은행들 중 저는 10억 달러의 보안 예산을 가지고 있습니다. 어느 은행인지는 말씀드리지 않겠지만 저는 그들의 위협 담당 부사장과 이야기를 나눴습니다.제가 그녀에게 물었더니 “이봐, 왜 아직 랜섬웨어에 걸리지 않았니?”그러자 그녀는 이렇게 말했습니다. “모르겠어요.물어볼게요.”그래서 약 3주 후에 그녀가 돌아와서 말하죠. “음, 제 상사와 만났어요.그는 마침내 제게 대답했습니다. “음, 우리에겐 10억 달러의 보안 예산이 있어요.”그래서 저는 “젠장, 정말 많네요.” 라고 생각했죠.그러자 그녀는 “네”라고 말했고, 그러자 그녀는 이렇게 말했습니다. “그러자 그는 잠시 멈추더니 저를 쳐다보더니 이렇게 말했습니다. 그리고 우린 정말 운이 좋았어요.”그리고 저는, 젠장, 운은 전략이라고 생각했어요.
브렛 존슨34:38
아시다시피, 만약 여러분이 보안에 10억 달러를 쓰고 있다고 말한다면, 다음 순간에는 운이 좋게도 뭔가 잘못됐을 수도 있다고 말할 수 있습니다.
라구 난다쿠마라34:50
훌륭합니다. 만약 그들이 10억 달러를 절약하고 단지 운에 의존한다면 결과는 여전히 상당히 비슷할 것입니다. 아마도 비슷할 수도 있습니다.
브렛 존슨35:02
그게 흥미로운 점이에요.그러니까, 알다시피, 이건, 정말 로맨틱한 직업이라고 생각하지 않고 그냥 앉아서 하는 그런 일 중 하나예요. 슈퍼스타라고 생각하지 않는 거죠.정말 중요한 건 사물의 기본이죠.알다시피, 저번에 어떤 남자를 봤어요.제가 이야기를 시작했을 때 두 명이 있었어요.실제로 말하고 있던 진짜 범죄자는 두 명뿐이었어요. 저와 프랭크 애비뉴였죠.이제 몇 명이 더 있는데, 그들 중 몇몇은 무슨 말을 하는지 알고 있습니다.그래서 그 사람들 중 저는 몰라요.이거.이 사람은 사기 방지 및 보안 인식 교육에 관한 글을 올렸는데, 아시다시피 “보안 인식 교육을 실시하는 회사는 63% 의 감소를 발견했고, 세금을 내면 50% 의 비용을 절감합니다.” 라는 수치를 제시했습니다.그리고 그는 자신이 무슨 말을 하는지 몰랐습니다. 보안 인식, 사기 방지 교육은 교육이 진행되는 한 효과가 있기 때문이죠.몇 주 동안 할 일이 아니에요. 효과적이죠.그 2주 동안은 효과가 있고, 그 다음에는 그 수치가 다시 원래대로 돌아가는 거죠.따라서 올바른 방법으로 일을 해야 한다는 것을 이해하는 거죠.그냥 개와 조랑말 쇼가 아니에요.제가 감옥에 있을 때는 항상 개와 조랑말 쇼를 했어요.계속 진행하면서 동시에 일을 제대로 하고 있는지 확인해야 하는 일이에요.
라구 난다쿠마라36:20
제 생각엔 이 모든 것이 맞는 것 같아요. 그리고 당신의 배경에서 왔기 때문에 계속해서 말하고 있는 많은 것을 뒷받침할 수 있다고 생각해요. 하지만 충분히 주의를 기울이지 않은 것 같아요, 그렇죠?왜냐하면 당신이 말한 것은 사이버 공격자들과는 다릅니다. 사이버 범죄자들은 마치 외딴 곳에 사는 것과 같죠?모든 도구 키트가 알려진 익스플로잇에 대해 존재하기 때문에 이와 동일한 익스플로잇이 발생합니다.그렇다면, 세상에 있는 것을 그냥 재활용할 수 있는데 왜 굳이 새로운 공격 가능성을 대비해 새 툴킷을 만들어야 하겠습니까?비용도 적게 들고 노력도 덜 들죠.다시 한 번 말씀드리지만, 운이 좋으면 결과를 얻고, 현금을 인출하고, 앞으로 나아갈 수 있을 거예요.그래서 당신이 말했을 때, 맞아요, 꼭 섹시한 새 일을 하는 건 아니죠, 그렇죠, 하지만 사이버 보안의 가장 기본적이고 기초적인 부분에서 뛰어난 능력을 발휘할 수 있다는 거죠, 그렇죠?이것이 바로 수비수에게 가장 큰 기회가 있는 곳입니다.그 교훈을 듣고 있나요?
브렛 존슨37:32
알다시피, 몇 군데 있습니다.몇 군데 있어요.제 생각에 이런 침해 사례가 점점 더 많이 알려지고 있는 것 같아요.콜로니얼 파이프라인을 예로 들어보죠.콜로니얼 파이프라인.왜 그런 일이 일어난 걸까요?콜로니얼 파이프라인이 자신들의 VPN 암호 중 하나가 다크 웹 채널에서 사용 가능하다는 것을 알았기 때문에 일어난 일이었죠.그들은 그걸 알았지만 아무 조치도 취하지 않았어요.그들은 암호를 바꾸지 않았어요.그게 그런 일이 일어난 이유죠.비밀번호가 solarwinds123이라는 것을 알고 있기 때문에 이런 일이 발생합니다. 아니면 그 이유 중 하나이기도 합니다.
브렛 존슨38:07
그래서, 알다시피, 그런 것들이 점점 대중에게 노출되고 우리가 알다시피 콜로니얼 파이프라인은 시도했고 익스피리언은 인턴에게 미루려고 했습니다.아시다시피 보안 침해를 경험하는 모든 회사에는 같은 인턴이 계속 고용되어 그들의 이야기를 듣고 있습니다.이러한 정보가 더 많이 공개되면, 그리고 이러한 공격이 어떻게 이루어지는지 볼 때, 일반적으로 정교한 공격이 아니라 기회주의적 공격일 뿐이라고 생각합니다.이런 대화를 계속 나누다 보면 그 인식이 깨어나는 것 같아요. 이봐, 이런 섹시한 것들이 아니라 컴퓨터 천재들이 아무도 잡을 수 없는 그림자 속에서 활동하는 것도 아니에요.그렇지 않아요.이런 것들을 스캔하고 있는 건 바로 이 사람들이에요.그들은 백서를 읽고 있어요.그들은 접근성을 찾기 위해 부지런히 노력하고 있습니다.그들은 한 업종에 속해 있고 이 공격으로 해당 업종에 속한 회사를 손상시킬 수 있다면 아마도 같은 업종의 다른 회사에서도 같은 공격이 통할 것이라는 것을 이해하고 있습니다.그러니까 이런 것들을 이해하는 게 중요하죠.이해와 공유와 협업이 관건이죠.제가 인프라, 금융 등과 같은 특정 업종의 회사이는데 우리 회사가 이런 특정한 공격에 시달린다면 말이죠.제가 같은 업종에 있는 다른 회사들과 공유하고 협업한다면 그 공격이 발생하기 전에 다른 회사들이 스스로를 보호할 수 있다는 뜻이죠.제가 그렇게 하지 않는다면 경쟁 우위를 확보하기 위해 노력하고 있다는 뜻입니다. 여기서 보안을 구현하고 다른 경쟁업체들을 먹어 치워버리겠지요.이건, 무너졌어요. 열린 마음을 갖고 있는 거죠.객관적으로 행동하는 거죠.처음에는 서로를 조심해야 한다는 것을 이해하면서 시작했죠.그건, 우리 자신을 살피는 것 이상의 의미가 있죠.
라구 난다쿠마라39:56
그 정도까지.어떤 느낌인지 많이 생각해 보세요?규정 등은 시간이 지남에 따라 변화하고 있으며 보고, 사고 보고, 영향 보고 등에 대한 중요성이 매우 커지고 있습니다.이것이 문화를 훨씬 더 투명하게 만들고 있다고 생각하시나요?조직이 사이버 공격을 신고하는 데 더 익숙하다고 생각하시나요?
브렛 존슨40:19
그들이 더 편한지 잘 모르겠어요.문제는, 규제를 예로 들자면, 규제하려는 산업에 대한 이해가 없는 사람들이 규제를 도입하는 경향이 있다는 것입니다.진행 중이던 암호화폐 청문회 몇 개를 보시면 상원의원과 하원의원들의 눈초리를 볼 수 있을 것 같았는데 규제 하겠다고 하셨나요?맙소사!그게 문제 중 하나예요.또 다른 문제는, 저는 그 보도가 공개되는 것에 전적으로 찬성하지만, 다른 잠재적 피해자들에게 공개되기 전에 스스로를 보호할 기회를 주기 위한 것이기도 하다는 것입니다.왜 Equifax가 타격을 입었을까요?아파치가 패치를 발표했기 때문에 Equifax가 타격을 입었습니다.Equifax에서는 이 패치를 넣지 않습니다. 24시간 이내에 산 채로 먹혀버립니다.다른 회사들이 보안을 도입할 수 있도록 공개하기 전에 시간을 주어야 한다고 생각합니다. 업데이트는 지구상의 모든 범죄자에게 어떤 문을 두드려야 하는지 알려주는 방송에 불과하기 때문입니다.네, 보안 침해를 당한 회사는 먼저 해당 업종의 다른 회사와 공유할 수 있어야 한다는 일종의 규제가 필요하다고 생각합니다. 다른 회사는 즉시 조치를 취하고 적절한 보안을 구현해야 합니다.그리고 그 시점에는 다른 회사들이 보안 침해 발표로 피해를 입지 않도록 정보를 공개할 수 있습니다.
라구 난다쿠마라41:51
저는 이것이 정말 좋은 지점이라고 생각합니다. 앞서 말씀하셨듯이, 특정 업종의 조직이 특정 취약점을 악용하는 특정 사이버 공격의 피해자가 될 때, 대다수의 동료 집단이 동일한 종류의 기술을 사용하고 있기 때문입니다.당신 말이 맞아요.정보 공유의 경우처럼, 동료 그룹 내에서 공유의 우선순위를 정하는 것과 비슷하지만, 채텀 하우스 룰과 거의 비슷하죠?공유해 주세요. 하지만 충분한 시간을 두고 자체 실사를 하고 최소한 보호는 받을 수 있을 때까지 공개하지 마세요. 그렇죠?왜냐하면 다음 번에는 우리 중 한 명이 와서 여러분과 공유할 것이고 여러분도 같은 혜택을 받게 될 것이기 때문입니다.그럼, 다음 이야기로 넘어가기 바로 전에요, 그렇죠?MITRE가 공격 프레임워크를 체계화했기 때문에 지금 이 순간에도 많은 관심이 집중되고 있고, 전술, 기법, 절차 등에 많은 초점이 맞춰져 있습니다.이에 대한 제 관점은 공격자의 전술은 변하지 않는다는 것입니다. 그렇죠?반복적으로 실행되는 것과 같은 일련의 전술입니다. 기술과 절차는 기술에 따라, 공격하려는 조직의 성숙도에 따라 달라질 수 있습니다.예를 들어, TTP에 대한 그런 이해가 중요하다고 생각합니다.우리가 TTP와 비슷한 것에 지나치게 집중하고 있다고 생각하시나요? 말씀하신 내용으로 돌아가서 이러한 TTP에 액세스할 수 있는 근본 원인, 즉 기본이 부족하다는 문제를 해결하는 것입니다.어떤 관점을 가지고 계신가요?
브렛 존슨43:27
무엇보다 먼저 이러한 근본 원인을 반드시 해결해야 한다고 생각합니다.동시에, 알다시피, AI 잡담처럼, 우리는 모든 회사가 일종의 AI 구성 요소를 갖고 싶어하고 모든 회사는 범죄자들이 AI를 사용하고 있다고 말하고 싶어합니다.아주 좋은 지적을 하실 수 있습니다. 제가 말씀드리는 것은 범죄자나 공격자가 어떤 강제로 바꾸지 않는 한 공격 방식을 바꾸지 않을 것입니다.네, 알다시피, 제가 왜 그럴까요?제가 하고 있는 일에서 이미 엄청난 성공을 거뒀는데 왜 AI를 사용하기 시작하겠어요?그러지 않을 거예요, 그러지 않을 거예요.분명 나를 변화시킬 수 있는 무언가가 있을 거야질문에 답하려면 반드시 TTP를 계속 진행해야 할 것 같아요.저는 그게 전혀 나쁜 일이라고 생각하지 않아요.하지만 보안 제품을 팔려고 하는 쓸데없는 잡담이 많다는 건 이해해 주세요.알다시피, 그래서 제가 AI를 사용해야 하는 거죠.여러분이 그 주장을 시작하기 전에 제가 실제로 이에 대한 사용 사례를 하나 가지고 있습니다.지금 말씀드렸듯이 범죄자들이 어느 정도 사용하고 있는 거죠.하지만 사용하는 것보다 잡담이 훨씬 더 많죠.공격자가 지금 바뀌도록 강요하는 것이 무엇인지 이해하고 거기서부터 TTP를 활용하세요. 하지만 적절한 보안을 위해서는 어떤 대가를 치르더라도 모든 수단을 동원해야 합니다.익스플로잇에 사용된 공격의 90% 이상은 아무리 강조해도 지나치지 않습니다.간단히 말해서 Petya는 아니에요.알다시피, 이걸 꽂으면 안 꽂는 것보다 더 안전할 거예요.
라구 난다쿠마라45:06
네, 물론이죠.제 생각에 그건 정말 반복될 수 없는 일인 것 같아요.그리고 제 생각에는 실제로 말씀하신 두 가지, 두 가지 요점을 합쳐서, 90% 의 문제를 해결하면 공격자의 행동이 자동으로 바뀌게 될 것입니다. 왜냐하면 땅에서 살아가는 것들은 여기서는 이런 단어들을 사용하지 않았지만, 이전 대화에서 보셨듯이, 대부분의 세금에는 기술적 정교함이 크지 않죠?이들은 국외에서 살고 있습니다.하지만 만약 우리가 그들을 준다면, 그들이 살 수 있는 땅의 양을 제한하거나 최소화한다면, 그렇죠?그러면 기술적 정교함이 더 커질 것이고, 그러면 더 어려워지거나 탐지 및 대응할 수 있는 방법이 더 많아질 것입니다.
브렛 존슨45:54
당신 말이 맞아요.그 부분에 대해서는 구체적으로 말씀드리지 않았어요.우리는 컴퓨터 천재가 아니에요.좋아요, 우리 중 몇몇은 아주 잘해요.그래서, 우리 중 저도 그렇습니다.하지만 해커가 될 필요도 없고, 회사나 개인을 희생시키기 위해 컴퓨터 전문가가 될 필요도 없고, 성공하기 위해 꼭 그렇게 할 필요도 없습니다.제가 해야 할 일은 서로 공유하고, 교환하고, 협업하는 것입니다.큰 성공을 거두기 위해 제가 해야 할 일은 이것뿐입니다.이해하세요. 만약 이 공격자들이 정교하고 컴퓨터 천재들이라는 걸 이해한다면, 경쟁의 장이 거의 평등하고 개방적이라는 걸 이해하세요. 그래야 열린 마음으로 “이봐, 이 사람들은 천재가 아니야.” 라고 말할 수 있을 것입니다.아니에요. 똑똑하지도 않아요.제 말은, 몇몇은 그렇지만 몇몇은 그렇지 않아요.하지만 일단 마음을 열면 마음이 “이봐, 내가 이 문제들을 고칠 수 있어.” 라고 말할 수 있게 되죠.할 수 있어요.그냥 너트와 볼트 뿐이야.그건, 풍경을 훑어보면서 “이봐, 알고 보니 놈들이 몇 년 동안 개소리하던 항구들이 열려 있어서, 그런 걸 닫아야 한다고 말하는거야.알고보니 원격 접속을 허용하고 있네요.네, 네, 그런 거예요.그러니까, 그걸 고치면 괜찮아질 거예요.솔직히 아니에요. 별로 복잡하지 않아요.그렇지 않아요.
라구 난다쿠마라47:17
그 표현이 정말 마음에 들어요. 공격자처럼 생각하기 때문이죠. 하지만 사실 기억나는 건 공격자가 가능한 가장 간단한 일을 하려고 한다는 거예요.따라서 해결해야 할 간단한 문제가 무엇인지 생각해 보세요. 그러면 비용 대비 훨씬 더 많은 효과를 얻을 수 있습니다.그렇게 말씀하시는 것 같아요.
브렛 존슨47:36
네, 거기서부터 시작하세요.거기서부터 시작하세요.아닙니다. 대부분의 공격이 현금 기반인지 아닌지는 모르겠지만, 가장 쉽게 접근할 수 있는 방법을 찾고 있습니다. 그래서 보안에 대한 계층화된 접근 방식을 사용하는 거죠.제가 이념적인 이유 때문에 여러분을 공격한다면, 여러분이 얼마나 많은 보안을 가지고 있든 상관하지 않는다는 것을 이해하고, 여러분이 가진 모든 것을 극복할 수 있도록 노력하고 있습니다.그리고 그건 문제입니다. 왜냐하면 여러분이 가지고 있는 모든 보안 요소가 제자리에 있기 때문에 제가 충분한 노력을 기울이면 우회할 수 있으니까요.하지만 이데올로기 공격은 다른 유형의 공격입니다.대부분의 공격은 현금 기반 또는 상태 기반입니다.즉, 보안에 대한 계층화된 접근 방식을 통해 너무 많은 계층을 배치하려고 하므로 제가 시간이나 노력을 들여 검토할 가치가 없다는 뜻입니다.또 다른 피해자를 찾아야겠어네, 그게 중요해요.
라구 난다쿠마라48:27
네, 물론이죠.자, 트랙을 좀 바꿔보죠. 대규모로 바꾸지는 말고요.조직에서 사이버 보안 전략을 어떻게 개선해야 하는지에 대해 조언을 구할 때 그렇죠?사이버 범죄자로 전직 한 사람으로서 보통 그들에게 지혜의 진주로 제시하는 것은 무엇입니까?
브렛 존슨48:47
글쎄, 우리는 지금 그것에 대해 이야기하고 있습니다.정보의 공유와 교환입니다. 이것이 제가 컨퍼런스에 열광하는 이유 중 하나입니다.적어도 컨퍼런스에서는 당신이 속한 분야와 같은 직종에 있는 다른 사람들을 만날 수 있습니다. 당신이 공유하고 협업해서는 안 되는 규칙이 있더라도 전화를 들고 이렇게 말할 수 있습니다. “이봐, 빌, 우리가 보고 있는 게 바로 이거야.어쩌면, 어쩌면 당신은 그것에 대해 뭔가 조치를 취하고 싶을지도 몰라요.”따라서 최소한 이러한 연결과 네트워크를 만들 수 있는 능력은 갖추었으니 하루가 끝날 때 중요한 역할을 할 수 있는 거죠.또 다른 한 가지는, 조금 전에 말씀드렸듯이, 여러분이 마련한 보안 서비스 투어 상품이 무엇인지 저는 상관하지 않는다는 점을 이해한다는 것입니다.저기, 은총알은 없어요.그건 아니에요.시중에 있는 보안 회사들은 이렇게 말할 것입니다. “내 제품만 있으면 되잖아.모든 걸 치료할 수 있을 거예요.”이것이 바로 우리가 사이버 보안 필로우 토크라고 부르는 것입니다.같은 말이에요. 아침에도 여전히 당신을 존중할 거예요.아뇨, 안 할 거예요.따라서 계층화된 접근 방식이 필요하다는 점을 이해하세요. 하지만 여러분도 이해하세요.공격받는 이유, 지위, 현금, 이데올로기, 누가 자신을 공격하는지 알면 공격자 유형이 일곱 가지뿐이라면 범죄자, 핵티비스트, 테러리스트, 국가, 내부자, 고용 해커, 대본 꼬마들이 있습니다.이 일곱 가지입니다.누가 당신을 공격하는지 알잖아요.그들이 왜 당신을 공격하는지 알 수 있어요.그걸로 뭘 찾고 있는 거죠?글쎄요, 그들은 정보, 액세스 데이터, 현금만 찾고 있어요.그렇다면 이러한 것들을 이해하고 그들이 누구인지, 왜 그들이 찾고 있는 것을 공격하는지 이해할 수 있다면, 그리고 그에 대한 보안을 설계할 수 있다면, 그 개인은 무엇을 찾고 있는 걸까요?즉, 아무도 당신을 공격하지 않을 무언가를 위해 보안을 설계하려고 하지 않을 거라는 거죠, 절대 그렇죠.그러니 그들이 무엇을 찾고 있는지, 누구인지, 왜 디자인 보안을 공격하는지에 집중하세요.사이버 범죄 스펙트럼에서 자신의 위치를 이해하는 것이 중요합니다. 사이버 범죄 스펙트럼이 있기 때문이죠.그리고 제가 여러분을 공격하는 방식은 전적으로 여러분이 누구이고 무엇을 하느냐에 따라 달라집니다.알아내세요.보안을 설계하고 너트와 볼트를 준비하세요.알다시피, 저는 제가 얘기했던 사람이 아니에요. 이런, 아마 5년 전이었을 거예요.그는 금융기관에서 일했는데 “이봐요, 스플렁크가 생겼어요.”저는 “그래요.” 라고 생각했어요.그는 “Splunk를 어떻게 사용하는지 모르겠어요.”저는 이렇게 생각했어요. “그래, 자체 언어잖아, 안 그래?”그는 이렇게 말했습니다. “네, 정말 어려워요.”저는 “그래서, 그걸로 뭘 하는 거지?” 라고 생각했어요.“음, 컴퓨터에 연결했는데 아무 것과도 연결되지 않았어요.”그 사람은 필요한 것보다 더 많은 예산을 가지고 있는 사람이에요. 그리고 그게 연방 정부의 나쁜 점이죠.예산을 제공하는 것과 그 기관이 사용하지 않는 것은 무엇이든 되돌려 보내야 합니다. 그래서 그 기관은 그 돈을 쓸 물건을 찾으려고 노력하죠.많은 회사들이 그렇습니다.우리가 예산을 사용하지 않으면 내년에 예산을 삭감할 거라는 거죠.이러한 사고방식을 극복하고 본인과 고객, 고객을 위한 환경을 보호하는 것이 업무라는 점을 이해해야 한다고 생각하는 것은 잘못된 생각입니다.그리고 우리는 아직 거기에 도달하지 못했습니다.우린 절대 거기 없어요.하지만 제가 말하고자 하는 것은, 알다시피, 제가 말하는 구성 요소의 종류에 대해, 만약 여러분이 금융 분야에 종사하고 있다면, 신분증 인증 구성 요소를 가지고 있나요? 공격자들이 어떻게 그걸 우회할 수 있는지 이해하시나요?따라서 사물, 즉 데이터 전체를 보고 있는지 확인하려면 다른 구성 요소도 함께 있어야 합니다.저처럼 저도 몇 년 전에 회사에서 일했는데 그들은 저를 최고 형사 책임자로 임명했습니다.눈속임이었어요.정말 눈속임이었어요.그들은 오늘날까지도 부정하고 있습니다. “오, 아니, 우리 진심이에요.넌 아니야, 눈속임이었어.”제가 거기서 일하는 동안 중간에 이 사람이 공격하는 걸 보기 시작했어요. 공격자들이 백서를 읽었기 때문이죠.그들도 몇 년 동안 백서를 읽어왔고 그들은 암호를 없애려는 움직임이 있다는 것을 이해했습니다. 그래서 지금 많은 세션 토큰이 도난당하고 쿠키 인젝션 공격이 많이 발생하고 있습니다.그 공격이 그랬고, 지금도 그 공격은 많은 금융 기관에 대해 매우 성공적이었습니다.이것이 효과가 있는 이유는 해당 금융 기관이 단순히 해당 쿠키에 의존하고 있기 때문입니다.쿠키를 가지고 있다면 올바른 사람이 되어야 합니다.하지만 시간을 들여 해당 계정에서 사용할 수 있는 모든 데이터를 살펴본다면 기기 변경, IP 변경 또는 이와 같은 다양한 이상 현상이 나타날 수 있습니다.그래서 제가 말씀드리는 것은 데이터를 살펴보는 것입니다. 그게 중요하기 때문이죠.데이터를 통해 환경과 현재 일어나고 있는 트랜잭션의 진실을 알 수 있습니다.데이터를 보지 않거나 전체 데이터의 작은 부분만 보고 있다면 스스로에게 해를 끼치고 고객에게 해를 끼치는 것입니다.따라서 데이터도 살펴보는 거죠.
라구 난다쿠마라53:45
그렇다면 지금까지 논의했던 대화의 최상위권, 최상위권, 신뢰의 의미 등 조직이 채택해야 할 주요 전략에 대해 조언해 주시겠습니까?그리고 지난 10~15년 동안 제로 트러스트 전략 전체가 최우선이자 중심이 되었습니다. 예를 들어, 조직이 제로 트러스트를 도입하기 위한 올바른 전략에 대해 어떻게 생각하시나요?
브렛 존슨54:10
제로 트러스트를 위해 꼭 가지고 있는 것 같아요.제 생각에는, 이 문제에 대해 어느 정도 말씀드리면, 앞서 말씀드렸듯이 제가 여러분을 희생시키려면 제가 어느 정도 신뢰를 쌓아야 한다는 것입니다.그리고 저는 고객과 조직 간의 모든 새로운 참여는 제로 트러스트 관점에서 이루어져야 한다고 진심으로 믿습니다.아시다시피, “이봐, 우리 전에 널 믿어본 적 있어.이 로그인 또는 이 쿠키는 지난 세션부터 유효했다는 것을 알고 있습니다.자, 다시 들어오고 있네요.가도 돼요.”아뇨, 그렇게 되면 안 돼요.공격자인 제가 쿠키를 훔치기가 아주 쉽다는 걸 이해하는 거죠.신분증이나 신용카드 번호를 도용하거나 브라우저 지문을 위조해서 그런 식으로 들어오는 건 아주 쉽습니다.그래서 각각의 새로운 상호작용이 검증되도록 하는 거죠.그게 레이건 얘기로 돌아가는 거잖아요, 그렇죠?믿으세요, 하지만 검증하세요.네, 믿을게요. 하지만 당신이 말하는 모든 것을 확인할게요.그게 중요해요.동시에 이것도, 이게, 제가 계속 이해하기 어려운 것 중 하나라는 거죠.그런 환경에서 너무 많은 마찰을 일으켜 고객이 다른 곳으로 가고 싶지는 않을 것입니다.네, 그게 큰 문제가 되죠.그리고 네, 세상의 모든 사기를 멈출 수 있어요.당신이 해야 할 일은 웹사이트를 폐쇄하는 것뿐입니다. 그러면 웹사이트가 멈출 것입니다.그건 네가 원하지 않는 거잖아보안과 마찰 사이의 균형을 유지하고 싶겠지만, 그 균형은 확실히 보안 측면에서 더 큰 영향을 미쳐야 합니다.그래야 합니다.따라서 백그라운드에서는 각 상호작용에 대해 얼마나 많은 검증이 필요한지 예상할 수 있는 사항을 마련하는 것이 관건입니다.아시다시피, 평소와 다른 IP에서 오는 건가요?잠재적 프록시에서 오는 것 같나요? 아니면 다른 곳에서 라우팅된 것 같나요?무슨 일이에요?새 기기인가요?새로 들어오는 기기가 구형 기기인가요?동일한 기기 또는 동일한 IP 범위에서 다른 계정에 액세스할 수 있나요?비밀번호를 몇 번이나 놓쳤나요?이전 비밀번호가 비밀번호 변경 요청으로 사용되고 있나요?제 말은, 고객 측에서 추가적인 마찰을 일으킬 수 있는 어떤 일에 부딪히기 전에 이 모든 작업을 백그라운드에서 수행할 수 있다는 뜻이죠.이것이 바로 여러분이 해야 할 일들입니다.그렇게 하면서 사기의 가능성을 예측하기 위해 백그라운드에서 할 수 있는 모든 일을 하고 그 시점에 조치를 취하세요.이것이 바로 중요해집니다.아시다시피, 얼마 전에 CAPTCHA에 대한 연구가 있었는데, 기본적으로 CAPTCHA를 세게 두드렸다는 거죠.솔직히 말씀드리자면, 많은 CAPTCHA가 출시되어 있습니다.착한 사람들한테는 마찰밖에 없죠.그리고 그건, 그건, 당신이 조심해야 할 부분이에요. 알겠어요.따라서 백그라운드에서 작업을 수행하므로 고객을 지연시킬 필요가 없습니다.
라구 난다쿠마라57:14
다음 중 사이클이 있는 사진은 무엇입니까?네, 결국 얘기만 하다가 결국 모든 것을 선택하게 되죠. 갑자기 모든 것이 순환의 일부분이 있는 것처럼 보이더니 다시 시도하라는 잘못된 내용이 나오죠, 그렇죠?그러고 나서 40분이 지나면 되죠.네, 네, 정확히, 맞아요.좋아요.오늘 우리에게 많은 시간을 주셨으니 영원히 계속할 수 있을 거예요.브렛, 이야기를 마치기 전에 우리 모두가 배울 수 있는 재미있는 일화를 하나 남겨보는 건 어떨까요?
브렛 존슨57:45
재밌는 일화?좋아요, 네, 그래요.제가 신뢰에 대해 얘기했잖아요. 그리고 제가 저지른 첫 온라인 범죄에 대해 말했잖아요.사람들이 전에 제 이야기를 들어보셨을 수도 있겠지만, 대부분의 사기가 작동하는 방식을 보여주는 일종의 축소판이죠.저는 켄터키주 렉싱턴에 있었어요.저는 길거리 사기에 잘 대처하지 못했어요.eBay를 찾았어요. eBay가 정말 마음에 들었어요.돈 버는 방법을 몰랐어요.그러던 어느 날 밤, 저는 빌 오라일리가 인사이드 에디션의 진행자로 출연하는 모습을 보고 있었어요.그들은 비니 베이비를 프로파일링하고 있었는데, 그들이 말한 비니 베이비는 로얄 블루 코끼리인 피넛이었는데 1,500달러에 팔렸어요.그래서 피넛을 찾기 시작했어요.그를 찾을 수 없어요.결국 회색 아기 코끼리를 8달러에 샀어요. 들러서 파란색 염료를 사서 집에 가서 꼬마 염색을 시도했어요.알고보니 그는 폴리에스터로 만들어졌어요.염료가 잘 붙지 않을 것 같아요.데리고 나가면 옴에 걸린 것 같네요하지만 제가 그 여자에게 1,500달러를 뜯어냈어요.제 사진에서 진짜 사진을 찾았어요올렸어요그녀는 제가 진짜인 줄 알았어요.그녀가 낙찰됐어요저는 그녀에게 1,500달러를 뜯어냈고, 그때 사이버 범죄에 대한 첫 교훈을 알게 되었죠.엄마는 제가 누군지 알았어요. 하지만 피해자를 오래 미루면 계속 미루게 되죠.많은 사람들이 화가 나서 손을 공중에 던지고 떠나고 범죄를 신고하지 않아요.자, 이게 진짜 첫 번째 교훈이에요.대부분의 사람들은 범죄를 신고하지 않아요.대부분의 사람들은 포기합니다.좋아요, 이게 첫 번째 교훈이에요.하지만 이 한 가지가 대부분의 사기 행위의 축소판이라는 것도 이해해야 합니다.거기에는 무언가에 대한 욕구가 있는 잠재적 피해자가 있습니다.그들은 뭔가를 원하고 있어요.글쎄요, 그런 욕망을 통해 범죄자인 저는 피해자의 신뢰를 더 쉽게 얻을 수 있고, 그들이 이성적으로나 논리적으로가 아니라 감정적으로 반응하는지 확인할 수 있습니다.그래서 그녀는 eBay 플랫폼을 믿었죠.그녀는 기술을 믿었어요.그녀는 제가 신뢰를 얻고 신뢰의 문을 열기 위해 도구를 사용하고 있다는 사실을 이해하지 못했습니다.그 문이 열리고 나면 소셜 엔지니어가 얼마나 잘할 수 있을까요?현금을 주겠다고 그녀를 조종하는 제가 얼마나 좋은 거짓말쟁이일까요?내가 한 짓이 뭐야.그래서 피해자가 온라인에서 신뢰를 쌓고 싶은 기술, 도구, 소셜 엔지니어링, 그리고 마침내 포기하고 떠나서 법 집행 기관에 범죄를 신고하지 않겠다는 욕구였죠.이 모든 것은 암호화폐, 이베이, 플레이스테이션 5 등 대부분의 사기 수법을 보여주는 일종의 축소판입니다.이 모든 사기는 온라인에서도 통합니다.이해해.그게 욕망이라는 걸 이해해원하는 게 있다는 건 논리적으로나 이성적으로보다 감정적으로 반응한다는 뜻이죠.플랫폼이 있는 동안에는 굳이 신뢰해야 할 이유가 없다는 것을 이해하는 거죠.제로 트러스트 기술도 마찬가지입니다.알다시피, 왜 믿어야 하죠?어디에나 공격자가 있고 포식자가 있어요.제가 말씀드릴 수 있는 일화예요.현실 세계에서 이런 것들을 이해하면 우리는 상황에 대한 인식이 꽤 잘 되는 경향이 있습니다.우리는 우리가 나쁜 동네에 있을 때, 언제 일이 터지려 하는지, 어떤 일이 벌어지는지 알고 있습니다.온라인 환경에는 잘 어울리지 않지만 포식자는 어디에나 있다는 사실을 이해해야 합니다.우리가 그걸 이해한다면 삶을 편집증에 빠뜨리려는 건 아니지만, 공격자가 어디에나 있다는 사실을 이해하는 거죠.이를 이해한다면 우리의 인식 수준이 높아질 것이고 이를 통해 자동적으로 더 안전해질 것입니다.
라구 난다쿠마라1:01:19
환상적이네요. 제 생각에 이곳은 이 특별한 대화를 마무리하기에 완벽한 장소라고 생각합니다.브렛, 당신과 이야기를 나눌 수 있어서 정말 영광이고 즐거웠어요.시간 내주셔서 정말 감사합니다.아니요, 여러분과 여러분의 정직함에 감사드립니다.
브렛 존슨1:01:35
정말 고마워요.정말 고마워요. 그리고 당신과 대화하는 게 정말 좋았어요.정말 고마워요.
라구 난다쿠마라1:01:39
더 많은 정보와 제로 트러스트 리소스를 보려면 이번 주 이 세그먼트의 에피소드를 시청해 주셔서 감사합니다. 저희 웹 사이트 illumio.com을 방문해 보세요. LinkedIn과 Twitter Illumio에서도 저희와 소통할 수 있습니다. 오늘의 대화가 마음에 드시면 팟캐스트를 어디서 구하든지 저희의 다른 에피소드를 찾아보실 수 있습니다.제가 진행자인 라구 난다쿠마라입니다. 곧 다시 찾아뵙겠습니다.