신뢰와 탄력성 — 사이버 보안의 새로운 최전선

라구

사이버 범죄자들은 신뢰를 바탕으로 성장합니다.경영진을 속이는 딥페이크이든, 직원을 속이는 소셜 엔지니어링이든, 두려움을 악용한 랜섬웨어 협상이든 상관 없습니다.그러나 조직이 보안에 투자하더라도 보안 침해는 피할 수 없습니다.진짜 문제는 복구할 수 있느냐는 것입니다.진정한 사이버 보안 레질리언스는 단순히 공격을 방지하는 데 그치는 것이 아니라 조직이 공격을 견뎌내고 반격할 수 있도록 하는 것입니다.

[콜드 오픈]

(SFX: 긴급 뉴스 게시판 소리, 키보드로 타이핑하는 소리, 배경에서 희미하게 재생되는 긴장된 전화 통화.)

라구

상상해 보세요. 여러분은 글로벌 기업의 CFO입니다.CEO로부터 전화가 옵니다. 그의 목소리와 절박함, 틀림없이 말이죠.긴급한 전신 송금이 필요합니다.일상적인 일이죠, 그렇죠?단, 당신 CEO는 그런 전화를 한 적이 없어요.딥페이크였어요.신뢰를 악용하도록 설계된 완벽하게 복제된 목소리. 바로 그 결과 수백만 명이 사라지죠.

(SFX: 클릭하십시오.침묵.느린 비트가 흐려집니다.)

라구

이곳은 새로운 사이버 전장입니다.신뢰는 우리의 비즈니스, 관계, 디지털 세계에 활력을 불어넣지만, 우리의 가장 큰 취약점이기도 합니다.이러한 신뢰가 악용될 때 생존과 재앙을 가르는 유일한 것은 회복력입니다.

시즌 3에 오신 것을 환영합니다 세그먼트: 제로 트러스트 리더십 팟캐스트. 제가 호스트입니다, 라구 난다쿠마라.이번 시즌에서는 사이버 범죄자들이 신뢰를 무기화하는 방법, 회복탄력성이 단순한 예방에 그치지 않는 이유, 인간 심리학이 사이버 보안에서 가장 많이 악용되는 요소 등 신뢰, 회복력, 인간 행동의 교차점에 대해 알아보겠습니다.

(SFX: 어조 전환, 낙관적이지만 진지함.)

[세그먼트 1: 트러스트 익스플로잇]

(SFX: 오디오가 약간 왜곡되고 그 뒤에 자신감 넘치는 목소리가 나옵니다.)

라구

사이버 범죄는 항상 정교한 해킹에 관한 것이 아닙니다. 종종 조작에 관한 것입니다.이는 신뢰를 악용하는 것에서 시작됩니다.

브렛 존슨

“진실이 무엇인지는 중요하지 않습니다.제가 뭘 설득할 수 있는지가 중요해요.이제 그 어느 때보다 더 잘 알 수 있습니다.”

라구

바로 그 진술이 오늘날 사이버 범죄의 근간입니다.브렛 존슨보다 이 사실을 더 잘 이해하는 사람은 없습니다.한때 악명 높은 사이버 범죄자이자 ShadowCrew의 주모자였던 브렛은 현대 사이버 범죄를 창안하는 데 일조했습니다.현재 그는 한때 자신이 꾸민 바로 그 계략을 막기 위해 노력하고 있습니다.

(SFX: 슬로우 페이드 — 녹음된 대화의 시작)

브렛 존슨

“온라인 공격을 생각해보면 왜 그런 일이 일어나는지에 대한 동기는 세 가지뿐입니다.지위, 현금 또는 이데올로기가 문제죠.지위 — 저는 범죄 동료들에게 깊은 인상을 남기려고 해요.현금 — 돈을 벌려고 해요.아니면 네가 날 화나게 해서 내가 너를 잡으려고 하는 거지.”

라구

이것은 단지 돈을 훔치는 것에 관한 것이 아닙니다.허위 정보, 딥페이크, 사이버 전쟁 등 그 핵심에는 모두 한 가지, 즉 신뢰를 악용합니다.

(SFX: 키보드 입력, 원격 알림 소리.)

라구

그게 비결이지, 안 그래?사이버 범죄자는 단순히 사람들을 설득하여 침입시키기만 하면 보안 시스템을 뚫을 필요가 없습니다.기술은 방정식의 일부분이지만, 진짜 약점은 인간 행동입니다.

Erik Huffman 박사는 인간 행동이 사이버 보안에 미치는 영향을 연구하는 사이버 심리학자입니다.그의 연구는 사람들이 사기에 빠지는 이유, 공격자가 신뢰를 조작하는 방법, 조직이 계속해서 같은 보안 실수를 저지르는 이유에 초점을 맞추고 있습니다.

에릭 허프만 박사

“스스로 파악한 300명 이상의 해커 그룹을 뽑았습니다. 이들 중 93% 는 기술을 시작하기 전에 인간부터 시작한다고 답했습니다.”

[세그먼트 2: 조직 내부의 신뢰]

라구

신뢰는 공격자가 외부에서만 악용하는 것이 아니라 내부적으로도 잘못 사용될 수 있습니다.이러한 상황이 발생하면 조직은 내부로부터 취약한 상태로 남게 됩니다.

Kelley Misata 박사는 임무 중심 조직과 수년간 협력하여 조직이 보안을 DNA에 접목하도록 지원해 왔습니다.그녀는 조직이 사이버 위협에 대한 복원력을 구축할 수 있도록 지원하는 데 전념하는 비영리 단체인 Sightline Security의 설립자이자 CEO입니다.

켈리 미사타 박사

“보안에서 가장 어려운 것 중 하나는 사람입니다.따라서 보안 인식 교육에 대해 이야기할 때는 시스템에 대한 인식 교육을 말하는 것이 아니라 사람을 말하는 것입니다.”

라구

보안은 단순히 방화벽과 위협 탐지에 관한 것이 아니라 조직 내 문화에 관한 것입니다.직원들이 일상적인 의사 결정에서 보안을 어떻게 이해하고 접근하는지에 관한 것입니다.하지만 보안을 중시하는 문화를 구축하는 것은 어려운 일입니다. 특히 기술이 인식보다 빠르게 발전할 때는 더욱 그렇습니다.

켈리 미사타 박사

“우리는 매일 이 기술을 통합하고 상호 작용하고 있습니다. 그렇죠?예를 들어 우리가 어떻게 하면 안전을 유지할 수 있을지에 대해 그렇게 포기하고 기술을 채택했을 때가 떠오릅니다.제가 꿈꾸는 상황은 우리가 항상 '내가 이걸 해야 할까? '하는 생각을 하는 거예요.제 행동이 어떤 영향을 미치나요?새로운 소프트웨어를 접할 때 어떤 영향을 미치나요?제가 조직에 미치는 영향은 무엇인가요? '”

라구

이것이 바로 조직이 이루어야 할 변화입니다.보안은 단순한 IT 문제가 아니라 사고방식입니다.보안을 업무 방식에 포함시켜 일상적인 의사 결정의 일부로 삼는 것이지 사후 검토만 하는 것이 아닙니다.

켈리 미사타 박사

“문화적 차원으로 내려가야 한다고 생각합니다... '훈련을 해보자'라는 특별한 틀에서 벗어나 대신 '우리가 이러한 시스템과 장치를 어떻게 사용하고 있는지 이야기해 보자'고 만들면 우리는 어딘가에 도달하기 시작합니다.직원들이 일상적인 의사 결정에서 보안을 어떻게 이해하고 접근하는지에 관한 것입니다.”

[세그먼트 3: 비즈니스로서의 사이버 범죄]

(SFX: 잘 들리지 않는 전화 통화, 멀리서 외국어로 말하는 목소리.클릭.지불을 요구하는 왜곡된 목소리.)

라구

사이버 범죄는 단순한 무작위 공격이 아니라 하나의 산업입니다.그 정도면 수십억 달러 규모죠.

브라이언 보티그보다 사이버 범죄의 구조를 더 잘 이해하는 사람은 거의 없습니다.전직 FBI 부국장으로서 그는 수년간 사이버 범죄자를 최고 수준으로 추적했습니다.

브라이언 보팅

“실제로 사이버 범죄를 기반으로 만들어진 비즈니스 모델이 있습니다.여기 뒤에는 여전히 인간이 있고 그들이 사업을 운영하고 있다는 것을 깨달아야 합니다.제가 FBI에서 맡은 첫 업무는 몸값을 받고 납치 관련 일을 했었죠.그 집단이 뭘 원하는지 정확히 알고 있었잖아그들은 천만 달러를 요구했을 거예요. 5백만 달러면 해결할 수 있을 거라는 걸 알았죠.오늘날의 랜섬웨어도 마찬가지입니다.이들이 어떻게 운영될지, 얼마를 요구할지, 후속 조치를 취할지 여부는 알 수 있습니다.비즈니스이기 때문에 예측 가능합니다.”

(SFX: 키보드 입력, 녹음된 대화 오디오가 희미해짐 — 랜섬웨어 지급 협상에 좌절한 경영진이 조용한 어조로 말하고 있습니다.)

브라이언 보팅

“사이버 범죄는 궁극의 재택근무 사업입니다.목표물로부터 아주, 아주 멀리 떨어져 있어도 매일 돈을 벌 수 있습니다.물리적 범죄보다 안전하기 때문에 조직 범죄에 속했던 집단이 사이버 범죄로 옮겨가는 것을 볼 수 있습니다.그들은 더 적은 위험으로 더 많은 돈을 벌고 있습니다.”

라구
이것이 바로 사이버 범죄를 막기가 어려운 이유입니다. 해커 한 명, 범죄 한 명, 한 국가가 아니기 때문입니다.이곳은 범죄 기업, 데이터 판매 및 거래, 랜섬웨어 키트, 해킹 서비스 등으로 구성된 생태계입니다.

브렛 존슨

“대부분의 공격은 현금 기반 또는 상태 기반입니다.현금을 노리고 공격할 때는 범죄 투자에 대해 가장 큰 수익을 낼 수 있는 가장 쉬운 방법을 찾고 있어요.사이버 범죄를 막는 열쇠는 모든 공격을 막으려는 것이 아니라 공격자가 시간을 할애할 가치가 없도록 하는 것입니다.”

(SFX: 다크 웹 포럼에서 들려오는 로봇 목소리 — “결제 후 24시간 이내에 암호 해독 키를 보장합니다.”클릭.)

라구

사이버 범죄가 기업처럼 운영된다면 문제는 어떻게 사이버 범죄를 교란시킬 수 있느냐는 것입니다.

브라이언 보팅

“공격 비용을 높이고, 복구 속도를 높이고, 재정적 인센티브를 없애는 등 모델을 혁신해야 합니다.”

[세그먼트 4: 레질리언스에 대한 재검토]

(SFX: 옛날 학교 전화벨이 울리고 뉴스 알림 벨이 울립니다.)

라구

예방만으로는 충분하지 않다면 조직이 가장 집중해야 할 것은 무엇일까요?

Larry Ponemon 박사는 보안, 개인 정보 보호 및 위험 연구 분야에서 가장 존경받는 전문가 중 한 명입니다.Ponemon Institute의 설립자로서 그는 20년 이상 보안 침해 데이터, 사이버 공격의 재정적 영향, 진화하는 보안 환경을 추적해 왔습니다.

래리 포네몬 박사

“우리가 막을 수 있는 모든 것에 대해 잠재적으로 10가지가 네트워크에 침투했습니다.정말 놀랍고 충격적입니다.”

라구

따라서 공격이 계속해서 빗나간다면 진짜 과제는 공격을 막는 것뿐만 아니라 심각한 위기에 빠지지 않도록 하는 것입니다.

래리 포네몬 박사

“예방은 실용적이지 않기 때문에 아마도 잘못된 생각일 것입니다.많은 조직이 예방을 포기하고 억제할 시간, 복구할 시간, 문제에서 벗어나는 일을 할 시간 등을 고려합니다.”

라구

이것이 바로 복원력이 우선인 이유입니다. 사이버 보안에서는 문제가 아니기 때문입니다. 만약 공격은 일어날 수 있지만 언제.

에릭 허프만 박사

“당신이 중소기업이고 국가가 당신을 데려오고 싶어한다면 아마도 그들은 당신을 데려올 것입니다.모든 일을 제대로 했는데도 여전히 틀릴 수 있습니다.”

라구

공황은 상황을 악화시킵니다.의사 결정 지연, 직원 동결 등 사고가 재앙으로 바뀌는 순간입니다.

(SFX: 보안 경고가 울립니다.백그라운드에서 전화벨이 울립니다.)

라구

이것이 바로 회복력이 공격의 순간에 구축되는 것이 아니라 공격이 발생하기 전에 구축되는 이유입니다.

[결론]

(SFX: 반사적이고 희망찬 음악이 흐르기 시작합니다.)

라구

결론은 다음과 같습니다. 신뢰는 전쟁터이지만 회복력이 방패입니다.사이버 범죄자들은 항상 신뢰를 악용할 새로운 방법을 찾겠지만, 세분화, 격리, 보안 우선 문화를 통해 복원력을 구축하는 조직이 살아남을 것입니다.

시청해 주셔서 감사합니다. 더 세그먼트. 이 전체 인터뷰를 놓치지 않도록 구독하십시오.

(SFX: 아우트로 음악이 희미해집니다.)

‍