

.webp)
손실 비용은 얼마입니까?
이 에피소드에서는 진행자 라구 난다쿠마라 (Raghu Nandakumara) 가 Cylera의 최고 보안 전략가인 리처드 스테이닝스 (Richard Staynings) 와 함께 지난 30년 동안 CISO의 역할이 어떻게 변했는지, 현대 의료 기관이 직면한 IT 문제, 오늘날의 사이버 범죄 환경에 대해 이야기합니다.
성적 증명서
0:00:00.0 라구 난다쿠마라: 제로 트러스트 리더십 팟캐스트인 Segment에 오신 것을 환영합니다.저는 호스트입니다. 제로 트러스트 세그멘테이션 회사인 Illumio의 산업 솔루션 책임자인 라구 난다쿠마라입니다.오늘은 의료 기기 및 의료 OT 보안의 선구자인 Cylera의 최고 보안 전략가인 리처드 스테이닝스가 저와 함께합니다.Richard는 의료 및 생명과학 산업 전반의 사이버 보안 개선을 위해 세계적으로 유명한 사상가, 작가, 연설가, 조언자이자 옹호자입니다.그는 다양한 의료 보안 실무 그룹에서 활동했으며 덴버 대학교에서 대학원 사이버 보안 및 의료 정보학을 가르치고 있습니다.오늘은 Richard가 저와 함께 지난 30년 동안 CISO의 역할이 어떻게 변했는지, 현대 의료 기관이 직면한 IT 문제, 오늘날의 사이버 범죄 환경에 대해 논의합니다.
0:0:54 라구 난다쿠마라: 안녕하세요, 리처드.여러분과 이야기를 나눌 수 있어서 정말 좋아요. 이 팟캐스트에 참여해주셔서 감사합니다.그래서 저는 당신의 배경, 이력서, 웹사이트를 샅샅이 살펴봤는데, 당신이 꽤 유명하고 유서 깊은 경력을 쌓았다는 것을 과소평가한 셈입니다.먼저 시작부터 현재에 이르기까지 사이버 보안의 여정을 함께 진행해 보겠습니다.
0:01:19.3 리처드 스테이닝스: 이 모든 걸 녹음할 수 있을 만큼 충분한 테이프가 여기 있길 바라지만...
0:01:21.4 라구 난다쿠마라: 그건 그렇고, 팟캐스트입니다.바로 그 에피소드입니다.
0:01:25.6 리처드 스테이닝스: 그러니까 제가 사이버 보안 분야에 30년 정도 종사해 왔다고 가정해 봅시다. 누군가 우리가 있는 분야를 사이버 보안이라고 부르기 훨씬 이전이죠.일종의 정보 보안, 규정 준수, 위험이었는데 이 모든 것이 오늘날 우리가 사이버 보안이라고 부르는 것까지 합쳐졌습니다.저는 여러 산업에 집중하는 경향이 있었습니다.저는 금융 서비스, 의료 기관, 기타 산업 분야에서 최고 정보 보안 책임자인 CISO를 역임했습니다.저는 덴버 대학교에서 사이버 보안 및 의료 정보학 겸임 교수로 교육 분야에서 많은 시간을 보냈습니다.저는 Cylera에서 맡은 역할의 일환으로 전 세계에서 훌륭한 컨퍼런스를 많이 개최하게 되었는데, 여기에 대해서는 좀 더 자세히 이야기할 것입니다.저는 커리어 내내 사이버 보안과 의료의 교차점에 집중하는 경향이 있었습니다. 부분적으로는 NHS에서 일했던 아버지 덕분에 의학 사전을 입에 달고 자랐기 때문이죠.아마 여기서 영국식 억양을 알 수 있을 겁니다. 1996년 미국에서 HIPAA 진단이 나왔을 때 제가 유일하게 HIPAA 평가를 할 수 있었기 때문이죠.그래서 저는 사실 여기에 푹 빠졌어요.
0:02:33.0 라구 난다쿠마라: 사실 어떻게 의료 보안 분야에 종사하게 되셨는지 물어보려고 했는데 부분적으로는 대답하셨지만 다시 말씀드리죠.자신의 경력에 대해 말씀하실 때 여러 조직, 여러 업종에서 CISO 역할을 수행하는 것에 대해 말씀하셨는데 물론 이 분야에 30년 이상 종사하셨죠.그렇다면 그 기간 동안 CISO의 역할이 어떻게 발전해 나가는 것을 보셨나요?
0:02:54.6 리처드 스테이닝스: 오, 정말 과감한 혁명이었어요. 특히 지난 5~10년 동안은 말이죠.제 생각에 보안 리더는, 여기서 일반적인 용어로 사용한다면 정말 IT를 통해 발전한 사람이라고 생각합니다.초기 방화벽 구성을 담당한 사람일 수도 있고 규정 준수를 이유로 연간 위험 평가를 수행하고 모든 항목을 확인한 사람이 담당했을 수도 있습니다.오늘날 우리가 사이버보안 분야로 이동했다고 설명하겠지만 일종의 횡적 움직임을 보인 사람은 다른 사람이었을 수도 있습니다.이제 역할은 경영진 리더로 바뀌었습니다.이제는 조직의 CEO의 오른편에 앉게 되었고, 종종 CEO에게 직접 보고하는 역할을 맡게 되었습니다. 조직의 위험, 기업 위험은 CEO와 이사회가 사이버 보안 위험 상황을 이해하는 데 크게 좌우되기 때문입니다.
0:03:51.9 리처드 스테이닝스: CIO나 CTO를 거쳐 높은 경영진에게 보고하는 것은 더 이상 기술 분야가 아닙니다.이제는 직접 보고하고 위험을 직접 설명하는 역할을 합니다.이로 인해 보안 리더가 제시해야 하는 기술 유형이 크게 바뀌었다고 생각합니다.그들은 비즈니스를 이해하고 기술을 이해할 수 있어야 하지만 가장 중요한 것은 CEO, CFO 및 이사회가 적절한 결정을 내릴 수 있도록 사이버 보안 기술 위험을 기업의 재무 위험으로 전환할 수 있어야 한다는 것입니다.이들은 결국 어떤 조직에서든 위험의 궁극적인 중재자입니다.
0:04:36.4 라구 난다쿠마라: 방금 말씀하신 보안 리더가 이제 비즈니스 의사 결정을 보안 의사 결정과 연계할 수 있게 되었고, 따라서 보안 리더가 관리 최상위 직급의 최고위직에 위치해야 할 필요성에 대해 말씀하신 내용을 바꾸어 말씀드리면, 이러한 진화가 일어나기까지 왜 그렇게 오랜 시간이 걸렸을까요?그리고 그곳이 보안 리더가 앉기에 정말 적합한 자리일까요?
0:05:02.5 리처드 스테이닝스: 역순으로 대답하겠습니다. 맞아요.저는 확실히 CISO가 CEO와 직접적인 업무 관계를 맺어야 한다고 생각합니다. 직접 보고 관계이든, 최고 위험 책임자 (Chief Risk Officer) 를 통해서든 다른 사람을 통해서든 상관없이요.그리고 각 조직은 다른 조직과 매우 다릅니다.그래서 제가 일반적인 설명을 드리자면, 모든 CISO는 CEO에게 보고를 해야 하는데, 사실 조직 구조에 너무 잘 맞지 않을 수도 있습니다.물론 직접적인 관계가 있어야 한다고 생각합니다. 그리고 CISO도 이사회에 노출을 노출시켜야 지난 몇 년간 많은 동료들이 해왔던 두려움, 불확실성, 의심이 아닌 비즈니스 방식으로 사실에 대한 분석과 권고 사항을 이사회에 발표할 수 있을 것입니다.하늘이 무너지고 있습니다. 새 방화벽을 살 수 있도록 돈을 주세요. 아니면 다른 보안 분석가를 고용하여 저를 공격하는 이 모든 로그를 볼 수도 있습니다.이것은 진화한 과정이고, 오늘날 많은 조직의 관계보다 더 높은 수준에서 이러한 관계가 이루어져야 하는 시점에 이르렀다고 생각합니다.
0:06:08.8 리처드 스테이닝스: 첫 번째 질문으로 돌아가서, 지난 번에 사이버 보안이 발전했다고 생각합니다...확실히 지난 20년은요.아마 15개 더 눈에 띄게 더 그랬을 겁니다.보안은 필수 비즈니스 비용으로 간주되었습니다.이는 매년 빠뜨릴 수 밖에 없는 필수 비용이었습니다. 주로 조직은 HIPAA, GLBA, PCI DSS 또는 기타 수많은 규정 중 하나를 준수해야 했기 때문에 결제 처리자 측면에서 벌금이나 장애인이 되지 않기 위해 준수해야 하는 규정 준수 요구 사항 때문이었습니다.제 생각에 이 컴플라이언스 동인은 사이버 보안 개선의 필요성에 불을 지피게 한 초창기라고 생각합니다.그리고 그 이후로 기업들은 이제 이전의 단순한 비즈니스 재무 위험 모델링보다는 사이버 보안을 포함하는 위험 프레임워크를 중심으로 기업 위험 구조를 발전시켜 왔다고 생각합니다.
0:07:11.9 리처드 스테이닝스: 그 결과 사이버 보안이 훨씬 더 중요해졌습니다.한 가지 더 중요한 점이 있다고 생각합니다. 바로 매일 언론에서 누군가가 공격을 당하는 수많은 사이버 보안 공격을 피할 수 없다는 사실입니다.Cylera Labs에서 실제로 발견한 연구에 따르면 미국에서는 일주일에 2~3개의 병원이 랜섬웨어 공격을 받고 있습니다.미국에서만 볼 수 있는 일이죠.오늘날 전 세계적으로 한 달에 약 1900명이 랜섬웨어의 공격을 받고 있습니다.그게 바로 병원 부문일 뿐이죠.다른 부문을 살펴보면 매주 언론에 보도되고 있습니다. Royal Mail이나 사람들이 해외로 패키지를 보낼 수 없는 상황이든, 작년이나 전년도 미국의 파이프라인에서 보았던 것과 같은 또 다른 중요한 인프라 산업이든, 다른 기업이든 상관 없습니다.
0:08:04.5 라구 난다쿠마라: 방금 설명하신 바로는 최근의 공격과 이로 인한 혼란에 관한 것입니다.그리고 이러한 공격의 결과가 주로 대규모 파괴와 관련되어 있다는 점에서 이러한 변화는 분명히 목격되었습니다. 대규모 대기업과는 대조적으로 개인의 삶에 영향을 미치는 혼란인 경우가 많죠.이제 파괴가 주요 동기가 되고 있다는 공격자의 동기가 바뀌었다고 생각하시나요? 데이터 유출 및 추후에 해당 데이터를 사용한다고 가정해 봅시다.
0:08:38.0 리처드 스테이닝스: 따라서 사이버 범죄의 실제 가해자가 누구인지 이해해야 한다고 생각합니다.공격의 규모로 보면 실제로 중국이 상위권을 차지하고 있습니다.이제 중국은 국가가 후원하는 사이버 범죄 가해자입니다.그들은 10만 명에 가까운 인민 해방군, 이른바 '사이버 전사'를 고용하고 있습니다.하지만 주로 사이버 스파이 활동에 초점을 맞춘 PLA 부대도 있습니다.그들은 중국 경제에 활력을 불어넣기 위해 국방 기밀뿐만 아니라 서방의 국가 기밀도 훔치려 합니다.그들은 또한 모든 주요 부문의 모든 기업의 상업 비밀을 훔치고 있습니다. 의약품이든, 의약품이든, 의약품에 대한 제제나 연구를 훔쳐서 중국의 국유 산업을 통해 의약품을 시장에 출시하든, 스텔스 전투기 스텔스 폭격기를 만들기 위해 F35 설계를 훔친 것이든 상관 없습니다.그게 바로 중국입니다.이게 첫 번째 진짜 그룹이에요.두 번째 그룹은 진짜 러시아인들이에요.그리고 그들은 서로 다른 두 그룹에 속해 있습니다.하지만 지난 몇 년 동안 우리는 두 그룹 간에 많은 협업이 있었다는 데 동의한 것 같아요. 사실 둘은 함께 협력할 수도 있겠죠.분명히 여기에는 국가적 측면이 있습니다.러시아 군사정보부대인 러시아 GRU는 Petya가 아닌 가장 큰 공격으로 80억에서 120억 달러 사이의 손실을 입었고 수많은 글로벌 기업을 무너뜨렸습니다.
0:10:02.7 리처드 스테이닝스: 이 실수는 사실 우크라이나인을 겨냥한 것이었습니다. 많은 청취자분들도 아시겠지만, 역효과를 불러일으켰고 전 세계는 물론 많은 러시아 조직을 무너뜨렸습니다.그리고 러시아 내에 있는 사이버 범죄 조직들이 러시아 마피아에 휘말릴 수도 있습니다.궁극적으로 푸틴에게는 말하자면 뱀의 머리인 것처럼 보입니다. 우리가 현재 우리의 정보기관이 우리에게 말해주는 것을 믿는다면 둘은 떼려야 뗄 수 없는 관계에 있고 금전적인 동기가 있다는 것을 알 수 있습니다.제 생각에 일어난 일은 우크라이나와의 전쟁 이후로 많은 조직범죄 조직들이 크렘린과 손을 잡고 혼란을 일으키고 있다는 것입니다.제 생각에 우리는 그것을 조직들이 타격을 입은 호스트 국가들의 정치적 행동을 손목에 때리는 것과 같다고 생각합니다.최근의 로열 메일 공격을 그 예로 들 수 있습니다. 영국이 러시아와의 전쟁에서 우크라이나에 더 많은 무기와 더 많은 자금을 제공하겠다고 선언한 것과 일치했기 때문입니다.
0:11:08.6 라구 난다쿠마라: 그리고 흥미롭네요. 왜냐하면...당신이 그토록 웅변적으로 설명했던 변화와 파괴적 변화를 확실히 볼 때, 이제는 많은 정부 및 규제 기관들이 회복력에 초점을 맞추고 있는 것 같습니다.사이버 공격이 파괴적 파괴에 미치는 영향이 실제로 사이버 레질리언스에 대한 관심을 이끌고 있다는 것을 알고 계신가요?
0:11:34.8 리처드 스테이닝스: 네, 물론이죠.많은 고위 경영진들이 “우리 조직이 공격을 받을 확률은 얼마나 될까?” 라는 의문을 품곤 했던 것 같아요.지금 이 돈을 써야 하나요?그 동안 이 돈을 다른 애완동물 프로젝트에 쓰고 사이버 보안 투자를 1년 더 연기할 수 있을까요?어차피 CEO로서의 5년 임기가 내년까지이고 수익이나 생산성 등 제가 평가하는 그 어떤 것에 대해서든 X백만 달러의 보너스를 받을 수 있다는 사실을 알기에 올해 큰 규모의 임원 보너스를 받을 수 있을까요?이제 더 이상 제가 공격을 받을 것인지의 문제가 아니라 제가 몇 번 공격을 받을 것인지, 그리고 그 공격이 실제로 어떤 피해를 줄 것인가의 문제입니다.이는 단순히 벌금과 징벌적 손해배상의 문제가 아닙니다. 보안 침해를 당했고 보호 대상 데이터 중 상당수를 범죄 조직이 다크넷에 판매하기 위해 다크넷에 보관하고 있기 때문입니다. 그리고 이를 구매하려는 사람은 신용 모니터링을 받는 개인에 대한 배상 비용의 문제입니다.고객이 조직을 상대로 벌이는 대규모 집단 소송의 문제입니다.
0:12:50.8 리처드 스테이닝스: 해당 조직에 대한 평판 손상입니다.미국에서는 몇 년 전 공격의 일환으로 타겟 카드가 침해되었다는 사실을 알고 가서 타겟 카드를 신청하는 사람이 얼마나 될까요?사람들은 오랜 기억을 가지고 있습니다.거기에는 많은 것들이 포함되어 있습니다.하지만 제가 말씀드릴 수 있는 가장 큰 비용 요인은 다운타임 요인입니다.조직이 몇 주 또는 몇 달 동안 다운되면 어떻게 하시나요?고객이 픽업해서 다른 곳으로 옮길 건가요?휴대폰 업계처럼 특정 산업에는 매우 변덕스러운 고객 기반이 있다는 것을 알고 있습니다.휴대폰으로 일주일 동안 전화를 걸 수 없다면 전화를 걸고 구독을 취소한 다음 다른 공급업체로 바꿔야 합니다.사람들은 항상 그렇게 하죠.청구서에 한 달에 5달러 더 적은 금액이 있다면 말이에요.의료 분야에서는 보험 회사 때문에 사람들이 어디로 갈지 선택할 수 있는 기회가 훨씬 적습니다.제가 주목하고 있는 분야인 의료 분야에서는 손실로 인한 비용이 증가하고 있습니다. 다운타임으로 인해 수억 달러에 달하는 수익 손실이 발생하고 있습니다.
0:13:54.7 리처드 스테이닝스: 사이버 공격으로 인해 수익이 고갈되고 시스템을 완전히 복구하는 데 걸린 병원의 사례를 많이 인용할 수 있습니다.따라서 복원력이 절대적으로 중요합니다.중요한 것은 공격을 지속하고, 공격을 받을 것이라는 사실을 알고, 공격을 지속하고, 잘 실행되는 비즈니스 연속성 조치를 마련하고, 잘 실행된 사고 대응 조치를 마련하는 것입니다. 그래야 비약적인 수준이더라도 비즈니스를 지속할 수 있습니다.또한 정리 및 복구하는 동안 고객의 만족도를 상대적으로 높일 수 있습니다.이를 위해서는 아키텍처, 애플리케이션, 인프라 등에서 높은 수준의 복원력이 필요합니다.그리고 저는 우리가 아직 그 시점에 도달했다고 생각하지 않습니다.
0:14:43.4 라구 난다쿠마라: 이보다 더 좋고 더 접근하기 쉬운 답변을 요청할 수는 없었을 것 같아요.그리고 제 생각엔...이것은 실제 후속 조치와 같습니다. 이제 필요한 변화를 주도하고 올바른 개선을 추진하기 위해 EU에 NIST 2와 사이버 복원력 법 (Cyber Resiliency Act) 이 있고 사이버 복원력을 높이기 위한 금융 서비스 전용 DORA가 있다는 것을 아십니까?이러한 법안이나 그에 따른 법률 등이 필요한 개선이 이루어질 것이라고 보십니까?희망이 있으세요?
0:15:17.2 리처드 스테이닝스: 저는 매우 희망적입니다. 조직의 레질리언스에 변화가 생기면 당근과 몽둥이의 조합이 필요하다고 생각합니다.GDPR에 따른 벌금을 오랫동안 고집해 왔지만, 대부분의 조직은 너무 작아서 걱정할 필요가 없을 정도이거나 저한테는 그런 일이 일어나지 않을 거라고 고개를 숙이고 돌아다녔습니다.그리고 솔직히 지난 몇 년 동안 보안 위반으로 인해 엄청난 벌금이 부과되는 경우도 있었습니다.그렇죠?
0:15:41.6 라구 난다쿠마라: 네.물론이죠.
0:15:46.0 리처드 스테이닝스: 부적절한 복원력, 부적절한 사이버 보안의 결과.
0:15:47.7 라구 난다쿠마라: 물론이죠.그럼 의료에 대해 알아봅시다. 왜냐하면 의료는 분명히 여러분의... 그리고 의료 보안, 많은 분야 중에서도 여러분의 전문 분야이기 때문입니다.NHS 교과서를 삼켰기 때문에 의료 보안 분야에 뛰어들었다고 하셨는데 그보다 조금 더 많은 내용이 있을 거예요.전문 분야를 찾으셨을 때, 특히 의료, 의료 부문, 의료 분야의 사이버 보안 과제에 대해 그토록 매력적이었던 점은 무엇이었나요?
0:16:14.8 리처드 스테이닝스: 글쎄요, 첫째로, 아버지는 제가 자라서 의사가 되길 바라셨을 거예요. 하지만 저는 그런 의사가 없었어요.저는 학교에서 생물학보다는 물리학에 더 관심이 많았고 컴퓨터가 미래의 길이라고 결심했습니다.사실 저는 제 인문학 학사 학위 취득자 중 처음으로 4.7kHz PC에 자신의 논문을 직접 타이핑한 사람이었습니다. 솔직히 말해서 아주 먼 옛날, 아마도 여러분 시대 이전일 것입니다.하지만 속도가 느리고 거대한 플로피 디스크가 있어서 제 논문이 들어갈 정도였죠.저는 오랫동안 IT에 매료되어 왔습니다.하지만 동기 부여 요인은, 첫째로 제가 언어를 알고, 업계 내부를 잘 알았다는 점이었다고 생각합니다.저희 가족 중 상당수가 NHS에서 일했거나 의료의 다른 분야, 심리 서비스 또는 NHS 사회 구조의 다른 부분에서 일한 경험이 있습니다.
0:17:08.0 리처드 스테이닝스: 그래서 저는 그 점에 대해 많이 알고 있었고 거기에 끌리기도 했습니다. 금융 서비스를 운영하면서 힘들게 배운 많은 경험과 교훈을 이야기해서 다시 의료 분야로 가져갈 수 있었기 때문입니다.금융 서비스는 대부분의 조직에서 의료 산업보다 15~20년 앞서 있을 것입니다. 왜냐하면 금융 서비스는 오랫동안 사이버 범죄의 표적이 되어 왔기 때문입니다.차이점이 있다면 금융 서비스 분야에서는 누군가가 은행에서 수백만 달러의 자금을 빼내면 장부가 더 이상 합산되지 않기 때문에 금방 알 수 있다는 것입니다.거기 거래 기록이 있는데 거액의 돈을 도난당했는데 그 사실을 바로 알 수 있습니다.의료 분야에서는 이런 현상이 눈에 잘 띄지 않습니다.그래서 많은 병원들이 15년, 20년 전에 피해를 입었고 15~20년 전에 피해를 입었다는 사실을 이제 막 알아내기 시작했습니다.
0:18:00.2 리처드 스테이닝스: 이는 근본적으로 최근 공격이 발생한 후 누군가가 시스템에 대한 포렌식 조사를 하러 들어왔고 이전에 발견되지 않았던 모든 공격을 발견했기 때문입니다.우리는 시간과 노력과 돈을 들이지 않았고, 의료 분야의 직원들에 대한 전문 지식도 없었기 때문에 발생 가능한 문제를 해결할 수 없었습니다.네트워크상에서 무언가 엉뚱한 일이 발생했을 때 이를 알려주는 경고 시스템이 없었습니다.변칙 활동이 발생했을 때는 공장 활동이 정상적으로 실행되고 있는 것으로 가정했습니다.이런 일들을 쫓아갈 직원이 없었어요.그래서 제가 일했던 금융 서비스 및 기타 산업, 하이테크 분야에서 얻은 많은 교훈을 번역하고 의료 분야에 적용할 수 있었다고 생각합니다.제가 영향을 미쳤으면 좋겠어요.
0:18:50.0 라구 난다쿠마라: 인터넷이 그 증거입니다.여기에 있는 내용, 말씀하신 당면 과제, 지금 말씀하시는 방식을 보면 의료 부문의 IT 문제나 IT 인프라와 관련된 사이버 보안 문제에만 초점을 맞추고 있는 것 같습니다.의료 OT 인프라에 대해서는 아직 말씀드리지 않았습니다.맞나요?바로 그 문제에 대해 얘기할 거니까요.
0:19:13.8 리처드 스테이닝스: 네, 저는 지금까지 50,000피트 상공에서 의료 분야의 전체 기술에 대해 이야기했습니다.하지만 대부분의 사람들은 의료 IT 조직, 예를 들어 병원 내 IT 그룹이 연결된 자산의 약 25% 만 담당한다는 사실을 깨닫지 못합니다.일반적인 병원 네트워크에 연결되는 장치.그리고 이를 병원, 진료실, 기타 의료 서비스 제공업체의 다양한 비율로 추정할 수 있습니다.이러한 기기의 대다수는 현재 의료 기기입니다.이러한 기기는 불활성 또는 대부분 불활성 기기로, 요청 시 기본 기능을 수행합니다.여기에는 진단 시스템, X-레이, CT, PET 스캐너, 초음파, 이런 것들부터 전체적으로 네트워크에 연결된 방사선 치료 시스템, 약물 치료 시스템과 화학 요법을 위한 매우 복잡한 방사선 치료 시스템, 응급실에 있을 때 연결된 환자 모니터링 시스템 및 관리 시스템, 몇 분마다 혈압을 측정하는 자동 혈압 커프까지 모든 것이 포함됩니다.
0:20:26.3 리처드 스테이닝스: 심장 박동수 측정기, 산소 포화도 측정기는 손가락에 대고 산소 농도를 측정할 때 사용하는 조그마한 물건입니다.그리고 지금은 간단한 응급실 방문, 응급실 방문, 응급실 방문 등 다양한 수준의 모니터링 치료가 필요한 환자를 위해 병상당 최대 50대의 의료 기기를 이용할 수 있는 중환자실까지 다양한 기기가 있습니다.모두 병원 네트워크에 연결되어 있습니다.이들은 보안 세그먼테이션이 아니라 라우팅 세그멘테이션인 별도의 VLAN에 있는 경우가 많습니다.이렇게 하면 일부 멀티캐스트 트래픽이 매우 취약한 의료 기기에 도달하는 것을 막을 수 있습니다.여기에는 의료 기기뿐 아니라 오늘날 수많은 건물 관리 시스템도 포함됩니다.에스컬레이터, 엘리베이터 또는 리프트는 수백 마일 떨어진 타사에서 관리합니다. 더 저렴하고, 더 좋고, 더 정교하기 때문입니다.
0:21:27.6 리처드 스테이닝스: 그리고 건물의 엘리베이터를 제어하는 작은 PLC가 있어서 오른쪽 층까지 올라갑니다.어떻게 지내느냐에 따라 문이 열리고, 문이 닫히기도 하고...무슨 버튼을 눌렀어요.그리고 수명 주기 내내 수백만 번 반복하죠.그리고 주기적으로 케이블을 약간만 조정하면 케이블이 늘어날 때 누군가가 나와서 케이블을 조정할 수 있습니다.이것은 건물 관리 시스템의 한 예입니다. 비교적 빈약하지만 서로 연결되어 있어서 의료 기기 네트워크의 발판으로 사용할 수 있습니다.우리 병원의 기압과 공기와 온도를 조절하는 HVAC 같은 것들이요.HVAC가 없었다면 우리는 COVID에서 살아남을 수 없었을 것입니다.우리 병원의 전체 간호사 및 의료진과 그 당시 병원 근처에서 우연히 찾아온 모든 사람을 감염시키지 않았다면 팬데믹 환자를 위한 음압실을 가질 수 없었을 것입니다.
0:22:19.4 리처드 스테이닝스: 치명적.병실에 있는 환자를 모니터링하여 발작 같은 증상이 없는지 확인하는 CCTV 카메라그리고 다시 간호사 콜 스테이션으로 가서 복도와 출입구를 감시할 수 있는 물리적 보안 카메라로 연결되죠.의사와 간호사가 병원 건물의 보안 구역에 들어갈 때 반드시 끼는 물리적 보안 잠금장치입니다.로봇, 약국 로봇, Pyxis 캐비닛 (예: 배달 로봇, 실험실) 을 보면 훨씬 더 많습니다. 병원에 있는 IoT 연결 장비의 수는 정말 어마어마합니다.그리고 우리가 이런 장치들을 보호하는 일은 아주, 아주 형편없는 일이죠. 부분적으로는 보안을 염두에 두고 설계한 적이 없기 때문이죠.안전해야 한다는 규정은 없었습니다.
0:23:03.6 리처드 스테이닝스: 새로운 패치 법이 발효되면서 2023년 10월 1일을 기점으로 상황이 바뀔 것입니다.그리고 새로운 FDA 규정이 온라인에 도입되고 그 규정은 영국, 유럽, 호주의 TGA까지 스며들 것입니다. 솔직히 말해서 대부분은 아니더라도 많은 FDA 규칙과 규정을 반영합니다.이로 인해 몇 가지 변화가 생길 것입니다. 하지만 우리 네트워크에는 여전히 큰 격차가 있습니다.이곳은 열린 뒷문이고 저희는 많은 돈을 들여 병원의 현관 문을 보호했습니다. 다단계 인증과 SSO (Single Sign-On) 를 위한 수많은 사용자 관리 도구를 제공하는 등 병원 곳곳에서 이용할 수 있는 기능을 갖추고 있습니다.하지만 이것들은 열린 뒷문입니다.이건 뒤쪽에 열린 창문이에요...지금은 누구나 올라갈 수 있는 건물 1층에 있어요.그리고 걱정이 되네요.
0:23:55.4 라구 난다쿠마라: 의료 기관이 네트워크에 연결할 수 있는 다양한 유형의 커넥티드 디바이스에 대한 훌륭한 개요를 제공해 주셨습니다.현관문을 말씀하시는데, 우리가 알고 있는 기존 IT 환경의 현관문을 떠올려보세요. 상용화된 상용 하드웨어와 상용 소프트웨어를 실행하는 것입니다.우리가 이 보안을 훨씬 더 잘 할 수 있는 것은 분명하지만, 이를 위한 모범 사례와 이해된 관행이 있습니다.OT 측면의 커넥티드 디바이스 측면에서, 다양한 제조업체, 장치 유형 등에 대해 말씀드리자면, 현재 OT 보안 분야에 많이 종사하고 있는 사람으로서 OT 보안 관점에서 충분히 좋은 점은 무엇이고 OT 보안 또는 OT 보안 측면에서 모든 사람이 추구하는 성배는 무엇일까요?
0:24:48.4 리처드 스테이닝스: 먼저 마지막 질문부터 시작하겠습니다.가장 중요한 것은 설계상 안전하도록 설계된 의료 기기입니다.제조업체에서 지원합니다.해당 장치에 대해 정기적으로 취약성 평가를 실시하고 해당 장치에서 발견된 취약점에 대해 커뮤니티에 공개합니다.또한 패치는 각 장치에서 발견된 취약점의 심각도에 따라 매우 빠르게 제공됩니다.여기에는 수명주기도 포함됩니다. 예를 들어 의료기기 자산을 제조사가 8개만 지원하는 경우 병원 없이 의료기기 자산을 30년 이상 상각하는 것이죠. 공급업체에서 보장하는 수명주기나 수명이 없기 때문에 요즘에는 이런 경우가 많습니다.그리고 실제로 공급업체는 일단 판매된 기기를 지원하는 데 있어 형편없는 일을 합니다.그래서 우리가 가야 할 부분이 바로 그곳입니다.
0:25:45.6 리처드 스테이닝스: 이제 그 지점에 도달하려면 모든 레거시 기기에 대해 위험 기반 접근 방식을 채택해야 합니다. 의료 기기는 플루토늄과 같기 때문입니다.반감기는 수십 년 또는 수백 년으로 측정됩니다.아직 은퇴한 게 아니에요.Windows 노트북이 있다면 2년마다 교체할 수도 있습니다. 그 이유 중 하나는 새 노트북을 구입하는 것이 새 Windows 라이선스를 구입하여 새 버전으로 업그레이드하는 것보다 저렴하기 때문입니다.또 다른 이유는 2년 동안 작업한 후에는 쓸모가 없을 수도 있기 때문입니다.맥은 수명이 조금 더 깁니다.하지만 저는 맥을 좋아하는 사람이니까 그렇게 말할게요.그렇죠?
0:26:17.1 라구 난다쿠마라: 마찬가지로.마찬가지로.
0:26:18.1 리처드 스테이닝스: 네.하지만 의료 기기는 보통 8~20년 동안 쓰이는 경향이 있습니다.확실히 대형 철제 시스템인 엑스레이 시스템이죠.2천 5백만 달러짜리 엑스레이 장비를 버릴 일은 없을 겁니다. 취약점이 있고 그 엑스레이 기계 제조업체가 사업을 중단했거나 패치를 제공하지 않는다고 해서 말이죠.따라서 보상할 수 있는 보안 통제를 마련해야 합니다.이러한 통제 항목은 위험 평가자 및 HIPAA 같은 감사기관 (예: OCR, 보건복지부 그룹 소속 시민권 사무소 또는 규정 준수를 감사하는 기타 규제 기관) 이 보상 보안 통제로 받아들이는 것들입니다.이제 이러한 보완 보안 통제에 대해 알아보려면 네트워크에 연결된 모든 장치 유형의 위험 상황을 이해해야 합니다.
0:27:08.6 리처드 스테이닝스: 그리고 지금 병원은...단서가 없다고 말하고 싶었지만, 그냥 그들이 네트워크에 있다고 생각하는 것과 실제로 네트워크에 있는 것 사이에는 큰 격차가 있다고 가정해 봅시다.그리고 많은 보고가 있었죠.예를 들어, 주말에 NHS 트러스트의 수에 대해 다룬 기사가 하나 있었는데, 그 사람들은 네트워크에 있는 자산의 인벤토리에 대한 지식이 매우 제한적이었습니다.이는 선진국 전체에서 흔히 볼 수 있는 현상입니다.우리는 네트워크에 무엇이 연결되어 있는지 모릅니다.임상 엔지니어나 생물의학 기술자가 보관하는 자산 스프레드시트라는 스프레드시트가 있는데 새 기기가 들어오면 업데이트하죠.하지만 이들이 업데이트하지 않는 것은 해당 시스템에서 펌웨어가 업데이트되는 시점, 애플리케이션이 업데이트되는 시기, 시스템을 공급업체에 반환하고 RNA를 검사한 후 OS가 달라지거나 구성이 다를 수 있는 새 시스템으로 교체하는 시기입니다.
0:28:04.2 리처드 스테이닝스: 그리고 어떤 자산이 네트워크에 연결되는지 이해해야 위험을 이해할 수 있습니다.이것이 바로 제가 지난 5년 동안 Cylera에서 작업해온 작업입니다. 네트워크에 연결되는 항목에 대한 높은 수준의 충실도를 갖춘 진정한 자산 인벤토리를 구축하고, 각 장치에 필요한 포트, 프로토콜, 대상 IP 주소를 매핑하여 해당 장치를 제로 트러스트 프레임워크에 고정시킬 수 있습니다.이제 이건...제가 제로 트러스트에 대해 이야기할 때 대부분의 사람들은 아마 “아, 아이덴티티에 대해 말씀하시는 거예요?” 라고 말할 것입니다.아니요, 우리는 반대편에 대해 이야기하고 있습니다.ID 또는 사용자와 데이터 객체 간의 관계가 있고, 데이터 객체와 데이터 자산 간의 관계가 있습니다.
0:28:48.8 리처드 스테이닝스: 그리고 제가 여기서 말하는 것은 후자에 관한 것입니다.이 경우는 의료 기기입니다.우리가 명시적으로 승인한 목적지 IP 주소에 대한 프로토콜과 포트에 있는 나머지 의료 네트워크와만 통신할 수 있도록 잠글 수 있다면, 기본적으로 네트워크 수준에서 모든 것을 삭제하여 방사선 전문의가 이미지를 보거나 보는 동안 PAC 시스템에서 Spotify를 들을 수 없도록 할 수 있습니다. 이는 현재 흔한 일입니다.일반적인 규정 준수 문제.
0:29:24.8 라구 난다쿠마라: 그곳 어디에도 끼어들고 싶지 않았어요. 취재하고 있는 멋진 것들이 너무 많아서 제로 트러스트에 도착했으니까요.예를 들어, 의료 기관/병원의 보안 아키텍처를 보안 리더의 입장에서 생각해 보면 제로 트러스트는 언제 논의에 참여할까요?의료 부문이 보안 기반을 근본적으로 개선하기 위해 취해야 할 접근 방식으로 진지하게 바라보고 있는 지금, 이것이 바로 이런 것일까요?
0:29:52.0 리처드 스테이닝스: 모든 의료 기관들이 제로 트러스트의 모든 측면에서 제로 트러스트를 고려하고 있다고 생각합니다.하지만 제로 트러스트는 하나의 여정입니다.그렇다고 해서 하루아침에 제로 트러스트 인증을 받을 수 있는 것은 아닙니다.이는 사고방식이자 여정이며 다양한 보안 제어를 채택하기 위한 프레임워크입니다. 이는 신뢰의 제로 트러스트 원칙을 따르면서도 네트워크를 잠그고 보안을 유지하기 위해 모든 객체 또는 사용자에 대한 최소한의 권한으로 검증된 것입니다.예를 들어, 이는 군 조직 내 임무 및 직급에 따라 특정 데이터 및 특정 시스템에만 액세스할 수 있도록 하는 군대 내 보다 의무적인 접근 제어를 위한 조치입니다.의료 기관에서는 그렇게 하지 않을 것이 분명하지만, 네트워크에 이러한 원칙 중 일부를 적용하는 것이 관건입니다.
0:30:46.3 리처드 스테이닝스: 지난 몇 년 동안 제로 트러스트는 비즈니스 잡지의 주류가 되었다고 생각합니다.제로 트러스트에 대한 내용은 월스트리트 저널, 파이낸셜 타임즈, 가디언 등에서 읽을 수 있을 것입니다.5년 전만 해도 그런 건 찾아볼 수 없었지만 제로 트러스트가 정말...제 생각에 포레스터는 2009년에 이 주제에 관한 첫 번째 논문을 발표했다고 생각합니다.그래서 여기까지 오는데 시간이 좀 걸렸습니다.고위 경영진이 노력해야 할 사항인가요?물론이죠.
0:31:18.7 라구 난다쿠마라: 따라서 의료 분야의 사이버 전문가들과 대화를 나누면서 제로 트러스트 채택 무렵인 30년 동안 이 일을 해 온 사람으로서 일반적으로 받는 질문은 무엇입니까?제로 트러스트를 하나의 여정으로서 말씀하셨고 보안 태세를 개선하기 위해 점진적인 조치를 취해야 한다는 것을 알고 있습니다. 하지만 의료 기관 보안 및 제로 트러스트 도입과 관련하여 가장 많이 묻는 질문은 무엇입니까?
0:31:45.5 리처드 스테이닝스: 누구와 대화하느냐에 달렸다고 생각합니다.CEO나 CFO와 이야기를 나누면 “비용이 얼마나 드나요?” 라고 묻습니다.사이버 보안 개선에 지출되는 모든 달러는 환자 치료에 쓰이지 않는 금액이기 때문입니다.미국 의료 시스템의 효율성에 대해서만 한 시간 더 이야기할 수 있겠지만, 전 세계 대부분의 의료 시스템이 모든 것에 돈을 쓰는 방식에 있어서 최적은 아니라고 생각합니다.하지만 그건 별개예요...여기서는 정말 별개의 토론이네요.제 생각엔 정말... 에 관한 것 같아요
0:32:17.3 리처드 스테이닝스: Zero Trust 채택의 성공은 조직 내에 사이버 보안 문화를 도입하는 데 달려 있습니다.그리고 이러한 문화는 이사회, 즉 CEO 수준에서 시작해야 합니다.그리고 조직의 모든 수준에 스며들어야 합니다.그리고 CEO가 연례 브리핑 또는 모든 경영진 브리핑에서 서서 사이버 보안에 대해 이야기하고 있는 것을 발견한다면, 우리의 사이버 보안 위험 태세 측면에서 우리의 입장은 어떠할까요?우리는 이것과 저것에 대해 무엇을 하고 있는 걸까요?다른 모든 사람들도 똑같이 행동하고 사이버 보안을 중요하게 생각한다는 것을 알게 될 것입니다.그곳이 분명히 출발점입니다.그래도 제로 트러스트에 대해 이야기할 때는 제로 트러스트라는 목표를 향해 함께 모여야 하는 다양한 구성 요소에 대해 이야기하고 있습니다. 이러한 요소들은 말하자면 제로 트러스트라는 우산 아래 별개의 대화입니다.
0:33:09.4 라구 난다쿠마라: 전적으로 동의합니다.그리고 또 다른 흥미로운 점은, 특별히 투자 수익률에 대해 이런 단어를 사용하지 않았는데, 사이버에 지출되는 1달러나 지출되는 1파운드를 1파운드 더 적게 쓰거나 환자 서비스에 지출하지 않는 1달러라고 하셨다는 것입니다.ROI 등이 지금 가장 먼저 떠오르는 부분입니다.이미 현금이 부족한 RNHS와 같은 의료 기관이 어떻게 사이버 투자에 돈을 써야 한다는 것을 정당화할 수 있을까요?어떻게 하면 이것이 필수 예산 항목이 될 수 있을까요?
0:33:48.2 리처드 스테이닝스: 따라서 규제는 이러한 메시지를 전달하는 한 가지 방법이라고 생각합니다. 사이버 보안이 필요하다는 사실입니다.그리고 지난 몇 년 동안 데이터 보안 보호 툴킷인 DSPT가 채택되면서 한 걸음 더 나아간 것을 볼 수 있었습니다. NHS National과 관련된 디지털 보고서를 통해 새로운 취약점 공개로 인해 네트워크에 나타날 수 있는 보안 위험에 대해 보고해야 한다고 생각합니다.그리고 많은 신탁회사들이 Cylera 등과 같은 도구를 채택하여 DSPT에 대해 보고함으로써 좋은 성과를 거두었습니다. 이를 도울 수 있습니다.아직 그렇게 하지 않은 곳이 더 많습니다.특히 ROI와 관련해서는 또 다른 동력이 있습니다. 바로 잠재적 손실 비용과 애초에 공격을 방지하기 위한 적절한 사이버 보안 제어를 마련하는 데 드는 잠재적 비용이 얼마나 되는가입니다.
0:34:46.9 리처드 스테이닝스: 이제 모든 공격을 막을 수는 없지만 사이버 보안 조치를 취함으로써 공격을 제한하고 피해를 제한하고 환자에게 미치는 영향을 최소화하고 시스템 다운타임에 미치는 영향을 최소화할 수 있습니다.이와 관련된 대부분의 통계를 살펴보면 약 10배 정도 측정할 수 있습니다.따라서 사이버 보안 사고, 예를 들어 아일랜드 보건 시스템에 대한 공격이나 위저드 스파이더 공격, NHS에 대한 북한의 워너크라이 공격 등에 대처하는 데 10배 더 많은 돈을 쓰게 될 것입니다.NHS는 10년 동안 교체했어야 했지만 오래 전에 도입했어야 할 사이버 보안 통제 장치와 시스템 및 프로세스를 마련하지 않고 인프라를 업그레이드하는 데 많은 돈을 썼습니다.
0:35:39.7 리처드 스테이닝스: WannaCry를 처리하는 데 드는 모든 돈과 영국 전역의 선택적 수술 잔고에 여전히 지출되고 있는 모든 돈을 애초에 이러한 유형의 공격을 방지하기 위한 사이버 보안 통제에 썼다면 훨씬 저렴했을 것입니다.공격이 발생하더라도 여전히 정화 비용을 지불해야 한다는 점을 명심하세요.그리고 가해자들이 뚫고 지나갈 수 있었던 구멍은 아직 고치지 못했잖아요어차피 그래도 그렇게 해야 돼요
0:36:08.4 라구 난다쿠마라: 거의 자기실현적 예언과 같습니다.그걸 고치는 데에도 두 배의 돈을 지불하는 거고, 청소에도 돈을 두 배로 지불하는 거지.하지만 오늘 여기에 X를 쓰지 않는다면 보안 침해 당했을 때 발생할 수 있는 잠재적 비용은 10배가 될 것이라는 정당성을 알 수 있습니다.이러한 미래 지향적 근거는 충분히 이해할 수 있습니다.Cylera와 같이 보안 역량에 투자한 후에는 어떻게 해야 할까요? 조직이나 공급업체로서 이해관계자, 즉 예산 소유자에게 투자에 대한 수익을 어떻게 보여줌으로써 투자에 대한 수익을 이해관계자가 이제 투자를 하면 그에 따른 수익을 얻고 있다는 것을 이해할 수 있을까요?
0:36:50.5 리처드 스테이닝스: 말을 물에 데리고 갈 수는 있지만 물을 마시게 할 수는 없다는 말이 있기 때문에 어떤 기술 공급업체도 어렵다고 생각합니다.따라서 기술 공급업체로서 우리는 고객이 위험에 처한 디바이스의 마이크로세그먼팅과 관련된 취약점을 해결하는 데 필요한 적절한 결정을 내릴 수 있도록 도구, 데이터, 인텔리전스를 제공합니다.고객이 그렇게 하지 않으면 제공된 소프트웨어에 대한 투자를 실현하기가 어렵습니다.이제 우리는 공급업체와 손을 잡고 협력하는 진정한 파트너십 수준에 다다랐다고 생각합니다.그리고 당사와 파트너 관계를 맺고 있는 많은 공급업체들이 고객과 비슷한 관계를 맺고 있는 것으로 알고 있습니다. “보세요, 이게 바로 우리가 해야 할 일이에요.이것이 바로 우리가 마련해야 할 정책이고 절차입니다. 자동화되어 고객이 문제를 해결해야 할 때 앉아서 결정을 내릴 필요가 없도록 말이죠.자동으로 해결됩니다.이것이 바로 우리가 Cylera에서 보안 개선의 완전한 오케스트레이션과 자동화에 도달하려고 하는 부분입니다.
0:37:56.4 라구 난다쿠마라: 여기서 다룬 내용은 정말 중요합니다. 왜냐하면 기본적으로 여기에는 거의 두 부분이 있기 때문입니다.첫 번째 단계는 잠재 고객을 설득하는 것입니다. 즉, 들어오는 구매자에게 조직의 보안을 유지하는 것이 중요하기 때문에 이 기능에 돈을 투자하고 이 기능을 구매하는 것이 중요하다고 설득하는 것입니다.그리고 두 번째 단계는 일단 약속이 내려지면 올바른 정책, 적절한 종류의 서비스 등을 마련하기 위한 채택을 유도하고, 그 역량을 실제로 사용할 수 있도록 소비하는 것입니다.지금까지 보아온 것과 다양한 보안 기능을 통해 본 것은 말씀하신 것을 반박할 수 있다는 것입니다. 말을 물에 데리고 갈 수는 있지만 억지로 마시게 할 수는 없습니다.의료 및 의료 기기 보안의 미래를 볼 때, 중장기적으로는 어떤 모습이라고 생각하시나요?그리고 AI의 위협에 대해서도 말씀하신 것으로 알고 있는데, 아마도 그 측면도 있을 것입니다.앞으로 어떤 일이 일어날 것으로 보이나요? 그리고 미래의 의료 조직을 보호하기 위해 필요한 것은 무엇일까요?
0:38:57.9 리처드 스테이닝스: AI로 좋은 점을 지적하셨으니 그 문제를 제기해 주셔서 기쁩니다.AI는 분명히 전체 의료 생태계에 극적인 변화를 가져올 것입니다.오늘날 병원의 IT 및 IoT 네트워크에는 많은 양의 IT와 대량의 AI가 있습니다.우리는...우리의 임상 의사 결정 지원은 기계 학습을 기반으로 합니다.우리의 방사선 영상 시스템은 이제 저선량 영상의 AI 향상과 함께 저선량 방사선을 사용할 수 있게 해줍니다. 이미지로 암을 실제로 식별하지 않고도 암을 유발할 확률이 2% 인 방사선으로 환자를 공격하는 대신 말이죠. CT 스캔을 받든 말든, 다른 유형의 영상을 위한 PET 스캔과 같은 다른 유형을 선택하든 간에 항상 절충점 중 하나였습니다.
0:39:43.4 리처드 스테이닝스: 그래서 우리는 이미 그런 기술들을 가지고 있습니다.우리는 정밀 의학과 관련된 광범위한 AI와 차세대 도구를 사용하고 있습니다.이는 개인의 게놈, 생활 습관, 특정 상태를 기반으로 하는 맞춤형 의약품입니다. 약효가 2% 인 약물 대신 90% 의 효능을 발휘하여 여러분이나 유전자 이식 같은 문제를 치료할 수 있습니다. 따라서 유전성 암인 특정 유형의 암 발병을 예방할 수 있습니다.이제 이러한 모든 기술을 사용하려면 교육 모델에 필요한 방대한 양의 데이터에 액세스할 수 있어야 합니다.
0:40:29.3 리처드 스테이닝스: 따라서 여기서는 테라바이트 단위의 데이터를 말하는 것이 아니라 수백만 테라바이트 또는 제타바이트라고 알려져 있습니다.제타바이트는 10억 테라바이트라고 할 수 있습니다. 청중을 위한 용도로요.우리는 약 100제타바이트의 의료 데이터를 보유하고 있으며, 현재 AI가 차세대 의료 모델을 훈련하기 위해 사용하고 있습니다.훌륭하긴 하지만 AI 모델은 손상될 수 있고 오염될 수 있습니다.따라서 우리는 이러한 AI 모델, 교육 모델, 학습 메커니즘에 보안을 적용해야 합니다.한편으로는 개인 정보 보호 메커니즘도 마련해야 합니다. 왜냐하면 저는 여러분이 의료 데이터가 러시아 다크 넷에 올라가 판매되고 있는 것을 원하지 않을 것이라고 확신하기 때문입니다.그리고 뭐...여러분의 게놈과 제 게놈이 그리 많은 것을 가져오지는 못하겠지만, 어떤 사람들은 게놈으로 상당한 돈을 벌 수 있습니다.
0:41:19.5 라구 난다쿠마라: 내 것은 확실히 싸게 살 수 있을 것이다.네 것이 훨씬 더 많을 거라고 확신해
0:41:23.2 리처드 스테이닝스: 오, 그건 모르겠어요.이것이 의료 분야의 AI의 한 예입니다.다른 분야는 산업 전반에 걸쳐 더 일반적이라고 생각하는데, 그 때는 AI가 탑재된 멀웨어, 예를 들어 공격적 AI가 시작될 무렵입니다.이런 모습은 지난 번에 본 적이 있습니다...아마도 2018~2019년 무렵부터 특정 멀웨어가 AI를 지원하여 기존의 엔드포인트 및 경계 바이러스 백신, 경계 보안 방어, 고급 멀웨어 보호 도구, XDR 및 기타 모든 기능을 통과할 수 있게 된 것으로 보입니다. 진행하면서 학습하기 때문입니다.이들은 스스로를 합법적인 네트워크 트래픽으로 위장하고 우리의 방어 체계를 우회할 수 있습니다.인터넷의 가짜 이미지와 가짜 동영상에서도 이와 같은 원칙이 적용되는 것을 볼 수 있습니다.유명한 사람들이 평생 한 번도 말하지 않았거나 하지 않았을 말을 하는 심오한 가짜를 우리는 모두 본 적이 있습니다.이제 비틀즈에서 AI를 지원하는 신곡들이 나오고 있는데 곧 매장에 출시될 예정입니다.오리지널 출연진 전체가 포함된 비틀즈의 최신 앨범으로, 모두 AI를 지원합니다.
0:42:35.1 라구 난다쿠마라: 제가 말하는 것은 비틀즈가 아니라 통계적으로 비틀즈 트랙과 동일하다는 것입니다. 제가 이에 대한 응답으로 말하는 것입니다.
0:42:47.7 S2: 맞아요.맞아요.하지만 대부분의 사람들은 그냥 '비틀즈에 갔다'고 말할 거예요.
0:42:50.9 리처드 스테이닝스: 아니면 2023년에 개봉한 새로운 존 웨인 영화인데요. 존 웨인이죠.이 영화에서는 그가 컬러로 나왔어요.완전히 컴퓨터로 만든 것임에도 불구하고 말이죠.그리고 사망한 배우들의 일부 가족들은 앞으로 이미지에 AI를 사용하는 것을 보호하려고 노력했습니다.하지만 이와 동일한 유형의 도구가 현재 우리 조직을 공격하는 데 사용되고 있습니다.그리고 이러한 공격적인 AI 도구로부터 보호할 수 있는 유일한 방법은 방어용 AI 도구를 사용하는 것입니다.따라서 우리가 사용할 수 있는 도구를 다시 생각해 봐야 합니다. 그래야 방어 도구가 AI 공격을 인식하고 즉시 차단할 수 있습니다.
0:43:30.2 라구 난다쿠마라: 귀하의 최근 블로그 게시물인 '공격형 AI의 떠오르는 주제'를 읽고 있었습니다.정말 놀랍습니다. 여러분이 다룬 다양한 영역과 AI가 위협이 되는 영역을 보면 정말 놀랍습니다. 마지막 답변만 해도 방어형 AI를 방어할 수 있는 유일한 방법은 AI 기반 방어이며 기존의 방어만으로는 충분하지 않을 것이라고 생각합니다.
0:43:50.3 리처드 스테이닝스: 맞아요.AI 기반 공격이 기존의 휴리스틱 기반 엔드포인트 탐지를 넘어서고 있다는 사실은 이미 알고 있습니다.예를 들어, 현재 시중에 나와 있는 초기 AI XDR 도구 중 일부도 작동 방식을 이해하고 있기 때문에 이를 극복할 수 있습니다.러시아 범죄 조직이라면 직접 나서서 가짜 회사 이름으로 상상할 수 있는 모든 소프트웨어를 사서 실험실에 설치하고 어떻게 물리칠 수 있는지 알아낼 수 있습니다.안타깝게도 가해자들은 이런 일을 하고 있습니다.우리에겐 더 스마트한 도구, 더 새로운 도구가 필요합니다.안타깝게도 이는 많은 공급업체가 접근 방식을 재고하고 고도로 혁신적이며 새로운 AI 기반 도구를 개발해야 한다는 것을 의미합니다.또한 이는 최종 사용자들이 지난 5~10년 동안 사용해 온 많은 도구를 없애고 폐기하고 다른 곳을 찾아야 한다는 의미이기도 합니다.어쩌면 2025년 이후의 현실에 맞게 접근 방식, 즉 툴박스에서 마음대로 사용할 수 있는 시스템과 도구의 조합을 조정해야 할 수도 있습니다.
0:44:53.0 라구 난다쿠마라: 네.물론이죠.리처드, 우리가 꽤 광범위한 대화를 나눴다는 거 알아요. 솔직히 오늘 제 일을 아주 쉽게 해주셨잖아요.당신의 통찰력을 너무 개방적이고 관대하게 받아들여서 그냥 고개를 끄덕이고 감사하는 것 말고는 질문을 할 필요가 거의 없었어요.이제 마무리하기 전에, 의료 업계나 다른 업종의 보안 실무자를 위한 조언에 대해 청취자 여러분께 마지막으로 말씀드릴 말씀이 있으신가요?
0:45:22.3 리처드 스테이닝스: 네, 미래를 바라보라고 말하고 싶어요.과거를 돌아보지 말고, 5년 전의 시장 리더들을 바라보지 마세요. 분명히 상황이 바뀔 것이고 변화의 가속화는 계속 증가할 것이기 때문입니다.저는 여러분과 파트너 관계를 맺을 벤더를 찾고 싶고, 여러분과 함께 문제를 해결하고 이러한 도구를 최적의 가치 수준으로 사용하는 방법을 알아낼 수 있도록 도와줄 공급업체를 찾는 것이 좋습니다.또한 자동화 기능이 내장된 도구와 공급업체도 찾고 싶습니다. 도구 상자가 이미 꽉 차서 도구 상자에 도구를 더 추가할 수 없기 때문입니다.제가 경력을 쌓는 동안 고위 경영진들과 많은 대화를 나눴는데, 그들은 기본적으로 이렇게 말했습니다. “정말 좋아요.어디서 오셨는지 들었어요.이게 왜 필요한지 알겠어요이 도구를 구입하기 전에 어떤 두 가지 도구를 없앨 수 있을까요?이 제품이 대체할 수 있는 도구는 무엇입니까?”
0:46:13.4 라구 난다쿠마라: 다양한 스핀을 통한 ROI 대화의 전부입니다.
0:46:16.6 리처드 스테이닝스: 또한 인력이 부족하고 보안팀 인력이 충분하지 않기 때문에 오버헤드 대화이기도 합니다.가해자 대비 최소 5대 1의 수적 열세를 보이고 있습니다.그리고 사전에 모두 합의한 실행 책과 프로세스, 정책을 기반으로 사이버 보안 방어를 자동화하여 이러한 시스템이 저절로 실행되도록 하는 작업을 훨씬 더 잘 수행해야 합니다.
0:46:41.6 라구 난다쿠마라: 멋지다.리처드, 정말 고마워요.청취자 여러분, 사이버 보안에 대한 리처드의 전문 지식과 생각에 대해 더 자세히 알아보려면 그의 웹 사이트 cyberthoughts.org를 방문하십시오. 그리고 Illumio와 Cylera가 의료 기관에 제로 트러스트를 제공하기 위해 어떻게 협력하고 있는지 더 자세히 알고 싶다면 illumio.com에서 당사의 공동 솔루션을 확인해 보세요.감사합니다, 리처드.더 세그먼트에 참여해 주셔서 정말 감사합니다.
0:47:13.6 리처드 스테이닝스: 초대해 주셔서 감사합니다.
0:47:16.8 라구 난다쿠마라: 이번 주 The Segment 에피소드를 시청해 주셔서 감사합니다.제로 트러스트에 관한 더 많은 자료를 보려면 illumio.com을 방문하십시오.Illumio가 대표적인 공급업체로 자랑스럽게 등재된 Gartner의 새로 발표된 2023년 마이크로세그멘테이션 시장 가이드도 확인해 보십시오.오늘은 여기까지입니다.제가 호스트 라구 난다쿠마라예요. 곧 돌아올게요.