[사이버 보안 안전벨트: 인식에서 대비로의 전환에 대한 사이버 심리학자의 견해]

[라구 난다쿠마라 00:11]

[여러분, Thé S~égmé~ñt의 또 다른 에피소드에 다시 오신 것을 환영합니다.수상 경력에 빛나는 교육자, 기업가, 연사, 사이버 보안 연구원이 오늘 이 자리에 함께하게 되어 큰 영광이자 특권입니다.에릭 허프만 박사, 더 세그먼트에 오신 것을 환영합니다¡]

[에릭 허프만 박사 00:28]

[헤이.초대해 줘서 고마워요.정말 고마워요.]

[라구 난다쿠마라 00:30]

[그래서, 난 당신의 멋진 배경을 제대로 표현할 수 없을 거예요.제가 말씀드릴 것은 사이버 심리학자와 대화를 나눈 것은 이번이 처음이라는 것입니다.그게 무슨 내용인지 궁금하네요.자네 유튜브 동영상 몇 개를 보고 작은 생각이 하나 생겼어.그럼, 허프만 박사님, 배경 이야기를 좀 해주시는 건 어때요¿]

[에릭 허프만 박사 00:52]

[네, 그럼 처음부터 시작할까요¿ 아니면 사이버 심리학부터 시작할까요¿ 흥미로운 것들이죠.]

[라구 난다쿠마라 00:59]

[그거 알아¿처음부터 시작하는 게 중요하다고 생각해요. 그게 사이버 심리학에 어떻게 접근했는지 알아내는 방법이니까요, 그렇죠¿]

[에릭 허프만 박사 01:05]

[간단히 요약하자면 제가 컴퓨터 공학 학사 학위를 받고 Wálg~rééñ~s에서 일하기 시작한 후입니다. 매장 저 매장 운전, 프린터 수리, 네트워크 수리, 컴퓨터 수리 등.정말 즐거웠어요¡제가 컴퓨터 과학에 입문한 이유는 솔직히 아빠 때문이에요.제가 자랐을 때는 다른 많은 사람들처럼 여러분도 그렇게 많지 않아요. 그리고 아빠가 학교에 가는 모습을 볼 수 있었는데 아빠는 컴퓨터를 정말 파헤쳤어요.그러다가 우리 삶이 바뀌는 걸 봤어요.우리가 정말 작은 아파트, 작은 집에서 큰 집으로 가는 걸 봤어요.그래서 저는 “이봐, 이거 정말 멋지다.” 라고 생각했고, 그래서 저도 같은 길을 가기로 했습니다.그래서 저는 컴퓨터 과학 학사 학위를 받고 월그린 (Wá~lgré~éñs) 에서 일하기 시작했어요.그 후 저는 Í~T 관리에 집중하여 경영학 석사 학위를 받았습니다.그래서 프로젝트 관리라는 일을 시작했습니다.저도 다른 사람들처럼 마음가짐이 좋았어요.멍청한 사람만 해킹을 당한단 말이야예를 들어, 사용자 아이디의 관리자이고 비밀번호가 ádm~íñ이라면 그럴 자격이 있습니다.알다시피, 그런 것들은 정말 오만해요.이봐, 내가 다 잠궈버릴 거야.아무 것도 나쁘지 않아요.그런 일이 일어날 거예요.그러다가 제 머리 속에 데이터 유출 사고가 났어요.그로부터 3개월 후, 제 머릿속에는 또 다른 데이터 침해가 일어났습니다.저는 궁금했어요. 멍청한 사람들만 해킹을 당한다면 제가 멍청한 걸까요¿일종의 자기 반성 같은 거 말이에요, 그렇죠¿~그런가요¿제가 바보인가요¿그래서 우리가 하는 모든 일에 데이터를 들여다보기 시작했어요. 우리가 구현한 기술이 어떤 도움이 됐는지 알았기 때문이죠.알아요.방화벽, ÍD~S 시스템, ÍPS~ 시스템, 우리가 없앤 모든 것, 우리가 이 문제를 없앤 모든 기술처럼 말이죠.도움이 된 건 알지만 왜 결과가 나타나지 않는 걸까요¿그래서 조사를 시작해서 기술의 속도와 데이터 유출 비율을 살펴봤는데 서로 닮아가는 걸 좋아하죠.예를 들어, 기술을 더 많이 구현할수록 데이터 유출 문제는 더 심각해졌습니다.하지만 그래도 마음 속으로는 이게 도움이 된다는 걸 알아요, 라는 생각이 들었어요.그래서 저는 공통점을 살펴보기 시작했죠. 바로 우리, 즉 사람이죠.사람들의 심리, 사회공학의 심리학을 살펴보기 시작했기 때문에 완전히 다른 일이 벌어졌죠.그리고 거기서 우리는 사이버 심리학 분야를 찾는데 도움을 줬죠.제가 특히 사이버 심리학에 대해 살펴보자면, 지금은 다양한 분야가 있습니다.그중에서 환상적인 연구를 하는 사람들이 있습니다.저는 특히 사이버 보안 분야의 디지털 소셜 엔지니어링을 살펴봅니다.그래서 사이버 심리학 분야에서도 아이들의 정신 건강, 사이버 괴롭힘 등을 살펴보는 사람들이 있습니다.하지만 저는 특히 디지털 소셜 엔지니어링과 사이버 공격 등을 살펴봅니다.그래서 저는 운전실에서 월그린 매장으로 가서 강의를 시작했어요.저는 교직에 입문했고, 몇몇 대학에서의 교육, 고등교육을 좋아했습니다.그러다가 이야기를 하면서 그 이야기들이 존재했던 이유를 놓치게 됐어요.그래서 저는 이렇게 생각했어요. “야, 나 이제 교실에서 나가야 돼.사이버 형제 자매들과 함께 다시 참호 속으로 들어가 볼게요.”그래서 지금은 업계에서 일하면서도 사이버 심리학의 발전을 지속하기 위해 엄청난 양의 연구를 하고 있습니다.]

[라구 난다쿠마라 04:45]

[정말 놀라워요. 당신 말이 맞아요.제 가정은, 오, 예를 들어, 부주의한 사람들, 멍청한 사람들이 해킹을 당하고, 도용당한다는 거죠, 그렇죠¿하지만 사실 가장 자금이 넉넉하고 가장 성숙한 사이버 보안 프로그램을 갖춘 조직 중 일부는 여전히 공격의 피해자입니다. 그렇죠¿그리고 당신도 두 번의 사이버 공격을 받은 것 같다고 말씀하셨잖아요.그 사건들을 당했을 때 기분이 어땠나요¿그 사건들이 그렇듯, 당신도 그 사건들을 발견했잖아요.지금 그 중심에 서 있잖아요.기분이 어때요¿~]

[에릭 허프만 박사 05:22]

[솔직히 그 느낌은 무서워요. 우리가 뭘 잘못한 거지¿정신 좀 차려야 돼요다른 사람들도 진정시켜야 돼요왜냐하면, 바로, 누가 뭘 했냐고 하는 생각이 들기 때문이죠.그리고 당신이 잘못한 게 아닐 수도 있어요.예를 들어, 만약 여러분이 중소기업에서 중견기업에 속하고 싶어한다면, 아마도 그들은 여러분을 그렇게 받아들일 것입니다. 여러분이 모든 일을 제대로 했는데도 여전히 틀릴 수도 있습니다.그래서 그 사건들이 일어났을 때, 이런 생각이 들었어요. “우리가 뭘 잘못했지¿누가 뭘 놓쳤죠¿누가 뭘 했지¿~”그게, 바로 그 느낌이었어요. 그리고 저는 그 느낌에서 벗어나야 했어요.아시다시피, 존재로서, 주니어 레벨 선배로서, 왜냐하면 저는 신입이었고, 석사 학위를 받았고, 업계에서 꽤 오랫동안 일했지만 제 입장은 처음이었기 때문입니다.그래서 당신은 중급, 상급자인데, 이봐, 어떻게 이끌어야 하는지를 이해해야 하고, 누구의 잘못도 아닐 수도 있다는 것을 이해해야 합니다. 그리고 일어난 일에 대한 무릎 떨리는 반응을 이해해야 합니다. 그리고 누가 무엇을 했느냐에 따라 독이 됐죠.제가 배운 교훈은 바로 그 일에 집중하고, 일어난 일에 초점을 맞추고, 어떻게, 어떻게 그런 일이 다시 일어나지 않도록 막을 수 있는지에 초점을 맞추는 것이었습니다.그래서 저는 그 일에 푹 빠졌어요. 누가 뭘 했냐고요¿이런 일이 일어나선 안 돼요.우리는 100% 안전했어요.사실 100% 안전이란 존재하지 않습니다.그러니 누가 무슨 짓을 했는지 생각하지 마세요.무슨 일이 있었는지 생각해 보세요. 그리고 그 후, 애프터 액션에서, 어떤 사람들은 그것을 포스트-모템이라고 부릅니다. 누가 무엇을 했는지 알아내세요.무슨 일이 있었나요¿ 예를 들어, 우리가 잘못한 게 있나요, 아니면 존재하는지도 몰랐던 취약점에 갇힌 걸까요¿]

[그래서 거기서 아주 강력한 용어를 썼잖아요. 마치 독성이라는 말이었죠.여기서는 애초에 문제가 어떻게 나타났는지 이해하는 것보다 개인이나 팀을 비난하고 비난하는 것에 더 가깝습니다.그거 보이세요¿몇 년 전에 이런 사고가 발생했는지는 모르겠지만, 지금 조직 내에서 그러한 접근 방식이 바뀌었고, 누가 그런 일을 일으켰는가보다 그 원인에 더 많은 초점을 맞추고 있다는 것을 아십니까¿]

[아니요.안타깝게도 답은 아니오입니다.제가 단체에 자문을 할 때도 누가 무엇을 했는지가 관건이었어요. 누가 어떤 일을 했는지, 어떤 과실이 있었는지, 실제로 일어난 일이 무엇인지에 초점을 맞추는 경우가 많았습니다.그리고 공공 기관으로서, 우리 사회는 이러한 조직들에게도 그런 일을 많이 합니다. 그래서 어떤 대기업에 데이터 침해가 일어나면 그 즉시, 이봐, 그들이 분명히 뭔가 잘못하고 있는 것처럼 보입니다. 왜냐하면 데이터 침해가 있었기 때문이죠.심지어 사이버 전문가들도 “이봐, 네가 이런 일을 했으면 이런 일은 일어나지 않았을 거야.” 라고 말하는 사이버 보안 엔지니어 역할을 합니다. 사물이 인터넷의 허수풀에 연결되어 있는 한 100% 보안은 존재하지 않는다는 것을 알고 있기 때문입니다.이러한 연결이 존재하는 한 100% 안전할 수는 없습니다.그래서 저는 그것이 아직 바뀌었다고 생각하지 않습니다. 특히 비즈니스 관점에서는 말이죠.많은 경우, 기업들이 자신들이 대중의 인식이 비즈니스에 좋지 않을 것이라고 생각하거나 주가에 타격을 입거나 그와 비슷한 일을 하게 될 것입니다.누가 무엇을 했는지가 바로 결정되고, 다시 돌아오죠. CÍSÓ~나 그와 비슷한 사람들처럼요.그리고 CÍSÓ~는 “음, 분명히 당신은 일을 제대로 하고 있지 않아요. 그리고 그 취약점이 뭔지 누가 알겠어요¿” 라고 말하죠.제로데이였을 수도 있습니다.이봐, 아무도 몰랐어. 그리고 우린 인내심이 전혀 없는 것 같아.네, 모든 걸 제대로 했는데도 여전히 틀렸어요.이 산업에 있어서는 안타까운 현실입니다.그리고 저는 겸손해요.저는 아주 겸손한 사람이에요.그게 제 엄마, 할머니, 아빠예요. 그들은 저를 그렇게 키웠어요.그리고 알다시피, 저는 그 피해자가 됐어요.모두에게 솔직히 말해서 “네, 제가 피해자가 됐어요.” 라고 말할게요.보안 리더로서 데이터 침해 사고가 연달아 발생했을 때, 저는 이렇게 물었습니다. 누가 뭘 했을까요¿마치 이런 일이 일어나서는 안 되는 것처럼 말이죠.글쎄요, 그런 일이 일어나서는 안 되는데 실제로 일어났습니다.어떤 취약점이 존재했는지와 비슷하죠.우리 모두 무언가를 배울 수 있습니다. 마치 제가 세상에 무언가를 내놓으면 모두가 무언가를 배우게 되죠.바로 그 시점에 이르면, “누구 탓이야¿”미안, 당신은 기술에 관한 모든 것을 모르고 있고 잠재적으로 악용될 수 있는 기술에 대해 하나도 모르고 있잖아요.리더가 직원에게 기대하는 것은 현실적이지 않으며, 다른 모든 사람, C~ÍSÓ 또는 사이버 보안 엔지니어에게도 현실적인 기대가 되어서는 안 됩니다.말할 것도 없이, 모든 데이터 침해는 용서받아야 합니다.아니요, 하지만 바로 거기에 갈 수는 없습니다.과실이 있다면 문제를 해결한 후에 알아내세요.과실을 바로 지적하지 말고 먼저 문제를 해결해 봅시다.문제를 해결하지 말고 과실이 존재한다면 찾아보십시오.]

[라구 난다쿠마라 10:30]

[물론이죠.이건 정말 중요한 포인트라고 생각해요. 왜냐하면 첫 반응이 CÝÁ 운동으로 바뀌면 안 되기 때문이죠.그렇죠¿~먼저 뒷면을 가리세요.그럴 순 없겠죠¿CÍS~Ó가 받는 스트레스에 대해서도 말씀하셨죠¿ 그리고 CÍ~SÓ가 느끼는 끊임없는 두려움도 말씀하셨죠¿ “제가 감시하는 보안 침해가 발생하면 어떻게 될까요¿~”특히 질문을 받게 될 것 같아서 말이죠, 그렇죠¿음, 보안 프로그램을 위한 이 모든 자금을 확보했는데도 이런 일이 일어났습니다.CÍS~Ó의 번아웃에 대해 자주 듣게 되기 때문에 이 부분이 중요한 부분임에 틀림없습니다.이것이 그 주요 원인임에 틀림없습니다.]

[에릭 허프만 박사 11:13]

[네, 이게 정말 제가 마지막으로 있었던 자리예요.저는 조직에서 가장 높은 직급의 보안 담당자였는데, 사실 그건 번아웃으로 가는 길이에요.여러분은 온갖 종류의 보안 위협과 기업이 원하는 속도 향상에 대해 끊임없이 걱정하고 있습니다. 아시다시피 비즈니스 속도는 느려질 수 없기 때문이죠. 충분히 이해할 수 있습니다.하지만 비즈니스 속도가 점점 더 빨라지고 빨라질수록 위험도 커집니다.네, 그러니까 비즈니스 속도를 늦추지 않으면서 위험의 균형을 맞추려고 하는 거죠. 하지만 언젠가는 비즈니스에 “이봐, 속도를 늦춰야 해.” 라고 말해야 합니다.그리고 당신은 절대, 절대 그 논쟁에서 이길 수 없을 거예요.이는 매우 어려운 일입니다. 왜냐하면 발생할 수 있는 보안 침해에 대해 여전히 걱정하고 있기 때문입니다. 왜냐하면 “이봐, 사실, 이것 때문에 네 잘못이 아닐 수도 있겠지만, 우리는 여전히 보안에 계속 투자해야 해.” 라고 말할 수 있는 성숙한 조직이 없다면 말이죠.하지만 이러한 성숙도는 많은 조직에서 찾아볼 수 없는 수준입니다.아직 많은 회의실에서 CÍSÓ~에게 데이터 침해가 발생하면 과실로 인한 것이 아닐 수도 있다고 말하는 성숙도는 찾아볼 수 없습니다.CÍSÓ~의 잘못이 아닐 수도 있습니다.사이버 보안 엔지니어의 잘못이나 ÍT 또는 보안 책임자의 잘못이 아닐 수 있습니다.업계 전체가 한꺼번에 배우고 있는 부분일 수도 있고, 제로데이가 첫날이나 셋째 날에 출시되었기 때문에 패치를 빨리 하지 못한 제로데이일 수도 있습니다.이런 일이 일어날 수도 있고, 우연히 여러분에게 찾아올 수도 있습니다. 특히 기업 환경에서는 그런 것들이 존재하죠.저는 CÍ~SÓ의 변증론자답지 않지만, 이러한 데이터 침해 사고 중 일부가 발생할 정도로 면밀한 조사가 이루어지는 것은 분명히 불공평합니다.만약 여러분이 중간 규모의 조직인데 한 국가가 여러분을 공격한다면, 여러분은 충분한 자금을 투자하고 있지 않은 셈입니다.말씀드리자면, 당신은 그 CÍ~SÓ를 보호하기에 충분한 자금을 투자하고 있지 않습니다.그 CÍ~SÓ는 아마 착취당할 거예요.그리고 만약 그들을 비난한다면 다른 사람을 고용할 수 있고, 그들에게도 똑같은 일이 일어날 것입니다.예를 들어, 자원이 부족하다면 원하는 사람을 고용하세요. 그렇다고 해서 앞으로 일어날 일로부터 조직을 구할 수는 없습니다.따라서 보안에 계속 투자해야 합니다. 하지만 100% 보안은 존재하지 않는다는 점을 이해하고, 사람처럼 이러한 보안 침해 중 일부는 한 단계 높은 수준에 불과하다는 점을 이해해야 합니다.만약에 대비하고 있든 그렇지 않든, 모든 것에 대비하고 위험을 최소화하고 싶다면 투자를 상당히 많이 하는 것이 좋습니다.보안 엔지니어에게 기회를 주려면 투자 금액이 꽤 높아야 합니다.그 중 1,2,3달러를 회사 재산에 50달러, 6천만 달러, 1억 달러 가지고 있으면서 무슨 일이 생기더라도 그건 여러분 책임이라고 말하지 마세요.제가 알기에 충분할 만큼 좋은 사람은 많지 않은데, 그렇지 않습니다.그들은 아마 그걸 현실로 만들기에 충분한 보수를 받지 못했을 거예요. 예를 들어 세 명이 함께 하는 24시간 SÓ~C처럼요. 잘 모르겠어요.]

[라구 난다쿠마라 14:27]

[그 안에 당신이 말한 게 있어요.단지 이사회가 보안 프로그램의 중요성을 완전히 이해하는 것만은 아니겠죠¿제 생각에 이러한 성숙도는 의사 결정을 담당하는 이사회가 잘 개발되고 잘 실행되는 보안 프로그램의 이점을 명확히 이해하는 단계에 이르렀다고 생각합니다.하지만 말씀하신 것은, 그 자체로도 좋은 일이지만, 보안에 투자하는 만큼 공격자가 환경을 손상시킬 가능성이 여전히 크다는 것을 이해하려면 이사회가 성숙해야 한다는 것입니다. 그리고 그들은 “이봐, 도대체 뭐야¿” 라고 반응해서는 안 됩니다. 그런 반응이 있어서는 안 됩니다.“그래, 알겠어.확률은 여전히 그들에게 유리하다는 것을 알 수 있습니다.”]

[에릭 허프만 박사 15:19]

[네, 바로 이사회에서 진전이나 비즈니스에 관한 모든 대화가 항상 진화하거나 새로운 위험을 야기할 가능성이 높기 때문이죠.그리고 그 리스크가 무엇인지에 따라, 이사회나 CÉÓ, C~ÓÓ 같은 사람으로서 이러한 대화를 할 때 그러한 위험이 도래한다는 것을 이해해야 합니다. 그리고 그러한 위험을 완화할 건가요, 아니면 감수할 건가요¿이러한 보안 관련 논의 중 일부는 C~ÍSÓ가 위험을 감수했기 때문에 좌절감을 느끼기도 합니다.그리고 이사회, C~ÉÓ, CF~Ó는 이런 일이 일어난다면 우리가 위험을 감수했기 때문에 일어난 일이라는 것을 이해해야 합니다.만약 그런 일이 일어날 수 있는 위험을 받아들이고 실제로 일어난다면, 그것은 일종의 피해 통제일 뿐입니다.알다시피, 위험이 존재하고 그 위험 발생의 결과가 그렇게 심각하지 않을 거라고 생각했었다면 말이죠.그런 일이 일어나면, 그렇게 심각하지 않은지 확인한 다음 위험을 다시 살펴보죠.우리는 이 위험을 계속 감수할 수 있을까요¿아마도 답은 “아니요, 방향을 바꿔야 합니다.뭔가 다른 걸 해야 돼요.”왜냐하면 우리는 그런 위험이 일어날 가능성이 그렇게 높지 않다고 생각했고, 그럴 가능성이 상당히 높다고 생각했는데, 그러다 보니 그렇게 빨리 일어났습니다.예를 들어, 이런 일이 다시 일어날 거라고 생각해요¿네, 이게 매년 하는 일인가요¿~분기별로 하는 건가요¿매주 하는 일이 아니길 바랍니다. 하지만 5년에 한 번씩 사후 분석과 조사를 한 후 위험을 감수하고 CÍS~Ó에게 위험에 대한 책임을 물을 수도 있습니다.이런 위험은 “좋아요, 이런 일이 생기면 더 악화되지 않도록 저희를 보호해 주세요.” 와 같이 받아들여졌습니다.“이런 위험으로부터 저희를 보호해 주세요. 절대, 절대, 절대 일어나지 않도록 받아들였어요.” 말고 그냥 이 망할 일을 완화하면 됩니다.죄송합니다. 이 상황을 완화하기만 하면 됩니다.]

[라구 난다쿠마라 17:26]

[당연하고 마지막 요점만 말씀하셨어요. 왜냐하면 여러분이 이 문제에 대해 열정적으로 이해에 대해 이야기하는 것을 들으면서 위험을 감수하면 기본적으로 실사를 한 것입니다. “제 배당률이 제게 유리하다고 생각해요.그럼 여기서 설명할게요.더 많은 돈을 투자하지는 않을게요.” 하지만 여전히 위험이 존재한다는 것을 깨달아야 합니다.그걸 받아들인다고 해서, 그렇죠, 그걸 사라지게 한 건 아니죠¿따라서 만약 그 위험이 정확히 악용되는 것이라면 “음, 우린 이걸 방어한 줄 알았어.” 라고 말할 수 없겠죠.받아들였잖아요, 그렇죠¿사실 저는, 그 시점까지는 수석 전도자인 존 킨더백이, 그가 말하길, 위험은 위험하다는 거죠, 그렇죠¿위험을 감수하는 것보다는 가능한 한 많은 위험을 줄이기 위해 최선을 다해야 합니다.]

[에릭 허프만 박사 18:20]

[바로 그거야.따라서 보안 수준이 높은 이사회는 보안만 이해하는 것이 아닙니다.네, 그렇긴 하지만 보안이 곧 위험 관리라는 것을 이해합니다.모든 보안 전문가가 맡은 업무에는 위험이 따릅니다.기술을 사용하든, 무언가를 구현하든, 우리의 규정 준수는 단지 위험 관리입니다.따라서 모든 것이 위험 관리라는 것을 이사회 또는 비즈니스 개발 팀도 이해하고 있어야 합니다.그래서, “이봐, 우리가 할 거야.이 위험을 이해하시나요¿네.”그러면 위험 관리 대장 같은 내용이 채워지길 바라며, 수용하고 있는 내용을 알고, 완화하려는 것이 무엇인지 알게 될 것입니다.그리고 보안팀에게, 네, 책임을 물어야 합니다.완화하기로 선택한 이사회에 있는 위험에 대한 책임은 귀하에게 있습니다.예를 들어, “이 문제를 완화했다고 했더니 어떤 이유에서든 여전히 Wíñ~dóws~ XP를 사용하고 있다는 사실을 알게 되었습니다.”네, 꼭, 꼭, 꼭.하지만 이런 위험을 받아들이고 나서 위험이 그렇게 발생한다면, 이봐, 그냥 피해 통제를 한다는 뜻이겠지요.피해를 통제하고 다시는 이런 일이 발생하지 않도록 하세요.이러한 관계를 맺고 있는 조직을 이끄는 모든 남성과 여성에게 박수를 보내주세요. 그러면 보안팀인 CÍ~SÓ가 그다지 번아웃에 직면하지 않고 있기 때문입니다. 왜냐하면 이사회가 뭔가 나쁜 일이 생기면 이해하기 때문이죠.저는 이 어려운 취업 시장에서 길거리에 나가 있는 게 아니에요.]

[아시다시피, 그들은 이런 일이 일어날 수 있다는 것을 이해합니다. 우리 모두 피해를 통제할 수 있지만 어떤 일은 절대 일어날 수 없습니다. 예를 들어, 침해가 발생했을 때 절대 과실인 경우, 네, 이에 대한 책임은 귀하에게 있고 공정합니다.이건 정당한 주장이에요. 길이죠.사용자 이름은 ádmí~ñ, 비밀번호는 ádm~íñ, 네, 나쁘네요.보안팀이 잘못됐어요정말 나쁜 보안 팀.또는 1년 전이나 3~2분기 전에 패치가 적용되었어야 하는 소프트웨어를 패치하지 않은 상태였을 수도 있습니다.프로세스가 제대로 작동하지 않을 경우 보안 팀이 해당 보안 팀을 관리해야 할 수도 있습니다.하지만 소프트웨어로 바뀌었거나 업무상 필요에 따른 것이라면 이를 구현했거나 필요한 팀이 없어서 원하는 만큼 빨리 패치를 적용하지 못했을 수도 있습니다.그리고 어떤 위험이 존재하는지 말씀드렸더니 “이봐, 여기에 더 많은 돈을 투자해야 하기 때문에 패치에 조금 뒤쳐질 수도 있어”라고 말씀하셨는데 뭔가 나쁜 일이 일어났습니다.그럼 다시 한 번 살펴봐야 할 것 같네요.이 위험은 너무 높고, 결과도 너무 높고, 확률도 너무 높습니다.그리고 그 대화는 모든 기업이 그래야 할 방향입니다. 이것이 바로 기업의 꿈입니다.]

[라구 난다쿠마라 23:43]

[이 글은 몇 가지 요점을 훌륭하게 요약한 것으로, 한편으로는 최선을 다해 업무를 지원하는 기업과 보안 조직이 양측 모두에게 최상의 결과를 제공하기 위해 실제로 어떻게 협력해야 하는지에 대한 내용입니다.감사합니다, 허프만 박사님.다음 단계로 넘어가고 싶어요.당신의 분야와 우리는 이 문제를 우회했지만, 당신은 사이버 심리학자로서의 일 덕분에 이 자리에 섰습니다.사이버 심리학이 무엇인지 아주 간단하게 정의해 주세요.]

[에릭 허프만 박사 24:14]

[사이버 심리학은 보안, 사이버 보안, 인간 행동 심리학, 신경 과학에서의 인간 행동 사회학을 혼합한 것입니다.단순하고 단순하게, 이 세 가지를 종합하면 결국 사이버 심리학에 이르게 됩니다.좋아요,]

[라구 난다쿠마라 24:30]

[알겠어요, 이해해요, 그렇죠¿그럼, 그게 오늘날 왜 그렇게 중요하죠¿]

[에릭 허프만 박사 24:36]

[제 생각에 90% 이상은 94~ 97% 의 데이터 침해 사고의 인간 행동, 즉 인적 요소와 관련이 있기 때문입니다.그래서 저는 이 대화의 앞부분에서도 문제의 2-3% 에 대해 이야기하고 있다는 것을 압니다. 기술이 중요하지 않다는 것은 말할 것도 없고, 기술이 아주 중요하다는 것은 말할 것도 없고요.우리는 데이터 침해의 2-3% 에 대해 이야기하고 있습니다.나머지 95~ 97% 의 데이터 침해는 사람의 행동, 사람의 실수 또는 어떤 관점에서의 사회 공학과 관련이 있습니다.연구를 시작했을 때 저는 스스로 파악한 300명이 넘는 해커 그룹을 뽑았습니다.흰 모자인지, 검은 모자인지, 회색 모자인지 말해주지 않았어요.제 생각에 93% 가 기술을 시작하기 전에 인간과 함께 시작한다고 답한 것 같아요. 차라리 사용자 이름과 비밀번호를 알려주길 바라기 때문이죠.그 시점에선 해킹도 아니에요.위협이나 위협 행위자로서 제 업무가 훨씬 쉬워졌어요.]

[라구 난다쿠마라 25:40]

[네, 물론이죠.그리고 제 생각에 마지막 지점이 아마 시작점이 될 것 같아요. 공격자들은 열심히 일하고 싶어하지 않는 거죠¿그들은 성공으로 가는 쉬운 길을 원하죠. 성공으로 가는 어려운 길이 아니라 말이죠.글쎄요, 어쨌든 대부분의 경우 수익을 창출하는 쉬운 경로가 관건입니다.]

[에릭 허프만 박사 25:57]

[네, 오, 물론이죠¡마치 패치 방화벽을 정면으로 사용하는 것과 같은, 그건 정말 말도 안 되는 작업이죠.지구상에서 그렇게 할 수 있는 사람은 많지 않습니다.그러니까, 예를 들어, ÍDS~ 시스템에 완전히 패치가 적용되고 방화벽이 완전히 패치되어 있고 어떤 라우터에도 완전히 패치가 적용되어 있습니다. 사람들이 침입할 수 있는 것처럼 말이죠.이는 1% 의 1% 정도입니다.정말, 정말, 정말 어려운 일이죠.그래서 그 한계는, 예를 들어, 완전히 패치되면 얼마나 많은 사람들이 당신을 악용할 수 있는지를 제한합니다. 하지만 제가 당신을 당신의 데이터 유출 사고에 일조하도록 할 수 있다면, 오, 이런, 그게 바로 사랑이죠.]

[공격자들은 기술이 발전하고 패치가 나오기 때문에 열심히 일하고 싶어하지 않습니다.취약점이 존재하고 나면 사라지지만 여러분은 표적이 됩니다.따라서 시간이 오래 걸릴수록 더 어려워 질 수 있습니다.하지만 만약 당신이 나와 대화할 수 있다면, 그리고 당신이 자신의 잘못에 일조할 수 있다면, 제 일이 훨씬 수월해지죠.그리고 특권 사용자가 되면 더 많은 데이터를 얻을 수 있어요. 제가 당신의 시스템에서 당신이 될 수 있다면, 일이 훨씬 쉬워지죠.그래서 대부분의 해커들은 거기서 시작하죠.그들은 당신부터 시작해서 저부터 시작해서 결국 “이봐, 마이크로소프트나 애플, 시스코나 팔로 알토와 정면으로 맞붙게 해볼게요. 없어도 되고 싶어하지 않아요.그들은 그렇게 하고 싶어하지 않아요.대부분의 해커들은 그렇지 않습니다.대부분의 사람들은 가능한 한 빨리, 가능한 한 쉽게 데이터를 얻기를 원합니다.]

[라구 난다쿠마라 27:36]

[이것이 바로 우리 모두가 알고 사랑하는 보안 인식 훈련의 많은 부분이 호기심을 느끼는 인간의 경향을 거의 해결하는 데 초점을 맞추는 이유입니다. 그렇죠¿만약 교육이 이와 비슷하다면, 여러분이 방문하려는 웹사이트가 신뢰할 수 있는지 어떻게 검증할 수 있을까요¿VÍ~P 스위트에서 슈퍼볼 입장권을 5달러에 제공한다고 하는데 이메일에서 그 링크를 클릭하지 않으려면 어떻게 해야 할까요¿그래서 이 모든 것에도 불구하고 우리는 여전히 오른쪽을 클릭합니다.우리는 여전히 가면 안 되는 웹사이트에 가고 있잖아요, 그렇죠¿그 사람이 우리의 가장 친한 친구일 때는 여전히 전화로 우리의 세부 정보를 알려주죠.그렇다면, 이 모든 교육에도 불구하고 왜 아직도 그렇지 못할까요¿~왜 우리가 우리를 막았을 지경까지 가지 못했냐고요¿]

[에릭 허프만 박사 28:30]

[네, 제 솔직한 의견은 우리가 사이버 보안 인식에 너무 많은 시간을 투자했기 때문에 사이버 보안 대비에 대해 살펴보지도 않았다는 것입니다.우리는 사람들에게 문제를 인식시키기 위해 너무 많은 노력을 기울였기 때문에 사람들이 현재 존재하는 문제에 대비할 수 있도록 하지 못했습니다.이쯤에서 말씀드리자면 대부분의 사람들은 잘 알고 있기 때문에 자각에 대해 가르쳐서는 안 됩니다.우리는 대비를 향해 나아가기 시작해야 합니다.디지털 소셜 엔지니어링에서 피싱은 악의적인 마케팅에 불과합니다.그리고 모든 기업은 마케팅이 효과가 있다는 것을 알고 있습니다.이것이 바로 우리가 수십억 달러를 투자하는 이유입니다.마케팅은 효과가 있습니다.그리고 악의적인 마케팅인데 왜 효과가 없을까요¿왜냐하면 그것은 인간을 먹이로 삼고 있기 때문이죠.그 인간에게 미치는 영향력의 원리를 노리는 거죠.그리고 우리 모두에게는 이런 영향력 원칙이 존재하기 때문에 공격자가 그 사람에게 어떻게 다가가느냐에 따라 달라지죠.당신의 영향력 원칙은 제 영향력 원칙과 다릅니다.그래서 여러분이 클릭하는 것들은 제가 클릭하는 것들과 다릅니다.그리고 우리는 아직 사람들이 한 인간으로서 공격을 받을 것이라는 대화를 준비시키기 시작하지도 않았습니다.우리는 사람들에게 기술적 위협에 대해 알렸습니다.게다가 이러한 기술적 위협은 해결하기가 매우 어려워 보입니다.기술에 관심이 없는 사람에게는 매우 어렵게 들리지만, 이봐, 이메일 헤더를 확인하는 것조차 싫은 것처럼 들리지만, 우리는 백도어와 비슷한 것들에 대해 이야기하기 시작합니다.하지만 우리가 문제를 세분화해서 말한다면, 그들은 당신을 사람으로서 속이려 할 거예요.그리고 여러분이 보안 문제를 해결하는데 도움을 주려면, 우리는 여러분이 속지 않도록 도와주셔야 합니다.그들이 하려는 것은 좋아요의 주된 영향을 이용하려는 것입니다.영향력, 호혜성, 호기심이라는 원칙을 가지고 행동하세요.그러면 보통 직원이나 재무 담당자, 마케팅 담당자 같은 사람에게는 이런 말이 들릴 것입니다. “오, 이거 할 수 있어요.저는 할 수 있어요.예를 들어, 저는 기술 전문가는 아니지만 이런 종류의 공격으로부터 자신을 보호할 수 있어요.”그런 다음 우리는 대비하는 쪽으로 기울기 시작합니다.우리는 사람들이 문제에 대비할 수 있도록 준비시키기 시작합니다. 왜냐하면 인식은 시간 낭비라고 생각하지 않기 때문이죠.저는 여전히 이 일을 계속해야 한다고 생각하지만, 그보다 한 발 앞서가야 합니다.그보다 한 발 앞서 사람들이 존재하는 위협의 유형, 구체적으로 어떻게 표적으로 삼을 것인지, 사람으로서 어떤 취약점을 가지고 있는지 대비시켜야 합니다. 그리고 거기에 기대어 보세요. 지금처럼 일자리를 찾기가 매우 어렵고 사람들이 일자리를 잃을 까봐 두려워하죠. 특히 기술 분야에서는 말이죠.기술 해고는 미쳐가고 있습니다.장담하건대, 피싱 캠페인에서 해고에 관한 메시지를 보내면 사람들이 클릭할 겁니다.그건 그들이 멍청해서 그런 게 아니에요.이 사람들이 자기 직업을 무서워한다는 거지그들은 이걸 걱정하고 있어요.그리고 이런 유형의 위협들이 가장 성공적이라는 것을 알게 되었습니다.나이지리아 왕자의 시대는 끝났습니다.알다시피 사람들은 여전히 그런 말을 퍼뜨리지만 의도적으로 그 사람을 표적으로 삼을 때 사람들은 겁을 먹고 두 번 생각하고 싶어하지 않습니다.그들은 CÉÓ~를 도우려고 할 뿐입니다. 왜냐하면 그들은 일자리를 잃을 까봐 두려워서 CÉÓ를 무서워하기 때문이죠. 그게 인간의 취약점입니다.누구나 하나씩 가지고 있죠.이 사람은, 나쁜 사람 같아요. 좋은 사람은 아니에요. 이 시점에선 아주 취약하죠.그리고 그 취약점을 인용하거나 인용하지 않고 패치를 적용하려면 C~ÉÓ가 전하는 메시지가 필요할 수도 있습니다.예를 들어, 만약 해고가 있었다면 사람들은 CÉ~Ó의 이야기를 듣고 정직하다는 말을 들어야 합니다.만약 당신이 회사의 20% 를 해고했다면, 당신 회사의 나머지 80% 는 다음 해고를 두려워할 거라고 장담합니다.그럼 그 피싱 취약점은 어디에 있는 걸까요¿이 디지털 소셜 엔지니어링 취약점은 어디에 있는 걸까요¿아마 당신 이름이 당신 이름일 거예요, M~r., Mrs~., Míss~ Céó.왜냐하면 다른 사람에게 메시지를 보내면 말이에요.장담하건대 그들은 살아날 거야그들은 당신의 말을 듣고 싶어하지 않을 거예요. 왜냐하면 그들은 자기 직업이 두렵기 때문이죠. 인간의 본성이니까요.]

[라구 난다쿠마라 33:09]

[네, 네.그래서 제가 여러분과 의견이 다를 것 같은데요, 나이지리아 왕자가 떠났다고 생각하지 않는다는 거예요.왕자는 이제 거대한 언어 모델로 무장하고 있습니다. 이 모델은 매우 표적화되고 개인화된 이메일을 생성할 수 있습니다. 그렇죠. 사실 다른 용도로도 볼 수 있고 진짜이고 속임수라고 생각하게 되죠.하지만 저는 취약성과 인간의 취약성과 대비력에 대해 말씀드리고 싶습니다.그래서 말씀하신 것은 우리가 인지도가 정말 뛰어나다는 거예요, 그렇죠¿저도 동의해요, 그렇죠¿이제 단순한 작업 환경을 넘어섰다는 것을 알 수 있습니다. 이제 거의 유치원에 다닐 때부터 사이버 인식에 대한 교육을 받는 아이들과 거의 비슷하죠. 그렇죠¿그리고 이건 정말 중요하죠.준비에 집중해야 한다고 말씀하셨잖아요.그래서 제가 여러분께 드리는 질문은, 모든 것이 공정하고 사랑스러울 때 하는 거죠, 그렇죠¿~우리는 매우 합리적이고 객관적인 결정을 내릴 수 있습니다.하지만 아시다시피 공격자, 해커, 범죄자들이 표적이 되고 있습니다.이들은 가장 취약할 때 표적으로 삼는 방식으로 표적을 프로파일링했습니다.그렇다면 가장 취약한 상황에 대비하여 국가와 같은 대비를 어떻게 할 수 있을까요¿ 그리고 스스로를 적절하게 보호할 수 있는 방식으로 여전히 행동할 수 있는 방법은 무엇일까요¿]

[에릭 허프만 박사 34:38]

[네, 정말 멋진 질문입니다. 조직이 취해야 할 단계이기 때문입니다.그 중 많은 부분이 자기 성찰에 관한 것이지만, 그 중 많은 부분이 환경에 대한 이해입니다.그래서 환경을 이해하는 데 있어서, 한 번도 가본 적 없는 나라에 간다면 장담하건대, 배낭이 있으면 그 배낭 주위에서 무슨 일이 벌어지고 있는지 훨씬 더 잘 알 수 있을 거예요.여성이든 남성이든 가방이나 일종의 핸드백을 들고 다닌다면 핸드백을 좀 더 꽉 쥐게 될 거라고 장담합니다.하지만 온라인에 접속할 때 주변의 물리적 환경은 변하지 않지만 디지털 환경에서는 남성의 입지가 전혀 없을 수도 있습니다.여러분은 낯선 곳에 있을 수도 있지만 주변의 물리적 환경은 변하지 않기 때문에 사람으로서의 뇌는 생물학적으로 위협을 감지하지 못합니다.위협을 같은 방식으로 보지는 않습니다.특히 일부 조직, 제가 많이 동의하는 많은 조직은 재택근무를 합니다.재택근무를 하면 훨씬 편하죠.따라서 온라인상에서 가장 취약한 상태는 개인으로서 가장 취약한 상태와 신체적으로 가장 취약한 상태가 다릅니다.편하면 해킹에 더 취약한 것처럼 말이죠.마치 물리적 환경에 익숙하다면, 이봐, 배낭을 가져갈 거고, 배낭을 어딘가에 두고 갈 수도 있겠다, 이렇게 될 가능성이 더 크다는 거죠.그리고 다시 가보죠. 오, 젠장, 완전히 잊어버렸어요.하지만 외국에 계시다면 아마 그 배낭을 잊지 않으실 겁니다.하지만 온라인상에서, 디지털을 보면, 편하다면, “이봐, 이거 확인해 볼게.다시 한 번 확인해 볼게요.”왜냐하면 사람으로서 기본값처럼 문어인 경우 기본적으로 읽는 음성은 자신의 목소리이고, 자신의 목소리로 읽고 있기 때문입니다.여러분은 이 모든 메시지와 명령을 친근하고 믿을 수 있는 목소리로 받고 있습니다. 왜냐하면 대부분의 사람들은 자신을 신뢰하고 자신을 좋아하기 때문입니다.메시지를 보낸 사람의 목소리로 읽는 것이 아닙니다. 사랑하는 사람이나 아는 사람의 이름을 보지 않으면 그 사람의 목소리로 읽기 시작합니다.그래서 공격자인 저는 누구든 제가 하고 싶은 말을 하도록 할 수 있어요. 저는 이를 휴먼 팩터 인증이라고 부르기 때문이죠.이름을 보고, 메시지를 보고, 메시지를 신뢰하게 되는 거죠.이런 것들을 확인할 수 있어야 한다는 거 알잖아요.그래서 인식에서 대비로 넘어가기 시작하면서 많은 부분이 환경을 이해하고 자아를 이해하는 데 도움이 됩니다.그리고 자신이 처한 환경을 이해한다면 조금 더 나은, 더 나은 위치에 있는 셈이죠.그리고 자신을 이해하고 자신이 정보를 받는 방식, 사람으로서 가지고 있는 취약점을 이해한다면 더 좋은 위치에 있는 것입니다.이런 일이 얼마나 많이 시작됐는지 사기꾼으로부터 엄마처럼 위장해 보이는 메시지를 받은 게 시작이었어요.그래서, 알다시피, 저는 제 엄마의 목소리를 알아요. 남부 흑인 여성과 남성의 목소리는 제 머릿속에서 가장 친근한 목소리였죠.그래서 제가 그 정보를 받는 걸 보면 엄마의 목소리로 그 정보를 받고 있는 거죠.“아니”라고 말하기는 어렵죠.너도 알다시피, 그런 식이야.ÁÍ가 그걸 가져다가 지금 미친 듯이 뒤집고 있죠.]

[라구 난다쿠마라 38:11]

[네, 물론이죠.사실, 허프만 박사가 이 이야기를 하는 것을 아직 못 들어보신 분들을 위해 말씀드리자면, 저는 여러분이 가서 그의 TÉDx~ 강연 비디오를 보길 권합니다. 가장 훌륭하고 훌륭한 방식으로 들려요.그 링크를 쇼 노트에 넣을게요.그래서 우리가 일종의 준비에 대해 생각할 때, 스트레스와 취약한 상황에서도 대비할 수 있는 것 같아요, 그렇죠¿이 모든 것들은 개발하기 어려운 것들인데, 어떻게 하면 강력한 사이버 대비 프로그램을 구축할 수 있을까요¿]

[에릭 허프만 박사 38:49]

[네, 그렇게 하세요. 정말 두 가지 일을 해야 합니다.위협 평가와 대처 평가를 해야 합니다.저는 모든 사람이 스스로 이 작업을 수행하도록 권장합니다. 고부가가치 목표가 있는 조직에서 모든 조직이 이 작업을 수행해야 한다는 말은 아닙니다.그들과 함께라면 이 일을 할 수 있습니다.위협 평가와 대처 평가를 할 수 있습니다.위협 평가란 무엇일까요¿ 이 특정 개인에게 어떤 취약점이나 위협이 존재하며, 이 특정인에게 어떤 위험이 존재하는지입니다.그리고 대처 평가는 이런 위험이 발생할 경우 어떤 기술을 가지고 어떻게 대응할 것인가입니다.위협을 평가하면서 이런 특정한 위험에 어떻게 대처해야 할까요¿ 라고 묻기만 하면 됩니다.이 특정 사례를 어떻게 처리해야 할까요¿현실적으로 어떤 위협이 존재할까요¿~ 단지 직업뿐만 아니라 존재하는 사람과 자기 자신에게도 어떤 위협이 존재할까요¿따라서 개인적으로 해보면 훨씬 더 현실적이 될 수도 있고, 주변에 존재하는 일부 위협에 대해 좀 더 개인적으로 다가갈 수도 있습니다.그런 다음 이를 바탕으로 대처 평가를 할 수 있습니다.네, 그리고 그 대처 평가는 그 사람이 어떤 기술을 가지고 있는지, 또 주변에 존재하는 이러한 위험에 더 잘 대비하기 위해 어떤 지원 체계가 필요한지를 말하는데요.이 두 가지 평가를 수행하면 대부분의 조직보다 몇 년 앞서 나갈 수 있습니다. 왜냐하면 이러한 것들은 사람들이 트라우마에 직면하거나 치료를 받을 때 해야 하는 심리적인 일이기 때문입니다. 대부분의 심리학자들은 위협 평가를 하라고 말할 것입니다.대처 평가를 통해 자신의 현재 위치를 확인해 보세요. 간단한 예를 들자면, 간단하게 설명해 드리겠습니다.따라서 위협 평가를 한다면 이 문제의 특정 위험을 줄이기 위해 무엇을 할 수 있거나 무엇을 해야 하는가라는 질문을 하게 될 것입니다.어떤 위험이 존재하든 빈칸처럼 입력하세요.이 특정한 위협이나 저 밖에 존재하는 이 특정한 것에 대해 어떤 경험을 하셨나요¿그리고 제가 머릿속에 떠올릴 수 있는 또 다른 질문은, 현존하는 이 특정한 위험에 어떻게 대처하지 않을 수 있느냐는 것입니다.그러면 그 사람과 그 사람이 있는 그대로, 그 사람이 조직 내에서 일하고 있는 것처럼, 조직 내에 존재하는 위험을 포괄적으로 이해할 수 있습니다. 깊이 파고들고 싶거나, 스스로 조치를 취하고 있는지, 또는 위협 평가를 할 때 누군가에게 깊이 있는 질문을 하고 싶을 때 화가 났는지 어떻게 알 수 있을까요¿그리고 화가 났을 때 그 사실을 숨기나요¿~그래서 만약 현실적이라면, 예를 들면, 제가 화가 났는지 어떻게 알 수 있을까요¿보통 저는 주먹이나 손바닥을 움켜쥐고 땀이 나거나 그런 걸 하기 시작하죠.예를 들어, 제가 화가 났을 때 개인적으로 느낄 수 있는 몇 가지 징조들이 있어요.본인이나 다른 사람들한테는 숨기고 있는 건가요¿예, 예, 예.보통은 그냥 참아두는 편인데, 그러니까 스트레스가 심한 시기에는 스트레스를 제대로 드러내지 못하고 스스로에게 숨기고 있는 것 같아요.따라서 위험을 이해하고 그 사람에게 존재하는 위협도 이해한 다음, 동일한 위협에 대한 평가도 있을 수 있습니다. 그리고 그러한 위협이 발생했을 때 그 특정 상황을 어떻게 볼 수 있을까요¿그리고 나서 이를 '~시험 계층 사고'라고 부릅니다.위협이 무엇인가부터 위협에 대해 무엇을 할 수 있을까로 넘어갑니다.어떤 가능성이 있을까요¿이 위협에 대해 달리 어떻게 볼 수 있을까요¿그 위협은 사라지지 않는 것 처럼요이 위협에 대해 달리 어떻게 볼 수 있을까요¿~그리고 그 사람에게 직장에서 직면할 수 있는 상황을 더 잘 평가하고 대처할 수 있는 방법을 알려주는 도구를 제공하는 거죠.그리고 한 가지 예를 들자면, 이 문제에 대한 대응을 어떻게 바꿀 수 있을까요¿제 말은, 문제에 대한 반응을 바꾸는 것은 실제로 그들의 행동을 바꿀 수 있는 도구를 제공하는 셈이 되는 거죠.따라서 사이버 보안 인식과 같은 어떤 일이 발생하는지 알리기 보다는 제가 준비할 수 있도록 준비해 두었습니다.저는 여러분을 위해 현존하는 것들을 보여드리고, 이런 일이 발생했을 때 대비할 수 있는 도구를 제공하고 있습니다.위협이 사라지지 않는다면 위협을 어떻게 바라보는지 이해하고 위협의 상황을 어떻게 바꿀 수 있는지 이해해야 위협에 더 잘 대비할 수 있습니다.따라서 표적 이메일을 받거나, 표적 메시지 또는 표적 전화를 받거나, 특정인으로부터 ÁÍ 딥페이크를 받는 경우, 그러한 것들이 존재한다는 것을 알았을 때 대비하는 것이 좋습니다. 할 수 있는 일은 많습니다.따라서 대처 평가, 위협 평가는 조직의 판도를 바꿀 절대적인 요소가 될 것입니다. 존재하는 위협으로 인해 위협만 선택한다면 무작위로 위협을 선택하지 마십시오.가치가 있는 위협을 선택하세요.모든 사람에게 1000개의 위협이 있는 것처럼 말이죠.모든 일이 일어날 수 있듯, 가치 있는 위협을 선택한다는 것은 누구나 알고 있습니다.가치가 있는 위협을 선택하고 나면 그 사람이 이 위협의 심각도를 이해하도록 도와주세요. 심각도를 보지 못하거나 위협이 실제보다 훨씬 심각하다고 생각할 수도 있고, 위협이 골디락스 영역보다 훨씬 더 심각하다고 생각한다면, 무언가를 클릭하거나 소셜 엔지니어링의 희생자가 되려는 사람의 경우 위협은 그다지 심각하지 않습니다.C~ÉÓ처럼, 그들은 아마 당신을 해고하지 않을 것입니다.여러분이 맡은 일을 무서워할 필요는 없습니다. 하지만 위협이 얼마나 심각한지, 위협이 얼마나 심각한지, 그 다음엔 사이버 보안 전문가들이 가지고 있는 취약점을 인지하면 우리는 항상 그 피해자가 됩니다.저는 기술에 대해 잘 알고 있기 때문에 취약점이 미쳤다고 해서 디지털 소셜 엔지니어링의 희생양이 되지는 않을 것입니다.네, 그럴 수 있을 것 같아요. 기술 문제가 아니기 때문이죠.인간의 문제이고, 그에 따른 혜택도 함께 발생합니다.거기서부터요.그럼 제가 설명한 건 대처 방법이 전부예요.그리고 대처 방법에 추가해야 할 한 가지는 대처 평가를 기반으로 한다는 것입니다. 여러분이 만들고자 하는 것은 자기 효능감을 높이는 것입니다. 왜냐하면 우리가 발견한 것은 세세한 관리를 싫어하는 사람들, 자기 모니터링을 하는 사람들, 아마도 여러분과 저는 미시적 관리를 싫어하는 사람들입니다.저는 스스로 의욕이 넘칩니다.이랬을 필요 없어요, 이봐요.우리는 다른 사람에게 의존하는 사람들보다 소셜 엔지니어링의 희생양이 훨씬 더 심해요.밖에 나가면 저 혼자 밖에 있으니까요. 그냥 제 일을 하게 놔두세요.저는 괜찮아요. 그래서 제 자신에게 의지하고 있어요.저는 더 고립됐어요.그리고 저는 더 고립되어 있기 때문에 스스로 결정을 내려야 할 거예요.그러니까 소셜 엔지니어링이란, 소셜 엔지니어와 위협 행위자를 일대일로 받아들이는 거죠.그러니까 사회공학적 시도에 희생양이 될 가능성이 더 커지죠. 저처럼 대처 평가를 통해 말이죠.그 이후에 얻게 될 것은 지각된 통제입니다.상황을 통제할 수 있나요¿통제력이 있다고 생각하고 이 모든 것을 하나로 합쳐서 그 사람에게 위협에 대한 통제권을 주면 그들은 더 이상 보안팀을 “이봐, 네가 내가 저지르는 모든 실수로부터 나를 구해줄 수 있을 거야.” 라고 생각하지 않게 되죠.당신을 모든 실수로부터 구할 수는 없어요. 왜냐하면 당신이 위협 행위자에 합류해서 그들에게 왕국의 열쇠를 주면 당신을 구하기 위해 제가 할 수 있는 일은 아무것도 없으니까요.통제력이 느껴졌으니 이제 상황을 정확히 통제할 수 있게 된 거죠.왜냐하면 지금으로서는 사용자로서 통제력이 있다고 생각되면 보안팀이 저를 구해준다면, 스팸 필터가 저를 구해줄 수 있을까요¿~우리에겐 이런 모든 보안 도구가 있습니다. 소셜 엔지니어링에 대해서는 걱정할 필요가 없어요.네, 맞아요.당신이 상황을 통제할 수 있다고 생각하는 것은 당신이 통제할 수 없다는 것입니다. 장담하건대, 당신에게는 통제력이 있습니다.죄송합니다. 그건 장황한 대답이었어요.정말 열정이 넘쳐요.]

[라구 난다쿠마라 47:09]

[아니요, 마음에 들어요.정말 좋은 답변인 것 같아요.이게 정말 중요하다고 생각해요. 다시 한 번 요약하고 싶거든요, 그렇죠¿인식에서 대비로의 전환이죠, 그렇죠¿인식은 훌륭하지만 그 인식에 따라 행동할 준비가 되어 있지 않으면 기본적으로 무용지물입니다.그리고 제 생각엔 당신이 요약을 하고 나서 우리가 더 나은 대비를 할 수 있게 해주는 길들을 알려주는 것 같아요.]

[에릭 허프만 박사 47:35]

[그래요, 정확히 말하자면, 운전할 때 교통사고가 발생할 때 대비하는 것은 안전벨트를 매는 것과 같기 때문이죠. 그리고 운전할 때는 대부분의 사람들, 모두가 사고에 대비해야 한다고 생각하기 때문이죠.분명히 안전벨트를 착용하고 싶으실 겁니다. 무슨 일이 생길 경우를 대비해서 안전벨트를 착용하고 싶으실 겁니다.그리고 자동차 산업도 이에 대비하기 위해 에어백과 이런 모든 것들을 갖추고 있습니다.자동차는 무슨 일이 생겼을 때 더 안전하도록 설계되었죠. 안전벨트를 매면 무슨 일이 생기더라도 대비할 수 있죠.우리는 그것이 가능하기를 바라지만, 여러분은 이에 대비할 준비가 되어 있습니다.그리고 지금은 안전 벨트가 없어요.우리에겐 사이버 보안 안전벨트가 없어요.우리는 단지 수많은 비디오를 가지고 있고 무슨 일이 일어날 수 있는지에 대한 인식이 넘쳐납니다. 그리고 후반에 우리가 선천적으로 한 일은 심리적으로, 우리가 준비했어야 할 모든 사람들을 겁먹게 만들었죠.네, 모두가 존재하는 이 위협에 대해 두려워하고 있습니다. 하지만 비즈니스 속도가 느려지지 않을 것이기 때문에 이에 대비해야 합니다.“인터넷이 사라지세요”라고 말할 수는 없습니다.그런 일이 일어나지 않는 건 너무 위험해요현실적이지 않아요.그래서 우리는 의심할 여지 없이 여러분이 살아야 할 환경에 대비해야 하고 자동차와 마찬가지로 운전해야 할 환경에 대비해야 합니다.더 안전한 방법으로 출근할 수 있습니다. 하지만 대부분의 경우, 일을 계속하고 싶다면 적절한 시간에 자전거를 작동시키기 위해 자정에 자전거 페달을 밟고 싶지 않을 것입니다. 잠재적 교통사고에 대비해야 할 것입니다.그런 일이 일어나지 않기를 바랍니다.하지만 혹시라도 그런 위협에 직면하게 되더라도 안전벨트를 착용하세요. 그래야 괜찮을 거예요.따라서 장비가 매우 잘 갖춰진 위협 행위자를 마주하게 된다면, 특히 ÁÍ와 딥페이크가 모두를 위해 출시되고 있는 지금, 이에 대해 자세히 말씀드릴 수 있습니다. 모두에게 닥칠 것처럼, 사람으로서 직면하게 될 위협의 유형에 더 잘 대비해야 합니다.코딩처럼 직접 다루거나 위협 행위자와 코드를 작성하면서 잃게 될 수도 있는 상황은 포함되지 않습니다.하지만 대비할 수 있고 심리적으로 대비할 수 있다면 위협이 너무 멀리 가지 않도록 막을 수 있습니다.상대방이 당신을 사람으로서 착취하는 것을 막을 수 있습니다.왜냐하면 지금 문제의 90% 는 그냥 그런 게 아니니까요.인간은 가장 약한 고리입니다.그건 사실이 아니에요.저는 인간으로서 우리가 가장 취약한 존재라고 생각합니다.우리가 가진 취약점이 가장 많을 뿐이죠.우리가 가장 약한 고리는 아니에요.우리 스스로 많은 위협을 차단하고 있지만, 기술이 막아낼 수 없는 독특한 취약점이 엄청나게 많습니다.바로 그거예요.]

[라구 난다쿠마라 50:17]

[매혹적인.안전벨트 비유가 마음에 들어요.사실 괜찮으시다면 어떤 건지 알아볼게요. 말씀하셨듯이 안전벨트를 착용하는 이유, 자동차에 다양한 안전 기능이 있는 이유는 사고가 났을 때 최대한 안전하기를 원하기 때문이죠, 그렇죠¿이에 대해 제로 트러스트 전략, 제로 트러스트 접근 방식이 있다고 생각하시나요¿ 그리고 앞서 말씀드린 것처럼 공격이 불가피하다는 얘기도 하셨죠¿공격자는 성공할 수 있는 방법을 찾을 것입니다. 그 시나리오에서 모든 교통 사고를 완전히 없앨 수는 없겠죠.제로 트러스트 전략을 채택하는 것이 자동차에 이러한 안전 기능을 탑재하는 것과 비슷하다고 생각하시나요¿~이를 통해 조직은 피할 수 없는 사이버 공격에 가장 잘 대비할 수 있습니다.]

[에릭 허프만 박사 51:10]

[확실히 그렇게 생각해요.그래서 만약 여러분의 조직이, 우리가 지금까지 이야기한 것처럼 사람들이 글을 읽거나 사람들 또는 다른 단체들과 온라인에서 상호작용할 때 제로 트러스트 행동을 형성하려고 한다면, 그리고 조직으로서 제로 트러스트 인프라를 구축한다면, 이것이 조직에 가장 적합한 시나리오입니다.신뢰도 아니고 검증하는 것도 중요하죠.검증이에요.우리가 말하기 시작했으니까요. 믿으세요, 하지만 검증하세요.믿을 수 있어요. 하지만 그게 사실인지 확인해 보세요.아니, 전혀 믿지 마세요.알다시피, 그냥 모든 걸 확인하고 확인하세요.왜냐하면 처음부터 제로 트러스트가 되기 때문이죠.이 제품은 제품이 아닙니다.이는 조직 전체가 따라야 하는 사고방식 또는 개념입니다.그냥 물건을 사면서 “이봐, 우린 이제 제로 트러스트야.” 라고 말할 수는 없습니다.다양한 행동을 구현해야 합니다.그래서 어떤 분들께는 완전한 제로 트러스트가 아니라고 주장하고 싶습니다. 비록 기술적인 관점에서 봤더라도 사람들을 보고 제로 트러스트가 될 수 있는 권한을 부여하지 않았다면 말이죠.따라서 만약 당신이 조직으로서 당신의 행동에 대해 그들이 질문할 수 없을 정도로 권위적인 태도를 보인다면, 당신에게서 오는 어떤 것이든 선천적으로 믿으라고 말하는 것입니다.그건 제로 트러스트가 아니에요.그래서 저는 둘 중 하나가 반드시 일어나야 한다고 생각합니다. 마치 조직으로서 제로 트러스트처럼 행동해야 하고, 기술적 관점에서 볼 때 조직으로서 제로 트러스트가 되어야 한다는 거죠.]

[라구 난다쿠마라 52:43]

[네, 물론이죠.제 생각엔 딱 맞는 것 같아요.자, 그럼 이제 넘어가죠.그리고 우리는 여기저기서 ÁÍ에 발을 담갔어요. 바로 이 대화 과정에서 말이죠.자, 제가 말씀드린 모든 내용으로 인해 사이버 심리학에서 이 문제의 근원으로 돌아가 보겠습니다.그럼 이제 ÁÍ~가 현실이라는 사실을 다시 한 번 강조해 보죠¿우리는 매일 업무에 활용하죠, 그렇죠¿우리 삶에서 말이죠.하지만 이걸 심리학적 관점에서 생각해보면, 이건 정말 작업에 큰 영향을 미칩니다. 왜냐하면 지금은 소설과 현실을 구분하는 능력처럼 정말 어렵기 때문이죠, 그렇죠¿네, 난이도가 크게 올라갔을 뿐이죠.그럼, 그게 당신 분야에서 어떻게 작용할까요¿~]

[에릭 허프만 박사 53:37]

[오, 몇 년 동안 작업한 것들이 많이 걸렸는데 그게 산산조각이 났어요.아니, 농담은 다 제쳐두고.복잡성이 너무 커지죠.왜냐하면 제가 인간의 이야기를 들으면서 자기 목소리를 읽는다고 하면 바로 그런 일이 벌어지기 때문이죠.예를 들어, 영화를 보고, 책을 읽고, 정말 좋은 책을 보고, 영화를 보면 항상 실망하게 됩니다. 왜냐하면 모두가 틀리고, 모두가 틀린 것처럼 보이기 때문이죠. 그리고 그 영화를 만든 사람이 그 책을 쓴 사람 중 한 명이고, 그들이 틀렸다고 말하는 거예요. 왜냐하면 건물을 지을 때, 읽을 때, 이 캐릭터를 머리 속에 쌓아 올리면 그들의 목소리로 읽기 시작하면 그걸 표준으로 받아들이게 됩니다.인공지능에 관해서라면, 이제 여러분이 하는 모든 정신적 노력을 덜고 버릴 수 있습니다.저는 여러분이 보고 싶은 것을 보게 할 수 있고, 제가 듣고 싶은 것을 제가 듣고 싶은 방식으로 여러분도 듣게 할 수 있습니다.예전에는 밈이 위협 공격으로 전송된 적이 없었던 것도 그 때문이었죠.보니까 밈을 보내지 않는 것처럼 말이죠. 보니까 모든 생물학적 방어 장치가 작동하고 나면 그냥, 아니, 그건 진짜가 아니죠.하지만 이제 인공지능이 되어서 좋아요를 누를 수 있게 되었죠. 좋아요의 원리도 말이에요.매력적인 남자든 여자든 누구든 보여드릴 수 있어요. 그러면 그런 정보를 받을 가능성이 더 커지죠.당신의 CÉÓ가 그들의 목소리로 그들이 하는 일과 내가 원하는 일을 하라고 말하는 비디오를 볼 수 있는데, 그러면 당신은 그것을 받을 가능성이 더 커집니다.저도 당신처럼 딥 페이크 포즈를 취해서 다른 사람에게 보낼 수 있어요. 그러면 그 사람들이 그걸 받을 가능성이 더 커요.낯선 사람이 누군가를 바라볼 때 위험을 감수할 수 있는 생물학적 방어 장치가 필요합니다. 그리고 우리가 계속 진화함에 따라 인공지능의 목표는 사람이 알아차릴 수 없도록 하는 것이기 때문입니다.보안의 관점에서 보자면, 제가 알 수 있을 정도로 가짜여야 한다는 거죠.그리고 지금은 상황이 너무 좋아지고 있는데 구분하기 어렵습니다. 마치 C~FÓ가 다른 CF~Ó에게 딥 페이크 (Déé~p fák~é) 를 통해 송금한 것처럼 말이죠. 다른 CFÓ~들이 전화로 그렇게 말하는 걸 들었기 때문이죠.그런 일은 이미 일어났습니다.그리고 ÁÍ는 지금 그다지 훌륭하지도 않아요.아직 대사관에 있어요.하지만 노래가 정말, 정말 좋아지면 우리가 그 노래를 볼 때 가지고 있는 생물학적 방어 체계가 깨질 거예요. 왜냐하면 이제 읽은 것을 믿을 수 없고, 만질 수 없고, 보이는 것을 믿을 수 없게 되고, 들은 것을 믿을 수 없기 때문이죠.그 무렵에는 제로 트러스트가 되는 게 좋을 거예요. 밖이 너무 무서워질 테니까요.]

[라구 난다쿠마라 56:32]

[그리고 제 생각에는 모든 준비와 관련된 부분들이 갑자기 원점으로 돌아왔다고 생각합니다. 네, 맞아요. 완전히 재설정하고 다시 시작해야 한다는 거죠.]

[에릭 허프만 박사 56:44]

[분명히 말하자면, 위협 행위자들, 우리가 이전에 구축한 모든 것들과 마찬가지로 위협 행위자들이 우리를 상대로 그것을 사용할 수 있는 훌륭한 방법을 찾았기 때문입니다.마찬가지로 암호화는 보안 도구로 설계되었고, 정보의 기밀을 유지하도록 설계되었기 때문에 보안 도구입니다.위협 행위자들이 무슨 짓을 했는지, 그걸 가져다가 랜섬웨어를 만들었죠. 그리고 그들은 이렇게 말했습니다. “이봐, 우리는 암호화를 사용할 것이고, 우리는 당신의 데이터를 암호화할 것이고, 우리는 당신이 당신의 데이터를 다시 사게 할 것입니다.그래서 ÁÍ와 관련해서는 아직도 일부 ÁÍ~ 공격이 일어나기 시작했습니다.하지만 위협 행위자들이 ÁÍ를 이해하고 이를 인간 행동에 활용하는 방법을 이해하기 시작하면서 디지털 소셜 엔지니어링에 있어서는 엄청난 영향을 미칠 것입니다.이봐요, 이제 제가 보고 싶은 것을 이 사람에게 보여주고 제가 듣고 싶은 것을 듣게 할 수 있어요. 어떻게 해야 할까요¿이걸 어떻게 제 개인적인 이익을 위해 활용할 수 있을까요¿~조직들은 이미 다양한 광고와 마케팅 캠페인을 통해 개인적인 이익을 위해 이를 활용하려고 노력하고 있기 때문입니다.위협 행위자는 이를 우리에게 불리하게 이용하기 시작할 것입니다. 제가 사람들의 영향력 원칙을 노릴 수 있기 때문이죠. 여러분은 Zóóm~ 통화에 참여하거나, 어떤 종류의 영상 통화를 하고 누구든 딥페이크 버전의 대화를 할 수 있기 때문입니다.진짜인 것처럼 느껴지고 흥분하기도 하지만 실제로는 그렇지 않습니다.마치, 이봐, 그게 무엇이든, 가짜 마크, 가짜 판매 전화일 수 있고, 사람들이 그런 일에 맞서기 위해 준비해야 하는 것은 무엇이든 가짜일 수 있습니다. 심지어 지금 전화 통화를 통해 음성으로 딥페이크를 하는 것까지 말이죠. 예를 들어, 제가 전화를 걸고 그 사람에게 전화를 걸기 전에 믿을 수 있다고 생각하는 사람과 대화를 할 수 있을까요¿그게 답인가요¿제가 전화를 받고 그 사람에게 전화할게요.이봐, 알다시피, 수잔, 이거 맞아¿그래, 확실해¿~내 생각엔, 그래, 나한테 전화하는 것 같아.그럼, 아, 그래, 내가 전화했잖아.그러니까, 그 얘기가 나오면 정말, 디지털 소셜 엔지니어링의 판도를 바꿀 거예요.이미 조금씩 보이기 시작한 것 같아요. 제 생각에는 앞으로 5년 동안 성층권으로 급성장하게 될 것 같아요.]

[라구 난다쿠마라 59:06]

[제 생각엔 전화를 통한 그런 비물리적인 상호작용도 거의 다 된 것 같아요. 신원을 확인하기 위해 다양한 방법을 사용할 수 있는 방법을 찾아야 할 정도죠. 그렇죠¿우리도 똑같은 말을 해야 할 거예요. “안녕하세요, 저는 허프만 박사예요.확인해 주실 수 있나요¿얼굴, 신분증 등 어떤 것으로든 “신원 확인”을 해주실 수 있나요¿ 그러면 나머지 대화를 나누기 전에 제가 당신과 대화하고 있다는 것을 확인할 수 있을까요¿~그래서 제 생각에 우리가 준비태세와 심지어 인식에 접근하는 전체 방식이 앞으로 몇 년 동안 아주 많이 바뀔 것이라고 생각합니다.제 생각에, 제 생각에 여러분은 이 분야의 최첨단에 서 있는 것이 맞다고 생각합니다. 우리는 아직 그 대비가 어떤 모습일지 생각해낼 수 있는 초기 단계에 머물러 있음에 틀림없습니다.]

[에릭 허프만 박사 59:58]

[네, 물론이죠.아직 충분히 자세히 살펴본 것 같지 않아요.우리는 깨달음에 많은 시간을 할애했습니다.제 생각에는 대부분의 사람들이 심리적 위협에 대해 이야기하기 시작할 때 기술적인 것 외에 대비부터 시작했다는 생각도 들지 않습니다.제가 몇몇 단체와 함께 일해봤는데 그들도 똑같은 질문을 했어요. “이봐, 전화하기 전에 본인 확인좀 해줄래¿예를 들어, 어떻게 해야 할까요¿”제가 그랬어요. 만약 여러분이 알고 계신다면, 이건 아주 비밀스럽고 매우 중요한 무언가가 있다면, 예를 들어, 소가 달 위로 뛰어오를 때 배가 아프다는 암호문 같은 것을 가질 수 있습니다. 예를 들어, 딥페이크가 아직 가까이 접근하지 않은 것, 위조할 수 없는 것, 그 비밀이 기밀이라면, 필요한 것이 있을지도 모릅니다. 그렇게 멀리 가보자면, 만약 여러분이 걱정된다면, 이봐, 어떤 사람이나 어떤 조직이 정말로, 정말로, 정말로 이런 식으로 당신을 표적으로 삼고 있는데 당신은 그것을 해낼 수 없으니까요.멀리.보컬 딥 페이크는 이제 20초 미만으로 줄어들었기 때문에 그렇게 멀리 가야 할 수도 있습니다. 20초 분량의 보컬 데이터는 딥페이크를 잘 들리도록 훈련시킬 것입니다.알다시피, 우리는 항상 음악을 들으니까요.마치 뮤지션들이 더 이상 죽지 않는 것 같아요.마치 엘비스 음반을 새로 낼 수 있는 것 같네요새 마이클 잭슨, 프랑스 투팍을 살 수 있어요. 좋은 것 같아요.사람들이 지금 음악을 발표하고 있는데 사람들은, 다른 사람들은 마치 ÁÍ~처럼 들리지만 사실 그들의 새 노래에 나오는 아티스트들만 그렇습니다.사람이에요. 아티스트가 노래를 들고 나오면 그건 제가 아니라 ÁÍ인 것 같아요.그리고 그것이 좋아지고 다른 사람들, 유명인이나 잘 알지도 못하는 사람들을 대상으로 훈련하기 시작하면 음성 데이터조차 신뢰하기 어려워질 것이고 곧 온라인에서 보는 것조차 신뢰하기 어려워질 것입니다. 그래서 제로 트러스트는 사람들의 심리적 관점에서도 이루어져야 할 것입니다.그렇지 않으면 90% 가 90% 에 머물고 계속 정체 상태를 유지할 것입니다. 그렇지 않으면 위협 행위자들은 가장 취약한 것을 노릴 것입니다. 예를 들어, 자격 증명을 알려줄 수 있다면 무엇을 할 수 있든 상관 없습니다.당신이 뭘 할 수 있는지는 전혀 중요하지 않아요.물론이죠.]

[라구 난다쿠마라 1:02:24]

[아티스트에 대해 말씀드리자면, 오토튠이 도입된 이래로 진짜 아티스트의 말을 듣고 있는지 아닌지는 알 수 없지만, 당신은 우리가 보는 것을 믿을 수 없다고 말씀하셨잖아요.]

[닥터 허프만 타임스탬프]

[ÁÍ와 딥 페이크가 공격하기 시작하면서 위협 행위자들이 이러한 것들 중 일부를 우리를 상대로 사용하기 시작합니다.분명히 말씀드릴 수는 없지만 사진 필터를 적용하기 시작하면 상황이 더 나빠졌습니다. 예, 여기에 필터를 추가하기 시작하죠.마치, 이봐, 진짜 우리 인공지능인 것 같아. 하지만 우리는 모든 사람을 걸러냈어.네, 사람들이 알 수 없으니까 훨씬 더 심해졌어요.그리고 이건 아직 초기 단계입니다.세상에는 나쁜 인공지능이 있습니다. 왜냐하면 많은 사람들이 손가락처럼 보이기 때문이죠. 아시다시피, 한 손에는 일곱 개의 여덟 개의 손가락이 있어서 그걸 나눠줄 수 있거든요.하지만 현존하는 좋은 것들과 현대의 것들은 점점 좋아지기 시작했습니다. 예를 들어 손에 손가락이 다섯 개밖에 없는 것처럼 말이죠. 팔다리가 여분하게 나온다거나 그런 것보다는 말이죠.이것이 바로 우리가 보안 전문가를 포함한 공공 기관으로서 어떻게 해야 하는지를 알려주는 것일 뿐인데, 그 차이를 구분할 수 있을까요¿그리고 지금은 어떤지, 위협 행위자들의 모습은 어떠한지 그 차이를 구분할 수 없으니까요.우리는 이것이 취약점이라는 것을 알고 있습니다. 그냥 보기만 해도 음성 데이터가 지금 비디오가 있다는 것을 알 수 없습니다. 현재 존재하는 Á~Í 비디오에 대한 최신 연구입니다. 현재 30% 35% 정도이고 아직 데이터 포화도에 가까워지지 않았습니다. 하지만 여전히 동전 던지기보다는 적기 때문에 차이를 구분할 수 없습니다.일반인으로서 그 차이를 알 수 있다면 제가 찾고 있던 숫자는 70% 이상이라는 것을 알 수 있습니다. 왜냐하면 그것은 동전 던지기 이상이기 때문입니다.실제로 동전보다 훨씬 크다는 것을 알 수 있습니다. 그 차이는 동전 던지기보다 작으며, 컴퓨터로 조작된 것과 진짜를 구분할 수 없는 것은 동전 던지기보다 훨씬 작다는 것을 알 수 있습니다.]

[라구 난다쿠마라 타임스탬프]

[제 말은, 허프만 박사님, 우리가 여기서 오랫동안 녹음했다는 거 알아요저는 많은 시간을 할애해 왔지만, 당신이 말한 그 요점에 대해 많은 희망을 품고 있지는 않습니다. 이미 오늘날에도 우리가 이미지를 보고, 소리를 듣고, 그것이 가짜인지 진짜인지 정확하게 판별할 수 있는 확률은 동전 던지기에 비해 현저히 낮다는 것입니다.그리고 이러한 ÁÍ 모델에 더 많은 데이터를 제공하면 되겠죠¿점점 더 좋아질 거예요.그러니까, 여러분의 메시지를 그대로 받아들이듯이, 우리는 잠재적으로 우리가 인식을 표현하는 방법을 다시 생각해 보아야 합니다.우리는 우리 자신을 어떻게 만들어가는지 꼭 다시 생각해야 합니다.사이버 공격의 피해자가 되는 당사자가 개인이든 조직으로든 이에 대응하는 방식에 더 잘 대비해야 합니다.하지만 여기서 말씀하신 요점은 우리가 정말 같은 생각을 해야 한다는 점인 것 같아요. 하지만 반드시 인간의 감정을 배제할 수는 없겠죠, 그렇죠¿~이러한 상황에서 우리가 어떻게 대응하는지는 우리가 서로를 준비시키는 데 매우 중요합니다. 그리고 그것이 우리가 집단적으로 사이버 사고 관리를 더 잘할 수 있는 유일한 방법입니다.]

[에릭 허프만 박사 타임스탬프]

[확실히, 희망이 모두 사라진 것은 아니라고 말하고 싶습니다.모든 것 때문에 앞으로 많은 발전이 이루어져야 할 것 같아요.연구를 하면서 제가 자랑스럽게 생각하는 한 가지는 우리가 아무것도 팔지 않는다는 것입니다.그리고 거기에 해결책이 있습니다.90% 가 아니어도 이 문제를 해결할 수 있는 심리적인 방법들이 있습니다.90% 를 70% 로 줄이면 사이버 범죄자들로부터 수천억 달러를 빼앗은 셈입니다.그렇다면 기술이 문제가 아니라는 것을 이해한다고 해서, 이봐, 우리가 새로운 것을 혁신해야 한다는 뜻은 아니겠지.단지 우리가 훈련하는 방식을 바꿔야 한다는 것뿐이죠.사고방식을 바꿔야 합니다.우리는 환경에 대해 좀 더 이해하고, 여러분이 직접 대면하는 것보다 온라인에서 심리적으로 얼마나 취약한지 이해해야 합니다.예를 들어, 신용 카드 정보를 직접 알려준 사람도 없고 은행 계좌 정보를 알려준 사람도 없습니다.그냥 그런 일은 일어나지 않아요.온라인으로 하는데, 음, 절대 그러지 않을 것 같았어요.예를 들어, 우리는 교통체증 때문에 모두가 운전을 싫어하지만 운전을 잘하는 사람은 없습니다.만약 당신이 그들에게, 네, 네, 이렇게 물으면, 누구에게나 다가갈 수 있는 방법이 있다고 생각할 거예요.따라서 우리는 이 문제를 확실히 고칠 수 있고, 이 문제를 해결할 수 있습니다. 그리고 그것은 완전히 무료로, 완전히 자유롭게 할 수 있습니다.]

[라구 난다쿠마라 타임스탬프]

[물론이죠.그게 바로 아름다움인 것 같아요.그래서, 허프만 박사님, 팟캐스트에 출연하게 되어 정말 기뻤고 교육도 많이 받았어요.준비할 때는 알아요.당신이 윌 스미스의 열렬한 팬이라는 걸 알아요. 여러분과 저 둘 다 프레시 프린스 오브 벨 에어의 열렬한 팬이에요.Frés~h Prí~ñcé가 전하는 일종의 교훈을 사이버에 접목할 계획이었는데, 다음 팟캐스트에 출연하실 때를 위해 남겨두도록 하겠습니다.하지만 정말 고마워요.허프만 박사]

[에릭 허프만 박사 타임스탬프]

[전혀 문제 없어요.전혀 문제 없어요.정말 고마워요.사랑해.고마워요.정말 환상적이에요.]

[라구 난다쿠마라 타임스탬프]

[이번 주 Thé S~égmé~ñt 에피소드를 시청해 주셔서 감사합니다.더 많은 정보와 제로 트러스트 리소스를 보려면 당사 웹 사이트 íl~lúmí~ó.cóm~을 참조하십시오.Líñk~édÍñ~과 Twít~tér Í~llúm~íó를 통해서도 저희와 연락하실 수 있습니다. 오늘의 대화가 마음에 드신다면 팟캐스트를 어디서 구하든지 저희의 다른 에피소드들을 찾아보실 수 있습니다.제가 호스트 라구 난다쿠마라입니다. 곧 다시 찾아뵙겠습니다.]

‍