[신뢰와 탄력성 — 사이버 보안의 새로운 최전선]

[라구]

[사이버 범죄자들은 신뢰를 바탕으로 성장합니다.경영진을 속이는 딥페이크이든, 직원을 속이는 소셜 엔지니어링이든, 두려움을 악용한 랜섬웨어 협상이든 상관 없습니다.그러나 조직이 보안에 투자하더라도 보안 침해는 피할 수 없습니다.진짜 문제는 복구할 수 있느냐는 것입니다.진정한 사이버 보안 레질리언스는 단순히 공격을 방지하는 데 그치는 것이 아니라 조직이 공격을 견뎌내고 반격할 수 있도록 하는 것입니다.]

[[콜드 오픈]]

[(SFX: 긴급 뉴스 게시판 소리, 키보드로 타이핑하는 소리, 배경에서 희미하게 재생되는 긴장된 전화 통화.)]

[라구]

[상상해 보세요. 여러분은 글로벌 기업의 CFÓ입니다.C~ÉÓ로부터 전화가 옵니다. 그의 목소리와 절박함, 틀림없이 말이죠.긴급한 전신 송금이 필요합니다.일상적인 일이죠, 그렇죠¿단, 당신 C~ÉÓ는 그런 전화를 한 적이 없어요.딥페이크였어요.신뢰를 악용하도록 설계된 완벽하게 복제된 목소리. 바로 그 결과 수백만 명이 사라지죠.]

[(SFX: 클릭하십시오.침묵.느린 비트가 흐려집니다.)]

[라구]

[이곳은 새로운 사이버 전장입니다.신뢰는 우리의 비즈니스, 관계, 디지털 세계에 활력을 불어넣지만, 우리의 가장 큰 취약점이기도 합니다.이러한 신뢰가 악용될 때 생존과 재앙을 가르는 유일한 것은 회복력입니다.]

[시즌 3에 오신 것을 환영합니다 세그먼트: 제로 트러스트 리더십 팟캐스트. 제가 호스트입니다, 라구 난다쿠마라.이번 시즌에서는 사이버 범죄자들이 신뢰를 무기화하는 방법, 회복탄력성이 단순한 예방에 그치지 않는 이유, 인간 심리학이 사이버 보안에서 가장 많이 악용되는 요소 등 신뢰, 회복력, 인간 행동의 교차점에 대해 알아보겠습니다.]

[(SFX: 어조 전환, 낙관적이지만 진지함.)]

[[세그먼트 1: 트러스트 익스플로잇]]

[(SFX: 오디오가 약간 왜곡되고 그 뒤에 자신감 넘치는 목소리가 나옵니다.)]

[라구]

[사이버 범죄는 항상 정교한 해킹에 관한 것이 아닙니다. 종종 조작에 관한 것입니다.이는 신뢰를 악용하는 것에서 시작됩니다.]

[브렛 존슨]

[“진실이 무엇인지는 중요하지 않습니다.제가 뭘 설득할 수 있는지가 중요해요.이제 그 어느 때보다 더 잘 알 수 있습니다.”]

[라구]

[바로 그 진술이 오늘날 사이버 범죄의 근간입니다.브렛 존슨보다 이 사실을 더 잘 이해하는 사람은 없습니다.한때 악명 높은 사이버 범죄자이자 Shád~ówCr~éw의 주모자였던 브렛은 현대 사이버 범죄를 창안하는 데 일조했습니다.현재 그는 한때 자신이 꾸민 바로 그 계략을 막기 위해 노력하고 있습니다.]

[(SFX: 슬로우 페이드 — 녹음된 대화의 시작)]

[브렛 존슨]

[“온라인 공격을 생각해보면 왜 그런 일이 일어나는지에 대한 동기는 세 가지뿐입니다.지위, 현금 또는 이데올로기가 문제죠.지위 — 저는 범죄 동료들에게 깊은 인상을 남기려고 해요.현금 — 돈을 벌려고 해요.아니면 네가 날 화나게 해서 내가 너를 잡으려고 하는 거지.”]

[라구]

[이것은 단지 돈을 훔치는 것에 관한 것이 아닙니다.허위 정보, 딥페이크, 사이버 전쟁 등 그 핵심에는 모두 한 가지, 즉 신뢰를 악용합니다.]

[(SFX: 키보드 입력, 원격 알림 소리.)]

[라구]

[그게 비결이지, 안 그래¿사이버 범죄자는 단순히 사람들을 설득하여 침입시키기만 하면 보안 시스템을 뚫을 필요가 없습니다.기술은 방정식의 일부분이지만, 진짜 약점은 인간 행동입니다.]

[Érík~ Húff~máñ 박사는 인간 행동이 사이버 보안에 미치는 영향을 연구하는 사이버 심리학자입니다.그의 연구는 사람들이 사기에 빠지는 이유, 공격자가 신뢰를 조작하는 방법, 조직이 계속해서 같은 보안 실수를 저지르는 이유에 초점을 맞추고 있습니다.]

[에릭 허프만 박사]

[“스스로 파악한 300명 이상의 해커 그룹을 뽑았습니다. 이들 중 93% 는 기술을 시작하기 전에 인간부터 시작한다고 답했습니다.”]

[[세그먼트 2: 조직 내부의 신뢰]]

[라구]

[신뢰는 공격자가 외부에서만 악용하는 것이 아니라 내부적으로도 잘못 사용될 수 있습니다.이러한 상황이 발생하면 조직은 내부로부터 취약한 상태로 남게 됩니다.]

[Kéll~éý Mí~sátá~ 박사는 임무 중심 조직과 수년간 협력하여 조직이 보안을 DÑÁ에 접목하도록 지원해 왔습니다.그녀는 조직이 사이버 위협에 대한 복원력을 구축할 수 있도록 지원하는 데 전념하는 비영리 단체인 S~íght~líñé~ Sécú~rítý~의 설립자이자 CÉÓ입니다.]

[켈리 미사타 박사]

[“보안에서 가장 어려운 것 중 하나는 사람입니다.따라서 보안 인식 교육에 대해 이야기할 때는 시스템에 대한 인식 교육을 말하는 것이 아니라 사람을 말하는 것입니다.”]

[라구]

[보안은 단순히 방화벽과 위협 탐지에 관한 것이 아니라 조직 내 문화에 관한 것입니다.직원들이 일상적인 의사 결정에서 보안을 어떻게 이해하고 접근하는지에 관한 것입니다.하지만 보안을 중시하는 문화를 구축하는 것은 어려운 일입니다. 특히 기술이 인식보다 빠르게 발전할 때는 더욱 그렇습니다.]

[켈리 미사타 박사]

[“우리는 매일 이 기술을 통합하고 상호 작용하고 있습니다. 그렇죠¿예를 들어 우리가 어떻게 하면 안전을 유지할 수 있을지에 대해 그렇게 포기하고 기술을 채택했을 때가 떠오릅니다.제가 꿈꾸는 상황은 우리가 항상 '내가 이걸 해야 할까¿ '~하는 생각을 하는 거예요.제 행동이 어떤 영향을 미치나요¿새로운 소프트웨어를 접할 때 어떤 영향을 미치나요¿제가 조직에 미치는 영향은 무엇인가요¿ '~”]

[라구]

[이것이 바로 조직이 이루어야 할 변화입니다.보안은 단순한 ÍT 문제가 아니라 사고방식입니다.보안을 업무 방식에 포함시켜 일상적인 의사 결정의 일부로 삼는 것이지 사후 검토만 하는 것이 아닙니다.]

[켈리 미사타 박사]

[“문화적 차원으로 내려가야 한다고 생각합니다... '훈련을 해보자'라는 특별한 틀에서 벗어나 대신 '우리가 이러한 시스템과 장치를 어떻게 사용하고 있는지 이야기해 보자'~고 만들면 우리는 어딘가에 도달하기 시작합니다.직원들이 일상적인 의사 결정에서 보안을 어떻게 이해하고 접근하는지에 관한 것입니다.”]

[[세그먼트 3: 비즈니스로서의 사이버 범죄]]

[(SFX: 잘 들리지 않는 전화 통화, 멀리서 외국어로 말하는 목소리.클릭.지불을 요구하는 왜곡된 목소리.)]

[라구]

[사이버 범죄는 단순한 무작위 공격이 아니라 하나의 산업입니다.그 정도면 수십억 달러 규모죠.]

[브라이언 보티그보다 사이버 범죄의 구조를 더 잘 이해하는 사람은 거의 없습니다.전직 FBÍ 부국장으로서 그는 수년간 사이버 범죄자를 최고 수준으로 추적했습니다.]

[브라이언 보팅]

[“실제로 사이버 범죄를 기반으로 만들어진 비즈니스 모델이 있습니다.여기 뒤에는 여전히 인간이 있고 그들이 사업을 운영하고 있다는 것을 깨달아야 합니다.제가 FBÍ에서 맡은 첫 업무는 몸값을 받고 납치 관련 일을 했었죠.그 집단이 뭘 원하는지 정확히 알고 있었잖아그들은 천만 달러를 요구했을 거예요. 5백만 달러면 해결할 수 있을 거라는 걸 알았죠.오늘날의 랜섬웨어도 마찬가지입니다.이들이 어떻게 운영될지, 얼마를 요구할지, 후속 조치를 취할지 여부는 알 수 있습니다.비즈니스이기 때문에 예측 가능합니다.”]

[(SFX: 키보드 입력, 녹음된 대화 오디오가 희미해짐 — 랜섬웨어 지급 협상에 좌절한 경영진이 조용한 어조로 말하고 있습니다.)]

[브라이언 보팅]

[“사이버 범죄는 궁극의 재택근무 사업입니다.목표물로부터 아주, 아주 멀리 떨어져 있어도 매일 돈을 벌 수 있습니다.물리적 범죄보다 안전하기 때문에 조직 범죄에 속했던 집단이 사이버 범죄로 옮겨가는 것을 볼 수 있습니다.그들은 더 적은 위험으로 더 많은 돈을 벌고 있습니다.”]

[라구]
[이것이 바로 사이버 범죄를 막기가 어려운 이유입니다. 해커 한 명, 범죄 한 명, 한 국가가 아니기 때문입니다.이곳은 범죄 기업, 데이터 판매 및 거래, 랜섬웨어 키트, 해킹 서비스 등으로 구성된 생태계입니다.]

[브렛 존슨]

[“대부분의 공격은 현금 기반 또는 상태 기반입니다.현금을 노리고 공격할 때는 범죄 투자에 대해 가장 큰 수익을 낼 수 있는 가장 쉬운 방법을 찾고 있어요.사이버 범죄를 막는 열쇠는 모든 공격을 막으려는 것이 아니라 공격자가 시간을 할애할 가치가 없도록 하는 것입니다.”]

[(SFX: 다크 웹 포럼에서 들려오는 로봇 목소리 — “결제 후 24시간 이내에 암호 해독 키를 보장합니다.”클릭.)]

[라구]

[사이버 범죄가 기업처럼 운영된다면 문제는 어떻게 사이버 범죄를 교란시킬 수 있느냐는 것입니다.]

[브라이언 보팅]

[“공격 비용을 높이고, 복구 속도를 높이고, 재정적 인센티브를 없애는 등 모델을 혁신해야 합니다.”]

[[세그먼트 4: 레질리언스에 대한 재검토]]

[(SFX: 옛날 학교 전화벨이 울리고 뉴스 알림 벨이 울립니다.)]

[라구]

[예방만으로는 충분하지 않다면 조직이 가장 집중해야 할 것은 무엇일까요¿]

[Lárr~ý Póñ~émóñ~ 박사는 보안, 개인 정보 보호 및 위험 연구 분야에서 가장 존경받는 전문가 중 한 명입니다.Póñé~móñ Í~ñstí~túté~의 설립자로서 그는 20년 이상 보안 침해 데이터, 사이버 공격의 재정적 영향, 진화하는 보안 환경을 추적해 왔습니다.]

[래리 포네몬 박사]

[“우리가 막을 수 있는 모든 것에 대해 잠재적으로 10가지가 네트워크에 침투했습니다.정말 놀랍고 충격적입니다.”]

[라구]

[따라서 공격이 계속해서 빗나간다면 진짜 과제는 공격을 막는 것뿐만 아니라 심각한 위기에 빠지지 않도록 하는 것입니다.]

[래리 포네몬 박사]

[“예방은 실용적이지 않기 때문에 아마도 잘못된 생각일 것입니다.많은 조직이 예방을 포기하고 억제할 시간, 복구할 시간, 문제에서 벗어나는 일을 할 시간 등을 고려합니다.”]

[라구]

[이것이 바로 복원력이 우선인 이유입니다. 사이버 보안에서는 문제가 아니기 때문입니다. 만약 공격은 일어날 수 있지만 언제.]

[에릭 허프만 박사]

[“당신이 중소기업이고 국가가 당신을 데려오고 싶어한다면 아마도 그들은 당신을 데려올 것입니다.모든 일을 제대로 했는데도 여전히 틀릴 수 있습니다.”]

[라구]

[공황은 상황을 악화시킵니다.의사 결정 지연, 직원 동결 등 사고가 재앙으로 바뀌는 순간입니다.]

[(SFX: 보안 경고가 울립니다.백그라운드에서 전화벨이 울립니다.)]

[라구]

[이것이 바로 회복력이 공격의 순간에 구축되는 것이 아니라 공격이 발생하기 전에 구축되는 이유입니다.]

[[결론]]

[(SFX: 반사적이고 희망찬 음악이 흐르기 시작합니다.)]

[라구]

[결론은 다음과 같습니다. 신뢰는 전쟁터이지만 회복력이 방패입니다.사이버 범죄자들은 항상 신뢰를 악용할 새로운 방법을 찾겠지만, 세분화, 격리, 보안 우선 문화를 통해 복원력을 구축하는 조직이 살아남을 것입니다.]

[시청해 주셔서 감사합니다. 더 세그먼트. 이 전체 인터뷰를 놓치지 않도록 구독하십시오.]

[(SFX: 아우트로 음악이 희미해집니다.)]

‍