전직 FBI 수배 해커에게 배운 5가지 사실

사이버 보안에서는 흔히 "공격자처럼 생각하라"는 말을 합니다. 하지만 그런 삶을 살다가 인생이 바뀐 사람의 이야기를 직접 들을 기회는 거의 없습니다.

더 세그먼트에서 가장 잊을 수 없는 에피소드 중 하나는 미국 비밀경호국에서 '원조 인터넷 대부'로 불렸던 브렛 존슨과 이야기를 나눈 것입니다.

최초의 조직적인 사이버 범죄 커뮤니티를 구축하고 FBI의 지명 수배자 명단에 오른 브렛은 재기에 성공하여 현재는 법 집행 기관과 보안 리더 모두에게 신뢰할 수 있는 목소리를 내고 있습니다.

브렛이 범죄로부터 개혁된 삶에서 얻은 교훈 중 가장 인상 깊었던 다섯 가지를 소개합니다.

1. 인식은 새로운 현실

브렛이 전하는 메시지의 핵심에는 "진실이 무엇이든 상관없다"는 냉혹한 진실이 담겨 있습니다. 제가 여러분을 설득할 수 있는 것이 중요합니다."

이는 단순한 범죄 수법이 아니라 사회적인 문제입니다. 피싱 이메일부터 정치적 허위 정보에 이르기까지 신뢰가 무기로 악용되고 있습니다. 딥페이크 비디오와 오디오가 빠르게 진화하면서 진짜와 가짜의 경계가 빠르게 사라지고 있습니다.

브렛은 "딥페이크가 실시간이 되는 시기가 다가오고 있습니다."라고 경고했습니다.

그는 악의적인 공격자가 Zoom 화상 회의를 통해 CEO를 딥페이크할 수 있는 공격의 예를 들었습니다. 급여 담당자는 실시간으로 CEO와 통화하고 있다고 생각하지만 실제로는 다른 은행 계좌로 돈을 송금하도록 속고 있는 것입니다.  

"매우 효과적이죠."라고 그는 말했습니다. "그리고 그것은 마법처럼 작동할 것입니다."

요점은 가정이 아닌 검증하는 시스템을 구축해야 한다는 것입니다. 제로 트러스트는 보안 프레임워크이지만, 디지털 속임수가 난무하는 세상에서 신뢰를 회복하는 방법이기도 합니다.

"딥페이크가 실시간이 되는 시점에 다다르고 있습니다."

2. 범죄자는 천재가 아닌 기회주의자입니다.

할리우드는 해커를 뛰어난 무법자로 묘사합니다. 브렛은 다르게 생각합니다.

"대부분의 공격은 현금을 기반으로 한 기회주의적 공격입니다."라고 그는 설명합니다. "범죄 투자에 대한 가장 큰 수익을 얻을 수 있는 가장 쉬운 접근 방법을 찾고 있습니다."

그렇기 때문에 취약점 패치, 자격 증명 보안, 열린 포트 닫기 등 기본적인 사이버 위생이 여전히 중요한 이유입니다. 이러한 단계는 화려하지는 않지만 종종 건너뛰는 경우가 있습니다.

보안에 비용이 많이 들 필요는 없습니다. 하지만 일관성이 있어야 합니다.

3. 신뢰는 행동으로 구축됩니다.

공격자는 우리가 디바이스를 신뢰한다는 것을 알고 있습니다. 그들은 이러한 신뢰를 악용합니다.

"우리는 본질적으로 휴대폰, 노트북, 데스크톱을 신뢰합니다."라고 Brett은 말합니다. "우리는 우리가 방문하는 웹사이트를 신뢰하며, 이는 신뢰의 문을 여는 경향이 있습니다."

브렛은 개인과 조직 모두에게 디지털 시스템에 대한 신뢰를 재정의할 것을 촉구합니다. 행동을 검증하고, 컨텍스트에 주의를 기울이고, 단일 정당성 신호에 의존하지 않는 시스템을 설계하세요.

"세상의 모든 사기를 막을 수 있습니다. 웹을 종료하기만 하면 됩니다."라고 농담을 던졌습니다. "보안과 마찰 사이에서 균형을 맞추고 싶지만, 그 균형은 절대적으로 보안 쪽에 더 무게를 두어야 합니다."

4. 해커는 협업합니다. 수비수도 마찬가지입니다.

그의 가장 날카로운 비평 중 하나는? "악당들은 여러분보다 공유와 협업에 더 능숙합니다."라고 그는 말합니다.

사이버 범죄자들은 도구, 전술, 팁을 거래합니다. 그러나 방어자들은 종종 업계, 경쟁 또는 관료주의에 의해 고립되어 있습니다.

"특정 산업에 종사하고 있는 회사가 특정 유형의 공격을 받는 경우, 해당 정보를 공유하면 같은 공간에 있는 다른 사람들도 공격 대상이 되기 전에 스스로를 보호할 수 있습니다."라고 그는 말합니다.

결론은 위협 환경은 사일로화되어 있지 않으므로 우리의 방어 체계도 사일로화되어서는 안 된다는 것입니다.

"특정 산업에 종사하고 있는 회사가 특정 유형의 공격을 받는 경우, 해당 정보를 공유하면 같은 공간에 있는 다른 사람들도 공격 대상이 되기 전에 스스로를 보호할 수 있습니다."

5. 제로 트러스트는 신뢰를 재건하는 방법

브렛은 딥페이크와 같이 AI가 생성한 콘텐츠 때문에 사람들이 무엇을 믿어야 할지 알기 어려워지고 있다고 생각합니다. 온라인에서 비판적으로 사고하고 회의적인 태도를 유지하는 것이 중요합니다. 하지만 조직은 신뢰를 회복할 방법을 찾아야 합니다.

"고객과 조직 간의 모든 새로운 참여는 제로 트러스트 관점에서 이루어져야 합니다."라고 그는 권장합니다.  

실시간으로 인식이 조작될 수 있는 세상에서는 신뢰를 전제로 할 수 없습니다. 몇 번이고 반복해서 획득해야 합니다.

"사기 가능성을 예측하기 위해 백그라운드에서 할 수 있는 모든 조치를 취한 다음 그 시점에 조치를 취하세요."라고 브렛은 조언했습니다.

제로 트러스트는 단순한 기술 전략이 아닙니다. 이는 일상적인 습관이자 마음가짐입니다. 그리고 진화하는 위협 환경에서 대비하는 것이 최선의 방법입니다.

더 세그먼트듣기, 구독 및 리뷰하기

브렛 존슨의 이야기를 더 듣고 싶으신가요? 더 세그먼트의 전체 에피소드를 들어보세요 : 제로 트러스트 리더십 팟캐스트는 웹사이트, Apple 팟캐스트, Spotify 또는 어디서든 들을 수 있습니다.