사이버 보안의 비난 문화에 대한 사이버 심리학자의 견해

"부주의한 사람만 해킹당합니다." 이는 사이버 보안에 대한 일반적인 믿음입니다. 하지만 사실일까요?  

사이버 심리학 분야의 선도적인 전문가인 에릭 허프만 박사는 수년간 이 문제를 연구해 왔습니다. 그의 연구는 인간의 행동이 사이버 보안에 미치는 영향과 전통적인 생존 본능이 온라인에서 우리를 보호하지 못하는 이유를 탐구합니다.

그의 연구 결과는? 아무리 준비가 잘 되어 있어도 보안이 뚫릴 수 있습니다.

제로 트러스트 리더십 팟캐스트 더 세그먼트의 최신 에피소드 : 제로 트러스트 리더십 팟캐스트에서 저는 허프먼과 함께 오늘날 공격의 현실과 제로 트러스트가 침해 대비를 위한 최선의 해답인 이유에 대해 이야기를 나누었습니다.

사이버 보안의 발목을 잡는 손가락 가리키기

허프먼에 따르면, 보안 침해에 대한 가장 해로운 반응 중 하나는 개인을 비난하려는 즉각적인 본능입니다.  

" 사고가 발생하면 모두가 '어떻게 이런 일이 일어났고 어떻게 예방할 수 있을까'가 아니라 '누가 무엇을 잘못했나'로 달려갑니다."라고 그는 설명합니다.

이러한 비난 문화는 비생산적일 뿐만 아니라 시대에 뒤떨어진 문화입니다. 현실은 가장 자원이 풍부하고 보안에 민감한 조직도 침해 사고를 겪는다는 것입니다.  

"100% 보안은 존재하지 않습니다."라고 그는 말했습니다. "국가가 참여하기를 원한다면 참여할 것입니다."

비난에서 분석으로 초점을 옮겨야 합니다. 무슨 일이 일어났는지 이해하고, 그로부터 배우고, 방어 수단을 조정하는 것입니다.

해커는 어리석음이 아니라 스트레스를 악용합니다.

허프먼은 업계가 사이버 인식에 너무 많은 시간을 할애하고 사이버 대비에는 충분하지 않다고 단호하게 말합니다.

"우리는 사람들에게 무엇을 주의해야 하는지 계속 말하지만, 스트레스 상황에서 어떻게 대응해야 하는지에 대해서는 준비시키지 않습니다."라고 그는 말합니다.  

사이버 범죄자들은 경계하고 조심하는 사람들을 표적으로 삼지 않습니다. 취약할 때 공격합니다. 해고로 인해 스트레스를 받거나 마감일을 맞추기 위해 서두르거나 긴급해 보이는 요청에 감정적으로 관여하는 경우.

허프먼은 개인의 취약점을 이해하는 것이 핵심이라고 말합니다. "일반적인 위협뿐만 아니라 공격자가 사용하는 구체적인 심리 전술에 대해서도 교육해야 합니다. 사람마다 고유한 트리거가 있습니다."

AI를 이용한 새로운 공격의 물결이 예상됩니다.

AI 기반 공격의 증가는 이 문제를 더욱 악화시킬 뿐입니다. 딥페이크 오디오와 비디오는 이미 사이버 공격에 사용되고 있으며, 위협 행위자는 경영진을 사칭하여 사기 거래를 승인하고 있습니다.

"더 이상 보거나 듣는 것을 믿을 수 없게 되면 어떻게 될까요?" 허프먼이 물었습니다. "우리는 '검증, 검증, 검증'이 당연한 일이 되어야 하는 시대에 접어들고 있습니다."

보안 리더는 알려진 연락처의 전화 한 통도 액면 그대로 믿을 수 없는 세상에 대비해야 합니다. 제로 트러스트 원칙을 채택하고 조직 전체에 제로 트러스트 사고방식을 도입하는 것은 AI를 이용한 속임수에 대응하는 데 매우 중요합니다.

제로 트러스트는 조직의 안전벨트입니다.

그렇다면 어떻게 인식에서 대비로 나아갈 수 있을까요?  

허프먼은 다음과 같은 핵심 단계를 제안합니다:

• 위협 평가: 개인이 어떤 개인적 취약점을 가지고 있으며 어떻게 악용될 가능성이 있는지파악↪f_200D↩
• 대처 평가: 개인이 가장 취약할 때 위협을 인식하고 대응하는 방법에 대한 전략 개발

대비는 직원들에게 추상적으로 위협에 대해 가르치는 것이 아니라 스스로를 보호할 수 있는 실질적인 도구를 제공하는 것을 의미합니다.

"우리는 사람들을 겁주는 것을 그만두고 그들에게 힘을 실어줘야 합니다."라고 그는 말합니다. "현재 사이버 보안은 안전벨트 없이 자동차를 운전하는 것처럼 나쁜 일이 일어나지 않기를 바라는 상황입니다. 사람들에게 사이버 보안 안전벨트를 제공해야 합니다."

조직 수준에서 제로 트러스트는 동일한 역할을 합니다.

"제로 트러스트는 단순한 기술이 아닙니다. 정신력입니다."라고 허프먼은 말합니다. "'신뢰하되 검증하라'가 아니라 '검증하고 다시 검증하라'는 것입니다."

사이버 대비 교육과 함께 제로 트러스트를 도입하는 조직은 인적 및 기술적 취약성에 대한 복원력을 구축할 수 있습니다. 그리고 오늘날의 세계에서 회복탄력성은 게임의 이름입니다.

IT에서 사이버 심리학으로의 여정

허프먼이 사이버심리학에 입문한 길은 순탄하지 않았습니다.  

컴퓨터 공학 학위를 취득한 후 IT 분야에서 경력을 쌓기 시작했으며, 네트워크를 수정하고 보안 문제를 해결했습니다. 하지만 연이은 데이터 유출 사고를 직접 경험한 후 그의 관점은 크게 바뀌었습니다.  

"모든 보안 수단을 동원해 문제를 해결하려고 노력했지만 침해는 계속 발생했습니다."라고 그는 회상했습니다. "멍청한 사람들만 해킹을 당한다면 내가 멍청한 건가?"라고 스스로에게 물어야 했습니다.

답을 찾기로 결심한 그는 연구를 통해 90건 이상의 데이터 유출 사고(% )가 오류나 소셜 엔지니어링을 통한 인간의 행동과 관련이 있다는 사실을 발견했습니다. 이러한 깨달음은 그를 사이버심리학으로 이끌었고, 이후 2만 명 이상의 참가자를 대상으로 연구를 수행했으며 전 세계 220개 이상의 조직과 협력하여 사이버보안과 인간 행동 사이의 간극을 좁히기 위해 노력했습니다.  

현재 수상 경력이 있는 교육자, 기업가, 연사, 연구자로서 NASA-Goddard, ISACA, TEDx 및 기타 주요 포럼에서 그의 통찰력을 공유해 왔습니다. 현재 미국 국립표준기술연구소(NIST)의 연구 협력자로 일하고 있습니다.

더 세그먼트를듣고, 구독하고, 리뷰하세요: 제로 트러스트 리더십 팟캐스트

허프먼 박사와의 전체 토론을 듣고 싶으신가요? 이번 주 에피소드는 Apple 팟캐스트, Spotify 또는 어디서든 팟캐스트를 들을 수 있는 곳에서 들어보세요. 에피소드 전문을 읽어보실 수도 있습니다.