사이버 범죄의 비즈니스: 전 FBI 부국장이 모든 CISO가 알아야 할 사항

사이버 범죄는 단순한 기술적 위협이 아니라 번창하는 글로벌 비즈니스입니다. 그리고 브라이언 보에티그만큼 비즈니스의 진화를 잘 이해하는 사람도 드뭅니다.

국가 안보 및 공공 안전 분야에서 35년 이상 근무한 그는 FBI 부국장, 미국 외교관, CIA 연락관, 국제 자문 회사의 파트너를 역임했습니다. 현재 그는 글로벌 트레이스의 수석 고문으로 조직의 사이버 복원력 구축을 돕고 있습니다.

이번 더 세그먼트 에피소드에서는 브라이언이 법 집행과 인텔리전스를 아우르는 그의 경험이 오늘날 사이버 보안에 대한 접근 방식을 어떻게 형성하는지, 그리고 기업이 뒤처지는 상황에서 위협 행위자들이 승리하는 이유를 공유했습니다.

매장 강도부터 서비스형 랜섬웨어까지

Brian은 해외 납치부터 국내 디지털 갈취까지 모든 것을 조사했습니다.  

무엇이 이들을 연결할까요? 레버리지를 추구합니다.

"우리는 오늘날 랜섬웨어에 접근하는 것과 같은 방식으로 몸값을 노린 납치 사건을 처리했습니다."라고 Brian은 말합니다. "누가 그랬는지, 어떻게 운영되는지, 어떻게 협상해야 하는지 잘 알고 있습니다. 이는 비즈니스 모델이며, 일부 합법적인 회사보다 더 잘 운영되고 있습니다."

그는 사이버 범죄의 경제학이 공격자에게 유리하게 기울어져 있다고 말합니다.

"50달러를 훔치기 위해 상점을 직접 털면 경찰 대응팀 전체가 출동합니다."라고 그는 말합니다. "하지만 온라인에서 50만 달러를 훔친다고요? 대부분의 관할권에서 법 집행 기관은 이를 어떻게 처리해야 할지 모를 것입니다."

사이버 범죄는 확장 가능하고, 국경이 없으며, 눈에 보이지 않는 경우가 많습니다. 브라이언의 의견에 따르면, 방어자들이 비슷한 비즈니스 마인드 접근 방식을 채택하지 않는 한 계속 뒤처질 것입니다.

50달러를 훔치기 위해 상점을 직접 털면 경찰 대응팀 전체가 출동합니다. 하지만 온라인에서 50만 달러를 훔친다고요? 대부분의 관할권에서 법 집행 기관은 이를 어떻게 처리해야 할지 모릅니다.

몸값 지불 금지가 해답이 아닌 이유

조직이 몸값을 지불하도록 허용해야 하는지 여부만큼 논쟁을 불러일으키는 주제도 드뭅니다. Brian은 FBI에서 근무할 때부터 보안 침해에 대처하는 CEO들과 컨설팅을 진행하면서 양쪽의 입장을 모두 경험했습니다.

"정답은 없습니다."라고 그는 말합니다. "비용을 지불하지 않으면 일부 회사는 존재하지 않게 될 것입니다."

그는 고객 기록 전체가 잠긴 한 로펌을 떠올렸습니다. 돈을 지불하지 않았다면 그들의 비즈니스와 평판은 무너졌을 것입니다.

몸값 지불을 전면적으로 금지하는 것은 억지력처럼 보일 수 있지만, Brian은 조직이 이중으로 희생될 위험이 있다고 생각합니다: "생존을 위해 남은 몇 안 되는 도구 중 하나를 없애는 것이죠."

대신 그는 좀 더 미묘한 전략을 제안합니다:

• 대비를 통해 결제에 대한 인센티브 제거
• 백업을 포함한 일반적인 사이버 보안 위생 구축
• 스마트 보험 모델 구현
• 복잡한 비즈니스 현실을 지나치게 단순화하는 법률을 줄입니다.

조직에 필요한 것은 전면적인 금지가 아니라 복원력, 위험, 공격 이후 리더가 직면하는 현실의 균형을 맞추는 보다 현명한 접근 방식입니다.

사이버 보험은 안전망이 아닙니다.  

안심하고 사이버 보험에 가입하는 기업이 늘어남에 따라 Brian이 현실을 점검합니다.

"수정이 아닙니다. 그것은 종종 협상과 비슷합니다."라고 그는 말했습니다. "보험사가 가장 먼저 하는 일은 보험금을 지급하지 않을 이유를 찾는 것일 때가 있습니다."

그는 이를 자동차 보험에 비유했습니다. 예, 보장됩니다... 단, 작은 글씨 하나라도 놓친 것이 아니라면요. 그 결과 위기 시 혼란이 발생하고 보장 조건이 불명확해지며 복구가 지연됩니다.

"대부분의 정책은 온라인 상태로 돌아가는 데만 도움이 됩니다."라고 Brian은 경고했습니다. "신뢰 회복, 평판 손상 또는 미래의 회복력은 보상하지 않습니다."

그는 CISO에게 정책에서 보장하는 범위와 보장 범위가 부족한 부분을 정확히 파악해야 한다고 조언합니다. 보험을 강력한 방어책의 대용품으로 여기지 말고, 공격 후 보험 회사가 최선의 이익을 위해 일할 것이라고 믿지 마세요.

사이버 리스크는 비즈니스 리스크

사이버 위험은 여전히 IT 문제로 취급되는 경우가 너무 많습니다. 브라이언은 이를 위험한 실수라고 생각합니다.

"최고 경영진이 사이버 보안을 믿지 않는다면 사이버 보안에 대한 자금 지원, 우선순위 지정, 실행이 이루어지지 않을 것입니다."라고 그는 말합니다.

그는 CEO가 자신의 IT 책임자가 누구인지 몰랐던 시절을 회상했습니다. "이제 마침내 이사회에서 사이버 보안이 방화벽이 아니라 비즈니스의 생존을 위한 것이라는 점을 이해하기 시작했습니다."

이러한 변화는 부분적으로는 규제의 압박 때문이기도 하지만, 회복탄력성이 경쟁 우위라는 인식이 확산되고 있음을 반영하는 것이기도 하다고 그는 말합니다.

Brian은 또한 보안이 뚫렸다고 해서 실패한 것은 아니라는 점을 재빨리 지적했습니다. 실제로 최고의 보안 리더들은 이런 일이 일어날 것이라고 가정합니다.

"저는 CEO들에게 '사이버 공격의 피해자가 되어도 괜찮다'고 말하곤 했습니다. 준비가 안 되어 있는 것은 괜찮지 않습니다."라고 그는 말했습니다.

이러한 사고방식은 보안 침해를 가정하고 침해로 인한 결과를 줄이는 데 중점을 두는 제로 트러스트의 핵심입니다.

"대비는 단순히 백업과 정책만을 의미하는 것이 아닙니다."라고 Brian은 강조합니다. "문화입니다. 조직의 모든 구성원은 문제가 발생했을 때 자신의 역할을 알아야 합니다."

저는 CEO들에게 "사이버 공격의 피해자가 되어도 괜찮다"고 말하곤 했습니다. 준비가 되어 있지 않은 것은 괜찮지 않습니다."

위험과 현실 사이의 간극 좁히기

브라이언의 이야기는 한 가지 중요한 진실을 강조합니다. 사이버 보안은 위험을 피하는 것이 아니라 관리하는 것입니다.

가장 탄력적인 조직은 보안을 비즈니스 기능으로 간주하고 사전 예방적 계획을 수용하며 예방뿐 아니라 봉쇄에 투자합니다.

브라이언의 말처럼 "불이 날 때까지 기다렸다가 소화기를 사는 것은 아닙니다. 계획하고, 훈련하고, 모든 사람이 그 위치를 알 수 있도록 해야 합니다."

더 자세히 알고 싶으신가요? 이번 주 더 세그먼트의 전체 에피소드를 들어보세요 : 제로 트러스트 리더십 팟캐스트 Apple 팟캐스트, Spotify또는 팟캐스트를 듣는 곳 어디에서나. 또한 전체 성적 증명서.