RSA 아이덴티티 언마스크드

잉고 슈베르트: RSA Identity Unmasked에 오신 것을 환영합니다. 오늘은 종종 간과되는 주제인 헬프데스크의 보안에 대해 이야기해 보겠습니다. 오늘은 John과 Paul과 함께 실제 사례와 위험, 그리고 이러한 위험을 완화하는 데 도움이 되는 제어에 대해 이야기해 보겠습니다.

헬프 데스크가 왜 그렇게 표적이 되고 있을까요? 이것부터 시작하세요.

존 니콜라스: 네, 기꺼이 참여하게 되어 기쁩니다. 헬프 데스크의 역할은 우선 사람들을 돕고자 하는 마음에서 시작한다고 생각합니다. 따라서 헬프 데스크에 전화하는 사람은 누구나 헬프 데스크 관리자의 선한 본성을 발휘하여 "저기요, 저를 도와주실 수 있나요?"라고 말할 것입니다. 따라서 회사의 직원이라면 진정으로 도움이 필요하니 괜찮습니다. 하지만 위협 행위자가 전화를 걸었을 때는 '이 사람이 나를 도와줄 의향이 있구나'라고 생각할 수 있습니다. 헬프 데스크 관리자가 더 이상 프로세스에 얽매여 X, Y, Z만 할 수 있다고 말하지 않고 그 경계를 넘어 ABC도 도와드리겠다고 말할 수 있기 때문입니다. 이는 헬프 데스크가 강력한 프로세스가 없을 때 악용될 수 있는 실질적인 위험입니다.

폴 멀비힐: 헬프 데스크의 KPI에는 '마감해야 한다, 누군가 전화가 왔다, 티켓을 마감해야 한다, 분류해야 한다'는 항목이 어느 정도 포함되어 있습니다. 그리고 이 모든 것이 상품이 없는 경우 제가 처리할 수 있는 일입니다. 티켓을 종결하고 싶다고 전화가 왔고, 티켓을 만들었고, 제가 원하는 정보를 제공하고 어떤 절차가 진행 중일 수도 있고 진행되지 않을 수도 있는지를 파악할 수 있도록 최선을 다할 것입니다.

네, 헬프 데스크에서 일해 본 적이 있다면 통계, 티켓 수, 티켓의 평균 마감 시간 등 모든 것을 알 수 있고 때로는 큰 모니터에 표시되기 때문에 사회 공학 공격에 완벽한 스트레스가 높은 환경이 조성되는 것 같아요. 네, 그렇군요. 최근에 이것이 주요 공격 경로가 된 것과 같이 실제로 무엇이 바뀌 었나요?

폴 멀비힐: 예전부터 루트에 대한 공격이 있었지만, 최근 들어 뉴스에 더 많이 등장했습니다. 지난 12개월 동안 마크 스펜서의 협동조합, JLR, 재규어, 랜드로버가 공격을 받았습니다. 모두 헬프 데스크가 표적이 되었기 때문에 부분적으로 피해를 입었습니다. 누군가가 누군가를 설득하여 계정의 자격 증명을 제공하도록 유도한 후 로그인한 후 별다른 피해는 없었지만 꽤 큰 피해를 입었습니다.

존 니콜라스: 네, 그리고 아웃소싱 IT와 같은 역할도 궁금합니다. 더 이상 타사에 의존하는 A 조직의 직원들만 아는 것이 아니라 업계에서 항상 타사에 대해 사전 위험에 대해 이야기하기 때문에 그것이 얼마나 영향을 미치는지, 그리고 헬프 데스크 엔지니어의 재직 기간이 상당히 짧을 수 있기 때문에 그들이 프로세스를 인식하고 자신의 책임과 그것이 그들이 서비스하는 비즈니스에 어떤 영향을 미칠 수 있는지 인식하는 것이 중요하기 때문이죠. 그런 측면에서도 지식의 한계가 있을 수 있습니다.

잉고 슈버트: 네, 맞아요. 물론 회사의 문화를 잘 모른다면 당연히 문제가 되겠죠.

폴 멀비힐: 말씀하신 것처럼 아웃소싱 헬프데스크가 있다면 절차는 알 수 있지만 사람을 잘 모를 수 있습니다. 맞아요. 그렇다면 어떤 식으로 연락을 취할 수 있을까요? 우린 한 번도 만난 적이 없잖아요. 사무실에 와본 적도 없고요.

INGO SHUBERT: 실제 공격이라면 어떻게 그런 일이 일어날 수 있을까요? 이 경우의 전형적인 공격은 무엇인가요? 공격자는 무엇을 달성하려고 하나요? 그리고 그 공격은 어떻게 이루어지나요?

폴 멀비힐: 단순히 계정을 재설정하는 것부터 도움을 받는 것, VPN 네트워크에 접속하는 것까지 다양한 방법이 있을 수 있다고 생각합니다. 우리는 사람들이 하는 일과 관련된 수많은 소셜 미디어가 있는 세상에 살고 있습니다. 제 주변에는 다양한 이유로 자신의 일상을 SNS에 공개하는 친구들이 있습니다. 일부는 이해가 되지만 일부는 그렇지 않죠. 따라서 누군가에 대해 알고 싶다면 출처를 추적하고 많은 정보를 수집할 수 있습니다. 그래서 헬프 데스크에 전화를 걸어 누군가의 출생지나 애완동물 이름 등을 알아낸 다음 '비밀번호를 재설정해야 하는데요'라고 말할 수 있을 것입니다. 내가 누구인지, 내가 누구라고 말하는지 알기 위해 오늘 어떤 단계를 거쳐야 할까요? 아마도 보안 질문일 겁니다.

잉고 슈베르트: 맞습니다. 따라서 기본적으로 공격자가 소셜 네트워크에서 얻은 사전 지식의 조합일 가능성이 높습니다. 다른 공격일 수도 있고, 불법이든 아니든 데이터 브로커를 통해 구매한 데이터일 수도 있습니다. 그리고 우리가 처음에 이야기했던 고압적인 환경과 결합하면 공격자에게는 정말 좋은 표적이 될 수 있겠죠?

존 니콜라스: 네, 그 외에도 모방하고 싶은 개인을 조사하는 것에 대해서도 많이 이야기하지만, 현재 우리가 사용할 수 있는 도구가 있다면 'X 회사는 IT 인프라에서 무엇을 사용하나요? 그들의 기술 스택은 어떤 모습일까요? 따라서 헬프 데스크와 대화를 나눌 때 더 신뢰할 수 있습니다. VPN에 액세스할 수 있는지가 아닙니다. 팔로알토 VPN이 작동하지 않아요. 도와주실 수 있나요? 그러자마자 그들은 바로 '이게 더 익숙하네요.

INGO SHUBERT: 이 경우에는 공격자인 당신이 더 친숙하게 들리는데, 이는 당신이 우리 중 한 명이라는 뜻이고, 따라서 아웃소싱 헬프 데스크에서 당신을 더 신뢰할 수 있다는 뜻이고, 결국 당신은 회사의 일부가 아니기 때문에 거의 그들 중 하나라는 뜻입니다.

폴 멀비힐: 얼마 전에 제가 본 적이 있는데, 헬프데스크를 통해 회사를 해킹하고 돈을 받는 사람이 있었습니다. 그 영상에서 그는 약 30초 만에 헬프데스크 시스템에 액세스했는데, 기본적으로 전화를 걸어 회사에서 온 것처럼 보이도록 전화번호를 위조했기 때문에 헬프데스크 직원들은 "아, 내부자구나"라고 생각하게 됩니다. 그런 다음 그들은 사용자 행세를 하거나 VPN 시스템이 무엇인지, 어떤 정보를 가지고 있는지에 대해 질문하면서 그들을 설득하여 웹사이트에 액세스하도록 도와주었고, 실제로 그 사람이 사용 중인 컴퓨터에 백도어 액세스 권한을 부여했습니다.

INGO SCHUBERT: 기본적으로 인증을 위해 증거에 의존하는 것이죠. 공격자가 생성하는 따뜻하고 모호한 느낌에 가깝습니다. 그렇다면 대신 무엇을 해야 할까요? 이걸 어떻게 하면 다르게 할 수 있을까요? 완전히 새로운 문제인 것 같지는 않잖아요? 헬프 데스크는 수십 년 동안 존재해 왔잖아요?

폴 멀비힐: 네, 제 생각에는 IT 보안에 있어서는 우리가 가장 취약한 부분이라고 생각합니다. 우리가 알고 있는 것에 의존하고 있다면 아마 알아낼 수 있을 겁니다. 다른 출처에서 알아낼 수 없거나 배울 수 없는 무언가를 가지고 누군가를 인증해야 하는 영역으로 내려가야 하나요? 그래서 일종의 MFA 스텝업이나 그런 종류의 라인에 따라 '그래, 좋아, 당신은 시스템을 가지고 있고, 도움을 요청하고, 증명하라'고 말하는 것과 같습니다. 하지만 질문을 통해서는 안 됩니다.

잉고 슈베르트: 가장 인기 있는 질문은 할머니의 결혼 전 이름과 같은 보안 질문이라고 말씀드리려고 했는데요. 그 중 몇 개는 항상 같은 질문인가요?

폴 멀비힐: 맞아요. 똑같은 10개의 질문이 있는데 그중 세 개를 골라보세요. 그거 알아요? 그 목록을 찾아서 모두에게 맞는 답이 무엇인지 알아낼 수 있을 것 같아요.

잉고 슈베르트: 맞습니다. 다시 중요한 주제로 돌아가서, 신원 보안의 일반적인 주제는 증거와 강력한 증거가 필요하다는 것입니다. MFA를 언급하신 것 같습니다. 바로 여기서 MFA가 등장합니다.

폴 멀비힐: 네. 회사에 MFA가 설정되어 있다면 이를 적극 활용하세요. John이 MFA를 설정하고 헬프 데스크에 전화하는 경우, 이를 사용하여 본인이 본인임을 증명하세요. 물론 모든 MFA가 똑같이 만들어지지는 않지만, 존이 어디서 태어났는지, 처녀인지, 어머니의 처녀인지, 이것저것 알아보고 질문에 답하는 것이 아무것도 하지 않는 것보다는 낫습니다. 그런 다음 MFA를 설정한 단계라면 이를 증명하세요.

INGO SCHUBERT: 그렇다면 이제 어떻게 작동할까요? 이 경우 RSA ID Plus를 사용하면 헬프 데스크에서 무엇을 해야 할까요? 최종 사용자는 이를 위해 무엇을 해야 할까요? 예를 들어, MFA를 수행한다고 하면 그건 한 가지입니다. 하지만 단계별로 어떻게 작동하는지가 중요합니다. 사용자는 무엇을 어떻게 해야 할까요?

폴 멀비힐: ID Plus의 경우 두 사람 간에 통화가 이루어지기 때문에 양면성이 약간 있습니다. 헬프 데스크 담당자가 시스템에서 사용자를 찾은 다음 인증 세션을 트리거합니다. 전화를 거는 최종 사용자가 URL을 알고 있거나, 아니면 엔드포인트로 이동해야 하는 URL을 학습한 다음 엔드포인트 내에서 MFA를 수행합니다. FIDA인지, 푸시 승인인지, 생체인식인지, 어떤 방법을 선택하든 회사에서 결정할 것입니다. 그리고 승인에 성공하면 인증 코드를 받습니다. 이를 헬프 데스크 담당자에게 전달합니다. 하지만 이는 순전히 신원 확인 번호일 뿐입니다. 인증 번호가 아닙니다. 이 번호로는 아무것도 들여다볼 수 없습니다.

잉고 슈베르트: 맞아요. 따라서 현재 사용 중인 OTP 등을 제공하지 않아도 됩니다.

폴 멀비힐: OTP를 사용한다면 OTP를 사용합니다. 푸시 승인, Fido의 생체 인식을 수행합니다. 그 시점에서 정보를 공유하지 않고 이 모든 작업을 수행합니다. 결과를 얻습니다. 헬프 데스크 담당자에게 결과를 전달하는데, 이 역시 확인을 위한 것입니다. 어떤 종류의 인증도 아닙니다. 그리고 나서
헬프 데스크 직원이 '네, 이 번호를 알려주세요, 하나, 둘, 셋, 넷, 다섯, 입력하면 시스템에서 '네, 이 사람이 맞습니다'라는 메시지가 표시됩니다.

잉고 슈베르트: 신원 보안의 미래를 형성하는 힘을 분석하는 동영상 블로그인 RSA Identity Unmasked에 오신 것을 환영합니다. 저는 호스트인 잉고 슈버트입니다. 오늘은 업계 전반에 걸쳐 많은 관심을 불러일으키고 있는 양자 컴퓨팅에 대해 알아보겠습니다. 오늘은 버닝 트리의 데이비드 렐로와 함께합니다. 바로 시작하겠습니다. 오늘날 양자 컴퓨팅은 과대 광고, 위협, 기회 또는 이 세 가지 모두에 해당합니다. 작년 9월 블레클리 파크에서 버닝 트리의 데이비드 릴로와 저, 잉고 슈베르트가 함께 시작한 토론을 다시 한 번 살펴보고자 합니다. 그럼 바로 시작하겠습니다. 데이비드, 이번 에피소드에 오신 것을 환영합니다.

데이비드 렐로: 감사합니다

INGO SCHUBERT: 청중을 위한 혜택과 같은 관점에서 양자 컴퓨팅이 무엇인지 몇 마디로 설명해 주시면 전문가 수준에 도달할 수 있을 것 같습니다.

데이비드 렐로: 이론 물리학으로 들어가면 몇 명을 잃을 수도 있다고 생각하기 때문에 양자 컴퓨터를 보는 기본적인 방법부터 시작하겠습니다.

잉고 슈베르트: 네

데이비드 렐로: 양자 컴퓨터는 기존 컴퓨터와 다른 방식으로 작동합니다. 컴퓨터에게 명령을 내리는 것이죠. 양자 컴퓨터는 다르게 작동합니다. 양자 컴퓨터가 사용하는 것은 양자역학이며, 따라서 양자 역학의 다차원 세계에서 데이터를 보고 데이터를 봅니다. 데이터를 같은 방식으로 읽지 않기 때문에 가설을 세우고 동시에 여러 가지 구조를 살펴볼 수 있습니다. 마치 책을 읽을 때 기존 컴퓨터는 처음부터 끝까지 읽지만 양자 컴퓨터는 책을 읽으면서 데이터를 보는 것과 비슷합니다. 따라서 양자 컴퓨터는 정보를 훨씬 더 빠르게 처리할 수 있습니다. 그리고 문제를 풀 때도 문제를 순차적으로 풀려고 하는 것이 아니라 모든 문제를 한꺼번에 해결하는 것과 같습니다.

잉고 슈베르트: 네, 물론 알고리즘은 상당히 다릅니다. 그렇기 때문에 많은 사람들이, 그리고 저 역시 마찬가지입니다. 물론 실제로 어떻게 프로그래밍해야 하는지에 대해 어려움을 겪고 있습니다. 전통적인 IT 배경에서 볼 때, 저는 때때로 이것이 정말 다른 짐승이라는 것을 이해하는 데 도움이되는 것은 모든 비트와 같은 전통적인 컴퓨터라는 것입니다. 비트가 N개 있으면 N만큼의 데이터를 저장할 수 있습니다. 0, 1, 맞죠? 양자에서는 N의 거듭제곱에 2를 더한 양이 되므로, 기존의 인스턴트가 작동하면 이 경우에는 같은 양의 큐비트에 훨씬 더 많은 양이 저장되는 것과 같죠? 따라서 저장과 처리는 단지 다른 수준에 있습니다. 그렇지 않으면 며칠 동안 여기에있을 것이기 때문에 거기에 남겨 둘 것 같습니다. 기본 사항만 설명했습니다.

다음으로 살펴보고자 하는 주제는 양자 컴퓨팅의 현재 상태입니다. 지금 우리는 어디에 와 있을까요? 아마도 블레츨리 공원에서 우리를 지켜보신 분들이라면 우리가 어디에 있는지, 어디로 갈 것인지에 대해 다양한 의견을 가지고 계실 것 같습니다. 그럼 여러분부터 시작하겠습니다. 양자 컴퓨팅의 현재 상태는 어떤가요?

데이비드 렐로: 양자 컴퓨팅은 아직 초기 단계에 있다고 생각합니다. 그래서 많은 양자 컴퓨터가 나와 있고 실제로 양자 컴퓨터에서 시간을 고용하여 데이터를 볼 수 있습니다. 하지만 양자 컴퓨터가 개발되는 방식에는 여러 가지 문제가 있다고 생각합니다. 일부 양자 컴퓨터는 온도와 같은 측면에서 많은 제어가 필요합니다. 양자 컴퓨터는 절대 영도, 즉 영하 270도에서 작동하기 때문에 정말 춥습니다. 이를 위해서는 큰 시설과 큰 장비, 큰 에너지가 필요합니다. 그렇지 않으면 응집력을 잃고 플랫폼의 안정성을 잃게 됩니다.

초기 양자 컴퓨터는 이 문제로 인해 항상 소진되었습니다. 따라서 이는 해결하고 해결해야 할 문제입니다. 또 다른 문제는 양자 컴퓨터가 데이터를 동시에 보기 때문에 많은 노이즈가 발생한다는 것입니다. 성경과 같은 책을 처음부터 끝까지 읽지 않고 한 번에 읽어야 한다면, 머릿속에서 이해할 수 없는 이야기가 만들어질 것입니다. 그리고 메시지가 무엇인지 소화하고 이해하고 증류하는 것은 매우 어려워집니다.

따라서 시스템 내 노이즈로 인해 엄청난 양의 문제가 발생했습니다. 옥스퍼드에서는 오류 등급과 시스템 내 노이즈를 상당히 줄인 좋은 성과를 거둔 바 있습니다. 하지만 현재 가장 중요한 문제는 한 번에 얽힐 수 있는 큐빗의 양인데, 큐빗이 100 큐빗 정도를 초과하기 시작하면 큐빗의 응집력이 떨어지기 시작합니다. 따라서 실제로 정보를 처리하기 위해 한 번에 얽힐 수 있는 큐빗의 양은 제한되어 있습니다. 이는 곧 기계의 처리 능력과 용량이 제한된다는 것을 의미합니다.

따라서 아직 암호화와 관련된 양자 컴퓨팅이라고 부를 수 있는 수준은 아니지만 입증된 단계에 있습니다. 작동합니다. 과학자들이 말하는 대로 작동합니다. 이제 다음 단계로 나아가 더 많은 투자를 하는 것이 관건입니다. 몇 달마다 더 많은 발전이 이루어지거나 집중적인 투자가 이루어지고 있으며, 우리는 진전을 보기 시작했습니다.

잉고 슈베르트: 네, 맞습니다. 양자 컴퓨터를 비교해보면, 사진만 봐도 알 수 있죠? 5년 전과 지금을 비교해 보면, 5년 전에는 부분적으로 물리적 실험이라고 할 수 있지만, 5년 전에는 훨씬 더 물리적인 실험이었죠? 그런 것들의 물리적 설정 만 보면 그렇죠?

하지만 문제를 던지면 기존 컴퓨터보다 훨씬 빠르게 문제를 해결할 수 있는 것은 사실입니다. 그리고 그 중 하나가 바로 응집력이라고 말씀하셨죠. 네, 응집력의 기본은 일정 시간 동안 시스템을 안정적으로 유지할 수 있는지 여부입니다. 그리고 그것은 일반적으로 최대 초 단위로 측정됩니다. 예, 또는이 모든 칩에 포함 된 칩에 따라 밀리 초 단위로 측정됩니다. 그리고 이는 많은 경우에 유용하지 않은 시간입니다. 하지만 몇 가지 사용 사례는 의미가 있습니다. 양자 코프로세서처럼 생각하면 됩니다. 하지만 제가 가진 문제는 많은 사용 사례에서와 마찬가지로 엔비디아의 GPU 몇 개로 문제를 해결할 수 있을지 의문이라는 것입니다.

그래서 양자 컴퓨팅 분야에서도 여전히 많은 과대 광고가 계속되고 있습니다. AI 과대광고와도 약간 겹치는 부분이 있다고 생각합니다. 물론 그것이 과대광고라면 진짜라고 주장할 수도 있습니다. 하지만 요점은 많은 과대 광고와 많은 돈이 떠돌고 있다는 것입니다. 그 자금의 일부는 지금 출구 전략을 찾고 있다고 생각합니다. 그리고 양자 컴퓨팅은 매력적으로 보이죠? 그래서 그들은 거기에 많은 것을 쏟아 붓고 있고 근본적으로 이것이 과대 평가되고 그들이 무엇을 약속하는지에 대해 과대 평가되고 있으며 이것은 실제로 여기 스펙트럼을 가로 지르고 있습니다. 블레츨리 파크에서 저는 구글 윌로우 칩을 예로 들었는데, 구글은 실제로이 새로운 칩에 대한 보도 자료를 통해이 모든 오류를 크게 수정했으며 대중 언론에서도이 칩이 기존 컴퓨터가 10 분 안에 할 수있는 일을 5 분 안에 할 수 있다는 주장을 받았습니다. 35 년의 힘 네, 우주는 10 년의 25 배에 불과하기 때문에 놀랍습니다. 그리고 그것을 읽으면 그래, 아니요, 제대로 할 수 없습니다. 이 것이 5 분 동안 작동 할 수 있고 수백만 배나 할 수 없다면 그렇게 할 수 없다는 것과 같았습니다, 그런 식이죠. 그리고 크고 작은 여러 회사의 다른 보도 자료를 보면 달성한 성과를 과대 포장하는 경향이 약간 있습니다.

안타깝게도 이 때문에 지난 몇 년 동안 양자 컴퓨팅이 실제로 이뤄낸 일부 진전이 묻혀버렸다고 생각합니다. 그리고 이것이 바로 양자 컴퓨팅의 위협이 실제보다 훨씬 더 현실적으로 다가오고 있는 것처럼 보이게 만드는 부분이라고 생각합니다. 하지만 양자 컴퓨팅이 갑자기 나타나면 세상이 멸망할 것이라는 이야기를 하기 전에, 양자 컴퓨터의 장점은 무엇일까요? 그렇다면 양자 컴퓨터가 다른 어떤 것보다 훨씬 더 잘할 수 있는 것은 무엇일까요?

데이비드 렐로: 양자 컴퓨터가 현재 어느 단계에 와 있는지에 대해 말씀하신 것에 대해서도 답변해드리겠습니다. 저는 양자 컴퓨터의 측면에서 문제가 있다는 데 동의하지만, 양자 컴퓨터의 안정성을 실제로 달성하는 데는 현재 제시되고 있는 것보다 훨씬 더 가까워졌다고 생각합니다. 돌이켜보면 실제로 미래를 바라보는 가장 좋은 방법 중 하나는 역사를 살펴보는 것이라고 생각합니다. 제가 은행에서 일하던 젊은 시절에 메인프레임이 있었는데, 구식 IBM 메인프레임이었습니다. 메인프레임은 방 하나를 차지했죠. 큰 방이었죠. 작은 방이 아니었죠. 꽤 큰 방이었죠. 그리고 방을 가득 채웠죠. 이 메인프레임에는 밸브가 있었어요. 수냉 탱크가 세 개 있었어요 이 은행 지하에는 수영장이 있었어요. 엄청나게 컸죠. 그리고 불과 몇 년 전에 그 메인프레임의 펀치 카드 시스템을 교체했었죠.

지게차와 중장비가 필요했던 구형 메인프레임을 꺼낼 때는 물리적으로 메인프레임을 다시 장착할 수 없었기 때문에 실제로 일부 문을 잘라내야 했습니다. 그리고 이전보다 기하급수적으로 커진 랙과 메인프레임 컴퓨터로 교체했습니다. 지난 몇 년 동안 컴퓨터의 발전은 엄청나게 가속화되었습니다. 30년만 거슬러 올라가도, 40년만 거슬러 올라가도 엄청난 변화가 일어나고 있는 것을 알 수 있습니다.

잉고 슈베르트: 네.

데이비드 렐로: 현재 양자 컴퓨터는 초기 지표와 과학이 있지만, 냉각 시스템과 대형 장비가 필요하고 모든 종류의 장비가 필요하기 때문에 지하실에 탱크가 3개 있는 오래된 메인프레임과 비슷하게 느껴집니다. 엄청난 금액이 투입됩니다. 많은 투자가 이루어지고 있습니다. 그리고 이러한 문제는 해결될 것입니다. 그리고 우리가 생각하는 것보다 더 빨리 해결될 수도 있습니다. 그리고 현재 우리가 매달 보고 있는 발전은 우리가 점점 더 결속력에 가까워지고 있음을 시사하고 있습니다. 그래서 조금 더 가까워질 수도 있다고 생각합니다.

양자 컴퓨터가 실제로 어떤 사람들이 주장하는 것만큼 빠르지는 않지만 훨씬 더 빠르게 데이터를 처리할 수 있기 때문에 이전에는 해결할 수 없었던 문제를 살펴보고 해결할 수 있기 때문에 양자 컴퓨터가 등장한다면 정말 흥미로운 일이 될 것이라고 생각합니다.

이론 물리학에서 슈뢰딩거의 고양이라는 개념이 있는데, 그 고양이는 죽었나요, 살아있나요? 썩은 건가요? 죽었나요, 살았나요? 고양이의 상태는 어떤가요? 양자 컴퓨터는 실제로 고양이를 모든 가능성으로 보고 볼 수 있으므로 우리가 해결할 수 없었던 주요 문제를 해결할 수 있습니다.

잉고 슈베르트: 네, 그리고 의학이나 단백질 폴딩 같은 분야에서는 양자 컴퓨터가 기존 컴퓨터보다 확실히 우위를 점할 수 있을 것 같습니다. 그리고 일기 예보와 같이 처리해야 하는 방대한 양의 데이터가 있는 모든 것, 예를 들어 지질학적 데이터 등 컴퓨팅의 이점을 누릴 수 있는 사용 사례가 꽤 많이 있습니다.

자, 이렇게 다시 돌아오는 것이 더 빨리 당신의 요점은 그가 과거에 트랜지스터로 이런 일이 일어났다는 것이 다시 일어나는 직선이 아니기 때문에 그렇지 않다고 생각할 수 있으므로 지난번에 당첨되었다고해서 다음 번에 당첨되지 않는 것은 복권처럼 매번 0에서 시작하고 특히 응집력이있는 것은 아닐 수도 있습니다, 예를 들어 쇼의 알고리즘을 실행할 수 있는 범용 양자 컴퓨터가 되기 위해 몇 백 큐비트, 몇 천 큐비트를 이야기한다면 암호화에 위협이 될 수 있습니다. 수십만 큐비트라는 말씀이시죠? 그리고 그렇게 가는 도중에 어딘가에서 벽에 부딪힐 수도 있겠죠? 이러한 문제를 해결한다는 보장은 없습니다. 그럴 수도 있고, 실제로 그럴 수도 있지만 장담할 수는 없습니다. 동시에 양자 컴퓨터는 기본적으로 GPU 덕분에 전 세계적으로 컴퓨팅 성능이 엄청나게 증가한 환경에서 상업적으로 살아남아야 하죠? AI 덕분이죠. 예전에는 비트코인 열풍이 불었다면 지금은 AI가 대세입니다. 따라서 칩 설계의 근본적인 발전과 같은 발전이 없이는 불가능합니다. 네, 네, 칩이 작아지긴 했죠. 컴퓨팅 파워가 엄청나게 증가했기 때문에 이제 기본적으로 제한 요소는 전력입니다. 그래서 전력입니다.

이러한 환경에서 양자 컴퓨터는 살아남아야 합니다. 이제, 특히 암호 해독과 같은 경우에는 일부 정부에서 그렇게 할 것이라고 주장할 수 있습니다. 네, 그건 괜찮습니다. 그들은 돈이 충분하니까요. 그들은 그런 것에 신경 쓰지 않아요. 글쎄, 신경 써야 할지도 모르죠. 우리가 낸 세금인데 신경 쓰지 않는다고 가정해 봅시다.

완벽하게 작동하는 범용 양자 컴퓨터로 가는 길에는 실용적인 양자 컴퓨팅 사용 사례가 있습니다. 이는 분명한 사실입니다. 그렇지 않다는 말이 아닙니다. 그리고 좋은 사용 사례도 있습니다. 예를 들어 제약 연구에서의 단백질 폴딩을 들 수 있죠?

하지만 위협에 대해 이야기해 보죠? 전력 소비와 같은 것을 말하는 것이 아닙니다. 왜냐하면 오늘날에는 기존 장치에 그런 것이 있기 때문입니다. 내 말은, 특히 IT 보안에 대한 위협과 그 다음이 보안이죠? 쇼의 알고리즘을 언급했으니 이것이 무엇이고 보안에 어떤 영향을 미치는지 간단히 설명해야 할 것 같습니다.

양자 컴퓨터는 정보와 데이터를 훨씬 더 빠르게 처리할 수 있기 때문에 쇼의 알고리즘을 사용하여 암호화 키를 리버스 엔지니어링할 수 있기 때문에 암호화 관련 양자 컴퓨터가 있으면 몇 초, 몇 분 안에 키를 해독할 수 있습니다.

잉고 슈베르트: 네.

데이비드 렐로: 따라서 우리가 소비하고, 사용하고, 액세스하는 대부분의 데이터는 공격에 취약할 수 있습니다.

잉고 슈베르트: 네. 그래서 쇼르의 주장은, 앞서 말씀드린 것처럼, 수십만 개의 큐비트가 응집되어 일정 시간 동안 실행되어야 하기 때문에 오늘날 이를 실행할 수 있는 양자 컴퓨터가 없다는 것입니다. 따라서 몇 초라고는 하지만 요즘의 양자 컴퓨터에서는 몇 초도 문제가 됩니다. 따라서 RSA 알고리즘, 즉 개인 공개 키, RSA를 사용하지만 디피-헬만을 사용하고 타원 곡선, ECC를 사용하는 개인 공개 키가 실제로 본질적으로 깨지거나 무효화됩니다. 따라서 기본적으로 대중적이고 지난 수십 년 동안 사용되어 온 모든 것이 본질적으로 깨질 것입니다. 양자 컴퓨터가 등장하면 모두 깨질 것입니다. 물론 기존 컴퓨터는 여전히 늘 그래왔듯이 어려움을 겪을 것이므로 위협이 되지는 않습니다.

이 알고리즘이 깨지면 모든 곳에서 이러한 알고리즘이 사용된다는 뜻이죠? 예를 들어 전통적인 TLS, 웹 서버 통신, 클라이언트에서 웹 서버로의 통신, VPN, 이메일 서명, 전송되는 파일 암호화 등 모든 것이 RSA, ECC, 또는 Diffie-Hellman을 기반으로 하는 경우가 많죠? 따라서 실제로 재앙이라고 할 수 있습니다.

데이비드 렐로: 물론 그렇겠죠. 완전히 재앙이 될 것입니다. 더 많이 조사하고 실제로 더 많은 사용 사례를 살펴볼수록 더 많은 시스템이 실패할 것이라고 생각합니다. 전 세계적인 문제입니다. 금융 시스템에 대한 인증과 인증 같은 것들 말이죠. 심지어 비트코인 같은 것들도 해킹을 당합니다. 타원 곡선 암호화를 사용하는 비트코인이 손상될 수 있습니다. 그러면 그 결과 금융 시스템이 완전히 무너질 수 있습니다.

네, 정말 치명적일 수 있습니다. 일반적인 광범위한 사용 사례의 주요 문제뿐만 아니라 사람들이 항상 생각하지 않는 작은 덜 대중적인 문제에서도 볼 수 있다고 생각하기 때문에 IOT와 OT에 대해 이야기하기 시작하고 의료 기기 및 의료 장비에 대해 생각하기 시작할 때 이를 타협할 수 있는 능력을 볼 수 있다고 생각합니다. 인슐린 펌프를 착용하고 있는 사람을 예로 들어보겠습니다.

인슐린 펌프의 암호화를 해독할 수 있다면 누군가를 죽일 수 있습니다.

잉고 슈베르트: 네.

데이비드 렐로: 갑자기 이런 일의 배후에 있는 범죄가 기하급수적으로 더 커질 수 있다는 것이죠. 그리고 영화 마이너리티 리포트나 터미네이터와 같은 사례가 발생하기 시작합니다.

잉고 슈베르트: 이제야 말씀하시네요. 이제 막 흥미로워졌네요.

하지만 다시 양자 컴퓨터의 가용성으로 돌아와서, 하루아침에 이뤄지는 일이 아니기 때문에 하루아침에 이뤄지지는 않을 것입니다. 예를 들어 누군가 쇼의 알고리즘을 실행할 수 있는 20만 큐빗의 양자 컴퓨터를 마침내 얻었다고 가정해 봅시다. 보통은 100만 큐빗 정도입니다. 10만 큐비트 정도만 있으면 된다는 연구 결과도 있습니다. 갑자기 모든 사람이 양자 컴퓨터를 갖게 되는 것은 아닙니다. 양자 컴퓨팅에 접근할 수 있는 것은 소수의 정부와 연구 시설뿐입니다. 모든 사이버 범죄자가 양자 컴퓨팅에 접근할 수 있는 것도 아닙니다.

하지만 위협은 현실입니다. 2000년의 문제와 비슷하다고 생각합니다. 한동안 이러한 문제가 발생할 것으로 예상했지만, 이를 완화하기 위해 여러 가지 조치를 취했지만 별다른 효과가 없었습니다.

데이비드 렐로: 하지만 우리가 뭔가를 했기 때문이죠.

잉고 슈베르트: 맞습니다. 우리가 뭔가를 했기 때문이죠? 만약 우리가 아무것도 하지 않았다면 아마 큰 문제가 되었을 것이고, 우리가 뭔가를 했는데 괜찮아졌겠죠? 이 경우도 아마 이 경우와 비슷할 것이라고 생각합니다. 왜냐하면 할 수 있는 일이 있기 때문에 다음 작업으로 넘어갈 수 있기 때문입니다.

네, 그래서 우리는 얼마나 오래있을 것인지에 대해 동의하지 않을 수 있습니다. 그래서 이걸 던지는 것처럼 MITRE 보고서가 있었는데 미국의 정부 지원 연구 기관으로서 올해 초에 최근 보고서가 있었는데 그들은이 쇼의 알고리즘을 2040 년대 초반 아마도 2050 년대 초반에 넣었 기 때문에 바로 밀어 붙일 인센티브가 없었기 때문에 확실한 보고서 였지만 이것이 훨씬 빠르다고해도 2030 년대 이전이 될 것 같지는 않습니다. 기적이 일어나지 않는 한 그럴 가능성은 거의 없다고 생각합니다. 그렇다면 양자 대재앙에 대비하기 위해 지금 당장 무엇을 할 수 있을까요?

데이비드 렐로: 2050년보다는 훨씬 더 빨라질 것 같아요. 예측은 불가능한 일이기 때문에 저는 예측을 시도하는 것을 싫어합니다. 인간에게는 초자연적인 능력이 없기 때문에 미래를 예측하려고 하면 필연적으로 실패할 수밖에 없죠.

잉고 슈베르트: 그럼 2055년에 만나 봅시다. 같은 시간에요, 그래요, 그럼 이 얘기를 할 수 있겠네요. 제가 아직 내부에 있다면요.

데이비드 렐로: 물론이죠. 시작하죠. 같은 시간, 같은 장소에서요. 그렇게 하죠. 좋아요, 하지만 더 빠르면 어떻게 하면 그 이벤트를 축하할 수 있을지 생각해 봅시다. 기술이 발전할 때마다 획기적인 일이 일어나고, 어느 시점에 일어나기 때문이죠. 다음 주에 일어날 수도 있습니다. 10년 후에 일어날 수도 있고요. 저희도 모르죠. 하지만 과학이 있기 때문에 반드시 일어날 것이라고 확신합니다. 과학은 믿을 만합니다. 진짜예요. 해바라기 밭은 지금도 응집력을 유지할 수 있습니다. 상온의 들판에서 그 주변에서 일어나는 모든 일들이 안정적으로 유지되는 것이죠. 아래에서 뛰어다니는 동물과 공해 등 모든 것들. 해바라기 밭은 응집력을 가질 수 있습니다.

잉고 슈베르트: 맞습니다.

데이비드 렐로: 왜 많은 과학자들이 그렇게 하나요?

잉고 슈쿠버트: 네, 하지만 진화하는 데는 200만 년이 걸리죠? 그게 제 요점입니다. 저도 그 점에 동의하지만, 그들이 약간 앞서 나가고 있죠?

데이비드 렐로: 다시 본론으로 돌아와서, 우리가 가진 문제 중 하나는 블레클리 파크에서도 잠깐 언급했지만, 암호화 키 관리와 관련하여 현재 우리가 가진 관행과 모범 사례라고 할 수 있는 것은 많은 회사가 실패했다고 생각합니다. 예를 들어 몇 년 전 SSL 취약점이 발생했을 때 모든 사람들이 앞다투어 키를 교체하려고 했습니다. 그 덕분에 기업들은 TLS 키를 교체하는 방식에 있어 훨씬 더 민첩해졌고, 이는 환상적인 일이었습니다. 문제의 상당 부분이 해결된 것이죠. TLS 키에 민첩성이 있다면 키를 변경할 수 있다는 뜻입니다. 이 과정에서 모든 것이 제대로 작동하는지 확인하기 위해 몇 가지 테스트를 수행해야 할 수도 있습니다.

하지만 조직은 지금부터 인증 기관과 키를 발급하는 방법 및 TLS 수준에서 키를 교체하는 방법에 대해 생각할 수 있습니다. 그리고 그것은 괜찮습니다. 우리가 발견하는 문제는 조직에 들어가면 20~30개, 심지어 40%의 키가 이러한 방식으로 관리되지 않는다는 것입니다. 많은 하드웨어가 하드웨어 인프라에 키를 내장하고 있는 경우가 많고, 이러한 하드웨어 중 일부는 20년 동안 사용할 수 있으며, 하드웨어 내에서 키를 변경한다는 것은 하드웨어를 변경하는 것을 의미합니다.

특히 애플리케이션 자체에 키가 내장되어 있는 모놀리식 빌드 시대에는 코딩에 있어 잘못된 관행이 많았습니다. 그리고 우리가 생각하기 시작했을 때.

잉고 슈베르트: 제 말이 그 말인 것 같습니다. 이는 양자 컴퓨팅 여부와 관계없이 나쁜 관행이었습니다.

데이비드 렐로: 맞습니다. 그래서 우리가 Q-Day라는 아이디어를 생각하기 시작했을 때, Y2K에서는 날짜가 있었기 때문에 쉬웠습니다. 우리는 Q-Day와 날짜가 없습니다.

잉고 슈베르트: 아주 좋은 지적입니다.

하지만 내일이 될 수도 있고, 10년 후가 될 수도 있고, 그보다 훨씬 더 오래 걸릴 수도 있는 상황이 오면 조직의 상당 부분과 그 키를 쉽게 또는 쉽게 교체할 수 없는 상황이 발생하고 패닉에 빠지게 될 것입니다. 데이터가 손상되면 엄청난 규모의 문제가 발생하게 될 것입니다.

하지만 또 다른 문제는 제가 질문을 많이 받는 문제인데, 바로 ‘지금 수확하고 나중에 해독'이라는 위협입니다. 데이비드 캐머런 영국 총리가 중국에 의해 모든 데이터가 도난당했다는 유명한 말을 한 적이 있을 정도로 수년 동안 암호화된 데이터가 도난당하는 것을 보아왔지만, 이는 중요하지 않습니다. 암호화되어 있으니까요. 몇 년 전으로 거슬러 올라가면 지금 당장은 사실이지만, 양자 컴퓨터와 같은 기술을 고려할 때 이는 문제가 될 수 있습니다. 그리고 물론 데이터는 오래갑니다.

INGO SCHUBERT: 하지만 그 데이터 중 일부는 여전히 관련성이 있을 것입니다. 전부는 아니지만 일부분은요. 제 생각도 마찬가지입니다. 5년 후에 암호가 해독되더라도 누가 신경이나 쓰겠어요? 아니면 10년 후에라도요. 따라서 인증을 위한 많은 신원 데이터가 5년 또는 10년 후에 해독되더라도 그때는 이미 오래되었기 때문에 크게 신경 쓰지 않아도 된다고 주장할 수 있습니다. 하지만 전략적 데이터는 수십 년 후에도 해를 끼칠 수 있는 경우가 많죠? 그리고 꼭 국가일 필요도 없습니다. 일반 기업, 일반 기업일 수도 있습니다.

데이비드 렐로: 맞습니다.

잉고 슈베르트: 어떤 경우인가요?

데이비드 렐로: 저는 레거시 시스템이 있는 조직을 많이 방문합니다. 실제로 얼마 전까지 애플리케이션이 있는 조직에 근무한 적이 있었습니다. 소스 코드를 잃어버렸기 때문에 블랙박스로 취급하고 블랙박스로 취급했습니다. 그걸 만든 사람은 이미 오래 전에 떠났으니 건드리지 마세요. 넘어지면 전원을 켜거나 끄고 다시 켜고 기도하는 것밖에 할 수 있는 일이 없으니까요. 여러분이 할 수 있는 일은 아무것도 없습니다. 그리고 이 시스템은 매장의 모든 액세스, 매장의 모든 액세스를 제어합니다. 그리고 만약 해킹당하면, 해킹당하면 조직이 무너집니다.

잉고 슈베르트: 단일 장애 지점.

데이비드 렐로: 단일 장애 지점. 단일 장애 지점이 있는 조직이 엄청나게 많다는 것은 놀라운 일입니다. 조직은 ID 및 액세스 관리 인프라를 어떻게 현대화할지 고민해야 합니다. ID 및 액세스 관리에 대해 생각하기 시작하면 ID 및 액세스 관리는 모든 것으로 통하는 길입니다. 최근 독일을 비롯해 영국, 이탈리아 등지에서 발생한 랜섬웨어 공격에서 우리는 이를 확인할 수 있었습니다. 이러한 랜섬웨어 공격은 액세스 제어 시스템을 표적으로 삼고 있습니다. 액티브 디렉터리든, 앞서 설명한 시스템이든, 실제로 액세스를 손상시키고 조직을 다운시키고 통신을 중단시키고 액세스 기능을 중단시킬 수 있는 소프트하고 쉬운 표적이기 때문에 인증에서 이를 표적으로 삼고 있습니다. 이러한 맥락에서 ID 액세스 관리를 현대화하는 것이 가장 중요한 우선순위 중 하나가 될 것입니다.

잉고 슈베르트: 네, 맞아요. 어떻게 보더라도 말이 되니 반박하기 어렵습니다. 베어본 암호화 키 관리로 돌아가면 많은 고객이 자신이 무엇을 가지고 있는지 알지 못한다고 생각하죠? 어디를 암호화하는지, 키는 어디에 있는지, 디지털 서명은 어디에 하는지 제대로 파악하지 못하죠. 이런 개요 같은 게 없죠. 이것이 문제의 일부라고 생각하죠? 존재하지 않는 것을 알면 고칠 수 없으니까요. 많은 고객이 기본적인 사이버 위생에 어려움을 겪고 있습니다. 안타깝게도 제가 매일같이 겪는 일이죠? 오늘 아침에도 20년 된 RSA 소프트웨어를 실행하는 고객과 통화했는데, 20년 된 소프트웨어였죠?

데이비드 렐로: 와우.

INGO SCHUBERT: 실제로 지원팀에 전화가 왔는데 지원팀이 전화를 받을 수 없었고, 전화를 받던 지원 담당자가 그 소프트웨어가 나왔을 때 아마 유치원에 있었을 거라고 생각했죠? 그래서 제 요점은 이러한 기본적인 사이버 위생과 가시성을 확보하지 않는 한, 우선 퀀텀 레디 상태에 도달 할 수 없다는 것입니다. 예, Q-day에 대비할 준비가 된 상태입니다. 그것은 불가능에 가깝습니다.

또한, 제 생각에는 이런 문제를 해결하기 전까지는 양자 컴퓨팅에 대해 걱정할 필요가 없다는 것이죠? 어떤 소프트웨어를 실행하고 있는지 모르고 최신 상태로 유지하지 않으면, 예를 들어 포스트 양자 암호화를 구현하는 것처럼 당연히 공급업체가 이 문제를 해결해 주는 것에 의존하게 되니까요, 그렇죠?

하지만 소프트웨어가 새 버전으로 출시되고 멋진 양자 컴퓨팅 기능이 모두 포함되어 있는데도 설치하지 않으면 존재하지 않는 것이 되겠죠? 그리고 그렇게 한다고 해도, 예를 들어 데이터 관리와 같은 정책과 절차가 제대로 되어 있지 않다면 무슨 소용이 있을까요? 공격자가 헬프 데스크에 전화해서 입력을 요청할 수 있다면 양자 컴퓨터가 필요하지 않겠죠? 오늘은 필요하지 않습니다. 어제에도 필요하지 않았고요. 내일도 필요하지 않습니다. 정책이 올바르지 않은 경우 헬프 데스크에 전화하여 액세스 권한을 얻으면 됩니다.

따라서 양자 컴퓨터와는 전혀 상관없는 많은 일들이 잘못될 수 있고, 잘못되었고, 잘못될 것입니다. 그리고 제가 우려하는 것은 사람들이 이 양자라는 것, 이 Q-Day를 보면서 이 멋지고 반짝이는 장난감에 정신이 팔리는 것이죠? 반면에 그들은 해야 할 숙제가 너무 많은데, 아마 수십 년 동안 해보지 않은 숙제겠죠? 물론 여러분은 그렇게 해야 하고, 가시성을 확보하고, 패치를 적용하고, 절차를 수정해야 한다고 주장할 수 있습니다. 고객이 그렇게 하기 위해 양자 컴퓨팅이라는 위협이 필요하다면 그렇게 해야겠죠? 저는 행복할 수 있습니다.

하지만 한편으로는 양자 컴퓨팅이 장애물에 부딪히면 어떻게 될까 하는 생각이 들기도 합니다. 그리고 몇 년 동안은 실질적인 이점이나 발전이 없다가 2060세대가 '나는 머지않아 직장에서 사라질 테니 걱정할 필요가 없다'는 식의 접근 방식은 잘못된 것이니 어떻게든 해결해야 한다고 생각하죠.

몇 가지 지식을 알려드릴게요 네, 독일 철학자 엠마누엘 칸트 네, 이제 그 편집자를 자르지 마세요 네, 그건 케이예요 케이 -A -N -T 맞죠? 그래서 이제부터 엠마누엘이라고 부르기로 했어요.

그래서 18세기 독일의 철학자, 그는 많은 현명한 말을 했습니다. 하지만 제가 가장 현명하다고 생각하는 것 중 하나는 옳은 일을 하는 것이 옳은 일이기 때문에 옳은 일을 한다는 것이죠? 신 같은 존재에게 브라우니 포인트를 얻어서가 아니라 옳은 일이기 때문에 하는 것이죠. 옳은 일이기 때문에 하는 것이죠.

그리고 암호화 위치, 정책, 절차, 패치 등 암호화 방법에 대한 개요를 잘 파악하고 있다면 양자 컴퓨팅이 10년, 20년, 30년 후가 되든 상관없이 올바른 조치를 취하는 것이 좋습니다. 그건 중요하지 않습니다. 그렇게 해야 합니다. 지난 20년 동안 그렇게 해왔어야 합니다. 그게 핵심입니다. 여기서 우리는 동의하는 것 같아요. 네, 물론이죠. 양자 컴퓨팅이 어디에 있고 어디로 갈 것인지에 대해 서로 다른 의견을 가지고 있기 때문에 동의하지 않는다고 생각합니다. 하지만 퀀텀에 대비해야 한다고 말하는 고객이 있다면 당연히 그 노력이 헛되지 않습니다.

데이비드 렐로: 네, 절대 아닙니다. 제가 항상 도전받는 현실 중 하나는 대기업의 이사회와 재무 이사 등과 많은 시간을 보내면서, 기업은 제품이나 서비스를 공급하기 위해 존재하며, 물론 자선 단체가 아니라면 민간 부문에서 이익을 창출하기 위해 존재하기 때문에 그것이 옳은 일이라고 해서 실제로 돈을 쓰고 그것이 나에게 부정적인 수익을 준다는 생각은 금융 사람들이 실제로 깨닫기 어렵고 도전적인 것이기 때문입니다. 따라서 옳은 일이기 때문에 무언가에 투자하는 것은 철학적 논의에 가깝습니다. 저는 그것이 반드시 올바른 접근 방식이라고 생각하지 않습니다.

잉고 슈베르트: 네, 물론이죠.

데이비드 렐로: 물론 전적으로 동의하지만, 제가 믿는 신앙적 관점에서 보면 항상 옳은 일을 하고 싶다는 생각은 변함이 없습니다. 하지만 현실은 기업이 이를 위해 존재하지 않는다는 것입니다. 기업은 옳은 일을 하기 위해 존재하지 않죠. 때로는 조금 부도덕할 때도 있죠.

INGOSCHUBERT: 정말요? 그런 말은 처음 듣네요. 메모해 두겠습니다.

데이비드 렐로: 그래서 저는 여러분이 하는 일은 우리가 다른 방식으로 그것을 바라보는 것이고, 우리가 보고 있고 사람들이 공감하고 이해하는 현실 중 하나는 주어진 환경과 관련된 내 위험 노출이 무엇인지 측정하고 인식하고 깨닫는 것이며, 우리는 그것을 항상 이 세상에서 변화를 위한 사례를 어떻게 구축해야 하는지, 그리고 변화가 어떤 모습인지로 돌아가야 하는 가시적인 무언가와 연결시켜야 한다고 생각해요. 조직이 이 문제에 대한 답을 찾도록 돕기 시작했을 때 우리가 스스로 설정한 과제 중 하나는 양자 대비를 다루는 프레임워크가 실제로 없다는 것이었습니다. 전혀 없습니다.

그래서 저희는 표준을 만들었습니다. 우리는 표준을 작성하여 퀀텀을 바라보는 접근 방식에 대해 설명했습니다. NIST의 다양한 표준과 모범 사례, ISF 및 다양한 다른 것들을 사용하여 모델과 프레임워크를 만들어서 살펴볼 수 있도록 했습니다. 이를 통해 블랙박스 환경인 모든 액세스를 관리하는 ID 시스템과 같은 시스템을 예로 들었을 때, 이러한 시스템을 사용하면 어떤 위험에 노출될 수 있는지 살펴볼 수 있습니다. 그리고 거기에서 퀀텀을 완전히 제거할 것입니다. 내 위험은 무엇인가요? 내가 내 위험을 제대로 이해하고 있는가? 만약 그것이 다운되면 내 환경은 어떻게 될까요? 그리고 만약 내가 그 위험을 인식할 수 있다면, 나는 그것에 대해 뭔가를 해야 합니다.

INGO SCHUBERT: 그리고 이것은 결국 많은 기업이나 조직에서 일반적으로 누락되고 있는 적절한 리스크 관리입니다. 그리고 이는 양자 컴퓨팅 여부와 관계없이 실제로 수년 동안 수행되어야 했고, 지금도 수행되어야 합니다. 이것이 제 요점입니다.

물론 그것이 옳은 일이기 때문에 그렇게 하는 것은 아니겠죠? 재정적으로 납득하기 어려운 주장입니다. 저도 전적으로 동의합니다. 하지만 다른 모든 위협이 있기 때문에 그렇게 해야 하는 것 아닌가요? 그리고 다시 말하지만, 양자 컴퓨팅으로 인해 이 모든 것을 살펴보고 파악하고 적절한 위험 관리를 해야 한다는 개념을 판매해야 한다면, 제 추측이 맞겠죠? 저는 그것이 절대적으로 올바른 방법이라고 생각합니다. 그것이 서명을 받는 데 필요한 지렛대라면 당연히 그렇게 해야 합니다. 결국 양자 컴퓨팅이 30년 후의 일이더라도 지금 당장 혜택을 누릴 수 있기 때문입니다. 이러한 준비가 되어 있으면 현재도 보안을 유지할 수 있기 때문입니다. 돈을 낭비하는 것이 아닙니다. 네, 그래서 저는 그것이 바로 옳은 일이라고 생각합니다. 그리고 유럽에서도 몇 가지 권장 사항과 프레임워크가 있는데, 예를 들어 2026년까지, 솔직히 말해서 DORA 규정을 준수하려면 이미 준비해야 한다고 말합니다. 일부 사람들이 그렇게 하는 것을 보지 못하기 때문에 같은 것을 다시 보게 될 수도 있습니다. 따라서 2026년까지 가시성과 위험 관리, 그리고 고위험의 경우 2030년까지, 중저위험의 경우 2035년까지 어떤 형태로든 퀀텀 준비성을 확보해야 하겠죠? 그래서 아직 멀게 보이지만 이미 2025년 말, 우리가 이것을 기록할 때 출시는 2026년입니다.

이제 불과 몇 년밖에 남지 않았습니다. 그리고 대화의 처음으로 돌아가서 Y2K 문제를 보면 1999년에 시작하셨다면 아마 조금 늦은 것 같죠? 그러니 지금 당장 준비해야 합니다.

데이비드 렐로: 인간의 심리 측면에서 흥미로운 점이라고 생각되는 것 중 하나는 규제, 유럽 규제, 도라와 같은 것들입니다. 기업이 올바른 일을 하는 데 소홀하기 때문에 규제가 실제로 효력을 발휘합니다.

잉고 슈베르트: 네, 물론입니다.

데이비드 렐로: 그리고 그들이 옳은 일을 하지 않고 있기 때문에 의원들은 우리가 그것을 보지 않으면 나라에 큰 문제가 생길 것이라고 말합니다. 그래서 무언가를 해야 할 때 법이 작용합니다. 그래서 영국의 NCSC는 양자 관련 지침을 마련했습니다. 그리고 유럽에는 DORA가 있습니다. 그리고 슬프게도 브렉시트 때문에

잉고 슈베르트: 제가 가져오지 않은 것을 가져오셨군요.

데이비드 렐로: 회복탄력성 법안은 이제 막 검토를 시작한 단계입니다. 회복탄력성 법안은 공개적으로 의견을 수렴하기 위해 공개되었습니다. 현재 1호 법안이 공개되어 의견을 수렴하고 있습니다. 그래서 조만간 국회에서 법안 낭독이 있을 예정입니다. 이 문제에 대해 전 세계와 함께 논의할 수 있기를 바랍니다.

잉고 슈베르트: 미국만 빼고요. 미국은 마치 지도에서 보면 거친 곳처럼 보이죠. 네, 정말 그렇죠. 네, 미국 동료들과도 그렇게 이야기하는 것을 보면, 네, 우리에게는 정말 그런 것이 없죠? 그러나 전 세계 다른 곳에서는 회복력, 위험 관리가 규제 및 손실 측면에서 조금 더 성숙한 것 같습니다.

데이비드 렐로: 반드시 있어야 합니다.

잉고 슈베르트: 당연히 있어야죠? 그리고 여러분도 저만큼, 어쩌면 저보다 더 많은 정보를 가지고 있을 텐데, 그 중 몇 가지는 너무나 당연한 것, 즉 적절한 위험 관리가 필요합니다. 만약 그런 일이 발생하면 어떤 결과가 초래될지 알고 있어야 하죠? 물론 비즈니스가 돈을 벌고 있는데 무언가가 이를 방해하고 있다면 당연히 그래야 합니다. 그 이유와 해결 방법을 알아야 합니다. 그러나 그들은 법에 의해 강제되기 전까지는 그렇게하지 않습니다. 어떤 의미에서 옳은 슬픈 일입니다.

데이비드 렐로: 슬프게도 인간의 본성이 작용하죠. 하지만 위험을 보는 것이 어렵지 않고 위험 관리가 어렵지 않다는 것을 알기 때문에 어려움을 겪습니다.

잉고 슈베르트: 아니요, 하지만 시간이 걸립니다.

데이비드 렐로: 시간이 걸리긴 하지만 프로세스를 간소화하는 데 도움이 되는 다양한 기술이 시중에 많이 나와 있습니다. 컴퓨터는 프로세스를 자동화하도록 설계되었습니다. 컴퓨터가 있는 모든 이유는 실제로 무언가를 하기 위해 많은 사람이 수작업으로 처리해야 하는 프로세스가 있기 때문입니다. 컴퓨터를 사용하면 이 모든 프로세스를 자동화할 수 있습니다. 그리고 최신 시스템을 사용하면 더 많은 것을 자동화할 수 있습니다. 취약성 관리 같은 것을 예로 들 수 있습니다. 현대화된 환경이 구축되어 있고 취약성 스캔을 실행하고 있다면 기술 리스크가 무엇인지 비교적 잘 파악할 수 있습니다.

잉고 슈베르트: 네. 저희도 마찬가지입니다. ID 거버넌스. 결국 로켓 과학이 아니죠. 네, 물론이죠. 서로 다른 시스템을 모두 연결하고 규칙 등을 만들어야 할 수도 있습니다. 하지만 그런 다음 가시성을 확보하고 업무 분리, 규정 준수와 같은 관점을 갖게 됩니다. 그리고 네, 그것은 일입니다. 물론 비용과 시간 측면에서 투자가 필요하지만, 이를 통해 무언가를 얻을 수 있습니다.

데이비드 렐로: 네.

잉고 슈베르트: 맞습니다. 또한 사람들은 위험 관리가 실제로 이 보안에 모든 돈을 투자해서는 안 되는 것을 발견하거나 큰 영향을 미치지 않기 때문에 탄력적으로 만드는 반면, 다른 하나는 나쁜 일이 발생하면 실제로 더 많은 투자를해야하기 때문에 더 많은 것을 돌려받을 수 있다는 것을 깨닫지 못한다고 생각합니다. 리스크 관리를 제대로 하지 않으면 가시성을 확보할 수 없으므로 어떻게 올바른 결정을 내릴 수 있을까요? 따라서 사람들은 기본적으로 조직이 이를 수행하지 않음으로써 스스로를 해치고 있는 것이죠?

데이비드 렐로: ID 거버넌스는 실제로 이를 가능하게 하고 도움을 준다는 측면에서 큰 도움이 됩니다. 맞아요. 많은 조직과 ID에 대해 이야기할 때 ID는 보험 정책과 같이 보안을 위한 것이 아닙니다. ID는 인에이블러입니다. ID는 조직이 사람들의 액세스 방식을 보다 효율적이고 효과적으로 개선할 수 있도록 지원하는 실질적인 비즈니스 지원 도구입니다. 하지만 적시에 적절한 장소에서 적절한 액세스를 제공하고 이를 실제로 추진하는 거버넌스 모델을 갖추는 것이 중요합니다. 따라서 ITGC 제어 및 재무 시스템을 검토하기 시작하면 권한, 업무 분리, 그에 따른 의무에 대한 액세스 권한을 어떻게 만들어야 하는지 살펴볼 수 있습니다. 이러한 사항들은 새로운 것이 아닙니다. 수십 년 동안 회사법과 금융 규정에 명시되어 있습니다.

잉고 슈버트: 물론입니다.

데이비드 렐로: 이제 훌륭한 ID 거버넌스 시스템을 통해 이를 제어할 수 있는 기능이 있습니다. 그리고 현대화된 솔루션을 사용하면 실제로 매우 쉬워집니다. 사람들이 생각하는 것만큼 어렵지 않습니다.

잉고 슈베르트: 저희를 보세요. ID 보안 거버넌스에 대해 이야기하면서 퀀텀으로 시작했습니다. 하지만 그게 바로 요점입니다. 고객이나 일반 조직에서 '그래, 괜찮아'라는 식의 논의를 통해 문을 여는 것과 같다고 생각합니다. 양자 위협에 대해 이야기하지만 결국에는 양자보다는 다른 것에 대한 토론을 하게 되죠. 미래에 무슨 일이 일어나든 지금 당장 고칠 수 있고, 지금 고쳐야 한다는 식이죠.

데이비드 렐로: 기본적인 위생 개념입니다.

잉고 슈베르트: 바로 기본적인 위생 개념입니다. 이것이 바로 이 이야기를 마무리하는 완벽한 방법입니다. 데이비드, 고마워요. 정말 만날 때마다 몇 시간이고 이야기할 수 있을 것 같았어요. 정말 감사합니다. 그래서 양자 위협이 멀게 느껴질 수 있다고 생각합니다.

그럴 수도 있고 아닐 수도 있습니다. 하지만 이 대화를 통해 시청자들과 청취자들이 '오늘 당장 퀀텀에 대비하기 위해 어떤 일을 해야 할지 고민할 필요가 없다'는 생각을 가지셨으면 좋겠습니다. 전혀 나쁘지 않습니다.

현재 존재하는 위협으로부터 지금 당장 혜택을 받을 수 있는 것이죠? 그 혜택을 누리기 위해 20년을 기다릴 필요가 없습니다. 지금 바로 실현할 수 있습니다.

이것으로 양자 컴퓨팅과 신원 보안에 미치는 영향에 대한 오늘의 토론을 마무리하겠습니다. 공상 과학 소설 속 양자 미래와 조직은 실제 위험과 기회가 어디에 있는지 이해해야 합니다. ID 복원력과 조직이 미래를 대비하는 기술에 대한 더 자세한 인사이트를 원하시면 RSA.com을 방문하세요. 받은 편지함에서 더 많은 에피소드를 보고 싶으시다면 구독하는 것을 잊지 마세요. 참여해 주셔서 감사드리며 다음에 또 뵙겠습니다.