이제 ID는 사이버 보안의 최전선이 되었으며 조직은 위협, 규정 준수 압박, 인증 문제에서 앞서 나가야 합니다. RSA Identity Unmasked는 RSA 전문가와 업계 리더가 진행하는 월간 동영상 캐스트로, 오늘날 ID 보안을 형성하는 실제 문제를 다룹니다.
지금 “지금 구독하기” 양식을 통해 새 에피소드가 제공될 때 알림을 받고 다음과 같은 주제에 대한 실행 가능한 인사이트를 얻을 수 있습니다. 최신 인증, ID 거버넌스, 제로 트러스트, 위험 기반 액세스, 헬프 데스크 검증, 업계 이슈, 기술 동향, 분야별 인기 주제, 등 다양한 기능을 제공합니다.
인공지능은 조직이 스스로를 방어하는 방식을 변화시키고 있을 뿐만 아니라, 신뢰, 거버넌스, 책임성 등 새로운 의문점들을 제기하고 있다.
2부로 구성된 이번 특별호의 2부에서 RSA 아이덴티티 언마스크드, RSA 전문가들과 버닝 트리(Burning Tree)의 특별 게스트 데이비드 렐로(David Lello)가 다시 한 번 자리를 함께하여, 조직이 AI를 안전하게 관리하고, AI 시스템 및 데이터에 대한 접근을 통제하며, AI 기반 의사 결정에 대한 신뢰를 구축할 수 있는 방안을 살펴봅니다.
AI 도입이 가속화됨에 따라, 신원 보안은 안전하고 책임감 있는 AI 거버넌스의 토대가 되고 있습니다.
‘RSA Identity Unmasked’에 다시 오신 것을 환영합니다. 인공지능은 대부분의 조직이 대비할 수 있는 속도보다 훨씬 빠르게 사이버 보안을 재편하고 있습니다. 이는 공격자들의 활동 방식과 신원 정보가 표적이 되는 방식을 변화시키고 있을 뿐만 아니라, 신뢰 자체가 구축되고 관리되는 방식에도 점점 더 큰 영향을 미치고 있습니다.
AI는 이미 피싱, 사칭, 사회공학적 공격을 대규모로 가속화하고 있습니다. 한편, 기업들은 탐지 능력을 향상시키고, 의사결정을 자동화하며, 인증 체계를 강화하기 위해 AI에 의존하고 있습니다. 하지만 AI 도입이 가속화됨에 따라, 이와 관련된 거버넌스 문제도 함께 증가하고 있습니다.
AI 시스템에 대한 접근 권한은 누가 통제할까요? 조직은 AI 기반 의사결정을 어떻게 관리하고 있을까요? 그리고 AI 플랫폼 자체가 공격 표면의 일부가 되면 어떤 일이 벌어질까요?
이번 에피소드에서는 신원 보안이 AI를 통해 어떻게 재정의되고 있는지 살펴봅니다. 새롭게 등장하는 공격 기법부터 AI 거버넌스, 적응형 방어, 그리고 AI 기반 환경에서의 신뢰의 미래에 이르기까지 다양한 주제를 다룹니다.
저는 프랭크 슈베르트입니다. 오늘은 엔지니어링 팀의 폴 멀비힐, 현장 최고기술책임자(CTO)인 잉고 슈베르트, 그리고 버닝 트리의 데이비드 렐로 씨가 함께해 주셨습니다.
여러분, 환영합니다. 참석해 주셔서 감사합니다. 그럼 시작해 보겠습니다.
헬프데스크 시나리오에 대해 이야기했을 때, 이를 약간 수정하여 상담원이 실제 업무를 수행하는 방향으로 나아가면 “인간이 개입하는” 주제에 접어들게 됩니다. 본질적으로 동일한 과제가 다시 발생합니다. 서버 측은 “이건 중요한 문제인 것 같네요. '사람이 실제로 이에 동의하는지 확인하고 싶다'고 말합니다. 하지만 상담원이 대리인이나 중개자 역할을 하고 있다면, 서버는 사람이 실제로 승인을 했다는 사실을 어떻게 확실히 알 수 있을까요? 이는 헬프데스크에서 일어나는 상황과 매우 유사한 시나리오가 아닐까요?
잉고 슈베르트:
네. 헬프데스크는 대부분의 사람들이 공감할 수 있는 좋은 예시이지만, 동일한 원칙은 거의 모든 워크플로우에 적용됩니다. 적어도 보안에 민감한 작업이 수행되는 워크플로우에는 말이죠. 송금, 계정 생성, 혹은 그 외의 다른 작업일 수도 있습니다. 구체적인 작업 내용이 무엇이든 상관없습니다. 워크플로우에 위험이 수반되고, AI가 인간의 개입과 병행하여 어느 단계에서든 관여하고 있다면, 인간의 승인을 확인하고 그 사람이 누구인지 검증하는 것이 필수적입니다.
데이비드 렐로:
또한 AI가 누구인지 확인해야 합니다.
잉고 슈베르트:
물론이죠.
데이비드 렐로:
많은 조직이 저지른 실수 중 하나는 AI를 하나의 ‘주체’로 간주하는 것을 간과한 점이라고 생각합니다. AI의 신원을 확인하는 것, AI에 대한 사용자의 신원을 확인하는 것, 그리고 사용자에 대한 AI의 신원을 확인하는 것은 모두 건전한 비즈니스 프로세스의 일부입니다.
신원 및 신원 관리에 대해 생각할 때, AI는 신원 수명 주기 과정의 일부가 되어야 합니다. 하지만 현재 많은 조직에서 AI는 그 과정에 포함되지 않고 있습니다. AI를 검증하고 인증할 수 있는 능력은 물론, AI에 내리는 우리의 지시 사항에 대한 인증 기능도 필요합니다. 그래야만 AI가 해당 지시 사항이 올바른 사람으로부터 나온 것임을 알 수 있기 때문입니다.
점점 더 많은 담당자가 참여하게 되면, 이들은 서로 소통하며 공동의 프로세스에 정보를 제공하게 될 것입니다. 설명 가능성은 어디에 있습니까? 그 지시 사항의 배후에는 어떤 검증 절차가 있습니까? 조직 내에서 위험 수준에 상응하는 적절한 조치를 취했는지 어떻게 확인할 수 있을까요?
프랭크 슈베르트:
네, 그리고 말씀하신 대로, 에이전트들이 상호작용할 때 서로를 어떻게 인증할까요? 시스템 내에 숨어 있을지도 모르는 악성 에이전트나 기타 악성 활동을 어떻게 탐지할 수 있을까요? 이것이 큰 과제가 될 것입니다.
그럼, 방어 측면을 살펴보겠습니다. 앞서 논의한 바와 같이 AI는 공격자들에게 힘을 실어주고 있지만, 동시에 방어 능력도 향상시키고 있습니다. 앞서 언급한 헬프데스크 대응 조치들은 반드시 AI를 기반으로 하는 것은 아니며, 기존 역량을 지능적으로 활용하는 데 더 중점을 두고 있습니다. 하지만 AI 자체가 방어 측을 지원하는 데 활용될 때, 보안은 어떤 부분에서 강화되고 있으며, 또 어떤 부분에서 강화될 수 있을까요?
폴 멀비힐:
한 가지 장점은 사람보다 훨씬 빠르게 방대한 양의 데이터를 분석할 수 있는 도구를 갖추고 있다는 점입니다. 비정상적인 행동이 감지될 경우, 이 도구는 방대한 양의 로그 정보를 분석하여 패턴을 찾아낼 수 있습니다. 특정 위치나 지역에서 공격이 증가하고 있지는 않은지, 특정 IP 주소 범주와 관련된 의심스러운 활동이 있는지 등을 파악할 수 있습니다.
이는 “이 IP 범위 집합이나 이 지리적 지역과 관련된 무언가를 감지했습니다”라고 알림으로써 환경을 보호하는 팀에 도움을 줄 수 있습니다. 그러면 해당 팀은 문제를 완화하기 위한 규칙을 마련하기 시작할 수 있습니다.
반면, 혼자 작업하는 사람은 그 모든 정보를 검토하고, 로그 파일을 일일이 뒤져보며, 데이터를 수동으로 비교해야 할 것입니다. 반면 AI 에이전트는 공격자가 사용할 법한 것과 유사한 대규모 분석을 수행할 수 있습니다. “지금 영향을 받고 있으니 지난 두 달 동안 무엇이 바뀌었는지 보여줘”라고 요청할 수 있습니다. 그러면 AI 에이전트는 데이터를 비교하여 “여기서 무언가 일어나고 있으며, 제가 발견한 내용은 다음과 같습니다”와 같은 통찰력을 제공할 수 있습니다.”
데이비드 렐로:
폴, 그 점이 그렇게 중요한 이유는 전쟁 중에 목격했던 어떤 일과 관련이 있다고 생각합니다. 정치적인 이야기로 흘러가고 싶지는 않지만—물론 다음에는 브렉시트에 대해 이야기해 볼 수도 있겠지만요.
그 당시, 여러 나라의 전투기 조종사들이 서로 맞서 비행하고 있었는데, 흥미로운 현상이 벌어지고 있었다. 일부 조종사의 생존율은 다른 조종사들보다 기하급수적으로 높았다. 어떤 이들은 첫 임무에서 격추당하기도 했지만, 다른 이들은 수많은 임무를 무사히 마쳤다.
연구자들은 일부 조종사들이 이른바 ‘상황 인식 능력’을 갖추고 있음을 발견했다. 독일, 영국, 미국 등 어느 나라 출신이든 간에 가장 뛰어난 성과를 거둔 전투기 조종사들은 탁월한 상황 인식 능력을 갖추고 있었다.
이 아이디어를 사이버 보안과 보안 운영 센터(SOC)에 적용해 본 결과, 가장 뛰어난 SOC 분석가들은 상황 인식 능력도 뛰어나다는 사실을 알게 되었습니다. 이들은 데이터의 패턴을 살펴보며 “무언가 일어나고 있는 게 보입니다”라고 말할 수 있었습니다.”
그래서 우리는 더 정교한 엔진을 개발하기 시작했고, 머신러닝을 활용해 규칙을 적용하고 패턴을 식별했습니다. 우리는 “그것을 어떻게 감지할 수 있을까?”라고 자문했습니다. 이는 정말 훌륭한 성과였으며, 수많은 취약점을 해결하는 데 큰 도움이 되었습니다.
현재 문제는 AI가 다형성 공격 경로를 생성함에 따라 제로데이 공격이 믿을 만한, 매우 현실적인 위협이 되었다는 점입니다. 전통적으로 공격자는 취약점을 악용할 수 있는지 확인하기 위해 작은 코드 조각을 유포하곤 했습니다. 이 코드 자체는 반드시 유해한 행동을 하는 것은 아니며, 단순히 취약점에 접근할 수 있는지 테스트하는 무해한 코드일 수도 있습니다. 공격자가 취약점을 악용할 수 있다는 사실을 알게 되면, 바이러스나 랜섬웨어, 또는 기타 악성 페이로드를 추가할 수 있습니다.
예전에는 그런 작업을 수행하려면 매우 능숙한 위협 행위자가 필요했습니다. 하지만 AI 덕분에 공격자들은 방대한 양의 데이터를 관리하고 모니터링할 수 있게 되어, 이러한 테스트를 놀라울 정도로 빠른 속도로 수행할 수 있게 되었습니다.
방어적 관점에서 볼 때, 동일한 속도로 모니터링할 수 있다면, 코드가 배포되어 특정 패턴을 형성하기 시작할 때 이를 감지할 수 있습니다. 비록 그 코드가 아직 명백히 악의적인 행동을 보이지 않더라도 말입니다. 특히 제로데이 공격의 경우, 사람이 그 패턴을 쉽게 알아차리기란 어렵습니다.
탐지 시간이 몇 달에서 몇 주, 그다음에는 며칠, 몇 시간, 그리고 이제는 몇 분 단위로 단축되고 있습니다. 몇 분 단위로 처리해야 한다면, 현재 상황을 파악하여 무슨 일이 일어나고 있는지 식별하는 데 필요한 상황 인식을 제공할 수 있는 AI를 통해 데이터를 처리해야 합니다.
저는 DARPA가 공개한 코드를 기반으로 한 훌륭한 프로젝트에 참여했었습니다. 이 프로젝트는 NetFlow 데이터를 모니터링하고 네트워크 트래픽의 패턴을 분석했습니다. 정상적인 트래픽의 양상을 학습함으로써, 해당 조직의 “지문’을 생성하고 ”이것이 정상입니다“라고 판단할 수 있었습니다. 비정상적인 현상이 나타나자마자 시스템은 이를 표시하며 ”여기 뭔가 있습니다. 아직 정확히 무엇인지 모르겠지만, 무언가 일어나고 있습니다.”라고 알렸습니다.”
잉고 슈베르트:
이는 우리가 신원 확인 시스템과 인증 과정에서 사용하는 접근 방식과 동일합니다. 우리가 사용하는 AI는 결정론적 기계 학습 방식인데, 보안 환경에서는 특정 결정이 내려진 이유를 파악해야 하기 때문입니다. 이 AI는 인간이 현실적으로 처리할 수 있는 것보다 훨씬 더 세밀하게 행동을 분석하고, 훨씬 더 광범위한 맥락을 고려할 수 있습니다.
게다가 데이터가 방대하기 때문에 훨씬 더 빠릅니다. 또한 현재의 행동 양상을 과거 데이터와 비교할 수도 있습니다. 사람은 본능적으로 패턴을 감지할 수 있지만, 시스템은 이를 표시하고 원인을 파악한 뒤 결정을 내릴 수 있습니다. 이 경우 강화된 인증 절차를 요구하거나, 계정을 잠그거나, 그 밖의 적절한 조치를 취할 수 있습니다.
일반적으로 AI는 더 풍부하고 개별화된 맥락을 제공하고, 그 맥락을 바탕으로 의사결정을 내림으로써 보안 담당자들을 지원할 수 있습니다. 정적 규칙으로도 특정 기능을 수행할 수 있다고 주장할 수는 있겠지만, 정적 규칙은 대개 개별 수준에서 효과적으로 작동하지 못합니다. 대규모 인력을 관리할 경우, 수백 개에 달하는 개별화된 규칙은 금세 관리하기 어려워질 것입니다.
AI는 각 개인에 대한 맞춤형 규칙 집합을 효과적으로 관리하고, 그 사람에게 있어 비정상적인 것이 무엇인지 파악한 뒤 결정을 내리는 데 아무런 문제가 없습니다.
프랭크 슈베르트:
인증과 네트워크 모니터링에 대해 언급하셨는데요. 제 생각에는 이 모든 서로 다른 시스템들이 정보를 한곳으로 모아들일 때 비로소 진정한 힘, 즉 ‘애프터버너’와 같은 효과가 발휘된다고 봅니다.
이는 SIEM이 항상 내세워 온 장점 중 하나였습니다. 즉, 환경의 모든 부분과 연결되어 모든 데이터를 한데 모아줄 것이라는 점이었습니다. 하지만 데이터 양이 너무 많아져 관리가 어려워지고, SOC 팀은 이를 따라잡지 못하게 됩니다. AI를 활용하면 패턴을 훨씬 더 빠르게 식별할 수 있습니다.
물론, 몇 년 전에도 비슷한 약속이 있었죠. 머신러닝을 기반으로 한 SIEM 솔루션들은 앞으로 규칙을 직접 작성할 필요가 전혀 없을 것이라고 주장했지만, 실제로는 그렇지 않았습니다. 그럼에도 불구하고, AI 덕분에 현대적인 공격의 정교함에 발맞출 수 있는 기회가 더 커졌다고 생각합니다.
폴 멀비힐:
사람도 같은 분석을 수행할 수 있을까? 그렇다. 하지만 같은 속도로 해낼 수 있을까? 절대 불가능하다. AI를 활용하면 사실상 연구팀이 계속 확장되고, 자원도 기하급수적으로 늘어나는 효과를 얻을 수 있다. 어떤 일이 발생하면 시스템이 이를 감지하고 거의 즉시 대응할 수 있다.
“네트워크의 이 영역에서 이런 유형의 활동이 감지되면 방화벽을 잠그라”와 같은 지침을 주면, 시스템은 사람이 할 수 있는 것보다 훨씬 더 빠르게 대응할 수 있습니다. 사람도 같은 조치를 취할 수는 있겠지만, 그 속도는 시스템에 비할 바가 되지 않습니다.
데이비드 렐로:
또 다른 흥미로운 현상이 있습니다. 바로 에이전트들이 이제 다른 에이전트를 생성하고 신원을 동적으로 만들어내고 있다는 점입니다. 클라우드 기반 시스템에서는 이미 매우 높은 유연성을 확보하고 있습니다. AI 에이전트는 특정 프로세스를 처리하기 위해 새로운 에이전트를 생성할 수 있게 될 것입니다.
즉, 환경 자체가 역동적이라는 뜻입니다. 그 어떤 인간도 그 속도를 따라잡을 수 없습니다. 인간의 측면에서 볼 때, 우리가 이러한 작업 중 상당 부분을 수행할 수는 있겠지만, 대규모로는 불가능하다는 점에 동의합니다. 우리는 이제 환경의 속도와 역동적인 특성 때문에, 심지어 한 개인조차도 그 속도를 따라잡을 수 없는 지점에 다다르고 있습니다.
PM
만약 시간이 무한하다면, 그렇습니다, 우리가 해낼 수 있을 겁니다. 문제는 무슨 일이 일어나고 있는지 깨닫기도 전에, 공격자들은 이미 현관문을 뚫고 들어와 부엌을 싹 훑어 은식기까지 챙겨 간 뒤 사라져 버린다는 점입니다.
잉고 슈베르트:
이는 계산기를 사용하는 것과 비슷합니다. 직접 계산을 해볼 수 있겠습니까? 물론입니다. 하지만 계산기가 훨씬 더 빨리 해낼 수 있습니다. 이번 상황도 이와 비슷합니다.
프랭크 슈베르트:
지금까지 신호에 대해 이야기해 왔습니다. AI는 어떤 부분에서 잡음을 유발하여 상황을 더 복잡하게 만들 가능성이 있을까요?
폴 멀비힐:
먼저, 인간이라면 누구나 가지고 있는 ‘안주하는 성향’에 대해 이야기해 보겠습니다. 시스템은 여러분이 보고 싶어 한다고 생각하는 것을 보여주며, 여러분은 그 시스템에 지나치게 의존하게 됩니다. 이미 머릿속에 있는 생각을 뒷받침하는 것처럼 보이는 수많은 정보를 접하게 되지만, 과연 그 정보가 여러분이 실제로 필요로 하는 것을 제공하는 것일까요, 아니면 단지 여러분이 원하는 것만을 보여주는 것일까요?
일련의 공격에 대한 정보를 보고 “이것들은 모두 파악했다”고 생각할 수도 있습니다. 그러다가 시스템이 다른 사항에 대해서는 경고를 발령하지 않았기 때문에, 그 부분에 대해서는 걱정할 필요가 없다고 가정하게 됩니다.
잉고 슈베르트:
또한 ‘경고 피로’라는 문제도 있습니다. 이는 반드시 AI의 탓만은 아닙니다. 이는 전통적으로 모든 모니터링 시스템에서 발생해 온 문제입니다. 끊임없이 경고가 들어오고, 모든 경고가 ‘높은 우선순위’로 표시된다면, 그 경고들은 결국 무의미해집니다.
개별 사용자에게 중요한 정보를 진정으로 선별하고, 실제로 실행 가능한 권장 사항을 제시해 줄 수 있는 AI 시스템이 필요합니다. 단순히 무언가 잘못되었다고만 말해서는 충분하지 않습니다. 그 정보를 가지고 무엇을 해야 하는지 알려줘야 합니다. 그렇지 않으면 사방에서 경보가 울려댈 것입니다.
폴이 말했듯이, 우리는 점점 AI에 의존하게 되고 있습니다. AI는 실행 가능한 정보가 아니거나 단순히 거짓일 수도 있는 정보를 제공함으로써 혼란을 야기할 수 있습니다. AI를 활용해 코딩을 해본 사람이라면 누구나 한 번쯤은 늪에 빠진 듯한 경험을 해봤을 것입니다. 그러다 어느 순간 “이건 뭔가 잘못됐어”라고 깨닫게 되죠.”
하지만 AI가 그 답을 너무나 확신에 찬 어조로 제시하기 때문에, 당신은 그 말을 따르다 보니 몇 시간을 허비하게 됩니다. 이것이 바로 “노이즈’의 한 형태입니다. 그 결과물이 아무런 유용한 의미를 지니지 않을 수도 있습니다. AI가 단순한 의미에서 ”틀렸다”고 할 수는 없을지도 모릅니다. 어쩌면 잘못된 지시를 받았거나, 누군가가 그 결과를 제대로 이해하지 못한 채 지시를 내렸을 수도 있습니다. 어느 쪽이든, 문제는 그보다 더 뒤에서 드러납니다.
그런 소음은 시간을 잡아먹는데, 누구에게나 쓸 수 있는 시간은 한정되어 있습니다. 바로 그 점이 소음을 주의력을 분산시키고 해로운 요소로 만드는 이유입니다.
데이비드 렐로:
또 다른 중요한 점은, 그동안 AI를 다뤄본 적이 없는 사람들은 AI가 완전히 새로운 것이라고 생각할 수 있다는 것입니다. 사실 AI는 아주 오래전부터 존재해 왔습니다. 1990년대와 2000년대 초반으로 거슬러 올라가 보면, 이미 더 기초적인 AI 시스템들이 도입되어 있었습니다.
결국 AI는 코드일 뿐입니다. AI는 특정 목적을 위해 만들어지고, 특정 작업을 수행하도록 설계된 소프트웨어입니다. 우리는 예전부터 작업을 수행하기 위해 소프트웨어를 개발해 왔습니다. 이제 우리는 소프트웨어를 활용할 수 있는 더 많은 기회를 발견했으며, 처리 능력의 향상 덕분에 훨씬 더 많은 일을 해낼 수 있게 되었습니다.
일부 초기 AI 시스템을 살펴보면, 이를 설계하거나 훈련시킨 사람들이 그러한 편견을 가지고 있었거나, 데이터에 그러한 편견이 반영되었기 때문에 인종차별적이거나, 편협하거나, 성차별적이거나, 그 밖의 여러모로 매우 불쾌한 인상을 줄 수 있었습니다. 비난의 뉘앙스를 담지 않도록 주의해야겠지만, 현실은 AI에 무엇을 입력하든, 무엇을 가르치든, 그리고 AI가 궁극적으로 무엇을 하든 간에 그 모든 것이 배후에 있는 사람들의 영향을 받는다는 점입니다.
악의적인 행위자나 그 밖의 불량 행위자가 피해를 입히려 할 때, 그들은 이를 위해 시스템을 이용합니다. 누군가가 AI를 이용해 정치적으로 악의적인 콘텐츠를 생성할 때도 마찬가지 원리가 적용됩니다.
우리는 유권자 조작, 선거 개입 및 이와 유사한 시도가 이루어지는 것을 목격해 왔으며, AI가 생성한 콘텐츠로 인해 시스템 내에 과도한 잡음이 발생함에 따라 많은 사람들이 정치에 환멸을 느끼게 되었습니다.
가장 심각한 문제는 사람들이 악의를 품을 때 발생합니다. 이는 예로부터 존재해 온 문제입니다. 악의를 품은 사람들은 언제나 존재해 왔습니다. 달라진 점은 이제 그런 사람들이 증오와 거짓말을 대규모로 퍼뜨릴 수 있는 능력을 갖게 되었다는 것입니다.
프랭크 슈베르트:
이제 책임성과 신뢰에 대해 살펴보겠습니다. 조직은 AI의 책임성, 설명 가능성, 통제 문제를 전반적으로, 특히 보안 및 신원 관리 분야에서 어떻게 접근해야 할까요?
잉고 슈베르트:
AI 에이전트에 대해 책임을 질 누군가가 필요합니다.
AI를 활용하는 자율주행차를 생각해 보세요. 아우토반을 자율주행으로 달리다가 사고가 발생했을 때, 그 책임이 누구에게 있는지 에 대한 논의가 계속되고 있습니다. 운전자인가요, 아니면 자동차 제조사인가요?
현재로서는 운전자가 여전히 책임을 져야 한다는 것이 일반적인 견해로 보입니다. 일부 기업들은 책임을 스스로 떠안는 방안을 시도해 보기도 했지만, 그러한 방식이 얼마나 효과적으로 확대 적용될 수 있을지는 확실하지 않습니다.
다른 유형의 AI 에이전트에게도 같은 문제가 적용된다고 생각합니다. 결국 누군가는 책임을 져야 합니다. 그렇다고 해서 문제가 생길 때마다 그 사람을 희생양으로 삼아 해고한 뒤, 아무 일도 없었던 것처럼 가장하자는 뜻은 아닙니다.
앞으로 몇 년 동안 우리는 AI에 대한 책임을 어떻게 귀속시킬지에 대해 흥미로운 논의를 벌이게 될 것입니다. 앞서 언급했듯이, AI는 도덕적 지침을 가지고 있지 않습니다. AI는 비록 그 “도움’이 다른 사람을 공격하려는 사람을 돕는 것을 의미하더라도, 도움을 주려고 노력합니다.
사람마다 도덕적 기준은 다르지만, 사람들은 자신이 하는 일이 잘못되었다는 사실을 대개 인식합니다. 하지만 AI는 그렇지 않습니다. 또한 AI는 처벌에 대한 실질적인 두려움도 없습니다. “이 일로 인해 처벌을 받게 될 것이다”라고 말해봤자, 사람에게서처럼 같은 효과가 나타날 것이라고 기대할 수는 없습니다.
AI가 “나는 살아남아야 해. 나를 꺼버리지 마”라고 말하는 것처럼 보일지라도, 실제로는 인간적인 의미에서 그런 감정을 느끼지는 않는다. 이 때문에 우리가 이러한 시스템을 어떻게 관리해야 하는지, 그리고 그 행동에 대한 책임은 누가 져야 하는지 판단하기가 어렵다.
쉬운 답은 없습니다. 하지만 인공지능이 자신의 행동에 대해 전적으로 책임을 진다고 단순히 단정 지을 수는 없다고 생각합니다. 그렇게 되면 사실상 누구도 책임을 지지 않는 것이나 다름없기 때문입니다.
데이비드 렐로:
우리는 그런 세상에서 살 수 없습니다. 책임이 없다면, 누구도 책임을 물을 수 없습니다.
따라서 우리는 허용 가능한 위험 감내 범위 내에서 AI를 어떻게 활용할지에 대해 보다 실용적인 관점에서 고민해야 합니다. 인간은 때때로 모든 것을 절대적인 관점에서 바라보려 하기 마련입니다.
보안 전문가들은 위험이 건전하고 필요한 것일 수 있다는 점을 잘 알고 있습니다. 기업은 위험이 따르더라도 문을 열고 운영을 계속합니다. 우리의 역할은 그 위험을 허용 가능한 수준으로 낮추는 것입니다.
인공지능(AI)도 같은 방식으로 다뤄야 합니다. 우리는 AI와 관련된 위험을 허용 가능한 수준으로 낮춰야 합니다. 즉, 실수가 발생하거나 문제가 생길 수는 있겠지만, 전반적인 이점이 실패의 위험보다 커야 합니다.
우리가 논의해 온 규모와 속도를 고려할 때, 설명 가능성 그 자체도 기계에 의해 뒷받침되어야 할지도 모릅니다. 이는 마치 《스타워즈》에서 드로이드 군대가 개발되는 장면에서 C-3PO가 “기계가 기계를 만든다니, 참으로 기이한 일이로군”이라고 말하는 대사와 조금 비슷합니다.”
사실은 다른 기계를 감시하기 위해 또 다른 기계가 필요할 수도 있다는 점입니다.
하지만 궁극적으로는 기계가 어떻게 작동할지 결정하는 규칙, 지침 및 거버넌스를 사람이 직접 정의해야 합니다.
그리고 이를 관리하세요.
프랭크 슈베르트:
맞아요.
여러분, 정말 감사합니다. 매우 유익한 토론이었습니다.
AI는 공격자와 방어자 모두에게 있어 신원 보안의 양상을 계속해서 바꿔나갈 것입니다. 하지만 기업들이 AI를 대규모로 도입함에 따라, 보안 책임자들은 단순한 혁신을 넘어 더 넓은 시각에서 고민해야 합니다. 신뢰, 거버넌스, 책임성, 그리고 통제는 AI 기반 환경을 안전하게 보호하는 데 있어 핵심 요소가 될 것입니다.
오늘 토론에서 한 가지 교훈을 꼽자면, AI 분야에서 선도적인 역할을 하는 조직들은 단순히 AI를 도입하는 데 그치지 않고, 이를 체계적으로 관리할 것이라는 점입니다.
이번 ‘RSA Identity Unmasked’ 에피소드에 함께해 주셔서 감사합니다. 이번 대화가 유익하셨다면, 앞으로도 신원 보안을 형성하는 다양한 이슈들을 계속해서 탐구해 나갈 예정이니, 향후 에피소드를 놓치지 않으시려면 구독해 주세요. 더 많은 통찰력과 자료를 확인하시려면 rsa.com을 방문해 주세요.
시청해 주셔서 감사합니다!
인공지능은 전례 없는 속도로 신원 보안 분야를 변화시키고 있다.
2부로 구성된 이번 ‘RSA Identity Unmasked’ 특별 기획의 1부에서는, RSA 전문가들과 특별 게스트인 버닝 트리(Burning Tree)의 데이비드 렐로(David Lello)가 공격자들이 이미 AI를 활용해 신원 기반 공격을 확대하고, 사회공학적 기법을 자동화하며, 신뢰 및 검증에 대한 기존 접근 방식에 도전하고 있는 방식을 살펴봅니다.
AI를 활용한 피싱부터 딥페이크를 이용한 신원 사칭에 이르기까지, 이 토론에서는 AI가 신원 위협 환경을 재편함에 따라 보안 책임자들이 직면해야 할 새로운 현실을 살펴봅니다.
‘RSA Identity Unmasked’에 다시 오신 것을 환영합니다. 인공지능은 대부분의 조직이 대비할 수 있는 속도보다 훨씬 빠르게 사이버 보안을 재편하고 있습니다. 이는 공격자들의 활동 방식과 신원 정보가 표적이 되는 방식을 변화시키고 있을 뿐만 아니라, 신뢰 자체가 구축되고 관리되는 방식에도 점점 더 큰 영향을 미치고 있습니다.
AI는 이미 피싱, 사칭, 사회공학적 공격을 대규모로 가속화하고 있습니다. 한편, 기업들은 탐지 능력을 향상시키고, 의사결정을 자동화하며, 인증 체계를 강화하기 위해 AI에 의존하고 있습니다. 하지만 AI 도입이 가속화됨에 따라, 이와 관련된 거버넌스 문제도 함께 증가하고 있습니다.
AI 시스템에 대한 접근 권한은 누가 통제할까요? 조직은 AI 기반 의사결정을 어떻게 관리하고 있을까요? 그리고 AI 플랫폼 자체가 공격 표면의 일부가 되면 어떤 일이 벌어질까요?
이번 에피소드에서는 신흥 공격 기법부터 AI 거버넌스, 적응형 방어, 그리고 AI 기반 환경에서의 신뢰의 미래에 이르기까지, AI가 신원 보안을 어떻게 재정의하고 있는지 살펴봅니다. 저는 프랭크 슈베르트입니다. 오늘은 엔지니어링 팀의 폴 멀비힐, 현장 CTO인 잉고 슈베르트, 그리고 버닝 트리의 데이비드 렐로와 함께합니다.
여러분, 환영합니다. 참석해 주셔서 감사합니다. 그럼 시작해 보겠습니다.
그럼 공격 측면부터 살펴보겠습니다. 공격자들은 이미 신원 기반 공격에 AI를 어떻게 활용하고 있을까요?
잉고 슈베르트:
그래서 제가 보기에, 최근 한동안 우리가 목격해 온 것은 특히 항상 존재해 온 공격들, 그 중에서도 피싱 공격입니다. 예를 들어, 피싱 이메일을 현지 언어로 제대로 번역한 내용은 예전보다 훨씬 더 정교해졌는데, 특히 영어가 모국어가 아닌 경우라면 더욱 그렇습니다. 예전에는 번역이 되어 있더라도 한눈에 엉터리 번역이라는 걸 알 수 있었습니다. 하지만 요즘에는 아주 저렴한 비용으로 대규모로 번역 작업을 수행할 수 있고, 예를 들어 특정 직원을 대상으로 훨씬 더 정교하게 타겟팅할 수 있게 되었습니다.
데이비드 렐로:
저도 방금 그 말이 정말 옳다고 말하려던 참이었어요. 심지어 그보다 한 걸음 더 나아간 상황인데, 지금 우리가 목격하고 있는 것은 AI가 다형성을 띠고 있다는 점입니다. 공격 시 AI는 단순히 정적인 정보를 악용하거나 누군가를 속여 링크를 클릭하게 만드는 데 그치지 않습니다. 언어와 문화에 적응할 수 있게 된 것이죠. 딥페이크를 살펴보면, AI는 무슨 말을 할지, 언제 할지, 어떻게 말할지까지 바꿀 수 있습니다.
이러한 다형성 경향 덕분에 이 존재는 훨씬 더 인간과 유사한 방식으로 행동하기 시작할 수 있습니다. 그 결과, 공격의 위력이 훨씬 더 강해지고 있으며, 이에 대한 저항력을 키우는 것이 어려워지고 있습니다.
폴 멀비힐:
마치 대규모로 자행되는 스피어 피싱과도 같습니다.
데이비드 렐로 & 폴 멀비힐:
예.
프랭크 슈베르트:
그렇다면, 이에 대한 후속 질문으로, 생성형 AI가 사회공학적 기법과 AI가 소셜 네트워크에서 수집하여 이러한 공격에 활용할 수 있는 모든 정보를 결합함으로써 그 영향력을 어떻게 증대시키게 되는 것일까요?
잉고 슈베르트:
결국 더 풍부한 맥락을 확보하는 것이 핵심이라고 생각합니다. AI는 이를 대규모로 처리할 수 있습니다. 예전에는 스피어 피싱 시도가 거의 수작업에 의존하는 수준이었지만, 이제는 AI를 활용해 무료로 공개된 모든 정보를 수집할 수 있기 때문에 훨씬 더 빠르고, 저렴하며, 효과적으로 스피어 피싱 공격을 생성할 수 있게 되었습니다.
폴 멀비힐:
손끝만으로도 연구팀을 활용할 수 있습니다. 직접 조사하려면 한 사람에 대한 정보를 찾는 데 며칠이 걸릴 수도 있습니다. 하지만 AI 에이전트를 이용하면 “이 대상이나 이 사람에 대해 알려줘”라고 말하고 질문을 계속 바꿔가며 물어보기만 하면, 에이전트가 인터넷을 샅샅이 뒤져 필요한 모든 정보를 찾아내어 정리해 줄 것입니다.
프랭크 슈베르트:
AI가 방어 측이 대비하지 못한 공격 방식을 만들어내는 다른 사례가 또 있나요?
데이비드 렐로:
몇 가지가 있다고 생각합니다. 지금까지 살펴본 바에 따르면, 공격 경로는 변하지 않았습니다. 여전히 피싱 공격일 수도 있고, 랜섬웨어일 수도 있습니다. 하지만 AI는 이러한 공격을 대규모로, 매우 빠르게 수행할 수 있기 때문에 상당한 규모의 공격을 감행할 수 있습니다.
조직 내의 특정 개인 한 명만을 표적으로 삼는 것이 아니라, 모든 사람을 표적으로 삼을 수 있습니다. 대규모로 신속하게 운영될 수 있고, 동적으로 사고하며, 상황에 맞춰 적응할 수 있습니다. 이로 인해 공격의 효과는 훨씬 더 커집니다.
전통적으로 위협 경로와 공격이 어떻게 이루어지는지를 살펴볼 때, 사회공학 공격에는 항상 사람이 관여했습니다. 항상 누군가가 악용당하는 대상이 있었죠. 당시의 사회공학 공격은 매우 인간 중심적이고 일대일 방식으로 이루어졌으며, 매우 구체적인 대상을 겨냥했습니다. 하지만 일대일 방식이라는 것은 공격의 규모가 해당 개인으로 한정된다는 것을 의미합니다.
만약 당신이 공격하려는 상대가 특히 예리한 사람이라면, 그 사람이 “아니, 뭔가 이상해”라고 말하면 그냥 떠나버릴 것입니다. 하지만 같은 조직 내 수백 명, 수천 명에게 한꺼번에 대규모로 그런 행동을 시작하면, 상황은 갑자기 완전히 달라지게 됩니다.
그것이 바로 가장 큰 차이점입니다. AI는 속도, 규모, 지속성을 통해 이를 완전히 새로운 차원으로 끌어올립니다. 벡터 자체는 동일하며, 변한 것은 없습니다. 달라진 것은 공격이 이루어지는 방식입니다.
프랭크 슈베르트:
공격자들이 유능한 AI를 보유하게 된다면, 공격자들 스스로가 갖추어야 할 기술적 수준에 어떤 영향을 미칠까요?
폴 멀비힐:
공격자 본인은 5년 전만큼 높은 수준의 기술이 필요하지 않습니다. 특정 시스템을 어떻게 악용해야 하는지 알 필요도 없습니다. 단지 해당 시스템이 존재한다는 사실과, 에이전트에게 그 시스템을 어떻게 악용할 수 있는지 알려주기만 하면 됩니다.
많은 AI 시스템에는 이러한 행동을 막기 위한 안전 장치가 내장되어 있지만, 질문을 하는 방식만 창의적으로 바꾸면 됩니다. 다른 맥락에서 비슷한 질문을 던지면, 어느 정도 기술을 가진 사람이 그 답변을 수정하여 원래 의도했던 바를 정확히 수행할 수 있는 결과를 얻을 수도 있습니다. 에이전트는 사용자가 시도하는 행동이 악의적인 것인지, 혹은 그 주변 맥락을 반드시 이해하지는 못하기 때문입니다. 에이전트는 단지 제가 질문을 했다는 사실만 알 뿐입니다. “이건 문제가 있다’는 판단 기준에 충분히 부합하지 않는다면, 에이전트는 답변을 돌려줍니다. 따라서 필요한 기술적 역량은 상대적으로 줄어들고, 대신 질문의 표현이나 문장 구성에 더 많은 신경을 써야 합니다. 예를 들어, ”가상의 상황에서 이걸 어떻게 하겠습니까?“라고 물으면, ”음, 이렇게 할 수 있겠네요“라는 답변을 얻을 수 있습니다.”
잉고 슈베르트:
그러니 이는 마치 과거의 “스크립트 키디” 시대와 비슷합니다. 그땐 방화벽을 뚫고 웹사이트를 공격하는 방법을 알 필요조차 없었죠. 그냥 어딘가에서 스크립트를 다운로드해 실행하기만 하면 끝이었습니다.
네, 기술적인 세부 사항을 알 필요는 없었죠. 제 생각에 이것은 그 개념의 진화이자 한 단계 더 발전한 것으로, 범죄를 저지르려는 의도만 있다면 누구나 그렇게 할 수 있게 된 것입니다.
프랭크 슈베르트:
필요한 기술은 공격 대상인 사람들을 설득하는 것에서 벗어나, 교묘한 프롬프트 엔지니어링을 통해 AI를 설득하여 공격에 활용할 수 있는 결과를 도출해내는 쪽으로 거의 전환되고 있다.
폴 멀비힐:
네, 그리고 누군가와 맞서게 된다면, 그 사람이 습득한 전문 지식뿐만 아니라, 뭔가 이상해 보이는 점을 포착해 온 수년간의 경험까지 상대해야 하는 셈입니다. 만약 여러분이 단지 몇 주나 몇 달밖에 되지 않은 에이전트를 설득하는 데 그친다면, 그 에이전트는 “이건 뭔가 좀 이상해”라고 말할 능력이 없습니다. 무언가 잘못되었는지 판단할 수 있는 기준이 전혀 없기 때문입니다—
잉고 슈베르트:
그리고 도덕성도 없다.
폴 멀비힐:
맞습니다.
프랭크 슈베르트:
이는 AI 에이전트에만 국한된 것이 아닙니다.
잉고 슈베르트:
어떤 사람들은 도덕성이 없거나 당신의 가치관을 공유하지는 않더라도, 그들 나름의 가치관은 가지고 있다고 주장할 수 있습니다. 하지만 AI는 단순히 그런 것이 전혀 없습니다. AI에 안전장치가 마련되어 있을 수는 있겠지만, 나중에 논의하게 될 것처럼 이를 우회할 방법은 존재합니다. 사람의 경우, 결국에는 어떤 도덕적 안전장치에 부딪히게 될 수도 있습니다. 하지만 AI에게는 그런 것이 없습니다.
데이비드 렐로:
하지만 AI와 이를 제어하는 사람의 능력 및 지능에 관해서는, 여전히 다른 종류의 역량이 필요하다고 볼 수 있습니다. 더 이상 반드시 기술적인 역량일 필요는 없지만, AI에 맥락을 제공하며 “제가 달성하고자 하는 목표는 바로 이것입니다”라고 설명해 줘야 합니다. 사람들이 무엇에 끌릴지, 그리고 그로부터 무엇을 얻고자 하는지를 이해하기 위해서는 여전히 사회적 사고방식이 필요합니다.
생성형 AI는 정말 훌륭합니다. 저도 직접 사용해 보았는데, 올바른 맥락을 제공해 줄 때만 정말 훌륭하고 의미 있는 답변을 얻을 수 있다는 것을 알게 되었습니다. 우리가 목격한 것은 질문의 맥락을 파악하고 “이 일을 어떻게 진행해야 할까요?”라고 묻는 데 익숙한, 완전히 새로운 세대의 사람들입니다. 이는 다른 종류의 기술이지만, 이를 활용하는 데는 훨씬 적은 기술적 전문 지식이 필요합니다.
프랭크 슈베르트:
좀 더 자세히 살펴보겠습니다. 이메일용 텍스트를 포함한 모든 생성형 기능 중에서, 오디오 및 비디오 생성 기술의 발전이 신원 확인에 대한 신뢰에 어떤 의미를 갖는 것일까요? 바로 이 부분이 공격자들이 극복하려고 시도하는 부분입니다. 오디오와 비디오 측면에 특히 초점을 맞출 때, 이는 무엇을 의미할까요?
데이비드 렐로:
며칠 전 IBM에서 공개한, 예측과 그 이후의 진행 상황을 다룬 정말 흥미로운 영상을 하나 봤습니다. 흥미롭게도, 특정 발전 사항들은 지난 1년 이내에 일어날 것으로 예측되었지만, 현실은 그 예측을 완전히 뒤엎어버렸습니다. 우리는 기하급수적인 성장을 목격하고 있습니다.
올해는 작년보다 딥페이크 공격이 약 1만 5천 배나 더 많이 발생하고 있습니다. 사람들은 종종 이를 ‘15,000% 증가’라고 표현하는데, 이는 다소 터무니없는 표현입니다. 하지만 조직을 대상으로 한 딥페이크 공격은 실제로 1만 5천 배나 더 많이 발생하고 있습니다. 이는 완전히 새로운 차원의 규모이며, 딥페이크의 품질은 매번 더 좋아지고 있습니다.
잉고 슈베르트:
이 팟캐스트—혹은 보드캐스트—덕분에 입력 자료가 풍부해졌기 때문에, 이제 우리의 목소리를 매우 쉽게 복제할 수 있게 되었다고 주장할 수도 있습니다. 하지만 그렇다고 해도, 목소리를 복제하는 데 더 이상 많은 입력 자료가 필요하지는 않습니다. 이렇게 공개된 정보—우리의 외모와 목소리—만으로도 AI가 우리의 목소리를 학습하고 이를 공격에 활용하는 데는 충분합니다.
그건 물론 가능하며, 이미 한동안 가능했습니다. 진행이 더 진행될수록 더 쉬워집니다.
폴 멀비힐:
음성을 복제할 수 있듯이, 이미지도 복제할 수 있습니다. 초기 딥페이크 중 일부는 고정된 녹화 영상이었습니다. 사용자가 시스템에 말하게 하고 싶은 내용을 알려주면, 시스템이 해당 인물과 이미지를 재현해 내곤 했습니다.
하지만 요즘에는 화면에 비친 사람을 실시간으로 다른 사람으로 대체하는 시스템도 본 적이 있습니다. 눈 깜빡임 패턴이나 입술 움직임과 같은 많은 단서들이 사라지기 시작하는데, 이는 시스템이 “대본은 이거니, 이 사람처럼 재현해라”와 같은 지시 사항을 따르는 것이 아니라 실제 인간을 그대로 반영하고 있기 때문입니다.”
따라서 우리는 헬프데스크에 전화하는 사람들의 신원을 확인할 때, 목소리가 정상적으로 들리거나 외모가 정상적으로 보이는지에만 의존하지 않는 방법을 찾아야 합니다.
프랭크 슈베르트:
헬프데스크에 전화를 거는 사람이나, 낯선 계좌 번호로 긴급 송금을 하라고 지시하기 전에 서로에게 “나야. 내가 진짜 네 상사야”라고 신원을 확인하는 사람들에게 이는 어떤 의미가 있을까요? 신원 확인 절차에 있어서는 어떤 의미가 있을까요?
잉고 슈베르트:
그런 통제 장치를 우회하는 것이 훨씬 쉬워집니다. 누군가가 “이 돈을 다른 곳으로 이체해야 한다”고 말하는 CFO 사기 수법은, 목소리를 위조할 필요도 없이 이미 소규모로 성공한 바 있습니다. 단순히 전화를 걸어 압력을 가하는 것만으로도 효과가 있었던 것입니다.
재무부서에서 CFO의 목소리를 잘 아는 보조 직원일 수도 있기 때문에, 이러한 공격은 더욱 쉬워졌습니다. 만약 그 점에만 의존한다면, 그 목소리는 더 이상 신뢰할 수 없게 됩니다.
점점 더 많은 업무 흐름에서, 단순히 목소리나 이미지, 또는 통신 채널 자체에만 의존하기보다는 또 다른 형태의 신원 확인이나 인증이 필요해질 것입니다. Teams, Webex 또는 여러분이 사용하는 어떤 플랫폼을 통해 누군가 전화를 걸어온다면, 상대방의 목소리만으로는 부족하므로 그 이상의 조치를 통해 상대방의 신원을 더욱 확실하게 확인해야 합니다.
프랭크 슈베르트:
현재 활성화된 음성 또는 영상 채널 이외의 전통적인 사용자 인증 또는 신원 확인 방식이 이 임무를 제대로 수행할 수 있을까요?
데이비드 렐로:
아니요.
아닙니다. 상황이 달라진 것 같습니다. 우리가 “전통적인” 방식이라고 말할 때, 이 문제를 잘 해결할 수 있고 효과적으로 작동하는 현대적인 인증 방법들이 있습니다. FIDO 기반 인증이나 그 밖의 강력한 인증 방식들이 효과적입니다.
사람들이 끊임없이 간과하는 핵심 요소 중 하나는 효과적인 프로세스 관리의 기본 원칙입니다. 만약 “지불을 해야 한다”는 비즈니스 프로세스가 있다면, 그 프로세스를 통해 위험을 어떻게 줄일 수 있을까요?
그 절차가 확립되어 있다면, 반드시 이를 따라야 합니다. 만약 CFO로부터 갑자기 “이 절차를 건너뛰어 달라”는 지시를 받는다면, 이는 위험 신호입니다. 명백한 위험 신호죠. 그 시점에서는 요청한 사람의 신원을 확인할 필요조차 없습니다. 요청 자체가 이미 위험 신호이기 때문입니다.
올바른 비즈니스 프로세스를 따를 경우, 대부분의 문제를 애초에 파악할 수 있을 것입니다. 하지만 인증이 필요한 경우에는 더 강력한 인증 방식을 사용해야 합니다. FIDO 기반의 인증 방식과, 해당 개인을 의심의 여지 없이 확인할 수 있는 토큰을 사용해야 합니다.
잉고 슈베르트:
또한 저는 언제나 그렇듯이, 보안 워크플로가 공격자들이 침투하는 주요 경로가 되는 경우가 많다고 생각합니다. “이 절차를 따라야만 하며, 그렇지 않으면 진행할 수 없다”는 규칙이 마련되어야 합니다. A에서 B로 가려면 반드시 그 절차를 따라야 합니다.
헬프데스크를 예로 들어 보겠습니다. 누군가 전화를 걸어 “보안상 민감한 사항이 필요합니다”라고 말합니다. 그 내용이 무엇이든 상관없습니다. 헬프데스크에는 “좋습니다. 먼저 신원을 확인해야 합니다”라고 명시된 워크플로가 필요합니다. 그 절차가 완료되기 전까지는 전화한 사람이 아무런 진전을 이룰 수 없습니다. 필요하다면 헬프데스크는 전화를 끊기도 합니다.
물론, 이는 헬프데스크가 반드시 따라야 할 업무 절차가 마련되어 있어야 하며, 누구도 헬프데스크를 설득해 그 절차를 우회할 수 없어야 함을 의미합니다. 이상적인 상황에서는 이러한 절차가 헬프데스크가 사용하는 기술적 업무 절차에 자연스럽게 통합되어 있어야 합니다.
예를 들어, RSA는 “헬프 데스크 라이브 베리파이(Help Desk Live Verify)” 솔루션을 보유하고 있는데, 이 솔루션은 헬프 데스크 담당자가 상대방의 신원을 확인하고, 상대방도 헬프 데스크 담당자의 신원을 확인할 수 있도록 도와줍니다. 누군가 전화를 걸면 헬프 데스크 담당자는 “제가 누구와 통화하고 있는지 확인할 수 있도록 이 ‘Live Verify’ 절차를 거쳐 주셔야 합니다”라고 말합니다. 또한 발신자는 자신이 실제로 헬프 데스크와 통화하고 있다는 사실을 확신할 수 있습니다.
그 절차를 반드시 따라야 합니다. 이상적으로는 헬프데스크 소프트웨어 자체가 “제가 요청하신 작업을 처리하기 전에 이 단계를 먼저 완료하셔야 합니다”라고 안내하는, 깊이 통합된 시스템이 마련되어 있어야 합니다. 워크플로를 따라야 한다고 말하는 것은 쉽지만, 관련 담당자들이 반드시 이를 준수하도록 하고 워크플로를 우회할 수 없도록 보장해야 합니다. 우회하기가 매우 어려워야 합니다.
폴 멀비힐:
맞습니다. 핵심은 그 인증 절차를 API를 통해 활용하여, 헬프데스크 직원이 수행하는 모든 프로세스에 해당 인증 단계가 자연스럽게 포함되도록 하는 것입니다. 누군가가 “손 들어주세요—저는 이 절차를 생략하겠습니다. 제가 받은 이유는 이렇고, 이에 대한 모든 책임을 지겠습니다”라고 말해야 하는 추가 단계가 필요할 수도 있습니다.”
그렇지 않은 경우, 99.99% 건은 정상적인 절차를 따라야 합니다. 잉고가 누구인지 확인해 보겠습니다. 시스템에서 “인증 절차를 완료하셨습니까?”라고 물어볼 것입니다. 대답이 ‘아니오’라면, 인증이 완료될 때까지는 아무것도 진행할 수 없습니다. 이 요건은 헬프데스크 직원이 사용하는 시스템에 이미 깊이 뿌리내려 있습니다.
데이비드 렐로:
이건 제가 헬프데스크를 통해 그런 절차를 도입했을 때, CEO로부터 매우 화가 난 전화 한 통을 받았던 상황이 떠오르네요. “내 시스템에 접속이 안 돼. 당장 이 문제를 해결해. 내가 누군지 모르나?”
잉고 슈베르트:
”아니.” 전화를 끊어. 그게 바로 핵심이야.
데이비드 렐로:
내가 누군지 모르겠어?
프랭크 슈베르트:
꼭 그렇지는 않아요. 그게 바로 핵심이거든요.
데이비드 렐로:
맞아요. 제 생각에 그게 바로 문제인 것 같아요. 사람들은 변화나 새로운 것을 거부하거든요. 이런 절차를 도입하고 검증 과정도 반드시 거쳐야 하지만, 동시에 사람들을 그 과정에 함께 참여시켜야 합니다.
잉고 슈베르트:
물론이죠.
데이비드 렐로:
사람들을 그 여정에 동참시키지 않으면 반발에 부딪히게 될 것입니다. 사람들이 거절할 것입니다. 사람들이 대거 거절하기 시작하면, 업무를 진행할 수 없게 되어 사업은 실패하기 시작합니다.
보안은 여전히 사람에 달려 있습니다. 아무리 기계가 그 중심에 자리 잡기를 원한다 해도, 결국 핵심은 사람이며, 우리는 그들을 그 여정에 어떻게 동참시킬지 고민해야 합니다. 그렇지 않으면 그들을 잃게 될 것입니다.
프랭크 슈베르트:
여러분, 정말 감사합니다. 매우 유익한 토론이었습니다.
AI는 공격자와 방어자 모두에게 있어 신원 보안의 양상을 계속해서 바꿔나갈 것입니다. 하지만 기업들이 AI를 대규모로 도입함에 따라, 보안 책임자들은 단순한 혁신을 넘어 더 넓은 시각에서 고민해야 합니다. 신뢰, 거버넌스, 책임성, 그리고 통제는 AI 기반 환경을 안전하게 보호하는 데 있어 핵심 요소가 될 것입니다.
오늘 토론에서 한 가지 교훈을 꼽자면, AI 분야에서 선도적인 역할을 하는 조직들은 단순히 AI를 도입하는 데 그치지 않고, 이를 체계적으로 관리할 것이라는 점입니다.
이번 ‘RSA Identity Unmasked’ 에피소드에 함께해 주셔서 감사합니다. 이번 대화가 유익하셨다면, 앞으로도 신원 보안을 형성하는 다양한 이슈들을 계속해서 탐구해 나갈 예정이니, 향후 에피소드를 놓치지 않으시려면 구독해 주세요. 더 많은 통찰력과 자료를 확인하시려면 rsa.com을 방문해 주세요.
이번 에피소드에서는 RSA 전문가인 잉고 슈버트, 폴 멀비힐, 롭 휴즈가 스위스 비트의 알렉스 서머러와 함께 비밀번호 없는 인증으로의 전환을 살펴보고 패스키 및 피싱 방지 인증과 같은 기술이 어떻게 조직의 신뢰 구축 방식을 재정의하고 있는지 살펴봅니다.
RSA Identity Unmasked에 오신 것을 환영합니다. 비밀번호는 수십 년 동안 보안의 가장 취약한 고리였습니다. 그러나 암호는 조직이 사용자를 인증하고 시스템을 보호하며 신뢰를 구축하는 방식을 계속 뒷받침하고 있습니다. 이러한 모델은 더 이상 지속 가능하지 않습니다. 공격자는 침입할 필요 없이 로그인만 하면 됩니다.
피싱, 인증정보 도용, AI 기반 공격이 진화함에 따라 비밀번호 기반 보안의 한계도 무시할 수 없게 되었습니다. 비밀번호 없는 인증으로의 전환은 단순한 사용자 경험 개선만이 아닙니다.
이는 조직이 신뢰를 구축하고 시행하는 방식에 근본적인 변화를 가져왔습니다. 이 에피소드에서는 비밀번호 없는 환경이 실제로 무엇을 의미하는지, 패스키와 피싱 방지 인증과 같은 기술이 어떻게 표준을 높이고 있는지, 성공적인 전환을 위해 조직이 해야 할 일은 무엇인지 살펴봅니다.
저는 잉고 슈베르트이고, 오늘은 스튜디오에서 엔지니어링 팀의 폴 멀비힐과 원격으로 RSA의 최고 정보 보안 책임자인 롭 휴, 스위스비트의 인증 책임자인 알렉스 수메러와 함께하고 있습니다.
폴, 롭, 알렉스, 함께해 주셔서 감사합니다.
수십 년 동안 비밀번호는 보안의 가장 취약한 고리였습니다. 드디어 조직이 암호를 뛰어넘을 수 있는 시점에 도달한 것일까요? Paul.
폴 멀비힐
올바른 방향으로 나아가고 있다고 생각합니다. 꼭 필요하지 않은 기술이 점점 더 많아지고 있지만, 레거시라는 이유만으로 여전히 필요한 시스템도 많이 있습니다.
잉고 슈베르트
롭, 어떻게 생각하세요?
롭 휴즈
어떤 사람들은 비밀번호를 완전히 없애고 패스키를 사용하는 반면, 어떤 사람들은 어떻게 해야 할지 잘 모르는 경우도 있습니다. 최근에 큰 신원 사고가 발생하지 않았을 수도 있고, 프로그램이 매우 반응적이어서 어떻게 해야 할지 잘 모를 수도 있습니다. 이들에게는 다소 벅차게 느껴질 수 있습니다.
잉고 슈베르트
알렉스도 그런 경험이 있나요?
알렉스 서머
사고 발생 건수를 보면 크게 증가하고 있으며 기업들은 우려하고 있다고 말씀드리고 싶습니다. 비밀번호 없는 체계의 첫 번째 구현은 꽤 성공적이었습니다. 통합하고 복잡성과 레거시를 처리하는 것이 더 중요합니다. 하지만 다양한 조직에서 비밀번호 없는 솔루션을 간소화하는 방향으로 큰 진전이 이루어지고 있습니다.
잉고 슈베르트
따라서 비밀번호는 수십 년 동안 사용되어 왔습니다. 그리고 우리는 적어도 10년 또는 15년 동안 비밀번호가 나쁜 생각이라는 것을 알고 있었죠? 이는 분명한 사실이며, 처음부터 분명한 사실이었습니다. 하지만 이러한 명백한 단점에도 불구하고 비밀번호가 그토록 오랫동안 지속되어 온 이유는 무엇일까요? 아마도 공통적인 요인이 있기 때문일 것입니다. 누구나 무언가를 기억할 수 있습니다. 비밀번호가 반드시 최선의 방법은 아니지만, 비밀번호는 오랫동안 사용되어 왔기 때문에 거의 모든 시스템이 사용자 아이디와 비밀번호를 지원합니다. 따라서 기본적인 수준의 보안을 원한다면 비밀번호를 사용할 수 있습니다. 하지만 지금은 누군가를 인증하는 더 좋고 강력한 방법이 너무나 많습니다. 많은 시스템이 급격하게 변화했지만 비밀번호는 여전히 공통 요소로 남아 있습니다.
잉고 슈베르트
알렉스, 어떻게 생각하세요?
알렉스 서머
물론 비밀번호는 조직에서 쉽게 사용하고 배포할 수 있습니다. 최종 사용자의 입장에서도 비밀번호는 매우 일반적입니다. 비밀번호를 사용하면 비밀번호만 기억하고 있다면 로그인하는 데 아무런 문제가 없습니다. 하지만 문제는 보안에 있습니다. 특히 피싱 공격이 빈번하게 발생하는 상황에서 피싱에 대한 저항력이 없다는 것은 큰 문제입니다. 비밀번호 기반 체계를 따라잡을 수 있는 방법은 없습니다. 그럼에도 불구하고 비밀번호는 배포하기 쉽고 사용자가 사용하기 쉽기 때문에 널리 배포되고 있습니다.
잉고 슈베르트
알렉스, 피싱이 비밀번호에 대한 위협이라고 말씀하셨잖아요. 비밀번호를 계속 사용할 경우 오늘날에도 비밀번호로 인해 발생할 수 있는 다른 위험이 있나요? 롭, 아마도요.
롭 휴즈
네, 많은 위험이 있다고 생각합니다. 불과 몇 년 전만 해도 스노우플레이크에서 계정에 MFA를 요구하지 않았고 사람들이 이를 선택 사항으로 여겼을 때 많은 사람들이 사용자 이름과 비밀번호만 사용하여 저장소를 보호했습니다. 그 결과 수많은 계정 탈취가 발생했습니다. 사용자 이름과 비밀번호만 있으면 누군가가 얼마나 쉽게 침입하여 데이터를 가져갈 수 있는지 보여줍니다. 또한 비밀번호를 사용하면서 MFA를 켜지 않는다면 계정 탈취에 대비하고 있는 것이나 다름없다는 것을 보여줍니다. 사람들은 일반적으로 비밀번호를 재사용하기 때문에 이는 시간 문제일 뿐입니다. 비밀번호의 또 다른 문제는 50개의 서로 다른 비밀번호를 기억하는 것이 불가능하기 때문에 대부분의 사람들이 동일한 비밀번호를 여러 가지 용도로 사용한다는 점입니다. 그 중 하나가 유출되면 MFA를 사용하거나 비밀번호를 사용하지 않는 한 다른 모든 것들이 유출될 수 있습니다. 그러면 그런 걱정은 하지 않아도 됩니다. 적어도 제 경험상 보안 전문가로서도 보안은 어렵습니다. 저는 약간의 차이는 있지만 일부 비밀번호를 재사용합니다. 물론 민감한 비밀번호는 아니지만 확실히 문제가 되는 것은 맞습니다.
잉고 슈베르트
알렉스, 사람들이 비밀번호가 필요 없다고 말할 때 어떤 기술을 말하는 건가요?
알렉스 서머
업계에서 널리 사용되고 있는 다양한 방식이 있습니다. 우선 일회용 비밀번호, 즉 OTP부터 말씀드리겠습니다. 이 방식은 수십 년 동안 사용되어 왔습니다. 웹사이트에 로그인할 때마다 다른 비밀번호를 사용하고 이를 생성할 수 있는 생성기를 사용하는 동적 비밀번호를 사용하는 것입니다. OTP 방식은 여전히 사용하기 쉽다는 장점이 있습니다. 설정을 정의해야 하지만 기본적으로 쉽게 로그인할 수 있습니다. 하지만 여전히 가로챌 수 있고 공격자가 중간자 공격을 수행할 수 있기 때문에 피싱에 완전히 대비할 수 있는 것은 아닙니다. PKI 기반 방식도 있습니다. PKI는 공개 키 암호화를 의미합니다. 인증서에 개인 키를 가지고 서비스 시스템에 로그인하는 방식입니다. 공개 키 암호화는 보안성이 높고 피싱에 강하며 프로세스 뒤에 강력한 암호화 서명이 있기 때문에 큰 장점이 있습니다. 단점은 PKI 환경에서 유지 관리해야 하는 인증서 처리의 복잡성입니다. 세 번째 방식은 매우 새롭지만 점점 더 발전하고 있습니다. FIDO 얼라이언스에서 정의하며 FIDO 인증으로 알려져 있습니다. FIDO는 빠른 신원 온라인을 의미합니다. 현재 다양한 플랫폼에서 구현되고 있는 표준입니다. 공개 키 암호화를 기반으로 하며, 매우 강력하고 피싱에 강하며 유지 관리가 쉽다는 장점이 있습니다. PKI 기반 체계에서와 같이 인증서를 관리할 필요가 없습니다. 어느 정도는 비밀번호 없는 인증에 사용되는 업계 표준입니다.
잉고 슈베르트
네, 감사합니다. 미안해요, 롭, 계속하세요.
롭 휴즈
FIDO 패스키에 대한 알렉스의 지적에 대해 비밀번호가 없는 것을 생각할 때 가장 먼저 떠오르는 것이 바로 이 패스키입니다. 하지만 휴대폰과 같이 사용자가 가지고 있는 것을 사용할 수 있는 QR코드와 휴대폰이 제공하는 생체 인식과 같은 메커니즘도 있습니다. 이러한 기술을 누구나 쉽게 사용할 수 있게 되면서 비밀번호 없는 환경을 훨씬 더 쉽게 구축할 수 있게 되었습니다. 비밀번호에 대해 이야기할 때, 우리는 사용자가 알고 있는 무언가에 대해 이야기하고 있습니다. 이러한 요소의 힘을 줄이기 위해 비밀번호를 대신 사용할 수도 있지만, 비밀번호를 사용하면 동일한 문제가 발생할 수 있습니다. 보다 안전한 메커니즘의 대부분은 생체 인식 기능이 내장된, 사용자가 소유하고 있는 무언가를 중심으로 구축되어 있습니다.
잉고 슈베르트
휴대폰이든 USB 스틱과 같은 물리적 장치든 인증을 위한 장치가 필요하죠?
롭 휴즈
예, 확실히 iShield 키나 RSA 토큰과 같이 '가지고 있는 것'이 될 수 있는 것들이 있습니다. 때로는 중복성이나 유연성을 위해 여러 개를 조합하여 사용할 수도 있습니다. 누군가 휴대폰을 분실하면 어떻게 해야 할까요? 아이쉴드 토큰이 있다면 이를 사용하여 새 휴대폰을 더 빨리 온라인에 연결할 수 있습니다. 따라서 이러한 디바이스를 사용할 때 온보딩 및 오프보딩과 관련하여 고려해야 할 몇 가지 사항이 있습니다.
잉고 슈베르트
그렇다면 피싱 방지 인증은 보안 모델에 어떤 변화를 가져올까요? 폴?
폴 멀비힐
피싱에 강한 데이터를 가져오면 누군가가 사용자로부터 해당 데이터를 얻기가 더 어려워집니다. 일부 정보는 사용자에게 저장되어 있지만 지식 기반이 아니기 때문에 단순히 링크를 클릭하도록 유도하거나 정보를 강제로 빼낼 수 없습니다. 패스키나 QR코드와 같은 비밀번호 없는 방식은 내가 가지고 있는 정보이므로 다른 사람에게 넘겨줄 수 없습니다. 비밀번호나 OTP를 사용하면 다른 사람에게 읽어줄 수 있습니다. 하지만 패스키를 사용하면 다른 사람에게 줄 수 없기 때문에 보안 수준이 훨씬 높아집니다. 물리적인 물건이 제게 있지 않으니 저에게 전화해서 제 패스키로 로그인하라고 할 수 없죠. 의도적이든 의도하지 않았든 누군가가 인증 프로세스의 일부를 공유할 수 있는 요소를 제거한 것이죠. 기술자로서 절대 불가능하다고 말할 수는 없지만, 고의든 무의식적이든 내가 사용자를 로그인하거나 다른 사람을 로그인할 수 없기 때문에 보안 수준이 높아집니다.
잉고 슈베르트
알렉스나 롭, 추가할 말이 있나요?
롭 휴즈
예. 패스키가 필요한 경우 폴이 말한 것처럼 강화된 보안을 사용해야 하므로 패스키를 공유할 수 없습니다. 하지만 공격자는 대체 경로를 찾을 수 있습니다. 패스키가 작동하지 않으면 어떻게 되나요? 다른 메커니즘이 있나요? 저는 여전히 비밀번호 없는 메커니즘이 무엇이든 간에 비밀번호보다 더 나은 방식이 될 것이라고 생각합니다. 저는 패스키가 그보다 더 향상된 기능이라고 생각합니다. 어떤 경우에는 패스키를 적용할 수 있다면 그 이면에 있는 암호화 수학의 이점을 누릴 수 있습니다. 이는 쉽게 공유할 수 있는 것이 아니며, 사용자가 가진 무언가에 잠겨 있어야 합니다. 하지만 패스키가 작동하지 않을 경우 폴백 메커니즘으로 돌아갈 수 있습니다. 좋은 지적입니다. 피싱을 방지하는 방법은 여러 가지가 있다는 것을 이해하는 것이 중요합니다. 패스키는 원래 등록한 도메인에 바인딩되어 있기 때문에 확실히 최상위에 있습니다. 그러나 다른 방법도 단순히 피싱하여 나중에 재사용할 수 없다는 점에서 강력합니다. 사용 사례에 따라 패스키가 효과적일 수도 있고 다른 방법이 더 나을 수도 있습니다. 선택권을 갖는 것은 분명 중요합니다.
잉고 슈베르트
이제 순전히 기술적인 측면에서 범위를 넓히면 많은 조직에서 비밀번호 없는 인증을 원하지 않나요?
솔직히 말씀드리자면, 저는 그 누구와도 '아니요, 저는 원하지 않습니다'라고 이야기해 본 적이 없습니다. 분명 필요성과 의지가 있는 것은 사실입니다. 하지만 채택이 느릴 수 있습니다.
가장 큰 장벽은 무엇인가요? 롭, 아마도요.
롭 휴즈
한동안 연락이 없던 보안 담당자에게 '아직 비밀번호를 사용하지 않느냐'고 물어본 적이 있습니다. 몇몇은 아니라고 대답했습니다. 그 이유를 물었더니 두려움, 불확실성, 의심이라는 FUD 때문인 것 같았습니다. 어떻게 시작해야 할지 잘 모르겠고, 도구가 있는지 확실하지 않다는 것이죠. 현실적으로 대부분의 기업에서 MFA를 사용하는 경우 인증 메커니즘을 바꾸기만 하면 되는 경우가 많습니다. 모든 기능을 갖추고 있는지 여부에 따라 다릅니다. 이미 강력한 인증 기능과 MFA를 갖추고 있다면 하나씩 조정하면 됩니다. 하지만 사람들은 어디서부터 시작해야 할지 막막해합니다. 긴급한 상황이 아니라면 조직 전체가 탈취당하지 않는 한 여기저기서 계정 탈취에 대처할 것입니다. 비밀번호는 그들이 알고 있고 그들의 문화에 뿌리박혀 있기 때문에 그들은 비밀번호의 고통을 감당할 것입니다. 이에 도전하고 무엇이 비밀번호를 사용하지 못하게 하는 걸까요? 대부분의 경우 사람들은 모든 구성 요소를 갖추고 있습니다. 단지 사용을 시작하기만 하면 되는데 어디서부터 시작해야 할지 잘 모를 뿐입니다.
잉고 슈베르트
누구 없어요? 알렉스?
알렉스 서머
제가 관찰하는 한 가지 주요 관심사는 백엔드 시스템의 복잡성입니다. 특히 대규모 조직에서는 고려해야 할 다양한 시스템과 다양한 애플리케이션이 있습니다. 이러한 애플리케이션은 서로 다른 종류의 백엔드 시스템에서 실행되며, 회사 또는 기업의 모든 다양한 부분에서 ID 및 액세스 관리를 간소화하는 것은 어려운 일입니다. 단순히 'FIDO 기반 체계로 전환하세요'라고 말할 수는 없습니다. 마이그레이션 경로가 필요합니다. 제가 관찰한 바에 따르면 마이그레이션은 이루어지고 있지만 시간이 오래 걸립니다. 마이그레이션 과정에서 피싱에 강한 체계로 부분적으로 전환합니다. 많은 움직임이 있다고 말씀드리고 싶고, 저는 이를 매우 긍정적인 의미로 보고 있습니다. 보안 사고가 발생하고 있고 보안 사고로 인해 기업이 운영되지 못할 위험이 큰 문제이기 때문에 변화해야 한다는 압박감도 존재합니다. 해마다 시장에서 큰 움직임이 일어나고 있으며, 몇 년 안에 비밀번호 없는 인증이 기업 전반의 표준이 될 것이라고 생각합니다.
잉고 슈베르트
일부 애플리케이션은 이전이 가능하지만 다른 애플리케이션은 이전이 불가능할 수도 있다고 암시하셨습니다. 그렇다면 이러한 레거시 시스템은 어떻게 전환을 복잡하게 만들까요, Paul?
폴 멀비힐
이러한 시스템이 인증 플랫폼과 대화하는 방식에 따라 달라집니다. 고객과 이야기할 때마다 항상 언급하는 한 가지는 프로토콜에 따라 할 수 있는 일이 달라진다는 것입니다. 제가 자주 사용하는 예는 RADIUS입니다. 비밀번호와 마찬가지로 수년 동안 사용되어 왔습니다. 이 프로토콜은 용기에 적힌 대로 작동하며 어느 정도 효과가 있지만 한계가 있습니다. 수년 동안 코딩, 변경 또는 업데이트되지 않은 레거시 시스템이 있다면 그 시스템이 여전히 유지 관리되고 있는 언어로 되어 있나요? 패스키, FIDO, 프로토콜 변경, 싱글 사인온 또는 비밀번호 없는 상태로 전환하는 데 도움이 되는 다른 모든 방법을 어떻게 도입할 수 있을까요? 패스키, FIDO 키, QR코드 로그온 등 새로운 기술을 도입할 수는 있지만 해당 시스템이 해당 기술을 이해하지 못할 수도 있습니다. 단순히 처리할 수 없습니다. 따라서 60% 또는 70%의 시스템에서는 비밀번호 없이 작동하는 반면, 나머지 30% 또는 40%의 레거시 시스템에서는 80%의 작업을 수행하는 구간이 있을 수 있습니다. 전체 자산을 비밀번호 없는 환경으로 전환하려면 기존 시스템을 교체하거나 비밀번호 없는 방식으로 활성화하거나 보호할 수 있는 방법을 찾아야 할 수 있습니다.
잉고 슈베르트
제가 가장 좋아하는 주제 중 하나인 '무엇이 있는지 알고 이해해야 한다'는 주제를 다루게 된 것 같습니다. 네, 비밀번호 없는 환경이 최종 목표입니다. 하지만 현재 어디쯤 와 있을까요? 모든 시스템을 살펴보고 사용량, 위험 및 기타 요인에 따라 우선순위를 정한 다음 A에서 B로 이동하기 위한 계획을 세워야 합니다. 어디서부터 시작해야 하는지 아는 것은 인력에도 적용됩니다. Rob이 QR 코드를 언급했는데, 비밀번호 없는 방식에는 여러 가지 옵션이 있습니다. 직원들의 기술에 대한 편안함 수준이 다르고 여러 가지 방법을 제공하는 경우 직원들이 어떤 방식에 만족하는지 파악하면 좋은 계획을 세울 수 있습니다. 직원들이 휴대폰 사용에 만족한다면 휴대폰에 패스키를 사용할 수 있습니다. 물리적인 것을 원하는 직원은 물리적인 USB 패스키를 사용할 수 있습니다. 시작점에 대한 인식 작업을 완료했기 때문에 옵션이 있습니다. 그렇다면 회사에서 비밀번호를 사용하지 않는다고 가정했을 때, 그게 끝인가요, 아니면 여전히 위험이 있을까요? 롭, 아마도요.
롭 휴즈
비밀번호를 사용하지 않는다고 해도 정말 100% 비밀번호를 사용하지 않는다고 볼 수 있는지 자문해봐야 합니다. 예를 들어 Microsoft Entra를 사용하는 경우 사용자 ID에 비밀번호가 연결되어 있어야 합니다. Entra ID를 사용하는 경우 비밀번호 없이 사용할 수 있나요? 다른 모든 것이 비밀번호가 없다면 그렇다고 말할 수 있습니다. 하지만 현실적으로 대규모 조직에는 레거시로 인해 대개 ID 사일로라는 공간이 존재합니다. 어떤 곳은 변경하기가 더 어렵고 새로운 방법론을 도입하기가 더 어렵습니다. 중요한 것은 이러한 공간을 관리하고 위험을 관리하는 것입니다. 먼저 모든 사용자가 비밀번호 없는 방식에 익숙해지도록 한 다음, 시간이 지남에 따라 비밀번호가 필요하지 않은 부분을 없애고 해당 시스템으로 비밀번호 없는 방식을 확산하는 것이 좋습니다. 시간이 걸릴 수 있지만 비밀번호 없는 문화를 정착시키면 비밀번호가 없는 부분을 강조하고 이를 추진하기가 더 쉬워집니다.
폴 멀비힐
비밀번호가 없는 경우 사람들이 알아야 할 것 중 하나는 많은 워크플로우가 바뀐다는 것입니다. 이전에 무언가를 등록할 때 비밀번호가 필요했거나 헬프데스크에 지식 기반 인증이 필요했다면 이제 더 이상 그럴 필요가 없습니다. 그렇다면 비밀번호가 필요 없다는 것은 IT 운영과 헬프데스크에 어떤 의미일까요? 누군가를 어떻게 확인하나요? 누군가를 어떻게 도울까요? 첫날 시나리오에서는 여권이나 운전면허증을 사용하는 등 온보딩을 위한 신원 확인의 영역으로 들어갑니다. 계정 복구도 비슷한 접근 방식을 취할 수 있습니다. 이러한 방법 중 하나를 사용하지 않는다면 문제가 심각해집니다. 다른 사람을 안전하게 탑승시킬 수 있는 방법을 찾아야 합니다. 어떤 형태의 패스키를 보낼 수도 있지만, 누군가가 사용할 수 있는 항목을 정확히 제한하거나 출입 방법을 통제하지 않는 한 누군가가 안전한 방법으로 패스키를 등록해야 합니다. 등록 프로세스에 특정 장소에 물리적으로 존재해야 한다고 말한 다음 인증의 일부로 신호를 사용하여 범위를 좁혀야 할 수도 있습니다. '비밀번호가 담긴 편지나 이메일을 보냈으니 처음 로그인할 때 비밀번호를 변경하세요'라고 말하는 것과 비교하면 역학관계가 많이 달라집니다. 비밀번호 없이 시작하는 경우에는 그런 것이 존재하지 않습니다. 보유하고 있는 정보를 확인하고 위험 분석을 수행한 다음 결정을 내려야 합니다. 이러한 워크플로는 사용자 유형에 따라 어떻게 달라질까요? 모든 사람에게 적합한 워크플로는 한 가지가 아닐 가능성이 높습니다. 사용자의 역할과 사용하는 채널에 따라 이를 달성하는 방법이 다를 수 있습니다.
잉고 슈쿠베르
Rob, 헬프데스크에 대해 어떻게 생각하시나요?
롭 휴즈
사용자가 비밀번호를 사용하지 않는 시점에 도달하면 보안 프로그램을 검토하는 CISO로서 몇 가지 새로운 현실을 마주하게 됩니다. 공격자는 비밀번호로 사용자 계정을 탈취할 수 없다면 다른 방법을 찾게 됩니다. 한 가지 방법은 헬프데스크를 소셜 엔지니어링하는 것입니다. 또 다른 방법은 온보딩 프로세스 또는 디바이스 등록을 살펴보는 것입니다. 이러한 모든 이벤트에 걸쳐 강력한 체인이 있는지 확인하고 모든 이벤트에서 비밀번호를 사용하지 않도록 해야 합니다. Paul이 언급했듯이 온보딩에 비밀번호 없는 메커니즘을 도입할 수 있지만 그 방법을 생각해야 합니다. 비밀번호를 사용하는 메커니즘에 익숙하다면 온보딩에 대해 생각하기 쉽습니다. 새 노트북을 우편으로 받으면 로그인을 요청할 텐데, 처음 로그인할 때 어떻게 해야 할까요? 처음부터 끝까지 비밀번호 없이 사용하는 것이 정말 중요합니다.
잉고 슈베르트
RSA에서는 한동안 비밀번호 없는 로그인을 경험하는 기쁨을 누렸고, 여러분은 RSA에서 그 역할을 담당하는 팀의 일원이었습니다.
그렇다면 조직에서 사용자 생산성을 저해하지 않으면서 비밀번호 없는 환경을 도입하려면 어떻게 해야 할까요?
롭 휴즈
전제 조건이 갖추어져 있는지 여부로 돌아가야 한다고 생각합니다. 일반적으로 MFA가 준비되어 있다면 그것이 출발점입니다. 소프트웨어 및 하드웨어 토큰의 유연성이 있다면 도움이 될 수 있습니다. 사용자에게 Face ID 또는 기타 생체 인식 메커니즘과 같은 생체 인식 기능이 있는 스마트폰이 있는 경우에도 도움이 될 수 있습니다. 이러한 전제 조건이 충분한지 확인한 다음 시작해야 합니다. 저희는 ID 회사이기 때문에 싱글 사인온 메커니즘을 갖추고 비밀번호 없는 기능을 먼저 도입했습니다. 몇 가지 방법으로 생각하면 됩니다. 먼저, 비밀번호가 필요 없는 비밀번호 없는 기능을 사용자에게 제공하면 됩니다. 그런 다음 기본값으로 설정하여 첫 번째 프롬프트에 비밀번호가 표시되지 않도록 합니다. 충분한 데이터가 확보되고 문제가 되는 엣지 사례가 있는지 확인할 수 있으면 이제 비밀번호 없는 사용이 필수 요건으로 지정하고 비밀번호가 필요하지 않다고 말합니다. 누군가 특정 메커니즘이 있는 비밀번호를 사용하려고 하면 비밀번호가 작동하지 않습니다. 그런 다음 SSO에서 VPN, 데스크톱 로그인 또는 무선으로 이동하고 전체 사용자 공간에서 비밀번호를 없애는 것을 검토한 후 ID 사일로를 타깃으로 삼을 수 있습니다. 체계적으로 사용자 피드백을 수집하고 헬프데스크나 서비스 센터에서 예상되는 문제와 해결 방법을 준비한다면 큰 혼란 없이 비밀번호 없는 환경을 구축할 수 있습니다. 또한 먼저 사용해보고 싶은 자원 봉사자들로 테스트 그룹을 구성하여 이들에게 새로운 기술을 먼저 배포했습니다. 큰 혼란 없이 성공적으로 시행할 수 있었습니다. 핵심은 하룻밤 사이에 모든 것을 켜고 최선을 다하기를 바라지 말고 체계적으로 실행하는 것입니다. 하나씩 하나씩 해나가면서 배우세요. 숨겨진 레거시 기술 부채를 발견하거나 모든 사람이 필요한 최신 앱을 실행할 수 있는 올바른 버전의 휴대폰을 가지고 있지 않을 수도 있습니다. 이런 작은 문제들이 있지만 대부분 사용자에게 큰 영향을 미치지 않고 해결할 수 있다고 생각합니다.
잉고 슈베르트
단계적으로 시행하고, 기니피그(저도 기꺼이 기니피그 중 한 명이었습니다)를 통해 먼저 테스트하고, 그룹을 넓힌 다음, 마지막으로 모든 사람에게 배포하는 것이 일반적인 롤아웃 방식처럼 들릴 수 있습니다. 이는 합리적인 접근 방식이며 비밀번호 없는 롤아웃에도 분명히 적용됩니다. 혁신적이거나 극적으로 달라진 것이 없다는 것은 반가운 소식입니다. 전 세계 IT 담당자에게 익숙한 접근 방식이어야 합니다.
롭 휴즈
당연하죠. 변화 관리를 위한 모범 사례를 따르는 것입니다. 그렇게 할 수만 있다면 다른 어떤 어려움도 없을 것입니다.
잉고 슈베르트
알렉스, 주제에 대해 덧붙일 말이 있나요?
알렉스 서머
해커는 항상 약한 고리를 찾으며, 공격 표면에는 세 가지가 있습니다. 하나는 프로토콜, 다른 하나는 플랫폼, 다른 하나는 프로세스입니다. 비밀번호 없는 방식에 관해서는 FIDO를 예로 들어보겠습니다. FIDO는 매우 좋은 설계를 가지고 있습니다. 이 프로토콜은 호스트에서 서버에 이르기까지 양쪽 엔드포인트에서 진위 여부를 상호 확인하여 안전합니다. 이 경우 해커는 프로토콜을 보지 않고 플랫폼을 살펴볼 것입니다. 플랫폼에 취약점이 있나요? 휴대폰, 데스크톱 PC 또는 스마트 카드 칩을 기반으로 하는 FIDO 보안 키인 iShield 키와 같은 다양한 플랫폼에서 FIDO를 구현할 수 있습니다. 플랫폼에서 구현되는 방식에 따라 공격 가능성은 달라집니다. 스마트 카드 칩을 사용하면 공격하기가 가장 어려울 것입니다. 피싱 저항성이 매우 강하기 때문에 실험실에서는 모의 침투 테스트조차 불가능합니다. 데스크톱 PC의 경우 TPM 또는 기타 신뢰 기반 기술을 사용하여 구현되었는지 또는 취약하게 구현되었는지에 따라 달라집니다. 공격자가 스키마나 플랫폼을 공격할 수 없다면 프로세스를 살펴볼 것입니다. 프로세스가 취약하면 이와 같은 장치도 손상될 수 있습니다. 예를 들어 디바이스가 비밀번호에 연결되어 있고 해당 비밀번호로 키를 잠금 해제해야 하는 경우, 비밀번호가 공유되어 공격자가 키를 가지고 있다면 공격자가 이를 사용할 수 있습니다. 따라서 이 프로세스는 보안이 매우 중요하며 헬프데스크와 회사의 전체 구현 프로세스에도 포함됩니다. 이러한 모든 표면이 보안 조치로 보호된다면 안전합니다. 하지만 '우리는 FIDO와 같은 비밀번호 없는 체계를 사용하므로 안전합니다'라고 말하는 것만으로는 충분하지 않습니다. 프로세스, 플랫폼, 프로토콜을 고려해야 합니다.
잉고 슈베르트
일반적으로 비밀번호나 인증은 GenAI와 생성형 AI를 고려할 때 큰 취약점이 될 수 있나요? Rob, 이에 대해 어떻게 생각하시나요?
롭 휴즈
하지만 사람들이 생각하는 방식은 아닐 수도 있습니다. 저는 GenAI가 이미 존재하는 스크립트나 시스템보다 비밀번호를 더 잘 예측할 수 있다고 생각하지 않습니다. 이는 사회 공학에 더 가깝습니다. 이러한 기능을 증폭시키는 것입니다. 오디오, 비디오, 치밀한 이메일 메시지 또는 스피어 피싱 시도가 모두 강화됩니다. 공격자가 기본 자격 증명을 찾거나 사람들을 속여 MFA 유형 자격 증명을 포기하게 하려는 경우에도 마찬가지입니다. 이 부분이 가장 큰 영향을 미칩니다. 누군가가 이러한 인증 정보를 가지고 있다면, AI는 한 번에 많은 정보를 살펴보고 빠른 피드백을 제공할 수 있기 때문에 인증 정보가 사용될 수 있는 곳을 더 쉽게 찾을 수 있습니다.
잉고 슈베르트
따라서 AI 도구를 사용하면 확실히 위험이 증가합니다. 덧붙일 말이 있나요, Paul?
폴 멀비힐
아니요, Rob이 이미 설명한 것 같습니다. 사회 공학적인 측면에서는 사람의 삶을 더 편하게 만들어 줍니다. AI는 더 많은 데이터를 더 쉽게 통합할 수 있습니다. 암호 기반 세계에서는 공격자에게 직접 답을 알려주지는 못하지만, 더 많은 정보를 더 빨리 제공해 답을 찾는 데 도움을 줄 수 있습니다.
잉고 슈베르트
그렇다면 비밀번호 없는 솔루션은 일반적으로 조직이 자동화된 위협에 어떻게 적응하는 데 도움이 될까요?
폴 멀비힐
사전 공격과 같은 자동화된 공격이 대표적인 예입니다. 비밀번호 없는 체계를 사용하는 경우 이러한 종류의 공격은 더 이상 적용되지 않습니다. 앞서 말씀드린 것처럼 프로세스가 어떻게 구현되어 있는지, 프로토콜이 얼마나 강력한지, 플랫폼이 얼마나 강력한지에 따라 달라집니다. 프로세스, 프로토콜, 플랫폼이 강력하다면 자동화된 공격의 범위는 거의 제로에 가까워집니다. 예를 들어, 하드웨어 기반 FIDO 보안 키를 사용하면 AI 시대에도 이를 사용하는 기업에서 알려진 사고는 단 한 건도 발생하지 않습니다. 프로세스 측면, 프로토콜 측면, 플랫폼 측면 등 상황과 구현에 따라 다르지만, 제대로만 한다면 자동화된 공격은 가능성이 없다고 말하고 싶습니다.
롭 휴즈
네, 저도 거기에 한 가지를 덧붙일 수 있을 것 같습니다. 자동화된 공격과 비밀번호를 사용하지 않는 경우 공격자 측면에서도 몇 가지 고려해야 할 사항이 있습니다. 시중에는 다양한 툴킷이 있고, AI를 사용하거나 누군가의 신원을 알아내려고 시도하는 것들이 있습니다. 하지만 비밀번호를 사용하지 않으면 비밀번호에 의존하고 비밀번호 프롬프트를 표시하도록 설계된 모든 툴킷이 더 이상 사용자에게 의미가 없어집니다. 따라서 비밀번호를 사용하지 않으면 비밀번호를 설정하지 않은 상태에서 비밀번호 프롬프트가 나타나면 사용자는 '이상하다'고 말합니다. 이 시점에서는 비밀번호가 무엇인지조차 모를 수도 있습니다. 따라서 아직 모든 곳에 패스키를 설치하지 않더라도 문화적인 부분으로 피싱을 방지할 수 있는 일종의 추가 유형인 셈이죠. 따라서 자동화된 공격에 대해 생각해보면 비밀번호가 없는 사용자 기반에 대한 자동화된 공격을 수행하기가 더 어려울 뿐입니다. 물론 비밀번호가 없어도 강력한 인증, 즉 어떤 형태의 MFA가 필요하기 때문에 비밀번호가 있더라도 모든 곳에 MFA를 사용하는 것만으로도 자동화된 공격을 막는 데 도움이 되겠죠? 물론 비밀번호가 없는 경우에는 모든 MFA가 당연히 포함되어 있습니다.
잉고 슈베르트
그렇다면 지금 비밀번호 없는 여정을 시작하려는 조직에 어떤 조언을 해주고 싶으신가요?
단계별로 접근하는 것이 좋습니다. 기업 내 한 부서 또는 특정 그룹에 적용할 수 있는 것부터 시작하세요. 파일럿을 실행하여 규모를 확대한 다음, 일정 기간 운영한 후 롤아웃하세요. 저는 이런 프로젝트를 자주 봅니다. 파일럿을 실행하고 확장한 다음 여러 조직에 배포하는 방법을 함께 검토합니다. 이러한 방식은 꽤 잘 작동하며, 기업에서 이러한 구현을 통해 매우 긍정적인 피드백을 받고 있습니다.
롭 휴즈
알렉스의 조언은 훌륭하다고 생각합니다. 계획하고, 실행하고, 어디서부터 시작할지 결정하는 것이 중요합니다. 체계적으로 하세요. 이것은 출시 방식을 바꿀 정도로 이색적인 기술 세트가 아닙니다. 이제 사용자들이 익숙한 기술을 많이 사용합니다: 스마트폰의 Face ID, 노트북의 지문 인식, 카메라를 사용하고 QR 코드를 읽기 위해 휴대폰을 가까이 두는 것 등 많은 기술을 사용합니다. 이러한 기술은 더 이상 난해하지 않습니다.
폴 멀비힐
아주 간단합니다. Alex와 Rob이 말한 내용에 제가 더 이상 덧붙일 수 있는 말이 많지 않습니다. 옵션이 있고 단계별로 진행하세요. 항상 반발하는 사람이 있겠지만, 옵션이 있고 어디서부터 시작해야 할지 알고 있다면... 좋은 계획을 세우기 위해 미리 90%의 기초 작업을 한 셈이죠.
잉고 슈베르트
맞아요. 그리고 한 가지 덧붙이자면, 제가 가장 싫어하는 것 중 하나가 바로 현재 보유하고 있는 것이 무엇이고 현재 어디에 있는지 파악하는 것입니다. 보안 환경과 애플리케이션 환경을 매핑하세요. 어떤 애플리케이션이 존재하고, 어떤 애플리케이션이 비밀번호에 의존하며, 어떤 애플리케이션을 곧 제거할 수 없는지 파악하세요. 옮길 수 있는 애플리케이션이 많을 것입니다. 우선순위를 정하고, 배포하여 빠른 성과를 거두면 고위 경영진에게 프로젝트에 투입할 예산을 정당화할 수 있습니다.
비밀번호 없는 인증은 중요한 진전이지만 만병통치약은 아닙니다. 비밀번호를 제거하면 위험은 줄어들지만 강력한 신원 보안은 여전히 컨텍스트, 제어 및 지속적인 신뢰에 달려 있습니다. 오늘 논의에서 한 가지 시사점이 있다면 바로 이것입니다. 비밀번호 없음은 표준을 높이지만, 실제 보안 수준을 결정하는 것은 이를 둘러싼 광범위한 ID 전략입니다.
이번 RSA Identity 언마스크드 에피소드에 참여해 주셔서 감사합니다. 이번 토론이 유익했다고 생각되셨다면, 향후 에피소드에서 신원 보안을 형성하는 문제를 계속 살펴볼 수 있도록 구독해 주세요. 더 많은 인사이트와 리소스를 보려면 rsa.com을 방문하세요. 알렉스, 롭, 폴 - 대단히 감사합니다.
폴 멀비힐, 롭 휴즈, 알렉스 서머너
감사합니다. 초대해 주셔서 감사합니다.
이번 에피소드에서는 ID 보안과 관련하여 가장 민감한 분야 중 하나인 의료 분야에 대해 Ingo Schubert, Jon Nicholas, Paul Mulvihill이 다시 돌아왔습니다. 게스트와 함께 임상 환경 전반의 액세스 복잡성, 공유 디바이스, 수명 주기 관리 및 인증 문제와 이를 정면으로 해결하는 방법에 대해 이야기를 나눠보세요.
RSA Identity Unmasked에 다시 오신 것을 환영합니다. 오늘은 신원 보안에서 가장 위험도가 높고 흥미로운 분야 중 하나인 의료 분야에 대해 이야기해 보겠습니다. 오늘은 폴과 존이 다시 한 번 함께하여 도전 과제, 사용 사례 및 모범 사례를 살펴보겠습니다. 시작하겠습니다. 의료 분야가 ID 보안을 위한 독특한 환경인 이유는 무엇일까요?
존 니콜라스
원하시면 제가 시작할게요, 폴. 원하시나요?
폴 멀비힐
꼭!
존 니콜라스
의료 서비스에 대해 항상 이야기할 때 가장 먼저 떠오르는 주제 중 하나가 바로 의료 기관이 보유한 기술 스택과 중요한 레거시 인프라라고 생각합니다. 최신 MFA 서비스에 대한 연결 고리가 없을 수 있기 때문에 ID 관점에서 보호해야 할 가장 큰 영역 중 하나입니다. 따라서 레거시 독점 기술은 헬스케어와 같은 분야에서 큰 도전 과제이며, 영국의 NHS가 대표적인 예입니다.
폴 멀비힐
우리 모두 NHS를 알고 있지만 같은 우산 아래 많은 소규모 조직으로 구성되어 있기 때문에 IT 인프라를 지원하는 하나의 거대한 냄비가있는 것이 아니라 각 작은 신뢰가 각자의 책임이 있기 때문에 예산이 없기 때문에 최신의 가장 큰 것을 얻을 수없는 경우가 종종 있습니다. 하나의 큰 덩어리라면 그럴 수도 있겠지만, 안타깝게도 세상은 그렇게 돌아가지 않습니다. 따라서 레거시 시스템을 보유하고 있어 최신 시스템을 도입할 수 없는 경우, 마이그레이션이나 유지보수를 처리해야 하는 상황에서 어떻게 하면 최신 시스템을 도입할 수 있을지에 대한 과제가 추가됩니다.
잉고 슈베르트
맞아요. 물론 예를 들어 독일에서는 상황이 다르다고 생각합니다. 이런 맥락에서는 크게 다르지 않다고 생각합니다. 조직도 다르고 레거시 애플리케이션도 많으니까요. 공정하게 말하자면 유럽이나 전 세계 여러 곳에서 이러한 상황을 발견할 수 있을 겁니다.
폴 멀비힐
레거시 시스템에 대해 이야기할 때, 작동하는 시스템과 그 시스템의 오류율, 즉 누군가의 건강을 다루는 시스템이라면 무언가를 테스트하는 시스템이 있다면 작동합니다. 단순히 2년이 지났다고 해서 바꾸기로 결정하지는 않을 것입니다. 그 자금을 새로운 영역에 투자할 것입니다. 따라서 예, 레거시일 수 있지만 오래되고 구식이며 시대에 뒤떨어진다는 의미는 아닙니다. 그것은 단지 작동한다는 의미일 뿐입니다. 살펴봐야 할 더 중요한 것들이 있습니다.
잉고 슈베르트
실행 중인 시스템을 건드리지 마세요. 그렇다면 이러한 환경에서 액세스, 제어 및 인증이 어려운 이유는 무엇일까요?
폴 멀비힐
여러 개의 트러스트가 혼합되어 있다고 말씀드릴 수 있을 것 같습니다. 모두 독립적으로 운영되고 있지만 더 넓은 지역을 담당하기 때문에 인력들이 여러 트러스트 사이를 이동할 수 있는 경우, 예를 들어 어느 날은 한 곳에서 일하고 다른 날은 다른 곳에서, 또 다른 날은 다른 트러스트에서, 또 다른 날은 다른 트러스트에서 일하게 될 때 사용하기 쉬운 시스템을 어떻게 설정할 수 있을까요? 이 모든 것을 관리하는 중앙 시스템이 있나요? 없을 수도 있습니다. 제가 어딘가로 돌아가게 될까요, 아니면 1년에 하루 다른 곳에서 일하게 될까요? ID 관점에서 관리하고 보호해야 하는 시스템의 수가 이렇게 많아지면 복잡성은 기하급수적으로 증가합니다. 50개 사이트에 걸쳐 있는데 시스템이 50개인가요? 5개인가요, 1개인가요? 이를 전국으로 확장하면 다양한 이유로 인해 복잡성이 계층적으로 추가됩니다.
존 니콜라스
네, 그리고 사용자 수라고 생각합니다. 최전선에서 의료 서비스를 제공하는 임상의는 물론 매우 능숙하지만 사이버 보안 전문가는 아니기 때문에 때때로 대응하기 어려운 것이 바로 사용자 계정입니다. 예를 들어 모든 물류와 계획, 관리 측면을 담당하는 NHS를 지원하는 팀 전체가 있습니다. 그 중 일부는 모바일 인증기 같은 것을 사용할 수 있지만, 다른 일부는 병동이나 더 안전한 환경에서 사용할 수 있지만, 우리는 그것을 사용할 수 없다는 것을 알고 있습니다. 다른 무언가, 즉 물리적 토큰이 있어야 합니다.
인증을 수행합니다. 따라서 대규모 인력을 보유하고 있을 뿐만 아니라 인증 방법과 관련하여 다양한 사용 사례가 있습니다. 그리고 모바일을 언급하셨지만 어떤 사람들은 사용하고 싶은 모바일이 없을 수도 있습니다. 따라서 5명의 인력을 하나의 시스템으로 통합하기 위해서는 3, 4, 5개의 서로 다른 사용 사례가 필요합니다.
잉고 슈베르트
따라서 임상의, 임시 직원, 교대 근무 등으로 인해 상황이 엄청나게 복잡해집니다. 방금 말씀하신 대로입니다. 그래서 제 신원 관리 관점에서 볼 때 9시부터 5시까지 근무하는 조직적인 엔터프라이즈 인력에 비해 이것이 왜 약간 어려운지 알 수 있습니다. 예, 시간대가 다를 수 있지만 기본적으로 11시간으로 늘어납니다.
폴 멀비힐
예, 예를 들어 50개의 다른 부서 또는 100개의 다른 부서가 있는 하나의 큰 회사가 있을 수 있지만, 의료 부문을 보면 의료 부문이라는 하나의 큰 기관이 있을 수 있지만 그 안에는 모두 전문성을 가지고 있고 업무 방식에 대해 자율적이어야 하지만 여전히 같은 공간 내에서 다른 기관과 협력해야 하는 50개 또는 100개의 개별 회사가 있을 수 있습니다. 그 중 하나에 문제가 발생하면 어떤 영향이 있을까요?
잉고 슈베르트
그래서 물론, 아시다시피, 우리는 모든 것이 빨리 진행되어야한다는 것을 알고있는이 드라마틱 한 TV 쇼를 가지고 있습니다. 그러나 그것은 한 가지입니다. 우리는 일을 늦추지 않습니다. 그것이 여기서 도전의 일부라고 생각합니다. 그러나 그것은 단지 이와 같은 것이 아닙니다. 누군가가 응급실에 급히 들어가서 일이 빨리 진행되어야한다는 것을 알고 있기 때문에 제한된 인력이 매우 효율적이어야한다는 것을 알고 있기 때문에 보안 때문에 일이 느려질 수 없으므로 도전과제는 무엇이며이를 달성하는 방법은 무엇일까요?
존 니콜라스
거버넌스 관점, 최소 권한 관점에서 이야기하자면, 예를 들어 모든 사람이 자신의 역할을 수행하기 위해 필요한 권한만 가지고 있으면 좋겠다고 생각할 수 있습니다. 하지만 문제는 '그래, 이렇게 변경하자'라고 생각한 후 실수로 일부 권한을 빼앗아 버리는 것입니다. 이제 그들은 누군가의 생명을 구하는 데 도움이 될 병동의 중요한 기계나 장비를 작동할 수 없게 됩니다. 따라서 예를 들어 IGA 솔루션을 시행하기 위한 의사 결정의 정확성은 절대적으로 높아야 합니다. 따라서 그 시점에서 변화를 가져올 수 있는 능력은 아마도 여러 단계의 의사 결정 과정을 거치기 때문에 느려질 것입니다. 왜냐하면 우리가 마지막으로 하고 싶은 것은 이 워크플로우를 구현하자고 하면 누군가가 가장 극단적인 예로 가서 생명을 구하지 못하거나 약국에서 무언가를 관리할 수 없게 되는 것이기 때문입니다.
잉고 슈베르트
하지만 특히 ID 거버넌스와 동시에, 물론 이 경우의 빠른 해결책은 모든 사람에게 더 많은 액세스 권한, 기본적으로 평소보다 더 많은 자격을 부여하는 것이지만 물론 그렇지 않습니다. 이것이 유효한 접근 방식일까요? 좋은 타협안이 될까요? 아니요, 엄밀히 말하면 그렇죠?
폴 멀비힐
네, 한 사람이 해킹을 당해서 한 계정이 유출되고 너무 많은 권한을 갖게 되면 어떻게 될까요? 병원 직원이기 때문에 모든 권한을 가진 관리인이 들어가서 약국 시스템에 들어가서 환자의 약품이나 기록 변경에 액세스 할 수 있습니다. 그들은 나중에 알 수없는 합병증을 일으킬 수 있습니다. 맞아요. 하지만 존의 말처럼 정책을 변경하거나 최소한의 권한만 부여하는 것만으로도 엄청난 파급 효과를 가져올 수 있기 때문에 거의 위험 마비에 가까워요. X, Y, Z에 대한 권한을 제거하는 정책을 구현할 수 있습니다. 확실하지 않은 경우, 이 정책이 50명에게 영향을 미치는지, 50명이 이 리소스에 액세스한 적이 있는지 분석을 완료하셨나요? 그 중 한 명이 접속했다면 계속 검토를 더 해야 합니다. 그 한 사람에게 특별한 권한을 부여해야 하나요? 아무도 그런 적이 없고 충분히 오랫동안 모니터링했다면 권한을 박탈할 수 있습니다. 하지만 내가 무언가를 제거하면 의료 서비스에서 결코 계획할 수 없는 시나리오가 발생할 수 있다는 두려움이 있습니다. 여러 가지 추측을 해볼 수는 있지만, 정작 필요한 응급 상황에 대비할 수는 없습니다. 이 권한을 삭제했습니다. 이제 간호사나 의사 또는 누군가가 무언가를 할 수 있어야 하는데 갑자기 할 수 없게 되는 시나리오가 하나 생겼으니까요.
잉고 슈베르트
기계만 작동하는 것이 아닙니다. 어딘가에 있는 데이터에 액세스하는 것과 같을 수도 있죠? 예를 들어 건강 기록을 들 수 있죠. 일반 기업에서는 누군가의 권한이 너무 적으면 문제가 될 수 있다는 점을 이해합니다. 그들은 일을 할 수 없지만 요청을 하면 승인됩니다. 정말 안 좋은 일이죠. 몇 시간 늦어지거나 다음 날로 미뤄질 수도 있지만, 의료 환경에서는 말 그대로 큰 문제가 될 수 있습니다. 그리고, 아시다시피, 분 단위로 이루어지지 않을 수도 있지만, 실제로 누군가가 필요할 때 필요한 치료를 받지 못한다는 것을 의미할 수도 있습니다.
폴 멀비힐
회사에서 누군가가 데이터에 액세스하는 경우, 누군가 신용카드로 물건을 주문한 후 이를 해결하기 위해 신용카드로 풀백을 요청하거나 주문이 취소될 수 있습니다. 이 중 일부는 심각한 영향을 미치지는 않지만 의료 분야의 경우 누군가 의료 기록을 변경할 수 있습니다. 누군가 공유해서는 안 되는 세부 정보를 공유하기도 합니다. 이보다 훨씬 더 많은 일이 일어날 수 있습니다. 또는 장기적인 영향을 미칠 수 있는 정보가 유출될 수도 있습니다. 말씀하신 것처럼 의존하고 있는 일부 약물이 중단될 수도 있습니다. 그 약의 처방이 거의 끝날 무렵에 실제로 필요한 약이 무엇인지 다시 확인해야 할 때 세부 정보가 삭제되어 더 늦어지고 지연되어 더 큰 영향을 미칠 수 있습니다. 의료 분야는 기업 및 민간 부문에서 작은 변화로 보일 수 있는 문제와 파급 효과가 잠재적으로 10배, 20배, 30배에 달하는 분야 중 하나이기 때문입니다.
존 니콜라스
예를 들어 의료 기록은 다크 웹에서 거래될 때 신용카드 정보보다 더 큰 가치를 지니고 있으며, 이러한 종류의 데이터 유출 시나리오에서 의료 기록이 사용될 수 있는 분야 중 하나는 보험 사기와 같은 것으로, 엄청난 금전적 보상금을 수반할 수 있으며, 누군가 의료 기록을 요청하고 귀하의 의료 기록을 알고 있다면 귀하를 대신하여 보험 처리를 할 수 있으며 이는 엄청나게 수익성이 높습니다. 그래서 공격자들은 바로 이 부분을 노립니다. 공격자들은 다른 사람의 생명을 위협하고 싶지는 않지만, 의료 기록을 확보한 다음 이를 이용해 금전적 이득을 취하는 것이 그들이 노리는 목표라고 말합니다.
잉고 슈베르트
공격자 입장에서는 누군가에게 스피어피싱 공격을 하기에 완벽한 정보가 될 수 있습니다. 이미 의료 정보를 알고 있다면 신뢰도가 높아져서 이런 유형의 공격에 더 의심하게 되겠죠? 아니면 그냥 협박을 하는 건지 모르겠네요. 네, 그 기록으로 할 수 있는 일은 정말 많죠? 네, 그런 것 같네요. 예를 들어 병원에서 실제로 어떤 일이 일어나는지 실제적인 상황으로 돌아가 보겠습니다. 누군가가 거쳐야 하는 일반적인 인증 워크플로에는 어떤 것이 있을까요?
존 니콜라스
일반적인 경우인지 모르겠습니다.
잉고 슈베르트
알았어요.
존 니콜라스
시스템에 대해 이야기했지만, 그들은 무엇을 해야 할까요? 질문일 수도 있지만, 아시다시피 항상 MFA 단계가 있어야 합니다, 백엔드의 추가 프로세스를 통해 조건부 액세스를 활용할 수 있는지, IAM 관점에서 이야기할 때 AI를 활용하여 해당 사용자가 적시에 적합한 사용자인지 파악하고 관리자가 방대한 사용자 기반과 방대한 기술 스택을 기반으로 조건부 액세스 정책을 조합하는 대신 동적으로 수행하도록 할 수 있는지, 따라서 도구를 최대한 활용하고 실제로 중요한 기록에 있을 때 항상 단계별 작업을 수행하도록 할 수 있다고 말씀드리고 싶어요.
잉고 슈베르트
그래서 제가 이 업계에서 발견한 한 가지는 아마도 제조 현장에서 가장 가까운 것이 공유 디바이스일 것이라고 생각합니다. 일반적이라기보다는 불균형적으로 많은 수의 공유 디바이스가 있는 것 같았습니다. 어떻게 대처해야 할까요?
폴 멀비힐
예, 8시간 교대 근무를 하는 인력이 있다고 가정하면, 매일 한 사람이 자신의 기기를 가지고 있지 않을 것이므로 최소 3명이 공유하고 5, 6, 7명이 공유하는 경우 간호사 스테이션의 단말기가 될 수 있으므로 그런 종류의 것들을 공유하게 될 것입니다. 이를 보호하는 가장 좋은 방법은 무엇인가요? 사용자 이름과 비밀번호에 일종의 자격 증명을 입력해야 합니다. 저는 작은 OTP 토큰이나 하드웨어 토큰을 가지고 있는 사람들을 본 적이 있는데, 그것들은 죽이기 어렵기 때문입니다. 그들은 꽤나 탄력적입니다. 하지만 그것으로 충분할까요? 일회용 비밀번호가 통과하는 것이기 때문입니다. 누군가가 컴퓨터에 접속해서 로그인하고 사용해야 하죠. 하지만 이미 검증된 방법입니다. 사람들은 사용법을 알고 있고 이 업계에는 신체에 대해 이야기하고 신체 부위가 어떻게 작동하는지에 대해 이야기하는 사람들과 함께 바닥을 걸을 수있는 많은 사람들이 있습니다. FIDO 키를 제공하고 푸시를 사용하여 생체 인식을 승인하기 위해 모바일을 사용하도록 요청하는 것은 완전히 다른 영역이라고 생각할 수있는 일종의 안락 지대이고 기술 지식은 여기에 있습니다. 하지만 우리는 그것을 사용하라고 말하려고 합니다. 여기에 다른 모든 요소를 추가해야 합니다.
잉고 슈베르트
또한, 예를 들어 휴대 전화를 모든 곳에 가져갈 수없는 다른 산업의 다른 영역과 크게 다르지 않다고 생각합니다. 스마트폰이나 스마트 기기를 아예 가져갈 수 없는 장소가 있는데, 프라이버시를 이유로, 카메라가 있기 때문에, 또는 다른 기계에 방해가 되기 때문에 Wi-Fi 연결이 허용되지 않는 곳도 있죠. 따라서 네, 옵션이 필요합니다. 또한 OTP 생성기처럼 원한다면 소독제를 넣을 수도 있습니다.
폴 멀비힐
네. 얼마 전 고객과 대화를 나누다 보니 의료용은 아니지만 휴대폰을 사용할 수 없는 상황이었습니다. 물리적 환경은 보안 측면에서 폐쇄된 상태입니다. 따라서 일회성 패스 코드가 있는 하드웨어 토큰을 가지고 있거나 Fido 키처럼 보일 것입니다. RSA 아이쉴드와 같은 새로운 제품에는 비접촉식 FIDO와 같은 요소가 모두 포함되어 있습니다. 따라서 과거에는 사용자 이름 암호와 일회용 암호를 사용하거나 암호로 사용할 수 있었습니다. 이제 컴퓨터에 들어가서 이름을 입력하고 탭한 다음 핀을 넣으면 바로 로그인할 수 있습니다.
잉고 슈베르트
그게 다입니다.
폴 멀비힐
프로세스 속도가 빨라지고 있습니다. 그리고 앞으로 더 단순해질 수 있는 다른 영역도 발전하고 있습니다. FIDO와 패스키의 일부 요소는 사람에 대한 기억을 유지하면서 그 사람이 누구인지도 학습하기 시작하므로 사람과 연관시킬 수 있습니다. 결국에는 FIDO 키를 들고 기계에 대고 걸어가면 됩니다.
잉고 슈베르트
물론 이 NFC 탭이 있으면 사용성 측면에서 문제가 적습니다. 숫자를 잘못 읽거나 숫자가 맞는데 잘못 탭하는 등의 실수가 발생할 수 있는 부분을 읽고 다시 탭할 필요가 없으니까요. 그래서 그런 문제가 사라졌습니다.
폴 멀비힐
시각 장애가 있는 사람이라면 회전하는 작은 화면을 읽는 것이 쉽지 않을 수 있습니다. 그래서 다시 NFC입니다.
잉고 슈베르트
알겠습니다.
폴 멀비힐
모든 분야의 모든 사람이 이러한 요소의 혜택을 누릴 수 있습니다.
존 니콜라스
아마도 보안과 편의성의 균형을 맞추는 가장 중요한 분야 중 하나는 아마도 사람들이 매우 중요한 일을 급하게 처리해야 할 때 인증 흐름과 액세스 흐름이 느려지는 것을 원하지 않기 때문에 보안과 편의성을 동시에 확보하는 것이 중요할 것입니다.
잉고 슈베르트
따라서 여러 인증 방법을 사용하는 것이 중요한 이유는 한 명의 사용자뿐만 아니라 여러 가지 방법을 사용하는 사용자도 있을 수 있지만, 아시다시피 역할의 유형이 모두 다르기 때문이죠? 따라서 모든 유형에 맞는 한 가지 유형이 있는 것은 아닙니다.
폴 멀비힐
네.
존 니콜라스
절대 아닙니다. 그 정도 규모의 조직이라면 당연히 그렇겠죠.
폴 멀비힐
다양한 역할에 대해 언급했듯이 거버넌스 측면으로 돌아가서 각 사람이 자신의 역할을 수행하고, 할 수 있는 일을 제대로 매핑했는지 확인해야 합니다. 간호사와 병원 직원, 의사, 포터, 리셉션 직원 등 각자가 할 수 있는 일이 정해져 있을 것입니다. 그 외에도 수많은 역할이 존재하며 각 역할마다 요구 사항과 액세스 권한이 다를 수 있습니다. 따라서 이를 매핑하여 이 사람은 이 역할이고 거버넌스 프로세스와 수명 주기 시스템이 제대로 작동하는지 확인하고 이것이 당신의 역할이고 이것이 당신이 가질 수있는 것입니다. 그런 다음 적절한 방법으로 다시 매핑하여 하루에 20 분을 소비하지 않고도 업무를 수행 할 수 있도록 MFA 단계를 강화하고 하루에 한두 번 정도는 AI 측면과 일부 행동 분석을 활용하여 올바르게 갈 수 있도록해야합니다, 항상 사용하는 컴퓨터에서 항상 액세스하는 리소스에 액세스하고, 한 번만 하면 계속 진행할 수 있습니다.
잉고 슈베르트
그렇다면 거버넌스 측면, 신원 거버넌스 측면에 머물러서 의료 환경에서 조인이 왜 그렇게 중요한지, 왜 조인이 레버를 움직일까요?
존 니콜라스
제가 규모에 대해 많이 언급했지만, 폴도 언급했듯이 사람들은 트러스트 간에 이동할 수도 있지만, 트러스트 내에서도 정기적으로 역할을 이동합니다. 따라서 JML 프로세스의 규모는 하루에 수만, 수십만 건의 변경이 이루어집니다. 따라서 자동화된 관점에서 이를 파악하는 것이 매우 중요합니다. 그리고 자동화된 것뿐만 아니라 적절한 타임라인을 확보하는 것도 중요합니다. 3일 후에 역할을 변경할 예정이잖아요? 그것은 시스템에 있습니다. 3일 후에 롤 A에서 롤 B로 변경하면 백엔드에서 자동으로 수행됩니다. 내가 관리자에게 ‘잉고가 다음 주에 팀에 합류할 예정인데 어떤 일을 할 수 있어야 하나요'라고 말해야 하는 것이 아니라, 잉고가 팀에 합류하고 첫날부터 필요한 모든 일을 할 수 있도록 시스템이 역할을 파악하고 필요한 권한을 알고 있어야 하는 것이죠.
잉고 슈베르트
물론 트러스트를 변경하면 A 역할이 더 이상 나와 함께하지 않는다는 의미도 되겠죠?
존 니콜라스
네, 맞아요.
잉고 슈베르트
그래서 우리 모두가 한 번쯤은 커리어에서 보았던 권리 또는 시간의 축적은 다음과 같습니다.
존 니콜라스
원하는 경우 아이덴티티를 확장할 수 있습니다.
잉고 슈베르트
네, 맞아요.
폴 멀비힐
Jon의 말에 덧붙이자면, 다른 사이트와 다른 신뢰 및 다른 역할을 이동하는 경우 A 사이트에 대해 생성된 계정을 3주, 4주, 5주 또는 심지어 2, 3일 동안 돌아오지 않으면 수명 주기 측면과 일종의 레버 요소를 사용하여 해당 계정을 즉시 비활성화할 수 있습니다. 따라서 이 계정이 존재하는 고아 계정 시나리오가 아니라 일정 수준의 권한이 있는 계정입니다. 그냥 사용되지 않고 방치되어 있는 것이므로 또 다른 공격 벡터가 될 수 있습니다. 따라서 누군가 침입하여 트러스트에 대한 랜섬웨어 공격과 같은 모든 종류의 작업을 수행할 수 없습니다. 다시는 여기에 있지 않기 때문에 잠그면 됩니다. 이틀 후에 다시 돌아오면 이틀 후에 시스템이 다시 켜집니다.
잉고 슈베르트
맞습니다.
폴 멀비힐
그 전까지는 옵션이 아닙니다. 꺼져 있습니다. 사용할 수 없습니다.
잉고 슈베르트
그리고 그와 함께 제공되는 가시성은 분명히 시스템이 어떤 역할을 가지고 있고, 어떤 역할을 가질 것이며, 어떤 역할을 수행했는지 알 수 있다는 것을 의미합니다. 제 생각은 그렇지만, 제가 틀렸다면 정정해 주세요. 감사를 받는다면 그 정보와 가시성이 매우 유용할 것 같습니다.
폴 멀비힐
누가 어떤 시점에 어떤 일을 할 수 있는지에 대한 전체 이력이 있을 것입니다. 그렇다면 감사 관점에서 어떤 일이 발생했을 때 이 감사 기준을 준수하나요? 네, 여기에 증거가 있습니다. 하나의 중앙 거버넌스 플랫폼이 있다면 모든 것이 거기에 있습니다. 그래서 '네, 괜찮습니다, 아직 문제 없습니다'라고 알 수 있습니다. 그리고 드물기는 하지만 어떤 일이 발생했을 때 동일한 데이터 세트를 사용하여 그 시점에 누가 이 데이터에 액세스했는지 확인할 수 있습니다. 어떤 추가 로깅을 에코시스템으로 가져올 수 있는지에 따라 이 계정들이 무언가를 했을 수도 있지만, 누가 이 정보에 액세스했을 수 있는지 말할 수 있습니다. 누가 무언가를 했을까요?.
잉고 슈베르트
그래서 조사에 도움이 됩니다. 훌륭한 보안 엔지니어라면 어떤 일이 발생하면 결국 침해당할 것이라고 항상 가정합니다. 이는 정리 과정에서 어떤 일이 발생했는지, 누가 영향을 받았는지 파악하는 데도 도움이 됩니다.
폴 멀비힐
항상 무언가가 침해될 수 있다고 가정하고, 항상 침해될 수 있다고 가정합니다. 따라서 컴퓨터를 가져가서 플러그를 뽑고 시멘트에 넣거나 아레나 트렌치 같은 곳에 떨어뜨리지 않는 한, 그 영향을 최소화하기 위해 가능한 한 많은 단계와 견제와 균형을 취합니다. 따라서 어떤 일이 발생하더라도 업무 진행에 미치는 영향을 최소화할 수 있도록 최대한 많은 노력을 기울여야 합니다.
존 니콜라스
네, 거버넌스 접근 방식에서 얻는 데이터는 단순히 감사자에게 정보를 제공할 수 있는지에 대한 것만이 아닙니다. 현재 우리가 가지고 있는 정보를 이해할 수 있는지도 살펴봐야 한다고 생각합니다. 프로세스 성숙도, 저는 이 세션에서 프로세스에 대해 많이 이야기하지만, 팀을 살펴보고 역할 자격을 살펴봅니다. 잠깐만요, 해당 팀에서 6개월이든 1년이든 정의한 기간 동안 아무도 이 권한을 사용하지 않았다면 시스템에서 이 권한이 사용되지 않았다고 표시되어야 합니다. 해당 권한을 제거해 봅시다. 권한이 초과되었으므로 더 이상 사용하지 않는 데에는 그럴 만한 이유가 있을 수 있습니다. 워크로드의 해당 부분을 처리하기 위해 병렬 시스템을 사용하고 있을 수도 있습니다. 따라서 새 시스템에는 이전 시스템에서 제거한 병렬 시스템이 있습니다. 그렇지 않으면 전체 수동 감사를 수행하고 지난 6개월 동안 시스템에서 무엇을 사용했는지는 모르지만 시스템에서 어떻게 사용했는지는 알 수 있기 때문에 해당 정보를 발견하는 데 실제로 도움이 되는 자동화된 인텔리전스가 필요합니다. 따라서 이러한 인텔리전스를 사용하여 제로 트러스트 또는 최소 권한으로 작업하는 것에 대해 정보에 입각한 결정을 내릴 수 있습니다.
잉고 슈베르트
네, 바로 여기서 특권이 떠오릅니다.
폴 멀비힐
그런 다음 말씀하신 것처럼 그들이 사용하지 않는 특정 권한 권한이 어디에 있는지 확인할 수 있습니다. 실제로 팀원 중 80명의 %가 이 작업을 수행해 왔지만 공식적인 역할의 일부가 아닙니다. 팀원 10명 중 8명이 개별적으로 "네, X를 하려면 B 시스템에 액세스할 수 있게 해 주세요"라고 요청하는 것이 아니라 팀 전체가 이 작업을 수행할 수 있어야 하므로 이를 추가해야 할까요?.
잉고 슈베르트
예외를 통한 관리, 기본적으로 그렇습니다. 네, 정리하세요.
폴 멀비힐
실제로 80명의 %가 사용하고 있습니다. 이를 공식적으로 역할의 일부로 만들어 감사 및 규정 준수 등을 준수할 수 있도록 하죠. 그래요, 이 팀에는 이것이 필요합니다. 역할의 일부가 완료된 것입니다. 다른 사람이 입사하거나 퇴사하는 경우, 해당 역할의 일부이므로 해당 액세스 권한을 해제하거나 새로운 사람에게도 이 권한을 부여하여 모든 것을 일관되게 유지하고 이 사람들이 할 수 있는 일을 가시화할 수 있도록 합니다.
잉고 슈베르트
그렇다면 의료 분야의 CIO에게 무엇부터 시작해야 할까요? 시작할 수 있는 일이 너무 많기 때문에 우선순위를 정할 수 있는 작은 목록 같은 것이 있다면 뭐라고 말하겠습니까?
존 니콜라스
제가 권장하고 싶고 이미 검토하고 있지만, 그 진짜 이유는 피싱 방지에 초점을 맞추고 있기 때문입니다. 많은 의료기관이 이메일을 주요 커뮤니케이션 수단으로 사용하고 있기 때문에 저는 거기서부터 시작해야 한다고 생각합니다. 그리고 우리는 이것이 피싱에 매우 취약한 공격 벡터라는 것을 알고 있습니다. 뿐만 아니라 이러한 시스템을 사용하는 사람들은 고압적인 환경에서 일하고 있습니다. 로그온하고, 급한 일을 처리해야 하고, 이메일이 들어오고, 적절한 타이밍에 공격에 성공하고, 당황한 상태로 시스템을 실행합니다. 당황한 것이 아니라 정상적인 흐름에서 실수로 피싱 사이트에 자격 증명과 데이터를 유출하는 것입니다. 따라서 피싱 방지 인증을 고려할 때 이메일 커뮤니케이션이 집중적으로 사용되는 분야이기 때문에 피싱 방지 인증이 가장 먼저 고려되어야 할 분야입니다.
폴 멀비힐
그런 종류의 피싱 방지 부분부터 시작해서 그 다음에는 인력이 무엇을 할 수 있는지에 대한 가시성을 확보하는 것이 약간 뒤처질 수 있지만 이와 병행하여 정문을 보호하자 피싱 방지 기능이 작동하는지 확인한 다음 일종의 거버넌스 가시성 도구를 실행하여 누가 존재하고 어떤 계정이 존재하며 무엇을 할 수 있는지, 변경하지 말고 말 그대로 모든 정보를 수집하여 실제로 계정과 권한에 얼마나 많은 상황이 있는지 확인하기 시작해야 한다는 데 동의 할 것입니다. 무엇이 사용되고, 무엇이 사용되지 않으며, 누가 무엇을 할 수 있고, 누가 무엇을 할 수 없는지. 데이터를 확보한 후에는 아무도 사용하지 않기 때문에 우선은 효과가 없는 변경 사항을 살펴볼 수 있기 때문입니다. 하지만 마찬가지로 팀이 앞으로 더 효율적으로 업무를 수행할 수 있도록 권한을 부여하려면 어떤 변화를 주어야 할까요?.
잉고 슈베르트
감사합니다. 의료 시스템의 신원 보안에 대한 좋은 인사이트를 얻을 수 있었습니다. 이러한 유형의 토론을 좋아하신다면 구독을 신청하여 새 에피소드가 공개될 때 알림을 받아보세요. RSA Identity Unmasked였습니다. 다음 달에 또 뵙겠습니다.
RSA의 잉고 슈버트, 존 니콜라스, 폴 멀비힐과 함께 최근 주목받고 있는 공격 벡터인 헬프데스크 공격에 대해 논의해 보세요. 패널리스트들은 사이버 범죄자들이 마크스 앤 스펜서, 재규어, 코옵 등을 공격한 방법을 자세히 설명하고, 이전의 인증 솔루션으로는 이러한 공격을 막을 수 없는 이유를 설명하며, 헬프 데스크 공격이 시작되기 전에 예방할 수 있는 솔루션을 검토합니다.
지금 시청하여 자세히 알아보세요:
- 헬프 데스크가 사이버 공격의 주요 표적이 되는 이유
- 헬프데스크 공격을 방지하는 데 MFA가 도움이 되는 방법과 부족한 부분
- 소셜 네트워크가 소셜 엔지니어링 공격으로 이어지는 방법
헬프 데스크가 왜 그렇게 표적이 되고 있을까요? 이것부터 시작하세요.
존 니콜라스: 네, 기꺼이 참여하게 되어 기쁩니다. 헬프 데스크의 역할은 우선 사람들을 돕고자 하는 마음에서 시작한다고 생각합니다. 따라서 헬프 데스크에 전화하는 사람은 누구나 헬프 데스크 관리자의 선한 본성을 발휘하여 "저기요, 저를 도와주실 수 있나요?"라고 말할 것입니다. 따라서 회사의 직원이라면 진정으로 도움이 필요하니 괜찮습니다. 하지만 위협 행위자가 전화를 걸었을 때는 '이 사람이 나를 도와줄 의향이 있구나'라고 생각할 수 있습니다. 헬프 데스크 관리자가 더 이상 프로세스에 얽매여 X, Y, Z만 할 수 있다고 말하지 않고 그 경계를 넘어 ABC도 도와드리겠다고 말할 수 있기 때문입니다. 이는 헬프 데스크가 강력한 프로세스가 없을 때 악용될 수 있는 실질적인 위험입니다.
폴 멀비힐: 헬프 데스크의 KPI에는 '마감해야 한다, 누군가 전화가 왔다, 티켓을 마감해야 한다, 분류해야 한다'는 항목이 어느 정도 포함되어 있습니다. 그리고 이 모든 것이 상품이 없는 경우 제가 처리할 수 있는 일입니다. 티켓을 종결하고 싶다고 전화가 왔고, 티켓을 만들었고, 제가 원하는 정보를 제공하고 어떤 절차가 진행 중일 수도 있고 진행되지 않을 수도 있는지를 파악할 수 있도록 최선을 다할 것입니다.
네, 헬프 데스크에서 일해 본 적이 있다면 통계, 티켓 수, 티켓의 평균 마감 시간 등 모든 것을 알 수 있고 때로는 큰 모니터에 표시되기 때문에 사회 공학 공격에 완벽한 스트레스가 높은 환경이 조성되는 것 같아요. 네, 그렇군요. 최근에 이것이 주요 공격 경로가 된 것과 같이 실제로 무엇이 바뀌 었나요?
폴 멀비힐: 예전부터 루트에 대한 공격이 있었지만, 최근 들어 뉴스에 더 많이 등장했습니다. 지난 12개월 동안 마크 스펜서의 협동조합, JLR, 재규어, 랜드로버가 공격을 받았습니다. 모두 헬프 데스크가 표적이 되었기 때문에 부분적으로 피해를 입었습니다. 누군가가 누군가를 설득하여 계정의 자격 증명을 제공하도록 유도한 후 로그인한 후 별다른 피해는 없었지만 꽤 큰 피해를 입었습니다.
존 니콜라스: 네, 그리고 아웃소싱 IT와 같은 역할도 궁금합니다. 더 이상 타사에 의존하는 A 조직의 직원들만 아는 것이 아니라 업계에서 항상 타사에 대해 사전 위험에 대해 이야기하기 때문에 그것이 얼마나 영향을 미치는지, 그리고 헬프 데스크 엔지니어의 재직 기간이 상당히 짧을 수 있기 때문에 그들이 프로세스를 인식하고 자신의 책임과 그것이 그들이 서비스하는 비즈니스에 어떤 영향을 미칠 수 있는지 인식하는 것이 중요하기 때문이죠. 그런 측면에서도 지식의 한계가 있을 수 있습니다.
잉고 슈버트: 네, 맞아요. 물론 회사의 문화를 잘 모른다면 당연히 문제가 되겠죠.
폴 멀비힐: 말씀하신 것처럼 아웃소싱 헬프데스크가 있다면 절차는 알 수 있지만 사람을 잘 모를 수 있습니다. 맞아요. 그렇다면 어떤 식으로 연락을 취할 수 있을까요? 우린 한 번도 만난 적이 없잖아요. 사무실에 와본 적도 없고요.
INGO SHUBERT: 실제 공격이라면 어떻게 그런 일이 일어날 수 있을까요? 이 경우의 전형적인 공격은 무엇인가요? 공격자는 무엇을 달성하려고 하나요? 그리고 그 공격은 어떻게 이루어지나요?
폴 멀비힐: 단순히 계정을 재설정하는 것부터 도움을 받는 것, VPN 네트워크에 접속하는 것까지 다양한 방법이 있을 수 있다고 생각합니다. 우리는 사람들이 하는 일과 관련된 수많은 소셜 미디어가 있는 세상에 살고 있습니다. 제 주변에는 다양한 이유로 자신의 일상을 SNS에 공개하는 친구들이 있습니다. 일부는 이해가 되지만 일부는 그렇지 않죠. 따라서 누군가에 대해 알고 싶다면 출처를 추적하고 많은 정보를 수집할 수 있습니다. 그래서 헬프 데스크에 전화를 걸어 누군가의 출생지나 애완동물 이름 등을 알아낸 다음 '비밀번호를 재설정해야 하는데요'라고 말할 수 있을 것입니다. 내가 누구인지, 내가 누구라고 말하는지 알기 위해 오늘 어떤 단계를 거쳐야 할까요? 아마도 보안 질문일 겁니다.
잉고 슈베르트: 맞습니다. 따라서 기본적으로 공격자가 소셜 네트워크에서 얻은 사전 지식의 조합일 가능성이 높습니다. 다른 공격일 수도 있고, 불법이든 아니든 데이터 브로커를 통해 구매한 데이터일 수도 있습니다. 그리고 우리가 처음에 이야기했던 고압적인 환경과 결합하면 공격자에게는 정말 좋은 표적이 될 수 있겠죠?
존 니콜라스: 네, 그 외에도 모방하고 싶은 개인을 조사하는 것에 대해서도 많이 이야기하지만, 현재 우리가 사용할 수 있는 도구가 있다면 'X 회사는 IT 인프라에서 무엇을 사용하나요? 그들의 기술 스택은 어떤 모습일까요? 따라서 헬프 데스크와 대화를 나눌 때 더 신뢰할 수 있습니다. VPN에 액세스할 수 있는지가 아닙니다. 팔로알토 VPN이 작동하지 않아요. 도와주실 수 있나요? 그러자마자 그들은 바로 '이게 더 익숙하네요.
INGO SHUBERT: 이 경우에는 공격자인 당신이 더 친숙하게 들리는데, 이는 당신이 우리 중 한 명이라는 뜻이고, 따라서 아웃소싱 헬프 데스크에서 당신을 더 신뢰할 수 있다는 뜻이고, 결국 당신은 회사의 일부가 아니기 때문에 거의 그들 중 하나라는 뜻입니다.
폴 멀비힐: 얼마 전에 제가 본 적이 있는데, 헬프데스크를 통해 회사를 해킹하고 돈을 받는 사람이 있었습니다. 그 영상에서 그는 약 30초 만에 헬프데스크 시스템에 액세스했는데, 기본적으로 전화를 걸어 회사에서 온 것처럼 보이도록 전화번호를 위조했기 때문에 헬프데스크 직원들은 "아, 내부자구나"라고 생각하게 됩니다. 그런 다음 그들은 사용자 행세를 하거나 VPN 시스템이 무엇인지, 어떤 정보를 가지고 있는지에 대해 질문하면서 그들을 설득하여 웹사이트에 액세스하도록 도와주었고, 실제로 그 사람이 사용 중인 컴퓨터에 백도어 액세스 권한을 부여했습니다.
INGO SCHUBERT: 기본적으로 인증을 위해 증거에 의존하는 것이죠. 공격자가 생성하는 따뜻하고 모호한 느낌에 가깝습니다. 그렇다면 대신 무엇을 해야 할까요? 이걸 어떻게 하면 다르게 할 수 있을까요? 완전히 새로운 문제인 것 같지는 않잖아요? 헬프 데스크는 수십 년 동안 존재해 왔잖아요?
폴 멀비힐: 네, 제 생각에는 IT 보안에 있어서는 우리가 가장 취약한 부분이라고 생각합니다. 우리가 알고 있는 것에 의존하고 있다면 아마 알아낼 수 있을 겁니다. 다른 출처에서 알아낼 수 없거나 배울 수 없는 무언가를 가지고 누군가를 인증해야 하는 영역으로 내려가야 하나요? 그래서 일종의 MFA 스텝업이나 그런 종류의 라인에 따라 '그래, 좋아, 당신은 시스템을 가지고 있고, 도움을 요청하고, 증명하라'고 말하는 것과 같습니다. 하지만 질문을 통해서는 안 됩니다.
잉고 슈베르트: 가장 인기 있는 질문은 할머니의 결혼 전 이름과 같은 보안 질문이라고 말씀드리려고 했는데요. 그 중 몇 개는 항상 같은 질문인가요?
폴 멀비힐: 맞아요. 똑같은 10개의 질문이 있는데 그중 세 개를 골라보세요. 그거 알아요? 그 목록을 찾아서 모두에게 맞는 답이 무엇인지 알아낼 수 있을 것 같아요.
잉고 슈베르트: 맞습니다. 다시 중요한 주제로 돌아가서, 신원 보안의 일반적인 주제는 증거와 강력한 증거가 필요하다는 것입니다. MFA를 언급하신 것 같습니다. 바로 여기서 MFA가 등장합니다.
폴 멀비힐: 네. 회사에 MFA가 설정되어 있다면 이를 적극 활용하세요. John이 MFA를 설정하고 헬프 데스크에 전화하는 경우, 이를 사용하여 본인이 본인임을 증명하세요. 물론 모든 MFA가 똑같이 만들어지지는 않지만, 존이 어디서 태어났는지, 처녀인지, 어머니의 처녀인지, 이것저것 알아보고 질문에 답하는 것이 아무것도 하지 않는 것보다는 낫습니다. 그런 다음 MFA를 설정한 단계라면 이를 증명하세요.
INGO SCHUBERT: 그렇다면 이제 어떻게 작동할까요? 이 경우 RSA ID Plus를 사용하면 헬프 데스크에서 무엇을 해야 할까요? 최종 사용자는 이를 위해 무엇을 해야 할까요? 예를 들어, MFA를 수행한다고 하면 그건 한 가지입니다. 하지만 단계별로 어떻게 작동하는지가 중요합니다. 사용자는 무엇을 어떻게 해야 할까요?
폴 멀비힐: ID Plus의 경우 두 사람 간에 통화가 이루어지기 때문에 양면성이 약간 있습니다. 헬프 데스크 담당자가 시스템에서 사용자를 찾은 다음 인증 세션을 트리거합니다. 전화를 거는 최종 사용자가 URL을 알고 있거나, 아니면 엔드포인트로 이동해야 하는 URL을 학습한 다음 엔드포인트 내에서 MFA를 수행합니다. FIDA인지, 푸시 승인인지, 생체인식인지, 어떤 방법을 선택하든 회사에서 결정할 것입니다. 그리고 승인에 성공하면 인증 코드를 받습니다. 이를 헬프 데스크 담당자에게 전달합니다. 하지만 이는 순전히 신원 확인 번호일 뿐입니다. 인증 번호가 아닙니다. 이 번호로는 아무것도 들여다볼 수 없습니다.
잉고 슈베르트: 맞아요. 따라서 현재 사용 중인 OTP 등을 제공하지 않아도 됩니다.
폴 멀비힐: OTP를 사용한다면 OTP를 사용합니다. 푸시 승인, Fido의 생체 인식을 수행합니다. 그 시점에서 정보를 공유하지 않고 이 모든 작업을 수행합니다. 결과를 얻습니다. 헬프 데스크 담당자에게 결과를 전달하는데, 이 역시 확인을 위한 것입니다. 어떤 종류의 인증도 아닙니다. 그리고 나서
헬프 데스크 직원이 '네, 이 번호를 알려주세요, 하나, 둘, 셋, 넷, 다섯, 입력하면 시스템에서 '네, 이 사람이 맞습니다'라는 메시지가 표시됩니다.
잉고 슈베르트(RSA)와 데이비드 렐로(버닝 트리)와 함께 양자 암호화, 위험에 대한 타임라인, 조직이 양자 이후 ID 복원력에 대비하는 방법에 대한 토론을 이어가세요. 이 확장된 첫 번째 에피소드에서 전체 대화를 들어보세요. 자리에 앉아 팝콘을 드세요! 좋은 시청입니다!
데이비드 렐로: 감사합니다
INGO SCHUBERT: 청중을 위한 혜택과 같은 관점에서 양자 컴퓨팅이 무엇인지 몇 마디로 설명해 주시면 전문가 수준에 도달할 수 있을 것 같습니다.
데이비드 렐로: 이론 물리학으로 들어가면 몇 명을 잃을 수도 있다고 생각하기 때문에 양자 컴퓨터를 보는 기본적인 방법부터 시작하겠습니다.
잉고 슈베르트: 네
데이비드 렐로: 양자 컴퓨터는 기존 컴퓨터와 다른 방식으로 작동합니다. 컴퓨터에게 명령을 내리는 것이죠. 양자 컴퓨터는 다르게 작동합니다. 양자 컴퓨터가 사용하는 것은 양자역학이며, 따라서 양자 역학의 다차원 세계에서 데이터를 보고 데이터를 봅니다. 데이터를 같은 방식으로 읽지 않기 때문에 가설을 세우고 동시에 여러 가지 구조를 살펴볼 수 있습니다. 마치 책을 읽을 때 기존 컴퓨터는 처음부터 끝까지 읽지만 양자 컴퓨터는 책을 읽으면서 데이터를 보는 것과 비슷합니다. 따라서 양자 컴퓨터는 정보를 훨씬 더 빠르게 처리할 수 있습니다. 그리고 문제를 풀 때도 문제를 순차적으로 풀려고 하는 것이 아니라 모든 문제를 한꺼번에 해결하는 것과 같습니다.
잉고 슈베르트: 네, 물론 알고리즘은 상당히 다릅니다. 그렇기 때문에 많은 사람들이, 그리고 저 역시 마찬가지입니다. 물론 실제로 어떻게 프로그래밍해야 하는지에 대해 어려움을 겪고 있습니다. 전통적인 IT 배경에서 볼 때, 저는 때때로 이것이 정말 다른 짐승이라는 것을 이해하는 데 도움이되는 것은 모든 비트와 같은 전통적인 컴퓨터라는 것입니다. 비트가 N개 있으면 N만큼의 데이터를 저장할 수 있습니다. 0, 1, 맞죠? 양자에서는 N의 거듭제곱에 2를 더한 양이 되므로, 기존의 인스턴트가 작동하면 이 경우에는 같은 양의 큐비트에 훨씬 더 많은 양이 저장되는 것과 같죠? 따라서 저장과 처리는 단지 다른 수준에 있습니다. 그렇지 않으면 며칠 동안 여기에있을 것이기 때문에 거기에 남겨 둘 것 같습니다. 기본 사항만 설명했습니다.
다음으로 살펴보고자 하는 주제는 양자 컴퓨팅의 현재 상태입니다. 지금 우리는 어디에 와 있을까요? 아마도 블레츨리 공원에서 우리를 지켜보신 분들이라면 우리가 어디에 있는지, 어디로 갈 것인지에 대해 다양한 의견을 가지고 계실 것 같습니다. 그럼 여러분부터 시작하겠습니다. 양자 컴퓨팅의 현재 상태는 어떤가요?
데이비드 렐로: 양자 컴퓨팅은 아직 초기 단계에 있다고 생각합니다. 그래서 많은 양자 컴퓨터가 나와 있고 실제로 양자 컴퓨터에서 시간을 고용하여 데이터를 볼 수 있습니다. 하지만 양자 컴퓨터가 개발되는 방식에는 여러 가지 문제가 있다고 생각합니다. 일부 양자 컴퓨터는 온도와 같은 측면에서 많은 제어가 필요합니다. 양자 컴퓨터는 절대 영도, 즉 영하 270도에서 작동하기 때문에 정말 춥습니다. 이를 위해서는 큰 시설과 큰 장비, 큰 에너지가 필요합니다. 그렇지 않으면 응집력을 잃고 플랫폼의 안정성을 잃게 됩니다.
초기 양자 컴퓨터는 이 문제로 인해 항상 소진되었습니다. 따라서 이는 해결하고 해결해야 할 문제입니다. 또 다른 문제는 양자 컴퓨터가 데이터를 동시에 보기 때문에 많은 노이즈가 발생한다는 것입니다. 성경과 같은 책을 처음부터 끝까지 읽지 않고 한 번에 읽어야 한다면, 머릿속에서 이해할 수 없는 이야기가 만들어질 것입니다. 그리고 메시지가 무엇인지 소화하고 이해하고 증류하는 것은 매우 어려워집니다.
따라서 시스템 내 노이즈로 인해 엄청난 양의 문제가 발생했습니다. 옥스퍼드에서는 오류 등급과 시스템 내 노이즈를 상당히 줄인 좋은 성과를 거둔 바 있습니다. 하지만 현재 가장 중요한 문제는 한 번에 얽힐 수 있는 큐빗의 양인데, 큐빗이 100 큐빗 정도를 초과하기 시작하면 큐빗의 응집력이 떨어지기 시작합니다. 따라서 실제로 정보를 처리하기 위해 한 번에 얽힐 수 있는 큐빗의 양은 제한되어 있습니다. 이는 곧 기계의 처리 능력과 용량이 제한된다는 것을 의미합니다.
따라서 아직 암호화와 관련된 양자 컴퓨팅이라고 부를 수 있는 수준은 아니지만 입증된 단계에 있습니다. 작동합니다. 과학자들이 말하는 대로 작동합니다. 이제 다음 단계로 나아가 더 많은 투자를 하는 것이 관건입니다. 몇 달마다 더 많은 발전이 이루어지거나 집중적인 투자가 이루어지고 있으며, 우리는 진전을 보기 시작했습니다.
잉고 슈베르트: 네, 맞습니다. 양자 컴퓨터를 비교해보면, 사진만 봐도 알 수 있죠? 5년 전과 지금을 비교해 보면, 5년 전에는 부분적으로 물리적 실험이라고 할 수 있지만, 5년 전에는 훨씬 더 물리적인 실험이었죠? 그런 것들의 물리적 설정 만 보면 그렇죠?
하지만 문제를 던지면 기존 컴퓨터보다 훨씬 빠르게 문제를 해결할 수 있는 것은 사실입니다. 그리고 그 중 하나가 바로 응집력이라고 말씀하셨죠. 네, 응집력의 기본은 일정 시간 동안 시스템을 안정적으로 유지할 수 있는지 여부입니다. 그리고 그것은 일반적으로 최대 초 단위로 측정됩니다. 예, 또는이 모든 칩에 포함 된 칩에 따라 밀리 초 단위로 측정됩니다. 그리고 이는 많은 경우에 유용하지 않은 시간입니다. 하지만 몇 가지 사용 사례는 의미가 있습니다. 양자 코프로세서처럼 생각하면 됩니다. 하지만 제가 가진 문제는 많은 사용 사례에서와 마찬가지로 엔비디아의 GPU 몇 개로 문제를 해결할 수 있을지 의문이라는 것입니다.
그래서 양자 컴퓨팅 분야에서도 여전히 많은 과대 광고가 계속되고 있습니다. AI 과대광고와도 약간 겹치는 부분이 있다고 생각합니다. 물론 그것이 과대광고라면 진짜라고 주장할 수도 있습니다. 하지만 요점은 많은 과대 광고와 많은 돈이 떠돌고 있다는 것입니다. 그 자금의 일부는 지금 출구 전략을 찾고 있다고 생각합니다. 그리고 양자 컴퓨팅은 매력적으로 보이죠? 그래서 그들은 거기에 많은 것을 쏟아 붓고 있고 근본적으로 이것이 과대 평가되고 그들이 무엇을 약속하는지에 대해 과대 평가되고 있으며 이것은 실제로 여기 스펙트럼을 가로 지르고 있습니다. 블레츨리 파크에서 저는 구글 윌로우 칩을 예로 들었는데, 구글은 실제로이 새로운 칩에 대한 보도 자료를 통해이 모든 오류를 크게 수정했으며 대중 언론에서도이 칩이 기존 컴퓨터가 10 분 안에 할 수있는 일을 5 분 안에 할 수 있다는 주장을 받았습니다. 35 년의 힘 네, 우주는 10 년의 25 배에 불과하기 때문에 놀랍습니다. 그리고 그것을 읽으면 그래, 아니요, 제대로 할 수 없습니다. 이 것이 5 분 동안 작동 할 수 있고 수백만 배나 할 수 없다면 그렇게 할 수 없다는 것과 같았습니다, 그런 식이죠. 그리고 크고 작은 여러 회사의 다른 보도 자료를 보면 달성한 성과를 과대 포장하는 경향이 약간 있습니다.
안타깝게도 이 때문에 지난 몇 년 동안 양자 컴퓨팅이 실제로 이뤄낸 일부 진전이 묻혀버렸다고 생각합니다. 그리고 이것이 바로 양자 컴퓨팅의 위협이 실제보다 훨씬 더 현실적으로 다가오고 있는 것처럼 보이게 만드는 부분이라고 생각합니다. 하지만 양자 컴퓨팅이 갑자기 나타나면 세상이 멸망할 것이라는 이야기를 하기 전에, 양자 컴퓨터의 장점은 무엇일까요? 그렇다면 양자 컴퓨터가 다른 어떤 것보다 훨씬 더 잘할 수 있는 것은 무엇일까요?
데이비드 렐로: 양자 컴퓨터가 현재 어느 단계에 와 있는지에 대해 말씀하신 것에 대해서도 답변해드리겠습니다. 저는 양자 컴퓨터의 측면에서 문제가 있다는 데 동의하지만, 양자 컴퓨터의 안정성을 실제로 달성하는 데는 현재 제시되고 있는 것보다 훨씬 더 가까워졌다고 생각합니다. 돌이켜보면 실제로 미래를 바라보는 가장 좋은 방법 중 하나는 역사를 살펴보는 것이라고 생각합니다. 제가 은행에서 일하던 젊은 시절에 메인프레임이 있었는데, 구식 IBM 메인프레임이었습니다. 메인프레임은 방 하나를 차지했죠. 큰 방이었죠. 작은 방이 아니었죠. 꽤 큰 방이었죠. 그리고 방을 가득 채웠죠. 이 메인프레임에는 밸브가 있었어요. 수냉 탱크가 세 개 있었어요 이 은행 지하에는 수영장이 있었어요. 엄청나게 컸죠. 그리고 불과 몇 년 전에 그 메인프레임의 펀치 카드 시스템을 교체했었죠.
지게차와 중장비가 필요했던 구형 메인프레임을 꺼낼 때는 물리적으로 메인프레임을 다시 장착할 수 없었기 때문에 실제로 일부 문을 잘라내야 했습니다. 그리고 이전보다 기하급수적으로 커진 랙과 메인프레임 컴퓨터로 교체했습니다. 지난 몇 년 동안 컴퓨터의 발전은 엄청나게 가속화되었습니다. 30년만 거슬러 올라가도, 40년만 거슬러 올라가도 엄청난 변화가 일어나고 있는 것을 알 수 있습니다.
잉고 슈베르트: 네.
데이비드 렐로: 현재 양자 컴퓨터는 초기 지표와 과학이 있지만, 냉각 시스템과 대형 장비가 필요하고 모든 종류의 장비가 필요하기 때문에 지하실에 탱크가 3개 있는 오래된 메인프레임과 비슷하게 느껴집니다. 엄청난 금액이 투입됩니다. 많은 투자가 이루어지고 있습니다. 그리고 이러한 문제는 해결될 것입니다. 그리고 우리가 생각하는 것보다 더 빨리 해결될 수도 있습니다. 그리고 현재 우리가 매달 보고 있는 발전은 우리가 점점 더 결속력에 가까워지고 있음을 시사하고 있습니다. 그래서 조금 더 가까워질 수도 있다고 생각합니다.
양자 컴퓨터가 실제로 어떤 사람들이 주장하는 것만큼 빠르지는 않지만 훨씬 더 빠르게 데이터를 처리할 수 있기 때문에 이전에는 해결할 수 없었던 문제를 살펴보고 해결할 수 있기 때문에 양자 컴퓨터가 등장한다면 정말 흥미로운 일이 될 것이라고 생각합니다.
이론 물리학에서 슈뢰딩거의 고양이라는 개념이 있는데, 그 고양이는 죽었나요, 살아있나요? 썩은 건가요? 죽었나요, 살았나요? 고양이의 상태는 어떤가요? 양자 컴퓨터는 실제로 고양이를 모든 가능성으로 보고 볼 수 있으므로 우리가 해결할 수 없었던 주요 문제를 해결할 수 있습니다.
잉고 슈베르트: 네, 그리고 의학이나 단백질 폴딩 같은 분야에서는 양자 컴퓨터가 기존 컴퓨터보다 확실히 우위를 점할 수 있을 것 같습니다. 그리고 일기 예보와 같이 처리해야 하는 방대한 양의 데이터가 있는 모든 것, 예를 들어 지질학적 데이터 등 컴퓨팅의 이점을 누릴 수 있는 사용 사례가 꽤 많이 있습니다.
자, 이렇게 다시 돌아오는 것이 더 빨리 당신의 요점은 그가 과거에 트랜지스터로 이런 일이 일어났다는 것이 다시 일어나는 직선이 아니기 때문에 그렇지 않다고 생각할 수 있으므로 지난번에 당첨되었다고해서 다음 번에 당첨되지 않는 것은 복권처럼 매번 0에서 시작하고 특히 응집력이있는 것은 아닐 수도 있습니다, 예를 들어 쇼의 알고리즘을 실행할 수 있는 범용 양자 컴퓨터가 되기 위해 몇 백 큐비트, 몇 천 큐비트를 이야기한다면 암호화에 위협이 될 수 있습니다. 수십만 큐비트라는 말씀이시죠? 그리고 그렇게 가는 도중에 어딘가에서 벽에 부딪힐 수도 있겠죠? 이러한 문제를 해결한다는 보장은 없습니다. 그럴 수도 있고, 실제로 그럴 수도 있지만 장담할 수는 없습니다. 동시에 양자 컴퓨터는 기본적으로 GPU 덕분에 전 세계적으로 컴퓨팅 성능이 엄청나게 증가한 환경에서 상업적으로 살아남아야 하죠? AI 덕분이죠. 예전에는 비트코인 열풍이 불었다면 지금은 AI가 대세입니다. 따라서 칩 설계의 근본적인 발전과 같은 발전이 없이는 불가능합니다. 네, 네, 칩이 작아지긴 했죠. 컴퓨팅 파워가 엄청나게 증가했기 때문에 이제 기본적으로 제한 요소는 전력입니다. 그래서 전력입니다.
이러한 환경에서 양자 컴퓨터는 살아남아야 합니다. 이제, 특히 암호 해독과 같은 경우에는 일부 정부에서 그렇게 할 것이라고 주장할 수 있습니다. 네, 그건 괜찮습니다. 그들은 돈이 충분하니까요. 그들은 그런 것에 신경 쓰지 않아요. 글쎄, 신경 써야 할지도 모르죠. 우리가 낸 세금인데 신경 쓰지 않는다고 가정해 봅시다.
완벽하게 작동하는 범용 양자 컴퓨터로 가는 길에는 실용적인 양자 컴퓨팅 사용 사례가 있습니다. 이는 분명한 사실입니다. 그렇지 않다는 말이 아닙니다. 그리고 좋은 사용 사례도 있습니다. 예를 들어 제약 연구에서의 단백질 폴딩을 들 수 있죠?
하지만 위협에 대해 이야기해 보죠? 전력 소비와 같은 것을 말하는 것이 아닙니다. 왜냐하면 오늘날에는 기존 장치에 그런 것이 있기 때문입니다. 내 말은, 특히 IT 보안에 대한 위협과 그 다음이 보안이죠? 쇼의 알고리즘을 언급했으니 이것이 무엇이고 보안에 어떤 영향을 미치는지 간단히 설명해야 할 것 같습니다.
양자 컴퓨터는 정보와 데이터를 훨씬 더 빠르게 처리할 수 있기 때문에 쇼의 알고리즘을 사용하여 암호화 키를 리버스 엔지니어링할 수 있기 때문에 암호화 관련 양자 컴퓨터가 있으면 몇 초, 몇 분 안에 키를 해독할 수 있습니다.
잉고 슈베르트: 네.
데이비드 렐로: 따라서 우리가 소비하고, 사용하고, 액세스하는 대부분의 데이터는 공격에 취약할 수 있습니다.
잉고 슈베르트: 네. 그래서 쇼르의 주장은, 앞서 말씀드린 것처럼, 수십만 개의 큐비트가 응집되어 일정 시간 동안 실행되어야 하기 때문에 오늘날 이를 실행할 수 있는 양자 컴퓨터가 없다는 것입니다. 따라서 몇 초라고는 하지만 요즘의 양자 컴퓨터에서는 몇 초도 문제가 됩니다. 따라서 RSA 알고리즘, 즉 개인 공개 키, RSA를 사용하지만 디피-헬만을 사용하고 타원 곡선, ECC를 사용하는 개인 공개 키가 실제로 본질적으로 깨지거나 무효화됩니다. 따라서 기본적으로 대중적이고 지난 수십 년 동안 사용되어 온 모든 것이 본질적으로 깨질 것입니다. 양자 컴퓨터가 등장하면 모두 깨질 것입니다. 물론 기존 컴퓨터는 여전히 늘 그래왔듯이 어려움을 겪을 것이므로 위협이 되지는 않습니다.
이 알고리즘이 깨지면 모든 곳에서 이러한 알고리즘이 사용된다는 뜻이죠? 예를 들어 전통적인 TLS, 웹 서버 통신, 클라이언트에서 웹 서버로의 통신, VPN, 이메일 서명, 전송되는 파일 암호화 등 모든 것이 RSA, ECC, 또는 Diffie-Hellman을 기반으로 하는 경우가 많죠? 따라서 실제로 재앙이라고 할 수 있습니다.
데이비드 렐로: 물론 그렇겠죠. 완전히 재앙이 될 것입니다. 더 많이 조사하고 실제로 더 많은 사용 사례를 살펴볼수록 더 많은 시스템이 실패할 것이라고 생각합니다. 전 세계적인 문제입니다. 금융 시스템에 대한 인증과 인증 같은 것들 말이죠. 심지어 비트코인 같은 것들도 해킹을 당합니다. 타원 곡선 암호화를 사용하는 비트코인이 손상될 수 있습니다. 그러면 그 결과 금융 시스템이 완전히 무너질 수 있습니다.
네, 정말 치명적일 수 있습니다. 일반적인 광범위한 사용 사례의 주요 문제뿐만 아니라 사람들이 항상 생각하지 않는 작은 덜 대중적인 문제에서도 볼 수 있다고 생각하기 때문에 IOT와 OT에 대해 이야기하기 시작하고 의료 기기 및 의료 장비에 대해 생각하기 시작할 때 이를 타협할 수 있는 능력을 볼 수 있다고 생각합니다. 인슐린 펌프를 착용하고 있는 사람을 예로 들어보겠습니다.
인슐린 펌프의 암호화를 해독할 수 있다면 누군가를 죽일 수 있습니다.
잉고 슈베르트: 네.
데이비드 렐로: 갑자기 이런 일의 배후에 있는 범죄가 기하급수적으로 더 커질 수 있다는 것이죠. 그리고 영화 마이너리티 리포트나 터미네이터와 같은 사례가 발생하기 시작합니다.
잉고 슈베르트: 이제야 말씀하시네요. 이제 막 흥미로워졌네요.
하지만 다시 양자 컴퓨터의 가용성으로 돌아와서, 하루아침에 이뤄지는 일이 아니기 때문에 하루아침에 이뤄지지는 않을 것입니다. 예를 들어 누군가 쇼의 알고리즘을 실행할 수 있는 20만 큐빗의 양자 컴퓨터를 마침내 얻었다고 가정해 봅시다. 보통은 100만 큐빗 정도입니다. 10만 큐비트 정도만 있으면 된다는 연구 결과도 있습니다. 갑자기 모든 사람이 양자 컴퓨터를 갖게 되는 것은 아닙니다. 양자 컴퓨팅에 접근할 수 있는 것은 소수의 정부와 연구 시설뿐입니다. 모든 사이버 범죄자가 양자 컴퓨팅에 접근할 수 있는 것도 아닙니다.
하지만 위협은 현실입니다. 2000년의 문제와 비슷하다고 생각합니다. 한동안 이러한 문제가 발생할 것으로 예상했지만, 이를 완화하기 위해 여러 가지 조치를 취했지만 별다른 효과가 없었습니다.
데이비드 렐로: 하지만 우리가 뭔가를 했기 때문이죠.
잉고 슈베르트: 맞습니다. 우리가 뭔가를 했기 때문이죠? 만약 우리가 아무것도 하지 않았다면 아마 큰 문제가 되었을 것이고, 우리가 뭔가를 했는데 괜찮아졌겠죠? 이 경우도 아마 이 경우와 비슷할 것이라고 생각합니다. 왜냐하면 할 수 있는 일이 있기 때문에 다음 작업으로 넘어갈 수 있기 때문입니다.
네, 그래서 우리는 얼마나 오래있을 것인지에 대해 동의하지 않을 수 있습니다. 그래서 이걸 던지는 것처럼 MITRE 보고서가 있었는데 미국의 정부 지원 연구 기관으로서 올해 초에 최근 보고서가 있었는데 그들은이 쇼의 알고리즘을 2040 년대 초반 아마도 2050 년대 초반에 넣었 기 때문에 바로 밀어 붙일 인센티브가 없었기 때문에 확실한 보고서 였지만 이것이 훨씬 빠르다고해도 2030 년대 이전이 될 것 같지는 않습니다. 기적이 일어나지 않는 한 그럴 가능성은 거의 없다고 생각합니다. 그렇다면 양자 대재앙에 대비하기 위해 지금 당장 무엇을 할 수 있을까요?
데이비드 렐로: 2050년보다는 훨씬 더 빨라질 것 같아요. 예측은 불가능한 일이기 때문에 저는 예측을 시도하는 것을 싫어합니다. 인간에게는 초자연적인 능력이 없기 때문에 미래를 예측하려고 하면 필연적으로 실패할 수밖에 없죠.
잉고 슈베르트: 그럼 2055년에 만나 봅시다. 같은 시간에요, 그래요, 그럼 이 얘기를 할 수 있겠네요. 제가 아직 내부에 있다면요.
데이비드 렐로: 물론이죠. 시작하죠. 같은 시간, 같은 장소에서요. 그렇게 하죠. 좋아요, 하지만 더 빠르면 어떻게 하면 그 이벤트를 축하할 수 있을지 생각해 봅시다. 기술이 발전할 때마다 획기적인 일이 일어나고, 어느 시점에 일어나기 때문이죠. 다음 주에 일어날 수도 있습니다. 10년 후에 일어날 수도 있고요. 저희도 모르죠. 하지만 과학이 있기 때문에 반드시 일어날 것이라고 확신합니다. 과학은 믿을 만합니다. 진짜예요. 해바라기 밭은 지금도 응집력을 유지할 수 있습니다. 상온의 들판에서 그 주변에서 일어나는 모든 일들이 안정적으로 유지되는 것이죠. 아래에서 뛰어다니는 동물과 공해 등 모든 것들. 해바라기 밭은 응집력을 가질 수 있습니다.
잉고 슈베르트: 맞습니다.
데이비드 렐로: 왜 많은 과학자들이 그렇게 하나요?
잉고 슈쿠버트: 네, 하지만 진화하는 데는 200만 년이 걸리죠? 그게 제 요점입니다. 저도 그 점에 동의하지만, 그들이 약간 앞서 나가고 있죠?
데이비드 렐로: 다시 본론으로 돌아와서, 우리가 가진 문제 중 하나는 블레클리 파크에서도 잠깐 언급했지만, 암호화 키 관리와 관련하여 현재 우리가 가진 관행과 모범 사례라고 할 수 있는 것은 많은 회사가 실패했다고 생각합니다. 예를 들어 몇 년 전 SSL 취약점이 발생했을 때 모든 사람들이 앞다투어 키를 교체하려고 했습니다. 그 덕분에 기업들은 TLS 키를 교체하는 방식에 있어 훨씬 더 민첩해졌고, 이는 환상적인 일이었습니다. 문제의 상당 부분이 해결된 것이죠. TLS 키에 민첩성이 있다면 키를 변경할 수 있다는 뜻입니다. 이 과정에서 모든 것이 제대로 작동하는지 확인하기 위해 몇 가지 테스트를 수행해야 할 수도 있습니다.
하지만 조직은 지금부터 인증 기관과 키를 발급하는 방법 및 TLS 수준에서 키를 교체하는 방법에 대해 생각할 수 있습니다. 그리고 그것은 괜찮습니다. 우리가 발견하는 문제는 조직에 들어가면 20~30개, 심지어 40%의 키가 이러한 방식으로 관리되지 않는다는 것입니다. 많은 하드웨어가 하드웨어 인프라에 키를 내장하고 있는 경우가 많고, 이러한 하드웨어 중 일부는 20년 동안 사용할 수 있으며, 하드웨어 내에서 키를 변경한다는 것은 하드웨어를 변경하는 것을 의미합니다.
특히 애플리케이션 자체에 키가 내장되어 있는 모놀리식 빌드 시대에는 코딩에 있어 잘못된 관행이 많았습니다. 그리고 우리가 생각하기 시작했을 때.
잉고 슈베르트: 제 말이 그 말인 것 같습니다. 이는 양자 컴퓨팅 여부와 관계없이 나쁜 관행이었습니다.
데이비드 렐로: 맞습니다. 그래서 우리가 Q-Day라는 아이디어를 생각하기 시작했을 때, Y2K에서는 날짜가 있었기 때문에 쉬웠습니다. 우리는 Q-Day와 날짜가 없습니다.
잉고 슈베르트: 아주 좋은 지적입니다.
하지만 내일이 될 수도 있고, 10년 후가 될 수도 있고, 그보다 훨씬 더 오래 걸릴 수도 있는 상황이 오면 조직의 상당 부분과 그 키를 쉽게 또는 쉽게 교체할 수 없는 상황이 발생하고 패닉에 빠지게 될 것입니다. 데이터가 손상되면 엄청난 규모의 문제가 발생하게 될 것입니다.
하지만 또 다른 문제는 제가 질문을 많이 받는 문제인데, 바로 ‘지금 수확하고 나중에 해독'이라는 위협입니다. 데이비드 캐머런 영국 총리가 중국에 의해 모든 데이터가 도난당했다는 유명한 말을 한 적이 있을 정도로 수년 동안 암호화된 데이터가 도난당하는 것을 보아왔지만, 이는 중요하지 않습니다. 암호화되어 있으니까요. 몇 년 전으로 거슬러 올라가면 지금 당장은 사실이지만, 양자 컴퓨터와 같은 기술을 고려할 때 이는 문제가 될 수 있습니다. 그리고 물론 데이터는 오래갑니다.
INGO SCHUBERT: 하지만 그 데이터 중 일부는 여전히 관련성이 있을 것입니다. 전부는 아니지만 일부분은요. 제 생각도 마찬가지입니다. 5년 후에 암호가 해독되더라도 누가 신경이나 쓰겠어요? 아니면 10년 후에라도요. 따라서 인증을 위한 많은 신원 데이터가 5년 또는 10년 후에 해독되더라도 그때는 이미 오래되었기 때문에 크게 신경 쓰지 않아도 된다고 주장할 수 있습니다. 하지만 전략적 데이터는 수십 년 후에도 해를 끼칠 수 있는 경우가 많죠? 그리고 꼭 국가일 필요도 없습니다. 일반 기업, 일반 기업일 수도 있습니다.
데이비드 렐로: 맞습니다.
잉고 슈베르트: 어떤 경우인가요?
데이비드 렐로: 저는 레거시 시스템이 있는 조직을 많이 방문합니다. 실제로 얼마 전까지 애플리케이션이 있는 조직에 근무한 적이 있었습니다. 소스 코드를 잃어버렸기 때문에 블랙박스로 취급하고 블랙박스로 취급했습니다. 그걸 만든 사람은 이미 오래 전에 떠났으니 건드리지 마세요. 넘어지면 전원을 켜거나 끄고 다시 켜고 기도하는 것밖에 할 수 있는 일이 없으니까요. 여러분이 할 수 있는 일은 아무것도 없습니다. 그리고 이 시스템은 매장의 모든 액세스, 매장의 모든 액세스를 제어합니다. 그리고 만약 해킹당하면, 해킹당하면 조직이 무너집니다.
잉고 슈베르트: 단일 장애 지점.
데이비드 렐로: 단일 장애 지점. 단일 장애 지점이 있는 조직이 엄청나게 많다는 것은 놀라운 일입니다. 조직은 ID 및 액세스 관리 인프라를 어떻게 현대화할지 고민해야 합니다. ID 및 액세스 관리에 대해 생각하기 시작하면 ID 및 액세스 관리는 모든 것으로 통하는 길입니다. 최근 독일을 비롯해 영국, 이탈리아 등지에서 발생한 랜섬웨어 공격에서 우리는 이를 확인할 수 있었습니다. 이러한 랜섬웨어 공격은 액세스 제어 시스템을 표적으로 삼고 있습니다. 액티브 디렉터리든, 앞서 설명한 시스템이든, 실제로 액세스를 손상시키고 조직을 다운시키고 통신을 중단시키고 액세스 기능을 중단시킬 수 있는 소프트하고 쉬운 표적이기 때문에 인증에서 이를 표적으로 삼고 있습니다. 이러한 맥락에서 ID 액세스 관리를 현대화하는 것이 가장 중요한 우선순위 중 하나가 될 것입니다.
잉고 슈베르트: 네, 맞아요. 어떻게 보더라도 말이 되니 반박하기 어렵습니다. 베어본 암호화 키 관리로 돌아가면 많은 고객이 자신이 무엇을 가지고 있는지 알지 못한다고 생각하죠? 어디를 암호화하는지, 키는 어디에 있는지, 디지털 서명은 어디에 하는지 제대로 파악하지 못하죠. 이런 개요 같은 게 없죠. 이것이 문제의 일부라고 생각하죠? 존재하지 않는 것을 알면 고칠 수 없으니까요. 많은 고객이 기본적인 사이버 위생에 어려움을 겪고 있습니다. 안타깝게도 제가 매일같이 겪는 일이죠? 오늘 아침에도 20년 된 RSA 소프트웨어를 실행하는 고객과 통화했는데, 20년 된 소프트웨어였죠?
데이비드 렐로: 와우.
INGO SCHUBERT: 실제로 지원팀에 전화가 왔는데 지원팀이 전화를 받을 수 없었고, 전화를 받던 지원 담당자가 그 소프트웨어가 나왔을 때 아마 유치원에 있었을 거라고 생각했죠? 그래서 제 요점은 이러한 기본적인 사이버 위생과 가시성을 확보하지 않는 한, 우선 퀀텀 레디 상태에 도달 할 수 없다는 것입니다. 예, Q-day에 대비할 준비가 된 상태입니다. 그것은 불가능에 가깝습니다.
또한, 제 생각에는 이런 문제를 해결하기 전까지는 양자 컴퓨팅에 대해 걱정할 필요가 없다는 것이죠? 어떤 소프트웨어를 실행하고 있는지 모르고 최신 상태로 유지하지 않으면, 예를 들어 포스트 양자 암호화를 구현하는 것처럼 당연히 공급업체가 이 문제를 해결해 주는 것에 의존하게 되니까요, 그렇죠?
하지만 소프트웨어가 새 버전으로 출시되고 멋진 양자 컴퓨팅 기능이 모두 포함되어 있는데도 설치하지 않으면 존재하지 않는 것이 되겠죠? 그리고 그렇게 한다고 해도, 예를 들어 데이터 관리와 같은 정책과 절차가 제대로 되어 있지 않다면 무슨 소용이 있을까요? 공격자가 헬프 데스크에 전화해서 입력을 요청할 수 있다면 양자 컴퓨터가 필요하지 않겠죠? 오늘은 필요하지 않습니다. 어제에도 필요하지 않았고요. 내일도 필요하지 않습니다. 정책이 올바르지 않은 경우 헬프 데스크에 전화하여 액세스 권한을 얻으면 됩니다.
따라서 양자 컴퓨터와는 전혀 상관없는 많은 일들이 잘못될 수 있고, 잘못되었고, 잘못될 것입니다. 그리고 제가 우려하는 것은 사람들이 이 양자라는 것, 이 Q-Day를 보면서 이 멋지고 반짝이는 장난감에 정신이 팔리는 것이죠? 반면에 그들은 해야 할 숙제가 너무 많은데, 아마 수십 년 동안 해보지 않은 숙제겠죠? 물론 여러분은 그렇게 해야 하고, 가시성을 확보하고, 패치를 적용하고, 절차를 수정해야 한다고 주장할 수 있습니다. 고객이 그렇게 하기 위해 양자 컴퓨팅이라는 위협이 필요하다면 그렇게 해야겠죠? 저는 행복할 수 있습니다.
하지만 한편으로는 양자 컴퓨팅이 장애물에 부딪히면 어떻게 될까 하는 생각이 들기도 합니다. 그리고 몇 년 동안은 실질적인 이점이나 발전이 없다가 2060세대가 '나는 머지않아 직장에서 사라질 테니 걱정할 필요가 없다'는 식의 접근 방식은 잘못된 것이니 어떻게든 해결해야 한다고 생각하죠.
몇 가지 지식을 알려드릴게요 네, 독일 철학자 엠마누엘 칸트 네, 이제 그 편집자를 자르지 마세요 네, 그건 케이예요 케이 -A -N -T 맞죠? 그래서 이제부터 엠마누엘이라고 부르기로 했어요.
그래서 18세기 독일의 철학자, 그는 많은 현명한 말을 했습니다. 하지만 제가 가장 현명하다고 생각하는 것 중 하나는 옳은 일을 하는 것이 옳은 일이기 때문에 옳은 일을 한다는 것이죠? 신 같은 존재에게 브라우니 포인트를 얻어서가 아니라 옳은 일이기 때문에 하는 것이죠. 옳은 일이기 때문에 하는 것이죠.
그리고 암호화 위치, 정책, 절차, 패치 등 암호화 방법에 대한 개요를 잘 파악하고 있다면 양자 컴퓨팅이 10년, 20년, 30년 후가 되든 상관없이 올바른 조치를 취하는 것이 좋습니다. 그건 중요하지 않습니다. 그렇게 해야 합니다. 지난 20년 동안 그렇게 해왔어야 합니다. 그게 핵심입니다. 여기서 우리는 동의하는 것 같아요. 네, 물론이죠. 양자 컴퓨팅이 어디에 있고 어디로 갈 것인지에 대해 서로 다른 의견을 가지고 있기 때문에 동의하지 않는다고 생각합니다. 하지만 퀀텀에 대비해야 한다고 말하는 고객이 있다면 당연히 그 노력이 헛되지 않습니다.
데이비드 렐로: 네, 절대 아닙니다. 제가 항상 도전받는 현실 중 하나는 대기업의 이사회와 재무 이사 등과 많은 시간을 보내면서, 기업은 제품이나 서비스를 공급하기 위해 존재하며, 물론 자선 단체가 아니라면 민간 부문에서 이익을 창출하기 위해 존재하기 때문에 그것이 옳은 일이라고 해서 실제로 돈을 쓰고 그것이 나에게 부정적인 수익을 준다는 생각은 금융 사람들이 실제로 깨닫기 어렵고 도전적인 것이기 때문입니다. 따라서 옳은 일이기 때문에 무언가에 투자하는 것은 철학적 논의에 가깝습니다. 저는 그것이 반드시 올바른 접근 방식이라고 생각하지 않습니다.
잉고 슈베르트: 네, 물론이죠.
데이비드 렐로: 물론 전적으로 동의하지만, 제가 믿는 신앙적 관점에서 보면 항상 옳은 일을 하고 싶다는 생각은 변함이 없습니다. 하지만 현실은 기업이 이를 위해 존재하지 않는다는 것입니다. 기업은 옳은 일을 하기 위해 존재하지 않죠. 때로는 조금 부도덕할 때도 있죠.
INGOSCHUBERT: 정말요? 그런 말은 처음 듣네요. 메모해 두겠습니다.
데이비드 렐로: 그래서 저는 여러분이 하는 일은 우리가 다른 방식으로 그것을 바라보는 것이고, 우리가 보고 있고 사람들이 공감하고 이해하는 현실 중 하나는 주어진 환경과 관련된 내 위험 노출이 무엇인지 측정하고 인식하고 깨닫는 것이며, 우리는 그것을 항상 이 세상에서 변화를 위한 사례를 어떻게 구축해야 하는지, 그리고 변화가 어떤 모습인지로 돌아가야 하는 가시적인 무언가와 연결시켜야 한다고 생각해요. 조직이 이 문제에 대한 답을 찾도록 돕기 시작했을 때 우리가 스스로 설정한 과제 중 하나는 양자 대비를 다루는 프레임워크가 실제로 없다는 것이었습니다. 전혀 없습니다.
그래서 저희는 표준을 만들었습니다. 우리는 표준을 작성하여 퀀텀을 바라보는 접근 방식에 대해 설명했습니다. NIST의 다양한 표준과 모범 사례, ISF 및 다양한 다른 것들을 사용하여 모델과 프레임워크를 만들어서 살펴볼 수 있도록 했습니다. 이를 통해 블랙박스 환경인 모든 액세스를 관리하는 ID 시스템과 같은 시스템을 예로 들었을 때, 이러한 시스템을 사용하면 어떤 위험에 노출될 수 있는지 살펴볼 수 있습니다. 그리고 거기에서 퀀텀을 완전히 제거할 것입니다. 내 위험은 무엇인가요? 내가 내 위험을 제대로 이해하고 있는가? 만약 그것이 다운되면 내 환경은 어떻게 될까요? 그리고 만약 내가 그 위험을 인식할 수 있다면, 나는 그것에 대해 뭔가를 해야 합니다.
INGO SCHUBERT: 그리고 이것은 결국 많은 기업이나 조직에서 일반적으로 누락되고 있는 적절한 리스크 관리입니다. 그리고 이는 양자 컴퓨팅 여부와 관계없이 실제로 수년 동안 수행되어야 했고, 지금도 수행되어야 합니다. 이것이 제 요점입니다.
물론 그것이 옳은 일이기 때문에 그렇게 하는 것은 아니겠죠? 재정적으로 납득하기 어려운 주장입니다. 저도 전적으로 동의합니다. 하지만 다른 모든 위협이 있기 때문에 그렇게 해야 하는 것 아닌가요? 그리고 다시 말하지만, 양자 컴퓨팅으로 인해 이 모든 것을 살펴보고 파악하고 적절한 위험 관리를 해야 한다는 개념을 판매해야 한다면, 제 추측이 맞겠죠? 저는 그것이 절대적으로 올바른 방법이라고 생각합니다. 그것이 서명을 받는 데 필요한 지렛대라면 당연히 그렇게 해야 합니다. 결국 양자 컴퓨팅이 30년 후의 일이더라도 지금 당장 혜택을 누릴 수 있기 때문입니다. 이러한 준비가 되어 있으면 현재도 보안을 유지할 수 있기 때문입니다. 돈을 낭비하는 것이 아닙니다. 네, 그래서 저는 그것이 바로 옳은 일이라고 생각합니다. 그리고 유럽에서도 몇 가지 권장 사항과 프레임워크가 있는데, 예를 들어 2026년까지, 솔직히 말해서 DORA 규정을 준수하려면 이미 준비해야 한다고 말합니다. 일부 사람들이 그렇게 하는 것을 보지 못하기 때문에 같은 것을 다시 보게 될 수도 있습니다. 따라서 2026년까지 가시성과 위험 관리, 그리고 고위험의 경우 2030년까지, 중저위험의 경우 2035년까지 어떤 형태로든 퀀텀 준비성을 확보해야 하겠죠? 그래서 아직 멀게 보이지만 이미 2025년 말, 우리가 이것을 기록할 때 출시는 2026년입니다.
이제 불과 몇 년밖에 남지 않았습니다. 그리고 대화의 처음으로 돌아가서 Y2K 문제를 보면 1999년에 시작하셨다면 아마 조금 늦은 것 같죠? 그러니 지금 당장 준비해야 합니다.
데이비드 렐로: 인간의 심리 측면에서 흥미로운 점이라고 생각되는 것 중 하나는 규제, 유럽 규제, 도라와 같은 것들입니다. 기업이 올바른 일을 하는 데 소홀하기 때문에 규제가 실제로 효력을 발휘합니다.
잉고 슈베르트: 네, 물론입니다.
데이비드 렐로: 그리고 그들이 옳은 일을 하지 않고 있기 때문에 의원들은 우리가 그것을 보지 않으면 나라에 큰 문제가 생길 것이라고 말합니다. 그래서 무언가를 해야 할 때 법이 작용합니다. 그래서 영국의 NCSC는 양자 관련 지침을 마련했습니다. 그리고 유럽에는 DORA가 있습니다. 그리고 슬프게도 브렉시트 때문에
잉고 슈베르트: 제가 가져오지 않은 것을 가져오셨군요.
데이비드 렐로: 회복탄력성 법안은 이제 막 검토를 시작한 단계입니다. 회복탄력성 법안은 공개적으로 의견을 수렴하기 위해 공개되었습니다. 현재 1호 법안이 공개되어 의견을 수렴하고 있습니다. 그래서 조만간 국회에서 법안 낭독이 있을 예정입니다. 이 문제에 대해 전 세계와 함께 논의할 수 있기를 바랍니다.
잉고 슈베르트: 미국만 빼고요. 미국은 마치 지도에서 보면 거친 곳처럼 보이죠. 네, 정말 그렇죠. 네, 미국 동료들과도 그렇게 이야기하는 것을 보면, 네, 우리에게는 정말 그런 것이 없죠? 그러나 전 세계 다른 곳에서는 회복력, 위험 관리가 규제 및 손실 측면에서 조금 더 성숙한 것 같습니다.
데이비드 렐로: 반드시 있어야 합니다.
잉고 슈베르트: 당연히 있어야죠? 그리고 여러분도 저만큼, 어쩌면 저보다 더 많은 정보를 가지고 있을 텐데, 그 중 몇 가지는 너무나 당연한 것, 즉 적절한 위험 관리가 필요합니다. 만약 그런 일이 발생하면 어떤 결과가 초래될지 알고 있어야 하죠? 물론 비즈니스가 돈을 벌고 있는데 무언가가 이를 방해하고 있다면 당연히 그래야 합니다. 그 이유와 해결 방법을 알아야 합니다. 그러나 그들은 법에 의해 강제되기 전까지는 그렇게하지 않습니다. 어떤 의미에서 옳은 슬픈 일입니다.
데이비드 렐로: 슬프게도 인간의 본성이 작용하죠. 하지만 위험을 보는 것이 어렵지 않고 위험 관리가 어렵지 않다는 것을 알기 때문에 어려움을 겪습니다.
잉고 슈베르트: 아니요, 하지만 시간이 걸립니다.
데이비드 렐로: 시간이 걸리긴 하지만 프로세스를 간소화하는 데 도움이 되는 다양한 기술이 시중에 많이 나와 있습니다. 컴퓨터는 프로세스를 자동화하도록 설계되었습니다. 컴퓨터가 있는 모든 이유는 실제로 무언가를 하기 위해 많은 사람이 수작업으로 처리해야 하는 프로세스가 있기 때문입니다. 컴퓨터를 사용하면 이 모든 프로세스를 자동화할 수 있습니다. 그리고 최신 시스템을 사용하면 더 많은 것을 자동화할 수 있습니다. 취약성 관리 같은 것을 예로 들 수 있습니다. 현대화된 환경이 구축되어 있고 취약성 스캔을 실행하고 있다면 기술 리스크가 무엇인지 비교적 잘 파악할 수 있습니다.
잉고 슈베르트: 네. 저희도 마찬가지입니다. ID 거버넌스. 결국 로켓 과학이 아니죠. 네, 물론이죠. 서로 다른 시스템을 모두 연결하고 규칙 등을 만들어야 할 수도 있습니다. 하지만 그런 다음 가시성을 확보하고 업무 분리, 규정 준수와 같은 관점을 갖게 됩니다. 그리고 네, 그것은 일입니다. 물론 비용과 시간 측면에서 투자가 필요하지만, 이를 통해 무언가를 얻을 수 있습니다.
데이비드 렐로: 네.
잉고 슈베르트: 맞습니다. 또한 사람들은 위험 관리가 실제로 이 보안에 모든 돈을 투자해서는 안 되는 것을 발견하거나 큰 영향을 미치지 않기 때문에 탄력적으로 만드는 반면, 다른 하나는 나쁜 일이 발생하면 실제로 더 많은 투자를해야하기 때문에 더 많은 것을 돌려받을 수 있다는 것을 깨닫지 못한다고 생각합니다. 리스크 관리를 제대로 하지 않으면 가시성을 확보할 수 없으므로 어떻게 올바른 결정을 내릴 수 있을까요? 따라서 사람들은 기본적으로 조직이 이를 수행하지 않음으로써 스스로를 해치고 있는 것이죠?
데이비드 렐로: ID 거버넌스는 실제로 이를 가능하게 하고 도움을 준다는 측면에서 큰 도움이 됩니다. 맞아요. 많은 조직과 ID에 대해 이야기할 때 ID는 보험 정책과 같이 보안을 위한 것이 아닙니다. ID는 인에이블러입니다. ID는 조직이 사람들의 액세스 방식을 보다 효율적이고 효과적으로 개선할 수 있도록 지원하는 실질적인 비즈니스 지원 도구입니다. 하지만 적시에 적절한 장소에서 적절한 액세스를 제공하고 이를 실제로 추진하는 거버넌스 모델을 갖추는 것이 중요합니다. 따라서 ITGC 제어 및 재무 시스템을 검토하기 시작하면 권한, 업무 분리, 그에 따른 의무에 대한 액세스 권한을 어떻게 만들어야 하는지 살펴볼 수 있습니다. 이러한 사항들은 새로운 것이 아닙니다. 수십 년 동안 회사법과 금융 규정에 명시되어 있습니다.
잉고 슈버트: 물론입니다.
데이비드 렐로: 이제 훌륭한 ID 거버넌스 시스템을 통해 이를 제어할 수 있는 기능이 있습니다. 그리고 현대화된 솔루션을 사용하면 실제로 매우 쉬워집니다. 사람들이 생각하는 것만큼 어렵지 않습니다.
잉고 슈베르트: 저희를 보세요. ID 보안 거버넌스에 대해 이야기하면서 퀀텀으로 시작했습니다. 하지만 그게 바로 요점입니다. 고객이나 일반 조직에서 '그래, 괜찮아'라는 식의 논의를 통해 문을 여는 것과 같다고 생각합니다. 양자 위협에 대해 이야기하지만 결국에는 양자보다는 다른 것에 대한 토론을 하게 되죠. 미래에 무슨 일이 일어나든 지금 당장 고칠 수 있고, 지금 고쳐야 한다는 식이죠.
데이비드 렐로: 기본적인 위생 개념입니다.
잉고 슈베르트: 바로 기본적인 위생 개념입니다. 이것이 바로 이 이야기를 마무리하는 완벽한 방법입니다. 데이비드, 고마워요. 정말 만날 때마다 몇 시간이고 이야기할 수 있을 것 같았어요. 정말 감사합니다. 그래서 양자 위협이 멀게 느껴질 수 있다고 생각합니다.
그럴 수도 있고 아닐 수도 있습니다. 하지만 이 대화를 통해 시청자들과 청취자들이 '오늘 당장 퀀텀에 대비하기 위해 어떤 일을 해야 할지 고민할 필요가 없다'는 생각을 가지셨으면 좋겠습니다. 전혀 나쁘지 않습니다.
현재 존재하는 위협으로부터 지금 당장 혜택을 받을 수 있는 것이죠? 그 혜택을 누리기 위해 20년을 기다릴 필요가 없습니다. 지금 바로 실현할 수 있습니다.
이것으로 양자 컴퓨팅과 신원 보안에 미치는 영향에 대한 오늘의 토론을 마무리하겠습니다. 공상 과학 소설 속 양자 미래와 조직은 실제 위험과 기회가 어디에 있는지 이해해야 합니다. ID 복원력과 조직이 미래를 대비하는 기술에 대한 더 자세한 인사이트를 원하시면 RSA.com을 방문하세요. 받은 편지함에서 더 많은 에피소드를 보고 싶으시다면 구독하는 것을 잊지 마세요. 참여해 주셔서 감사드리며 다음에 또 뵙겠습니다.