사이버 보안 리더와 실무자를 위한 ID 보안 동영상 블로그
이제 ID는 사이버 보안의 최전선이 되었으며 조직은 위협, 규정 준수 압박, 인증 문제에서 앞서 나가야 합니다. RSA Identity Unmasked는 RSA 전문가와 업계 리더가 진행하는 월간 동영상 캐스트로, 오늘날 ID 보안을 형성하는 실제 문제를 다룹니다.
지금 “지금 구독하기” 양식을 통해 새 에피소드가 제공될 때 알림을 받고 다음과 같은 주제에 대한 실행 가능한 인사이트를 얻을 수 있습니다. 최신 인증, ID 거버넌스, 제로 트러스트, 위험 기반 액세스, 헬프 데스크 검증, 업계 이슈, 기술 동향, 분야별 인기 주제, 등 다양한 기능을 제공합니다.
에피소드 3: 의료 분야의 신원 보안
이번 에피소드에서는 ID 보안과 관련하여 가장 민감한 분야 중 하나인 의료 분야에 대해 Ingo Schubert, Jon Nicholas, Paul Mulvihill이 다시 돌아왔습니다. 게스트와 함께 임상 환경 전반의 액세스 복잡성, 공유 디바이스, 수명 주기 관리 및 인증 문제와 이를 정면으로 해결하는 방법에 대해 이야기를 나눠보세요.
비디오 대본
잉고 슈베르트
RSA Identity Unmasked에 다시 오신 것을 환영합니다. 오늘은 신원 보안에서 가장 위험도가 높고 흥미로운 분야 중 하나인 의료 분야에 대해 이야기해 보겠습니다. 오늘은 폴과 존이 다시 한 번 함께하여 도전 과제, 사용 사례 및 모범 사례를 살펴보겠습니다. 시작하겠습니다. 의료 분야가 ID 보안을 위한 독특한 환경인 이유는 무엇일까요?
존 니콜라스
원하시면 제가 시작할게요, 폴. 원하시나요?
폴 멀비힐
꼭!
존 니콜라스
의료 서비스에 대해 항상 이야기할 때 가장 먼저 떠오르는 주제 중 하나가 바로 의료 기관이 보유한 기술 스택과 중요한 레거시 인프라라고 생각합니다. 최신 MFA 서비스에 대한 연결 고리가 없을 수 있기 때문에 ID 관점에서 보호해야 할 가장 큰 영역 중 하나입니다. 따라서 레거시 독점 기술은 헬스케어와 같은 분야에서 큰 도전 과제이며, 영국의 NHS가 대표적인 예입니다.
폴 멀비힐
우리 모두 NHS를 알고 있지만 같은 우산 아래 많은 소규모 조직으로 구성되어 있기 때문에 IT 인프라를 지원하는 하나의 거대한 냄비가있는 것이 아니라 각 작은 신뢰가 각자의 책임이 있기 때문에 예산이 없기 때문에 최신의 가장 큰 것을 얻을 수없는 경우가 종종 있습니다. 하나의 큰 덩어리라면 그럴 수도 있겠지만, 안타깝게도 세상은 그렇게 돌아가지 않습니다. 따라서 레거시 시스템을 보유하고 있어 최신 시스템을 도입할 수 없는 경우, 마이그레이션이나 유지보수를 처리해야 하는 상황에서 어떻게 하면 최신 시스템을 도입할 수 있을지에 대한 과제가 추가됩니다.
잉고 슈베르트
맞아요. 물론 예를 들어 독일에서는 상황이 다르다고 생각합니다. 이런 맥락에서는 크게 다르지 않다고 생각합니다. 조직도 다르고 레거시 애플리케이션도 많으니까요. 공정하게 말하자면 유럽이나 전 세계 여러 곳에서 이러한 상황을 발견할 수 있을 겁니다.
폴 멀비힐
레거시 시스템에 대해 이야기할 때, 작동하는 시스템과 그 시스템의 오류율, 즉 누군가의 건강을 다루는 시스템이라면 무언가를 테스트하는 시스템이 있다면 작동합니다. 단순히 2년이 지났다고 해서 바꾸기로 결정하지는 않을 것입니다. 그 자금을 새로운 영역에 투자할 것입니다. 따라서 예, 레거시일 수 있지만 오래되고 구식이며 시대에 뒤떨어진다는 의미는 아닙니다. 그것은 단지 작동한다는 의미일 뿐입니다. 살펴봐야 할 더 중요한 것들이 있습니다.
잉고 슈베르트
실행 중인 시스템을 건드리지 마세요. 그렇다면 이러한 환경에서 액세스, 제어 및 인증이 어려운 이유는 무엇일까요?
폴 멀비힐
여러 개의 트러스트가 혼합되어 있다고 말씀드릴 수 있을 것 같습니다. 모두 독립적으로 운영되고 있지만 더 넓은 지역을 담당하기 때문에 인력들이 여러 트러스트 사이를 이동할 수 있는 경우, 예를 들어 어느 날은 한 곳에서 일하고 다른 날은 다른 곳에서, 또 다른 날은 다른 트러스트에서, 또 다른 날은 다른 트러스트에서 일하게 될 때 사용하기 쉬운 시스템을 어떻게 설정할 수 있을까요? 이 모든 것을 관리하는 중앙 시스템이 있나요? 없을 수도 있습니다. 제가 어딘가로 돌아가게 될까요, 아니면 1년에 하루 다른 곳에서 일하게 될까요? ID 관점에서 관리하고 보호해야 하는 시스템의 수가 이렇게 많아지면 복잡성은 기하급수적으로 증가합니다. 50개 사이트에 걸쳐 있는데 시스템이 50개인가요? 5개인가요, 1개인가요? 이를 전국으로 확장하면 다양한 이유로 인해 복잡성이 계층적으로 추가됩니다.
존 니콜라스
네, 그리고 사용자 수라고 생각합니다. 최전선에서 의료 서비스를 제공하는 임상의는 물론 매우 능숙하지만 사이버 보안 전문가는 아니기 때문에 때때로 대응하기 어려운 것이 바로 사용자 계정입니다. 예를 들어 모든 물류와 계획, 관리 측면을 담당하는 NHS를 지원하는 팀 전체가 있습니다. 그 중 일부는 모바일 인증기 같은 것을 사용할 수 있지만, 다른 일부는 병동이나 더 안전한 환경에서 사용할 수 있지만, 우리는 그것을 사용할 수 없다는 것을 알고 있습니다. 다른 무언가, 즉 물리적 토큰이 있어야 합니다.
인증을 수행합니다. 따라서 대규모 인력을 보유하고 있을 뿐만 아니라 인증 방법과 관련하여 다양한 사용 사례가 있습니다. 그리고 모바일을 언급하셨지만 어떤 사람들은 사용하고 싶은 모바일이 없을 수도 있습니다. 따라서 5명의 인력을 하나의 시스템으로 통합하기 위해서는 3, 4, 5개의 서로 다른 사용 사례가 필요합니다.
잉고 슈베르트
따라서 임상의, 임시 직원, 교대 근무 등으로 인해 상황이 엄청나게 복잡해집니다. 방금 말씀하신 대로입니다. 그래서 제 신원 관리 관점에서 볼 때 9시부터 5시까지 근무하는 조직적인 엔터프라이즈 인력에 비해 이것이 왜 약간 어려운지 알 수 있습니다. 예, 시간대가 다를 수 있지만 기본적으로 11시간으로 늘어납니다.
폴 멀비힐
예, 예를 들어 50개의 다른 부서 또는 100개의 다른 부서가 있는 하나의 큰 회사가 있을 수 있지만, 의료 부문을 보면 의료 부문이라는 하나의 큰 기관이 있을 수 있지만 그 안에는 모두 전문성을 가지고 있고 업무 방식에 대해 자율적이어야 하지만 여전히 같은 공간 내에서 다른 기관과 협력해야 하는 50개 또는 100개의 개별 회사가 있을 수 있습니다. 그 중 하나에 문제가 발생하면 어떤 영향이 있을까요?
잉고 슈베르트
그래서 물론, 아시다시피, 우리는 모든 것이 빨리 진행되어야한다는 것을 알고있는이 드라마틱 한 TV 쇼를 가지고 있습니다. 그러나 그것은 한 가지입니다. 우리는 일을 늦추지 않습니다. 그것이 여기서 도전의 일부라고 생각합니다. 그러나 그것은 단지 이와 같은 것이 아닙니다. 누군가가 응급실에 급히 들어가서 일이 빨리 진행되어야한다는 것을 알고 있기 때문에 제한된 인력이 매우 효율적이어야한다는 것을 알고 있기 때문에 보안 때문에 일이 느려질 수 없으므로 도전과제는 무엇이며이를 달성하는 방법은 무엇일까요?
존 니콜라스
거버넌스 관점, 최소 권한 관점에서 이야기하자면, 예를 들어 모든 사람이 자신의 역할을 수행하기 위해 필요한 권한만 가지고 있으면 좋겠다고 생각할 수 있습니다. 하지만 문제는 '그래, 이렇게 변경하자'라고 생각한 후 실수로 일부 권한을 빼앗아 버리는 것입니다. 이제 그들은 누군가의 생명을 구하는 데 도움이 될 병동의 중요한 기계나 장비를 작동할 수 없게 됩니다. 따라서 예를 들어 IGA 솔루션을 시행하기 위한 의사 결정의 정확성은 절대적으로 높아야 합니다. 따라서 그 시점에서 변화를 가져올 수 있는 능력은 아마도 여러 단계의 의사 결정 과정을 거치기 때문에 느려질 것입니다. 왜냐하면 우리가 마지막으로 하고 싶은 것은 이 워크플로우를 구현하자고 하면 누군가가 가장 극단적인 예로 가서 생명을 구하지 못하거나 약국에서 무언가를 관리할 수 없게 되는 것이기 때문입니다.
잉고 슈베르트
하지만 특히 ID 거버넌스와 동시에, 물론 이 경우의 빠른 해결책은 모든 사람에게 더 많은 액세스 권한, 기본적으로 평소보다 더 많은 자격을 부여하는 것이지만 물론 그렇지 않습니다. 이것이 유효한 접근 방식일까요? 좋은 타협안이 될까요? 아니요, 엄밀히 말하면 그렇죠?
폴 멀비힐
네, 한 사람이 해킹을 당해서 한 계정이 유출되고 너무 많은 권한을 갖게 되면 어떻게 될까요? 병원 직원이기 때문에 모든 권한을 가진 관리인이 들어가서 약국 시스템에 들어가서 환자의 약품이나 기록 변경에 액세스 할 수 있습니다. 그들은 나중에 알 수없는 합병증을 일으킬 수 있습니다. 맞아요. 하지만 존의 말처럼 정책을 변경하거나 최소한의 권한만 부여하는 것만으로도 엄청난 파급 효과를 가져올 수 있기 때문에 거의 위험 마비에 가까워요. X, Y, Z에 대한 권한을 제거하는 정책을 구현할 수 있습니다. 확실하지 않은 경우, 이 정책이 50명에게 영향을 미치는지, 50명이 이 리소스에 액세스한 적이 있는지 분석을 완료하셨나요? 그 중 한 명이 접속했다면 계속 검토를 더 해야 합니다. 그 한 사람에게 특별한 권한을 부여해야 하나요? 아무도 그런 적이 없고 충분히 오랫동안 모니터링했다면 권한을 박탈할 수 있습니다. 하지만 내가 무언가를 제거하면 의료 서비스에서 결코 계획할 수 없는 시나리오가 발생할 수 있다는 두려움이 있습니다. 여러 가지 추측을 해볼 수는 있지만, 정작 필요한 응급 상황에 대비할 수는 없습니다. 이 권한을 삭제했습니다. 이제 간호사나 의사 또는 누군가가 무언가를 할 수 있어야 하는데 갑자기 할 수 없게 되는 시나리오가 하나 생겼으니까요.
잉고 슈베르트
기계만 작동하는 것이 아닙니다. 어딘가에 있는 데이터에 액세스하는 것과 같을 수도 있죠? 예를 들어 건강 기록을 들 수 있죠. 일반 기업에서는 누군가의 권한이 너무 적으면 문제가 될 수 있다는 점을 이해합니다. 그들은 일을 할 수 없지만 요청을 하면 승인됩니다. 정말 안 좋은 일이죠. 몇 시간 늦어지거나 다음 날로 미뤄질 수도 있지만, 의료 환경에서는 말 그대로 큰 문제가 될 수 있습니다. 그리고, 아시다시피, 분 단위로 이루어지지 않을 수도 있지만, 실제로 누군가가 필요할 때 필요한 치료를 받지 못한다는 것을 의미할 수도 있습니다.
폴 멀비힐
회사에서 누군가가 데이터에 액세스하는 경우, 누군가 신용카드로 물건을 주문한 후 이를 해결하기 위해 신용카드로 풀백을 요청하거나 주문이 취소될 수 있습니다. 이 중 일부는 심각한 영향을 미치지는 않지만 의료 분야의 경우 누군가 의료 기록을 변경할 수 있습니다. 누군가 공유해서는 안 되는 세부 정보를 공유하기도 합니다. 이보다 훨씬 더 많은 일이 일어날 수 있습니다. 또는 장기적인 영향을 미칠 수 있는 정보가 유출될 수도 있습니다. 말씀하신 것처럼 의존하고 있는 일부 약물이 중단될 수도 있습니다. 그 약의 처방이 거의 끝날 무렵에 실제로 필요한 약이 무엇인지 다시 확인해야 할 때 세부 정보가 삭제되어 더 늦어지고 지연되어 더 큰 영향을 미칠 수 있습니다. 의료 분야는 기업 및 민간 부문에서 작은 변화로 보일 수 있는 문제와 파급 효과가 잠재적으로 10배, 20배, 30배에 달하는 분야 중 하나이기 때문입니다.
존 니콜라스
예를 들어 의료 기록은 다크 웹에서 거래될 때 신용카드 정보보다 더 큰 가치를 지니고 있으며, 이러한 종류의 데이터 유출 시나리오에서 의료 기록이 사용될 수 있는 분야 중 하나는 보험 사기와 같은 것으로, 엄청난 금전적 보상금을 수반할 수 있으며, 누군가 의료 기록을 요청하고 귀하의 의료 기록을 알고 있다면 귀하를 대신하여 보험 처리를 할 수 있으며 이는 엄청나게 수익성이 높습니다. 그래서 공격자들은 바로 이 부분을 노립니다. 공격자들은 다른 사람의 생명을 위협하고 싶지는 않지만, 의료 기록을 확보한 다음 이를 이용해 금전적 이득을 취하는 것이 그들이 노리는 목표라고 말합니다.
잉고 슈베르트
공격자 입장에서는 누군가에게 스피어피싱 공격을 하기에 완벽한 정보가 될 수 있습니다. 이미 의료 정보를 알고 있다면 신뢰도가 높아져서 이런 유형의 공격에 더 의심하게 되겠죠? 아니면 그냥 협박을 하는 건지 모르겠네요. 네, 그 기록으로 할 수 있는 일은 정말 많죠? 네, 그런 것 같네요. 예를 들어 병원에서 실제로 어떤 일이 일어나는지 실제적인 상황으로 돌아가 보겠습니다. 누군가가 거쳐야 하는 일반적인 인증 워크플로에는 어떤 것이 있을까요?
존 니콜라스
일반적인 경우인지 모르겠습니다.
잉고 슈베르트
알았어요.
존 니콜라스
시스템에 대해 이야기했지만, 그들은 무엇을 해야 할까요? 질문일 수도 있지만, 아시다시피 항상 MFA 단계가 있어야 합니다, 백엔드의 추가 프로세스를 통해 조건부 액세스를 활용할 수 있는지, IAM 관점에서 이야기할 때 AI를 활용하여 해당 사용자가 적시에 적합한 사용자인지 파악하고 관리자가 방대한 사용자 기반과 방대한 기술 스택을 기반으로 조건부 액세스 정책을 조합하는 대신 동적으로 수행하도록 할 수 있는지, 따라서 도구를 최대한 활용하고 실제로 중요한 기록에 있을 때 항상 단계별 작업을 수행하도록 할 수 있다고 말씀드리고 싶어요.
잉고 슈베르트
그래서 제가 이 업계에서 발견한 한 가지는 아마도 제조 현장에서 가장 가까운 것이 공유 디바이스일 것이라고 생각합니다. 일반적이라기보다는 불균형적으로 많은 수의 공유 디바이스가 있는 것 같았습니다. 어떻게 대처해야 할까요?
폴 멀비힐
예, 8시간 교대 근무를 하는 인력이 있다고 가정하면, 매일 한 사람이 자신의 기기를 가지고 있지 않을 것이므로 최소 3명이 공유하고 5, 6, 7명이 공유하는 경우 간호사 스테이션의 단말기가 될 수 있으므로 그런 종류의 것들을 공유하게 될 것입니다. 이를 보호하는 가장 좋은 방법은 무엇인가요? 사용자 이름과 비밀번호에 일종의 자격 증명을 입력해야 합니다. 저는 작은 OTP 토큰이나 하드웨어 토큰을 가지고 있는 사람들을 본 적이 있는데, 그것들은 죽이기 어렵기 때문입니다. 그들은 꽤나 탄력적입니다. 하지만 그것으로 충분할까요? 일회용 비밀번호가 통과하는 것이기 때문입니다. 누군가가 컴퓨터에 접속해서 로그인하고 사용해야 하죠. 하지만 이미 검증된 방법입니다. 사람들은 사용법을 알고 있고 이 업계에는 신체에 대해 이야기하고 신체 부위가 어떻게 작동하는지에 대해 이야기하는 사람들과 함께 바닥을 걸을 수있는 많은 사람들이 있습니다. FIDO 키를 제공하고 푸시를 사용하여 생체 인식을 승인하기 위해 모바일을 사용하도록 요청하는 것은 완전히 다른 영역이라고 생각할 수있는 일종의 안락 지대이고 기술 지식은 여기에 있습니다. 하지만 우리는 그것을 사용하라고 말하려고 합니다. 여기에 다른 모든 요소를 추가해야 합니다.
잉고 슈베르트
또한, 예를 들어 휴대 전화를 모든 곳에 가져갈 수없는 다른 산업의 다른 영역과 크게 다르지 않다고 생각합니다. 스마트폰이나 스마트 기기를 아예 가져갈 수 없는 장소가 있는데, 프라이버시를 이유로, 카메라가 있기 때문에, 또는 다른 기계에 방해가 되기 때문에 Wi-Fi 연결이 허용되지 않는 곳도 있죠. 따라서 네, 옵션이 필요합니다. 또한 OTP 생성기처럼 원한다면 소독제를 넣을 수도 있습니다.
폴 멀비힐
네. 얼마 전 고객과 대화를 나누다 보니 의료용은 아니지만 휴대폰을 사용할 수 없는 상황이었습니다. 물리적 환경은 보안 측면에서 폐쇄된 상태입니다. 따라서 일회성 패스 코드가 있는 하드웨어 토큰을 가지고 있거나 Fido 키처럼 보일 것입니다. RSA 아이쉴드와 같은 새로운 제품에는 비접촉식 FIDO와 같은 요소가 모두 포함되어 있습니다. 따라서 과거에는 사용자 이름 암호와 일회용 암호를 사용하거나 암호로 사용할 수 있었습니다. 이제 컴퓨터에 들어가서 이름을 입력하고 탭한 다음 핀을 넣으면 바로 로그인할 수 있습니다.
잉고 슈베르트
그게 다입니다.
폴 멀비힐
프로세스 속도가 빨라지고 있습니다. 그리고 앞으로 더 단순해질 수 있는 다른 영역도 발전하고 있습니다. FIDO와 패스키의 일부 요소는 사람에 대한 기억을 유지하면서 그 사람이 누구인지도 학습하기 시작하므로 사람과 연관시킬 수 있습니다. 결국에는 FIDO 키를 들고 기계에 대고 걸어가면 됩니다.
잉고 슈베르트
물론 이 NFC 탭이 있으면 사용성 측면에서 문제가 적습니다. 숫자를 잘못 읽거나 숫자가 맞는데 잘못 탭하는 등의 실수가 발생할 수 있는 부분을 읽고 다시 탭할 필요가 없으니까요. 그래서 그런 문제가 사라졌습니다.
폴 멀비힐
시각 장애가 있는 사람이라면 회전하는 작은 화면을 읽는 것이 쉽지 않을 수 있습니다. 그래서 다시 NFC입니다.
잉고 슈베르트
알겠습니다.
폴 멀비힐
모든 분야의 모든 사람이 이러한 요소의 혜택을 누릴 수 있습니다.
존 니콜라스
아마도 보안과 편의성의 균형을 맞추는 가장 중요한 분야 중 하나는 아마도 사람들이 매우 중요한 일을 급하게 처리해야 할 때 인증 흐름과 액세스 흐름이 느려지는 것을 원하지 않기 때문에 보안과 편의성을 동시에 확보하는 것이 중요할 것입니다.
잉고 슈베르트
따라서 여러 인증 방법을 사용하는 것이 중요한 이유는 한 명의 사용자뿐만 아니라 여러 가지 방법을 사용하는 사용자도 있을 수 있지만, 아시다시피 역할의 유형이 모두 다르기 때문이죠? 따라서 모든 유형에 맞는 한 가지 유형이 있는 것은 아닙니다.
폴 멀비힐
네.
존 니콜라스
절대 아닙니다. 그 정도 규모의 조직이라면 당연히 그렇겠죠.
폴 멀비힐
다양한 역할에 대해 언급했듯이 거버넌스 측면으로 돌아가서 각 사람이 자신의 역할을 수행하고, 할 수 있는 일을 제대로 매핑했는지 확인해야 합니다. 간호사와 병원 직원, 의사, 포터, 리셉션 직원 등 각자가 할 수 있는 일이 정해져 있을 것입니다. 그 외에도 수많은 역할이 존재하며 각 역할마다 요구 사항과 액세스 권한이 다를 수 있습니다. 따라서 이를 매핑하여 이 사람은 이 역할이고 거버넌스 프로세스와 수명 주기 시스템이 제대로 작동하는지 확인하고 이것이 당신의 역할이고 이것이 당신이 가질 수있는 것입니다. 그런 다음 적절한 방법으로 다시 매핑하여 하루에 20 분을 소비하지 않고도 업무를 수행 할 수 있도록 MFA 단계를 강화하고 하루에 한두 번 정도는 AI 측면과 일부 행동 분석을 활용하여 올바르게 갈 수 있도록해야합니다, 항상 사용하는 컴퓨터에서 항상 액세스하는 리소스에 액세스하고, 한 번만 하면 계속 진행할 수 있습니다.
잉고 슈베르트
그렇다면 거버넌스 측면, 신원 거버넌스 측면에 머물러서 의료 환경에서 조인이 왜 그렇게 중요한지, 왜 조인이 레버를 움직일까요?
존 니콜라스
제가 규모에 대해 많이 언급했지만, 폴도 언급했듯이 사람들은 트러스트 간에 이동할 수도 있지만, 트러스트 내에서도 정기적으로 역할을 이동합니다. 따라서 JML 프로세스의 규모는 하루에 수만, 수십만 건의 변경이 이루어집니다. 따라서 자동화된 관점에서 이를 파악하는 것이 매우 중요합니다. 그리고 자동화된 것뿐만 아니라 적절한 타임라인을 확보하는 것도 중요합니다. 3일 후에 역할을 변경할 예정이잖아요? 그것은 시스템에 있습니다. 3일 후에 롤 A에서 롤 B로 변경하면 백엔드에서 자동으로 수행됩니다. 내가 관리자에게 ‘잉고가 다음 주에 팀에 합류할 예정인데 어떤 일을 할 수 있어야 하나요'라고 말해야 하는 것이 아니라, 잉고가 팀에 합류하고 첫날부터 필요한 모든 일을 할 수 있도록 시스템이 역할을 파악하고 필요한 권한을 알고 있어야 하는 것이죠.
잉고 슈베르트
물론 트러스트를 변경하면 A 역할이 더 이상 나와 함께하지 않는다는 의미도 되겠죠?
존 니콜라스
네, 맞아요.
잉고 슈베르트
그래서 우리 모두가 한 번쯤은 커리어에서 보았던 권리 또는 시간의 축적은 다음과 같습니다.
존 니콜라스
원하는 경우 아이덴티티를 확장할 수 있습니다.
잉고 슈베르트
네, 맞아요.
폴 멀비힐
Jon의 말에 덧붙이자면, 다른 사이트와 다른 신뢰 및 다른 역할을 이동하는 경우 A 사이트에 대해 생성된 계정을 3주, 4주, 5주 또는 심지어 2, 3일 동안 돌아오지 않으면 수명 주기 측면과 일종의 레버 요소를 사용하여 해당 계정을 즉시 비활성화할 수 있습니다. 따라서 이 계정이 존재하는 고아 계정 시나리오가 아니라 일정 수준의 권한이 있는 계정입니다. 그냥 사용되지 않고 방치되어 있는 것이므로 또 다른 공격 벡터가 될 수 있습니다. 따라서 누군가 침입하여 트러스트에 대한 랜섬웨어 공격과 같은 모든 종류의 작업을 수행할 수 없습니다. 다시는 여기에 있지 않기 때문에 잠그면 됩니다. 이틀 후에 다시 돌아오면 이틀 후에 시스템이 다시 켜집니다.
잉고 슈베르트
맞습니다.
폴 멀비힐
그 전까지는 옵션이 아닙니다. 꺼져 있습니다. 사용할 수 없습니다.
잉고 슈베르트
그리고 그와 함께 제공되는 가시성은 분명히 시스템이 어떤 역할을 가지고 있고, 어떤 역할을 가질 것이며, 어떤 역할을 수행했는지 알 수 있다는 것을 의미합니다. 제 생각은 그렇지만, 제가 틀렸다면 정정해 주세요. 감사를 받는다면 그 정보와 가시성이 매우 유용할 것 같습니다.
폴 멀비힐
누가 어떤 시점에 어떤 일을 할 수 있는지에 대한 전체 이력이 있을 것입니다. 그렇다면 감사 관점에서 어떤 일이 발생했을 때 이 감사 기준을 준수하나요? 네, 여기에 증거가 있습니다. 하나의 중앙 거버넌스 플랫폼이 있다면 모든 것이 거기에 있습니다. 그래서 '네, 괜찮습니다, 아직 문제 없습니다'라고 알 수 있습니다. 그리고 드물기는 하지만 어떤 일이 발생했을 때 동일한 데이터 세트를 사용하여 그 시점에 누가 이 데이터에 액세스했는지 확인할 수 있습니다. 어떤 추가 로깅을 에코시스템으로 가져올 수 있는지에 따라 이 계정들이 무언가를 했을 수도 있지만, 누가 이 정보에 액세스했을 수 있는지 말할 수 있습니다. 누가 무언가를 했을까요?.
잉고 슈베르트
그래서 조사에 도움이 됩니다. 훌륭한 보안 엔지니어라면 어떤 일이 발생하면 결국 침해당할 것이라고 항상 가정합니다. 이는 정리 과정에서 어떤 일이 발생했는지, 누가 영향을 받았는지 파악하는 데도 도움이 됩니다.
폴 멀비힐
항상 무언가가 침해될 수 있다고 가정하고, 항상 침해될 수 있다고 가정합니다. 따라서 컴퓨터를 가져가서 플러그를 뽑고 시멘트에 넣거나 아레나 트렌치 같은 곳에 떨어뜨리지 않는 한, 그 영향을 최소화하기 위해 가능한 한 많은 단계와 견제와 균형을 취합니다. 따라서 어떤 일이 발생하더라도 업무 진행에 미치는 영향을 최소화할 수 있도록 최대한 많은 노력을 기울여야 합니다.
존 니콜라스
네, 거버넌스 접근 방식에서 얻는 데이터는 단순히 감사자에게 정보를 제공할 수 있는지에 대한 것만이 아닙니다. 현재 우리가 가지고 있는 정보를 이해할 수 있는지도 살펴봐야 한다고 생각합니다. 프로세스 성숙도, 저는 이 세션에서 프로세스에 대해 많이 이야기하지만, 팀을 살펴보고 역할 자격을 살펴봅니다. 잠깐만요, 해당 팀에서 6개월이든 1년이든 정의한 기간 동안 아무도 이 권한을 사용하지 않았다면 시스템에서 이 권한이 사용되지 않았다고 표시되어야 합니다. 해당 권한을 제거해 봅시다. 권한이 초과되었으므로 더 이상 사용하지 않는 데에는 그럴 만한 이유가 있을 수 있습니다. 워크로드의 해당 부분을 처리하기 위해 병렬 시스템을 사용하고 있을 수도 있습니다. 따라서 새 시스템에는 이전 시스템에서 제거한 병렬 시스템이 있습니다. 그렇지 않으면 전체 수동 감사를 수행하고 지난 6개월 동안 시스템에서 무엇을 사용했는지는 모르지만 시스템에서 어떻게 사용했는지는 알 수 있기 때문에 해당 정보를 발견하는 데 실제로 도움이 되는 자동화된 인텔리전스가 필요합니다. 따라서 이러한 인텔리전스를 사용하여 제로 트러스트 또는 최소 권한으로 작업하는 것에 대해 정보에 입각한 결정을 내릴 수 있습니다.
잉고 슈베르트
네, 바로 여기서 특권이 떠오릅니다.
폴 멀비힐
그런 다음 말씀하신 것처럼 그들이 사용하지 않는 특정 권한 권한이 어디에 있는지 확인할 수 있습니다. 실제로 팀원 중 80명의 %가 이 작업을 수행해 왔지만 공식적인 역할의 일부가 아닙니다. 팀원 10명 중 8명이 개별적으로 "네, X를 하려면 B 시스템에 액세스할 수 있게 해 주세요"라고 요청하는 것이 아니라 팀 전체가 이 작업을 수행할 수 있어야 하므로 이를 추가해야 할까요?.
잉고 슈베르트
예외를 통한 관리, 기본적으로 그렇습니다. 네, 정리하세요.
폴 멀비힐
실제로 80명의 %가 사용하고 있습니다. 이를 공식적으로 역할의 일부로 만들어 감사 및 규정 준수 등을 준수할 수 있도록 하죠. 그래요, 이 팀에는 이것이 필요합니다. 역할의 일부가 완료된 것입니다. 다른 사람이 입사하거나 퇴사하는 경우, 해당 역할의 일부이므로 해당 액세스 권한을 해제하거나 새로운 사람에게도 이 권한을 부여하여 모든 것을 일관되게 유지하고 이 사람들이 할 수 있는 일을 가시화할 수 있도록 합니다.
잉고 슈베르트
그렇다면 의료 분야의 CIO에게 무엇부터 시작해야 할까요? 시작할 수 있는 일이 너무 많기 때문에 우선순위를 정할 수 있는 작은 목록 같은 것이 있다면 뭐라고 말하겠습니까?
존 니콜라스
제가 권장하고 싶고 이미 검토하고 있지만, 그 진짜 이유는 피싱 방지에 초점을 맞추고 있기 때문입니다. 많은 의료기관이 이메일을 주요 커뮤니케이션 수단으로 사용하고 있기 때문에 저는 거기서부터 시작해야 한다고 생각합니다. 그리고 우리는 이것이 피싱에 매우 취약한 공격 벡터라는 것을 알고 있습니다. 뿐만 아니라 이러한 시스템을 사용하는 사람들은 고압적인 환경에서 일하고 있습니다. 로그온하고, 급한 일을 처리해야 하고, 이메일이 들어오고, 적절한 타이밍에 공격에 성공하고, 당황한 상태로 시스템을 실행합니다. 당황한 것이 아니라 정상적인 흐름에서 실수로 피싱 사이트에 자격 증명과 데이터를 유출하는 것입니다. 따라서 피싱 방지 인증을 고려할 때 이메일 커뮤니케이션이 집중적으로 사용되는 분야이기 때문에 피싱 방지 인증이 가장 먼저 고려되어야 할 분야입니다.
폴 멀비힐
그런 종류의 피싱 방지 부분부터 시작해서 그 다음에는 인력이 무엇을 할 수 있는지에 대한 가시성을 확보하는 것이 약간 뒤처질 수 있지만 이와 병행하여 정문을 보호하자 피싱 방지 기능이 작동하는지 확인한 다음 일종의 거버넌스 가시성 도구를 실행하여 누가 존재하고 어떤 계정이 존재하며 무엇을 할 수 있는지, 변경하지 말고 말 그대로 모든 정보를 수집하여 실제로 계정과 권한에 얼마나 많은 상황이 있는지 확인하기 시작해야 한다는 데 동의 할 것입니다. 무엇이 사용되고, 무엇이 사용되지 않으며, 누가 무엇을 할 수 있고, 누가 무엇을 할 수 없는지. 데이터를 확보한 후에는 아무도 사용하지 않기 때문에 우선은 효과가 없는 변경 사항을 살펴볼 수 있기 때문입니다. 하지만 마찬가지로 팀이 앞으로 더 효율적으로 업무를 수행할 수 있도록 권한을 부여하려면 어떤 변화를 주어야 할까요?.
잉고 슈베르트
감사합니다. 의료 시스템의 신원 보안에 대한 좋은 인사이트를 얻을 수 있었습니다. 이러한 유형의 토론을 좋아하신다면 구독을 신청하여 새 에피소드가 공개될 때 알림을 받아보세요. RSA Identity Unmasked였습니다. 다음 달에 또 뵙겠습니다.
RSA Identity Unmasked에 다시 오신 것을 환영합니다. 오늘은 신원 보안에서 가장 위험도가 높고 흥미로운 분야 중 하나인 의료 분야에 대해 이야기해 보겠습니다. 오늘은 폴과 존이 다시 한 번 함께하여 도전 과제, 사용 사례 및 모범 사례를 살펴보겠습니다. 시작하겠습니다. 의료 분야가 ID 보안을 위한 독특한 환경인 이유는 무엇일까요?
존 니콜라스
원하시면 제가 시작할게요, 폴. 원하시나요?
폴 멀비힐
꼭!
존 니콜라스
의료 서비스에 대해 항상 이야기할 때 가장 먼저 떠오르는 주제 중 하나가 바로 의료 기관이 보유한 기술 스택과 중요한 레거시 인프라라고 생각합니다. 최신 MFA 서비스에 대한 연결 고리가 없을 수 있기 때문에 ID 관점에서 보호해야 할 가장 큰 영역 중 하나입니다. 따라서 레거시 독점 기술은 헬스케어와 같은 분야에서 큰 도전 과제이며, 영국의 NHS가 대표적인 예입니다.
폴 멀비힐
우리 모두 NHS를 알고 있지만 같은 우산 아래 많은 소규모 조직으로 구성되어 있기 때문에 IT 인프라를 지원하는 하나의 거대한 냄비가있는 것이 아니라 각 작은 신뢰가 각자의 책임이 있기 때문에 예산이 없기 때문에 최신의 가장 큰 것을 얻을 수없는 경우가 종종 있습니다. 하나의 큰 덩어리라면 그럴 수도 있겠지만, 안타깝게도 세상은 그렇게 돌아가지 않습니다. 따라서 레거시 시스템을 보유하고 있어 최신 시스템을 도입할 수 없는 경우, 마이그레이션이나 유지보수를 처리해야 하는 상황에서 어떻게 하면 최신 시스템을 도입할 수 있을지에 대한 과제가 추가됩니다.
잉고 슈베르트
맞아요. 물론 예를 들어 독일에서는 상황이 다르다고 생각합니다. 이런 맥락에서는 크게 다르지 않다고 생각합니다. 조직도 다르고 레거시 애플리케이션도 많으니까요. 공정하게 말하자면 유럽이나 전 세계 여러 곳에서 이러한 상황을 발견할 수 있을 겁니다.
폴 멀비힐
레거시 시스템에 대해 이야기할 때, 작동하는 시스템과 그 시스템의 오류율, 즉 누군가의 건강을 다루는 시스템이라면 무언가를 테스트하는 시스템이 있다면 작동합니다. 단순히 2년이 지났다고 해서 바꾸기로 결정하지는 않을 것입니다. 그 자금을 새로운 영역에 투자할 것입니다. 따라서 예, 레거시일 수 있지만 오래되고 구식이며 시대에 뒤떨어진다는 의미는 아닙니다. 그것은 단지 작동한다는 의미일 뿐입니다. 살펴봐야 할 더 중요한 것들이 있습니다.
잉고 슈베르트
실행 중인 시스템을 건드리지 마세요. 그렇다면 이러한 환경에서 액세스, 제어 및 인증이 어려운 이유는 무엇일까요?
폴 멀비힐
여러 개의 트러스트가 혼합되어 있다고 말씀드릴 수 있을 것 같습니다. 모두 독립적으로 운영되고 있지만 더 넓은 지역을 담당하기 때문에 인력들이 여러 트러스트 사이를 이동할 수 있는 경우, 예를 들어 어느 날은 한 곳에서 일하고 다른 날은 다른 곳에서, 또 다른 날은 다른 트러스트에서, 또 다른 날은 다른 트러스트에서 일하게 될 때 사용하기 쉬운 시스템을 어떻게 설정할 수 있을까요? 이 모든 것을 관리하는 중앙 시스템이 있나요? 없을 수도 있습니다. 제가 어딘가로 돌아가게 될까요, 아니면 1년에 하루 다른 곳에서 일하게 될까요? ID 관점에서 관리하고 보호해야 하는 시스템의 수가 이렇게 많아지면 복잡성은 기하급수적으로 증가합니다. 50개 사이트에 걸쳐 있는데 시스템이 50개인가요? 5개인가요, 1개인가요? 이를 전국으로 확장하면 다양한 이유로 인해 복잡성이 계층적으로 추가됩니다.
존 니콜라스
네, 그리고 사용자 수라고 생각합니다. 최전선에서 의료 서비스를 제공하는 임상의는 물론 매우 능숙하지만 사이버 보안 전문가는 아니기 때문에 때때로 대응하기 어려운 것이 바로 사용자 계정입니다. 예를 들어 모든 물류와 계획, 관리 측면을 담당하는 NHS를 지원하는 팀 전체가 있습니다. 그 중 일부는 모바일 인증기 같은 것을 사용할 수 있지만, 다른 일부는 병동이나 더 안전한 환경에서 사용할 수 있지만, 우리는 그것을 사용할 수 없다는 것을 알고 있습니다. 다른 무언가, 즉 물리적 토큰이 있어야 합니다.
인증을 수행합니다. 따라서 대규모 인력을 보유하고 있을 뿐만 아니라 인증 방법과 관련하여 다양한 사용 사례가 있습니다. 그리고 모바일을 언급하셨지만 어떤 사람들은 사용하고 싶은 모바일이 없을 수도 있습니다. 따라서 5명의 인력을 하나의 시스템으로 통합하기 위해서는 3, 4, 5개의 서로 다른 사용 사례가 필요합니다.
잉고 슈베르트
따라서 임상의, 임시 직원, 교대 근무 등으로 인해 상황이 엄청나게 복잡해집니다. 방금 말씀하신 대로입니다. 그래서 제 신원 관리 관점에서 볼 때 9시부터 5시까지 근무하는 조직적인 엔터프라이즈 인력에 비해 이것이 왜 약간 어려운지 알 수 있습니다. 예, 시간대가 다를 수 있지만 기본적으로 11시간으로 늘어납니다.
폴 멀비힐
예, 예를 들어 50개의 다른 부서 또는 100개의 다른 부서가 있는 하나의 큰 회사가 있을 수 있지만, 의료 부문을 보면 의료 부문이라는 하나의 큰 기관이 있을 수 있지만 그 안에는 모두 전문성을 가지고 있고 업무 방식에 대해 자율적이어야 하지만 여전히 같은 공간 내에서 다른 기관과 협력해야 하는 50개 또는 100개의 개별 회사가 있을 수 있습니다. 그 중 하나에 문제가 발생하면 어떤 영향이 있을까요?
잉고 슈베르트
그래서 물론, 아시다시피, 우리는 모든 것이 빨리 진행되어야한다는 것을 알고있는이 드라마틱 한 TV 쇼를 가지고 있습니다. 그러나 그것은 한 가지입니다. 우리는 일을 늦추지 않습니다. 그것이 여기서 도전의 일부라고 생각합니다. 그러나 그것은 단지 이와 같은 것이 아닙니다. 누군가가 응급실에 급히 들어가서 일이 빨리 진행되어야한다는 것을 알고 있기 때문에 제한된 인력이 매우 효율적이어야한다는 것을 알고 있기 때문에 보안 때문에 일이 느려질 수 없으므로 도전과제는 무엇이며이를 달성하는 방법은 무엇일까요?
존 니콜라스
거버넌스 관점, 최소 권한 관점에서 이야기하자면, 예를 들어 모든 사람이 자신의 역할을 수행하기 위해 필요한 권한만 가지고 있으면 좋겠다고 생각할 수 있습니다. 하지만 문제는 '그래, 이렇게 변경하자'라고 생각한 후 실수로 일부 권한을 빼앗아 버리는 것입니다. 이제 그들은 누군가의 생명을 구하는 데 도움이 될 병동의 중요한 기계나 장비를 작동할 수 없게 됩니다. 따라서 예를 들어 IGA 솔루션을 시행하기 위한 의사 결정의 정확성은 절대적으로 높아야 합니다. 따라서 그 시점에서 변화를 가져올 수 있는 능력은 아마도 여러 단계의 의사 결정 과정을 거치기 때문에 느려질 것입니다. 왜냐하면 우리가 마지막으로 하고 싶은 것은 이 워크플로우를 구현하자고 하면 누군가가 가장 극단적인 예로 가서 생명을 구하지 못하거나 약국에서 무언가를 관리할 수 없게 되는 것이기 때문입니다.
잉고 슈베르트
하지만 특히 ID 거버넌스와 동시에, 물론 이 경우의 빠른 해결책은 모든 사람에게 더 많은 액세스 권한, 기본적으로 평소보다 더 많은 자격을 부여하는 것이지만 물론 그렇지 않습니다. 이것이 유효한 접근 방식일까요? 좋은 타협안이 될까요? 아니요, 엄밀히 말하면 그렇죠?
폴 멀비힐
네, 한 사람이 해킹을 당해서 한 계정이 유출되고 너무 많은 권한을 갖게 되면 어떻게 될까요? 병원 직원이기 때문에 모든 권한을 가진 관리인이 들어가서 약국 시스템에 들어가서 환자의 약품이나 기록 변경에 액세스 할 수 있습니다. 그들은 나중에 알 수없는 합병증을 일으킬 수 있습니다. 맞아요. 하지만 존의 말처럼 정책을 변경하거나 최소한의 권한만 부여하는 것만으로도 엄청난 파급 효과를 가져올 수 있기 때문에 거의 위험 마비에 가까워요. X, Y, Z에 대한 권한을 제거하는 정책을 구현할 수 있습니다. 확실하지 않은 경우, 이 정책이 50명에게 영향을 미치는지, 50명이 이 리소스에 액세스한 적이 있는지 분석을 완료하셨나요? 그 중 한 명이 접속했다면 계속 검토를 더 해야 합니다. 그 한 사람에게 특별한 권한을 부여해야 하나요? 아무도 그런 적이 없고 충분히 오랫동안 모니터링했다면 권한을 박탈할 수 있습니다. 하지만 내가 무언가를 제거하면 의료 서비스에서 결코 계획할 수 없는 시나리오가 발생할 수 있다는 두려움이 있습니다. 여러 가지 추측을 해볼 수는 있지만, 정작 필요한 응급 상황에 대비할 수는 없습니다. 이 권한을 삭제했습니다. 이제 간호사나 의사 또는 누군가가 무언가를 할 수 있어야 하는데 갑자기 할 수 없게 되는 시나리오가 하나 생겼으니까요.
잉고 슈베르트
기계만 작동하는 것이 아닙니다. 어딘가에 있는 데이터에 액세스하는 것과 같을 수도 있죠? 예를 들어 건강 기록을 들 수 있죠. 일반 기업에서는 누군가의 권한이 너무 적으면 문제가 될 수 있다는 점을 이해합니다. 그들은 일을 할 수 없지만 요청을 하면 승인됩니다. 정말 안 좋은 일이죠. 몇 시간 늦어지거나 다음 날로 미뤄질 수도 있지만, 의료 환경에서는 말 그대로 큰 문제가 될 수 있습니다. 그리고, 아시다시피, 분 단위로 이루어지지 않을 수도 있지만, 실제로 누군가가 필요할 때 필요한 치료를 받지 못한다는 것을 의미할 수도 있습니다.
폴 멀비힐
회사에서 누군가가 데이터에 액세스하는 경우, 누군가 신용카드로 물건을 주문한 후 이를 해결하기 위해 신용카드로 풀백을 요청하거나 주문이 취소될 수 있습니다. 이 중 일부는 심각한 영향을 미치지는 않지만 의료 분야의 경우 누군가 의료 기록을 변경할 수 있습니다. 누군가 공유해서는 안 되는 세부 정보를 공유하기도 합니다. 이보다 훨씬 더 많은 일이 일어날 수 있습니다. 또는 장기적인 영향을 미칠 수 있는 정보가 유출될 수도 있습니다. 말씀하신 것처럼 의존하고 있는 일부 약물이 중단될 수도 있습니다. 그 약의 처방이 거의 끝날 무렵에 실제로 필요한 약이 무엇인지 다시 확인해야 할 때 세부 정보가 삭제되어 더 늦어지고 지연되어 더 큰 영향을 미칠 수 있습니다. 의료 분야는 기업 및 민간 부문에서 작은 변화로 보일 수 있는 문제와 파급 효과가 잠재적으로 10배, 20배, 30배에 달하는 분야 중 하나이기 때문입니다.
존 니콜라스
예를 들어 의료 기록은 다크 웹에서 거래될 때 신용카드 정보보다 더 큰 가치를 지니고 있으며, 이러한 종류의 데이터 유출 시나리오에서 의료 기록이 사용될 수 있는 분야 중 하나는 보험 사기와 같은 것으로, 엄청난 금전적 보상금을 수반할 수 있으며, 누군가 의료 기록을 요청하고 귀하의 의료 기록을 알고 있다면 귀하를 대신하여 보험 처리를 할 수 있으며 이는 엄청나게 수익성이 높습니다. 그래서 공격자들은 바로 이 부분을 노립니다. 공격자들은 다른 사람의 생명을 위협하고 싶지는 않지만, 의료 기록을 확보한 다음 이를 이용해 금전적 이득을 취하는 것이 그들이 노리는 목표라고 말합니다.
잉고 슈베르트
공격자 입장에서는 누군가에게 스피어피싱 공격을 하기에 완벽한 정보가 될 수 있습니다. 이미 의료 정보를 알고 있다면 신뢰도가 높아져서 이런 유형의 공격에 더 의심하게 되겠죠? 아니면 그냥 협박을 하는 건지 모르겠네요. 네, 그 기록으로 할 수 있는 일은 정말 많죠? 네, 그런 것 같네요. 예를 들어 병원에서 실제로 어떤 일이 일어나는지 실제적인 상황으로 돌아가 보겠습니다. 누군가가 거쳐야 하는 일반적인 인증 워크플로에는 어떤 것이 있을까요?
존 니콜라스
일반적인 경우인지 모르겠습니다.
잉고 슈베르트
알았어요.
존 니콜라스
시스템에 대해 이야기했지만, 그들은 무엇을 해야 할까요? 질문일 수도 있지만, 아시다시피 항상 MFA 단계가 있어야 합니다, 백엔드의 추가 프로세스를 통해 조건부 액세스를 활용할 수 있는지, IAM 관점에서 이야기할 때 AI를 활용하여 해당 사용자가 적시에 적합한 사용자인지 파악하고 관리자가 방대한 사용자 기반과 방대한 기술 스택을 기반으로 조건부 액세스 정책을 조합하는 대신 동적으로 수행하도록 할 수 있는지, 따라서 도구를 최대한 활용하고 실제로 중요한 기록에 있을 때 항상 단계별 작업을 수행하도록 할 수 있다고 말씀드리고 싶어요.
잉고 슈베르트
그래서 제가 이 업계에서 발견한 한 가지는 아마도 제조 현장에서 가장 가까운 것이 공유 디바이스일 것이라고 생각합니다. 일반적이라기보다는 불균형적으로 많은 수의 공유 디바이스가 있는 것 같았습니다. 어떻게 대처해야 할까요?
폴 멀비힐
예, 8시간 교대 근무를 하는 인력이 있다고 가정하면, 매일 한 사람이 자신의 기기를 가지고 있지 않을 것이므로 최소 3명이 공유하고 5, 6, 7명이 공유하는 경우 간호사 스테이션의 단말기가 될 수 있으므로 그런 종류의 것들을 공유하게 될 것입니다. 이를 보호하는 가장 좋은 방법은 무엇인가요? 사용자 이름과 비밀번호에 일종의 자격 증명을 입력해야 합니다. 저는 작은 OTP 토큰이나 하드웨어 토큰을 가지고 있는 사람들을 본 적이 있는데, 그것들은 죽이기 어렵기 때문입니다. 그들은 꽤나 탄력적입니다. 하지만 그것으로 충분할까요? 일회용 비밀번호가 통과하는 것이기 때문입니다. 누군가가 컴퓨터에 접속해서 로그인하고 사용해야 하죠. 하지만 이미 검증된 방법입니다. 사람들은 사용법을 알고 있고 이 업계에는 신체에 대해 이야기하고 신체 부위가 어떻게 작동하는지에 대해 이야기하는 사람들과 함께 바닥을 걸을 수있는 많은 사람들이 있습니다. FIDO 키를 제공하고 푸시를 사용하여 생체 인식을 승인하기 위해 모바일을 사용하도록 요청하는 것은 완전히 다른 영역이라고 생각할 수있는 일종의 안락 지대이고 기술 지식은 여기에 있습니다. 하지만 우리는 그것을 사용하라고 말하려고 합니다. 여기에 다른 모든 요소를 추가해야 합니다.
잉고 슈베르트
또한, 예를 들어 휴대 전화를 모든 곳에 가져갈 수없는 다른 산업의 다른 영역과 크게 다르지 않다고 생각합니다. 스마트폰이나 스마트 기기를 아예 가져갈 수 없는 장소가 있는데, 프라이버시를 이유로, 카메라가 있기 때문에, 또는 다른 기계에 방해가 되기 때문에 Wi-Fi 연결이 허용되지 않는 곳도 있죠. 따라서 네, 옵션이 필요합니다. 또한 OTP 생성기처럼 원한다면 소독제를 넣을 수도 있습니다.
폴 멀비힐
네. 얼마 전 고객과 대화를 나누다 보니 의료용은 아니지만 휴대폰을 사용할 수 없는 상황이었습니다. 물리적 환경은 보안 측면에서 폐쇄된 상태입니다. 따라서 일회성 패스 코드가 있는 하드웨어 토큰을 가지고 있거나 Fido 키처럼 보일 것입니다. RSA 아이쉴드와 같은 새로운 제품에는 비접촉식 FIDO와 같은 요소가 모두 포함되어 있습니다. 따라서 과거에는 사용자 이름 암호와 일회용 암호를 사용하거나 암호로 사용할 수 있었습니다. 이제 컴퓨터에 들어가서 이름을 입력하고 탭한 다음 핀을 넣으면 바로 로그인할 수 있습니다.
잉고 슈베르트
그게 다입니다.
폴 멀비힐
프로세스 속도가 빨라지고 있습니다. 그리고 앞으로 더 단순해질 수 있는 다른 영역도 발전하고 있습니다. FIDO와 패스키의 일부 요소는 사람에 대한 기억을 유지하면서 그 사람이 누구인지도 학습하기 시작하므로 사람과 연관시킬 수 있습니다. 결국에는 FIDO 키를 들고 기계에 대고 걸어가면 됩니다.
잉고 슈베르트
물론 이 NFC 탭이 있으면 사용성 측면에서 문제가 적습니다. 숫자를 잘못 읽거나 숫자가 맞는데 잘못 탭하는 등의 실수가 발생할 수 있는 부분을 읽고 다시 탭할 필요가 없으니까요. 그래서 그런 문제가 사라졌습니다.
폴 멀비힐
시각 장애가 있는 사람이라면 회전하는 작은 화면을 읽는 것이 쉽지 않을 수 있습니다. 그래서 다시 NFC입니다.
잉고 슈베르트
알겠습니다.
폴 멀비힐
모든 분야의 모든 사람이 이러한 요소의 혜택을 누릴 수 있습니다.
존 니콜라스
아마도 보안과 편의성의 균형을 맞추는 가장 중요한 분야 중 하나는 아마도 사람들이 매우 중요한 일을 급하게 처리해야 할 때 인증 흐름과 액세스 흐름이 느려지는 것을 원하지 않기 때문에 보안과 편의성을 동시에 확보하는 것이 중요할 것입니다.
잉고 슈베르트
따라서 여러 인증 방법을 사용하는 것이 중요한 이유는 한 명의 사용자뿐만 아니라 여러 가지 방법을 사용하는 사용자도 있을 수 있지만, 아시다시피 역할의 유형이 모두 다르기 때문이죠? 따라서 모든 유형에 맞는 한 가지 유형이 있는 것은 아닙니다.
폴 멀비힐
네.
존 니콜라스
절대 아닙니다. 그 정도 규모의 조직이라면 당연히 그렇겠죠.
폴 멀비힐
다양한 역할에 대해 언급했듯이 거버넌스 측면으로 돌아가서 각 사람이 자신의 역할을 수행하고, 할 수 있는 일을 제대로 매핑했는지 확인해야 합니다. 간호사와 병원 직원, 의사, 포터, 리셉션 직원 등 각자가 할 수 있는 일이 정해져 있을 것입니다. 그 외에도 수많은 역할이 존재하며 각 역할마다 요구 사항과 액세스 권한이 다를 수 있습니다. 따라서 이를 매핑하여 이 사람은 이 역할이고 거버넌스 프로세스와 수명 주기 시스템이 제대로 작동하는지 확인하고 이것이 당신의 역할이고 이것이 당신이 가질 수있는 것입니다. 그런 다음 적절한 방법으로 다시 매핑하여 하루에 20 분을 소비하지 않고도 업무를 수행 할 수 있도록 MFA 단계를 강화하고 하루에 한두 번 정도는 AI 측면과 일부 행동 분석을 활용하여 올바르게 갈 수 있도록해야합니다, 항상 사용하는 컴퓨터에서 항상 액세스하는 리소스에 액세스하고, 한 번만 하면 계속 진행할 수 있습니다.
잉고 슈베르트
그렇다면 거버넌스 측면, 신원 거버넌스 측면에 머물러서 의료 환경에서 조인이 왜 그렇게 중요한지, 왜 조인이 레버를 움직일까요?
존 니콜라스
제가 규모에 대해 많이 언급했지만, 폴도 언급했듯이 사람들은 트러스트 간에 이동할 수도 있지만, 트러스트 내에서도 정기적으로 역할을 이동합니다. 따라서 JML 프로세스의 규모는 하루에 수만, 수십만 건의 변경이 이루어집니다. 따라서 자동화된 관점에서 이를 파악하는 것이 매우 중요합니다. 그리고 자동화된 것뿐만 아니라 적절한 타임라인을 확보하는 것도 중요합니다. 3일 후에 역할을 변경할 예정이잖아요? 그것은 시스템에 있습니다. 3일 후에 롤 A에서 롤 B로 변경하면 백엔드에서 자동으로 수행됩니다. 내가 관리자에게 ‘잉고가 다음 주에 팀에 합류할 예정인데 어떤 일을 할 수 있어야 하나요'라고 말해야 하는 것이 아니라, 잉고가 팀에 합류하고 첫날부터 필요한 모든 일을 할 수 있도록 시스템이 역할을 파악하고 필요한 권한을 알고 있어야 하는 것이죠.
잉고 슈베르트
물론 트러스트를 변경하면 A 역할이 더 이상 나와 함께하지 않는다는 의미도 되겠죠?
존 니콜라스
네, 맞아요.
잉고 슈베르트
그래서 우리 모두가 한 번쯤은 커리어에서 보았던 권리 또는 시간의 축적은 다음과 같습니다.
존 니콜라스
원하는 경우 아이덴티티를 확장할 수 있습니다.
잉고 슈베르트
네, 맞아요.
폴 멀비힐
Jon의 말에 덧붙이자면, 다른 사이트와 다른 신뢰 및 다른 역할을 이동하는 경우 A 사이트에 대해 생성된 계정을 3주, 4주, 5주 또는 심지어 2, 3일 동안 돌아오지 않으면 수명 주기 측면과 일종의 레버 요소를 사용하여 해당 계정을 즉시 비활성화할 수 있습니다. 따라서 이 계정이 존재하는 고아 계정 시나리오가 아니라 일정 수준의 권한이 있는 계정입니다. 그냥 사용되지 않고 방치되어 있는 것이므로 또 다른 공격 벡터가 될 수 있습니다. 따라서 누군가 침입하여 트러스트에 대한 랜섬웨어 공격과 같은 모든 종류의 작업을 수행할 수 없습니다. 다시는 여기에 있지 않기 때문에 잠그면 됩니다. 이틀 후에 다시 돌아오면 이틀 후에 시스템이 다시 켜집니다.
잉고 슈베르트
맞습니다.
폴 멀비힐
그 전까지는 옵션이 아닙니다. 꺼져 있습니다. 사용할 수 없습니다.
잉고 슈베르트
그리고 그와 함께 제공되는 가시성은 분명히 시스템이 어떤 역할을 가지고 있고, 어떤 역할을 가질 것이며, 어떤 역할을 수행했는지 알 수 있다는 것을 의미합니다. 제 생각은 그렇지만, 제가 틀렸다면 정정해 주세요. 감사를 받는다면 그 정보와 가시성이 매우 유용할 것 같습니다.
폴 멀비힐
누가 어떤 시점에 어떤 일을 할 수 있는지에 대한 전체 이력이 있을 것입니다. 그렇다면 감사 관점에서 어떤 일이 발생했을 때 이 감사 기준을 준수하나요? 네, 여기에 증거가 있습니다. 하나의 중앙 거버넌스 플랫폼이 있다면 모든 것이 거기에 있습니다. 그래서 '네, 괜찮습니다, 아직 문제 없습니다'라고 알 수 있습니다. 그리고 드물기는 하지만 어떤 일이 발생했을 때 동일한 데이터 세트를 사용하여 그 시점에 누가 이 데이터에 액세스했는지 확인할 수 있습니다. 어떤 추가 로깅을 에코시스템으로 가져올 수 있는지에 따라 이 계정들이 무언가를 했을 수도 있지만, 누가 이 정보에 액세스했을 수 있는지 말할 수 있습니다. 누가 무언가를 했을까요?.
잉고 슈베르트
그래서 조사에 도움이 됩니다. 훌륭한 보안 엔지니어라면 어떤 일이 발생하면 결국 침해당할 것이라고 항상 가정합니다. 이는 정리 과정에서 어떤 일이 발생했는지, 누가 영향을 받았는지 파악하는 데도 도움이 됩니다.
폴 멀비힐
항상 무언가가 침해될 수 있다고 가정하고, 항상 침해될 수 있다고 가정합니다. 따라서 컴퓨터를 가져가서 플러그를 뽑고 시멘트에 넣거나 아레나 트렌치 같은 곳에 떨어뜨리지 않는 한, 그 영향을 최소화하기 위해 가능한 한 많은 단계와 견제와 균형을 취합니다. 따라서 어떤 일이 발생하더라도 업무 진행에 미치는 영향을 최소화할 수 있도록 최대한 많은 노력을 기울여야 합니다.
존 니콜라스
네, 거버넌스 접근 방식에서 얻는 데이터는 단순히 감사자에게 정보를 제공할 수 있는지에 대한 것만이 아닙니다. 현재 우리가 가지고 있는 정보를 이해할 수 있는지도 살펴봐야 한다고 생각합니다. 프로세스 성숙도, 저는 이 세션에서 프로세스에 대해 많이 이야기하지만, 팀을 살펴보고 역할 자격을 살펴봅니다. 잠깐만요, 해당 팀에서 6개월이든 1년이든 정의한 기간 동안 아무도 이 권한을 사용하지 않았다면 시스템에서 이 권한이 사용되지 않았다고 표시되어야 합니다. 해당 권한을 제거해 봅시다. 권한이 초과되었으므로 더 이상 사용하지 않는 데에는 그럴 만한 이유가 있을 수 있습니다. 워크로드의 해당 부분을 처리하기 위해 병렬 시스템을 사용하고 있을 수도 있습니다. 따라서 새 시스템에는 이전 시스템에서 제거한 병렬 시스템이 있습니다. 그렇지 않으면 전체 수동 감사를 수행하고 지난 6개월 동안 시스템에서 무엇을 사용했는지는 모르지만 시스템에서 어떻게 사용했는지는 알 수 있기 때문에 해당 정보를 발견하는 데 실제로 도움이 되는 자동화된 인텔리전스가 필요합니다. 따라서 이러한 인텔리전스를 사용하여 제로 트러스트 또는 최소 권한으로 작업하는 것에 대해 정보에 입각한 결정을 내릴 수 있습니다.
잉고 슈베르트
네, 바로 여기서 특권이 떠오릅니다.
폴 멀비힐
그런 다음 말씀하신 것처럼 그들이 사용하지 않는 특정 권한 권한이 어디에 있는지 확인할 수 있습니다. 실제로 팀원 중 80명의 %가 이 작업을 수행해 왔지만 공식적인 역할의 일부가 아닙니다. 팀원 10명 중 8명이 개별적으로 "네, X를 하려면 B 시스템에 액세스할 수 있게 해 주세요"라고 요청하는 것이 아니라 팀 전체가 이 작업을 수행할 수 있어야 하므로 이를 추가해야 할까요?.
잉고 슈베르트
예외를 통한 관리, 기본적으로 그렇습니다. 네, 정리하세요.
폴 멀비힐
실제로 80명의 %가 사용하고 있습니다. 이를 공식적으로 역할의 일부로 만들어 감사 및 규정 준수 등을 준수할 수 있도록 하죠. 그래요, 이 팀에는 이것이 필요합니다. 역할의 일부가 완료된 것입니다. 다른 사람이 입사하거나 퇴사하는 경우, 해당 역할의 일부이므로 해당 액세스 권한을 해제하거나 새로운 사람에게도 이 권한을 부여하여 모든 것을 일관되게 유지하고 이 사람들이 할 수 있는 일을 가시화할 수 있도록 합니다.
잉고 슈베르트
그렇다면 의료 분야의 CIO에게 무엇부터 시작해야 할까요? 시작할 수 있는 일이 너무 많기 때문에 우선순위를 정할 수 있는 작은 목록 같은 것이 있다면 뭐라고 말하겠습니까?
존 니콜라스
제가 권장하고 싶고 이미 검토하고 있지만, 그 진짜 이유는 피싱 방지에 초점을 맞추고 있기 때문입니다. 많은 의료기관이 이메일을 주요 커뮤니케이션 수단으로 사용하고 있기 때문에 저는 거기서부터 시작해야 한다고 생각합니다. 그리고 우리는 이것이 피싱에 매우 취약한 공격 벡터라는 것을 알고 있습니다. 뿐만 아니라 이러한 시스템을 사용하는 사람들은 고압적인 환경에서 일하고 있습니다. 로그온하고, 급한 일을 처리해야 하고, 이메일이 들어오고, 적절한 타이밍에 공격에 성공하고, 당황한 상태로 시스템을 실행합니다. 당황한 것이 아니라 정상적인 흐름에서 실수로 피싱 사이트에 자격 증명과 데이터를 유출하는 것입니다. 따라서 피싱 방지 인증을 고려할 때 이메일 커뮤니케이션이 집중적으로 사용되는 분야이기 때문에 피싱 방지 인증이 가장 먼저 고려되어야 할 분야입니다.
폴 멀비힐
그런 종류의 피싱 방지 부분부터 시작해서 그 다음에는 인력이 무엇을 할 수 있는지에 대한 가시성을 확보하는 것이 약간 뒤처질 수 있지만 이와 병행하여 정문을 보호하자 피싱 방지 기능이 작동하는지 확인한 다음 일종의 거버넌스 가시성 도구를 실행하여 누가 존재하고 어떤 계정이 존재하며 무엇을 할 수 있는지, 변경하지 말고 말 그대로 모든 정보를 수집하여 실제로 계정과 권한에 얼마나 많은 상황이 있는지 확인하기 시작해야 한다는 데 동의 할 것입니다. 무엇이 사용되고, 무엇이 사용되지 않으며, 누가 무엇을 할 수 있고, 누가 무엇을 할 수 없는지. 데이터를 확보한 후에는 아무도 사용하지 않기 때문에 우선은 효과가 없는 변경 사항을 살펴볼 수 있기 때문입니다. 하지만 마찬가지로 팀이 앞으로 더 효율적으로 업무를 수행할 수 있도록 권한을 부여하려면 어떤 변화를 주어야 할까요?.
잉고 슈베르트
감사합니다. 의료 시스템의 신원 보안에 대한 좋은 인사이트를 얻을 수 있었습니다. 이러한 유형의 토론을 좋아하신다면 구독을 신청하여 새 에피소드가 공개될 때 알림을 받아보세요. RSA Identity Unmasked였습니다. 다음 달에 또 뵙겠습니다.
에피소드 2 - 헬프 데스크 공격 위험
RSA의 잉고 슈버트, 존 니콜라스, 폴 멀비힐과 함께 최근 주목받고 있는 공격 벡터인 헬프데스크 공격에 대해 논의해 보세요. 패널리스트들은 사이버 범죄자들이 마크스 앤 스펜서, 재규어, 코옵 등을 공격한 방법을 자세히 설명하고, 이전의 인증 솔루션으로는 이러한 공격을 막을 수 없는 이유를 설명하며, 헬프 데스크 공격이 시작되기 전에 예방할 수 있는 솔루션을 검토합니다.
지금 시청하여 자세히 알아보세요:
- 헬프 데스크가 사이버 공격의 주요 표적이 되는 이유
- 헬프데스크 공격을 방지하는 데 MFA가 도움이 되는 방법과 부족한 부분
- 소셜 네트워크가 소셜 엔지니어링 공격으로 이어지는 방법
비디오 대본
잉고 슈베르트: RSA Identity Unmasked에 오신 것을 환영합니다. 오늘은 종종 간과되는 주제인 헬프데스크의 보안에 대해 이야기해 보겠습니다. 오늘은 John과 Paul과 함께 실제 사례와 위험, 그리고 이러한 위험을 완화하는 데 도움이 되는 제어에 대해 이야기해 보겠습니다.
헬프 데스크가 왜 그렇게 표적이 되고 있을까요? 이것부터 시작하세요.
존 니콜라스: 네, 기꺼이 참여하게 되어 기쁩니다. 헬프 데스크의 역할은 우선 사람들을 돕고자 하는 마음에서 시작한다고 생각합니다. 따라서 헬프 데스크에 전화하는 사람은 누구나 헬프 데스크 관리자의 선한 본성을 발휘하여 "저기요, 저를 도와주실 수 있나요?"라고 말할 것입니다. 따라서 회사의 직원이라면 진정으로 도움이 필요하니 괜찮습니다. 하지만 위협 행위자가 전화를 걸었을 때는 '이 사람이 나를 도와줄 의향이 있구나'라고 생각할 수 있습니다. 헬프 데스크 관리자가 더 이상 프로세스에 얽매여 X, Y, Z만 할 수 있다고 말하지 않고 그 경계를 넘어 ABC도 도와드리겠다고 말할 수 있기 때문입니다. 이는 헬프 데스크가 강력한 프로세스가 없을 때 악용될 수 있는 실질적인 위험입니다.
폴 멀비힐: 헬프 데스크의 KPI에는 '마감해야 한다, 누군가 전화가 왔다, 티켓을 마감해야 한다, 분류해야 한다'는 항목이 어느 정도 포함되어 있습니다. 그리고 이 모든 것이 상품이 없는 경우 제가 처리할 수 있는 일입니다. 티켓을 종결하고 싶다고 전화가 왔고, 티켓을 만들었고, 제가 원하는 정보를 제공하고 어떤 절차가 진행 중일 수도 있고 진행되지 않을 수도 있는지를 파악할 수 있도록 최선을 다할 것입니다.
네, 헬프 데스크에서 일해 본 적이 있다면 통계, 티켓 수, 티켓의 평균 마감 시간 등 모든 것을 알 수 있고 때로는 큰 모니터에 표시되기 때문에 사회 공학 공격에 완벽한 스트레스가 높은 환경이 조성되는 것 같아요. 네, 그렇군요. 최근에 이것이 주요 공격 경로가 된 것과 같이 실제로 무엇이 바뀌 었나요?
폴 멀비힐: 예전부터 루트에 대한 공격이 있었지만, 최근 들어 뉴스에 더 많이 등장했습니다. 지난 12개월 동안 마크 스펜서의 협동조합, JLR, 재규어, 랜드로버가 공격을 받았습니다. 모두 헬프 데스크가 표적이 되었기 때문에 부분적으로 피해를 입었습니다. 누군가가 누군가를 설득하여 계정의 자격 증명을 제공하도록 유도한 후 로그인한 후 별다른 피해는 없었지만 꽤 큰 피해를 입었습니다.
존 니콜라스: 네, 그리고 아웃소싱 IT와 같은 역할도 궁금합니다. 더 이상 타사에 의존하는 A 조직의 직원들만 아는 것이 아니라 업계에서 항상 타사에 대해 사전 위험에 대해 이야기하기 때문에 그것이 얼마나 영향을 미치는지, 그리고 헬프 데스크 엔지니어의 재직 기간이 상당히 짧을 수 있기 때문에 그들이 프로세스를 인식하고 자신의 책임과 그것이 그들이 서비스하는 비즈니스에 어떤 영향을 미칠 수 있는지 인식하는 것이 중요하기 때문이죠. 그런 측면에서도 지식의 한계가 있을 수 있습니다.
잉고 슈버트: 네, 맞아요. 물론 회사의 문화를 잘 모른다면 당연히 문제가 되겠죠.
폴 멀비힐: 말씀하신 것처럼 아웃소싱 헬프데스크가 있다면 절차는 알 수 있지만 사람을 잘 모를 수 있습니다. 맞아요. 그렇다면 어떤 식으로 연락을 취할 수 있을까요? 우린 한 번도 만난 적이 없잖아요. 사무실에 와본 적도 없고요.
INGO SHUBERT: 실제 공격이라면 어떻게 그런 일이 일어날 수 있을까요? 이 경우의 전형적인 공격은 무엇인가요? 공격자는 무엇을 달성하려고 하나요? 그리고 그 공격은 어떻게 이루어지나요?
폴 멀비힐: 단순히 계정을 재설정하는 것부터 도움을 받는 것, VPN 네트워크에 접속하는 것까지 다양한 방법이 있을 수 있다고 생각합니다. 우리는 사람들이 하는 일과 관련된 수많은 소셜 미디어가 있는 세상에 살고 있습니다. 제 주변에는 다양한 이유로 자신의 일상을 SNS에 공개하는 친구들이 있습니다. 일부는 이해가 되지만 일부는 그렇지 않죠. 따라서 누군가에 대해 알고 싶다면 출처를 추적하고 많은 정보를 수집할 수 있습니다. 그래서 헬프 데스크에 전화를 걸어 누군가의 출생지나 애완동물 이름 등을 알아낸 다음 '비밀번호를 재설정해야 하는데요'라고 말할 수 있을 것입니다. 내가 누구인지, 내가 누구라고 말하는지 알기 위해 오늘 어떤 단계를 거쳐야 할까요? 아마도 보안 질문일 겁니다.
잉고 슈베르트: 맞습니다. 따라서 기본적으로 공격자가 소셜 네트워크에서 얻은 사전 지식의 조합일 가능성이 높습니다. 다른 공격일 수도 있고, 불법이든 아니든 데이터 브로커를 통해 구매한 데이터일 수도 있습니다. 그리고 우리가 처음에 이야기했던 고압적인 환경과 결합하면 공격자에게는 정말 좋은 표적이 될 수 있겠죠?
존 니콜라스: 네, 그 외에도 모방하고 싶은 개인을 조사하는 것에 대해서도 많이 이야기하지만, 현재 우리가 사용할 수 있는 도구가 있다면 'X 회사는 IT 인프라에서 무엇을 사용하나요? 그들의 기술 스택은 어떤 모습일까요? 따라서 헬프 데스크와 대화를 나눌 때 더 신뢰할 수 있습니다. VPN에 액세스할 수 있는지가 아닙니다. 팔로알토 VPN이 작동하지 않아요. 도와주실 수 있나요? 그러자마자 그들은 바로 '이게 더 익숙하네요.
INGO SHUBERT: 이 경우에는 공격자인 당신이 더 친숙하게 들리는데, 이는 당신이 우리 중 한 명이라는 뜻이고, 따라서 아웃소싱 헬프 데스크에서 당신을 더 신뢰할 수 있다는 뜻이고, 결국 당신은 회사의 일부가 아니기 때문에 거의 그들 중 하나라는 뜻입니다.
폴 멀비힐: 얼마 전에 제가 본 적이 있는데, 헬프데스크를 통해 회사를 해킹하고 돈을 받는 사람이 있었습니다. 그 영상에서 그는 약 30초 만에 헬프데스크 시스템에 액세스했는데, 기본적으로 전화를 걸어 회사에서 온 것처럼 보이도록 전화번호를 위조했기 때문에 헬프데스크 직원들은 "아, 내부자구나"라고 생각하게 됩니다. 그런 다음 그들은 사용자 행세를 하거나 VPN 시스템이 무엇인지, 어떤 정보를 가지고 있는지에 대해 질문하면서 그들을 설득하여 웹사이트에 액세스하도록 도와주었고, 실제로 그 사람이 사용 중인 컴퓨터에 백도어 액세스 권한을 부여했습니다.
INGO SCHUBERT: 기본적으로 인증을 위해 증거에 의존하는 것이죠. 공격자가 생성하는 따뜻하고 모호한 느낌에 가깝습니다. 그렇다면 대신 무엇을 해야 할까요? 이걸 어떻게 하면 다르게 할 수 있을까요? 완전히 새로운 문제인 것 같지는 않잖아요? 헬프 데스크는 수십 년 동안 존재해 왔잖아요?
폴 멀비힐: 네, 제 생각에는 IT 보안에 있어서는 우리가 가장 취약한 부분이라고 생각합니다. 우리가 알고 있는 것에 의존하고 있다면 아마 알아낼 수 있을 겁니다. 다른 출처에서 알아낼 수 없거나 배울 수 없는 무언가를 가지고 누군가를 인증해야 하는 영역으로 내려가야 하나요? 그래서 일종의 MFA 스텝업이나 그런 종류의 라인에 따라 '그래, 좋아, 당신은 시스템을 가지고 있고, 도움을 요청하고, 증명하라'고 말하는 것과 같습니다. 하지만 질문을 통해서는 안 됩니다.
잉고 슈베르트: 가장 인기 있는 질문은 할머니의 결혼 전 이름과 같은 보안 질문이라고 말씀드리려고 했는데요. 그 중 몇 개는 항상 같은 질문인가요?
폴 멀비힐: 맞아요. 똑같은 10개의 질문이 있는데 그중 세 개를 골라보세요. 그거 알아요? 그 목록을 찾아서 모두에게 맞는 답이 무엇인지 알아낼 수 있을 것 같아요.
잉고 슈베르트: 맞습니다. 다시 중요한 주제로 돌아가서, 신원 보안의 일반적인 주제는 증거와 강력한 증거가 필요하다는 것입니다. MFA를 언급하신 것 같습니다. 바로 여기서 MFA가 등장합니다.
폴 멀비힐: 네. 회사에 MFA가 설정되어 있다면 이를 적극 활용하세요. John이 MFA를 설정하고 헬프 데스크에 전화하는 경우, 이를 사용하여 본인이 본인임을 증명하세요. 물론 모든 MFA가 똑같이 만들어지지는 않지만, 존이 어디서 태어났는지, 처녀인지, 어머니의 처녀인지, 이것저것 알아보고 질문에 답하는 것이 아무것도 하지 않는 것보다는 낫습니다. 그런 다음 MFA를 설정한 단계라면 이를 증명하세요.
INGO SCHUBERT: 그렇다면 이제 어떻게 작동할까요? 이 경우 RSA ID Plus를 사용하면 헬프 데스크에서 무엇을 해야 할까요? 최종 사용자는 이를 위해 무엇을 해야 할까요? 예를 들어, MFA를 수행한다고 하면 그건 한 가지입니다. 하지만 단계별로 어떻게 작동하는지가 중요합니다. 사용자는 무엇을 어떻게 해야 할까요?
폴 멀비힐: ID Plus의 경우 두 사람 간에 통화가 이루어지기 때문에 양면성이 약간 있습니다. 헬프 데스크 담당자가 시스템에서 사용자를 찾은 다음 인증 세션을 트리거합니다. 전화를 거는 최종 사용자가 URL을 알고 있거나, 아니면 엔드포인트로 이동해야 하는 URL을 학습한 다음 엔드포인트 내에서 MFA를 수행합니다. FIDA인지, 푸시 승인인지, 생체인식인지, 어떤 방법을 선택하든 회사에서 결정할 것입니다. 그리고 승인에 성공하면 인증 코드를 받습니다. 이를 헬프 데스크 담당자에게 전달합니다. 하지만 이는 순전히 신원 확인 번호일 뿐입니다. 인증 번호가 아닙니다. 이 번호로는 아무것도 들여다볼 수 없습니다.
잉고 슈베르트: 맞아요. 따라서 현재 사용 중인 OTP 등을 제공하지 않아도 됩니다.
폴 멀비힐: OTP를 사용한다면 OTP를 사용합니다. 푸시 승인, Fido의 생체 인식을 수행합니다. 그 시점에서 정보를 공유하지 않고 이 모든 작업을 수행합니다. 결과를 얻습니다. 헬프 데스크 담당자에게 결과를 전달하는데, 이 역시 확인을 위한 것입니다. 어떤 종류의 인증도 아닙니다. 그리고 나서
헬프 데스크 직원이 '네, 이 번호를 알려주세요, 하나, 둘, 셋, 넷, 다섯, 입력하면 시스템에서 '네, 이 사람이 맞습니다'라는 메시지가 표시됩니다.
헬프 데스크가 왜 그렇게 표적이 되고 있을까요? 이것부터 시작하세요.
존 니콜라스: 네, 기꺼이 참여하게 되어 기쁩니다. 헬프 데스크의 역할은 우선 사람들을 돕고자 하는 마음에서 시작한다고 생각합니다. 따라서 헬프 데스크에 전화하는 사람은 누구나 헬프 데스크 관리자의 선한 본성을 발휘하여 "저기요, 저를 도와주실 수 있나요?"라고 말할 것입니다. 따라서 회사의 직원이라면 진정으로 도움이 필요하니 괜찮습니다. 하지만 위협 행위자가 전화를 걸었을 때는 '이 사람이 나를 도와줄 의향이 있구나'라고 생각할 수 있습니다. 헬프 데스크 관리자가 더 이상 프로세스에 얽매여 X, Y, Z만 할 수 있다고 말하지 않고 그 경계를 넘어 ABC도 도와드리겠다고 말할 수 있기 때문입니다. 이는 헬프 데스크가 강력한 프로세스가 없을 때 악용될 수 있는 실질적인 위험입니다.
폴 멀비힐: 헬프 데스크의 KPI에는 '마감해야 한다, 누군가 전화가 왔다, 티켓을 마감해야 한다, 분류해야 한다'는 항목이 어느 정도 포함되어 있습니다. 그리고 이 모든 것이 상품이 없는 경우 제가 처리할 수 있는 일입니다. 티켓을 종결하고 싶다고 전화가 왔고, 티켓을 만들었고, 제가 원하는 정보를 제공하고 어떤 절차가 진행 중일 수도 있고 진행되지 않을 수도 있는지를 파악할 수 있도록 최선을 다할 것입니다.
네, 헬프 데스크에서 일해 본 적이 있다면 통계, 티켓 수, 티켓의 평균 마감 시간 등 모든 것을 알 수 있고 때로는 큰 모니터에 표시되기 때문에 사회 공학 공격에 완벽한 스트레스가 높은 환경이 조성되는 것 같아요. 네, 그렇군요. 최근에 이것이 주요 공격 경로가 된 것과 같이 실제로 무엇이 바뀌 었나요?
폴 멀비힐: 예전부터 루트에 대한 공격이 있었지만, 최근 들어 뉴스에 더 많이 등장했습니다. 지난 12개월 동안 마크 스펜서의 협동조합, JLR, 재규어, 랜드로버가 공격을 받았습니다. 모두 헬프 데스크가 표적이 되었기 때문에 부분적으로 피해를 입었습니다. 누군가가 누군가를 설득하여 계정의 자격 증명을 제공하도록 유도한 후 로그인한 후 별다른 피해는 없었지만 꽤 큰 피해를 입었습니다.
존 니콜라스: 네, 그리고 아웃소싱 IT와 같은 역할도 궁금합니다. 더 이상 타사에 의존하는 A 조직의 직원들만 아는 것이 아니라 업계에서 항상 타사에 대해 사전 위험에 대해 이야기하기 때문에 그것이 얼마나 영향을 미치는지, 그리고 헬프 데스크 엔지니어의 재직 기간이 상당히 짧을 수 있기 때문에 그들이 프로세스를 인식하고 자신의 책임과 그것이 그들이 서비스하는 비즈니스에 어떤 영향을 미칠 수 있는지 인식하는 것이 중요하기 때문이죠. 그런 측면에서도 지식의 한계가 있을 수 있습니다.
잉고 슈버트: 네, 맞아요. 물론 회사의 문화를 잘 모른다면 당연히 문제가 되겠죠.
폴 멀비힐: 말씀하신 것처럼 아웃소싱 헬프데스크가 있다면 절차는 알 수 있지만 사람을 잘 모를 수 있습니다. 맞아요. 그렇다면 어떤 식으로 연락을 취할 수 있을까요? 우린 한 번도 만난 적이 없잖아요. 사무실에 와본 적도 없고요.
INGO SHUBERT: 실제 공격이라면 어떻게 그런 일이 일어날 수 있을까요? 이 경우의 전형적인 공격은 무엇인가요? 공격자는 무엇을 달성하려고 하나요? 그리고 그 공격은 어떻게 이루어지나요?
폴 멀비힐: 단순히 계정을 재설정하는 것부터 도움을 받는 것, VPN 네트워크에 접속하는 것까지 다양한 방법이 있을 수 있다고 생각합니다. 우리는 사람들이 하는 일과 관련된 수많은 소셜 미디어가 있는 세상에 살고 있습니다. 제 주변에는 다양한 이유로 자신의 일상을 SNS에 공개하는 친구들이 있습니다. 일부는 이해가 되지만 일부는 그렇지 않죠. 따라서 누군가에 대해 알고 싶다면 출처를 추적하고 많은 정보를 수집할 수 있습니다. 그래서 헬프 데스크에 전화를 걸어 누군가의 출생지나 애완동물 이름 등을 알아낸 다음 '비밀번호를 재설정해야 하는데요'라고 말할 수 있을 것입니다. 내가 누구인지, 내가 누구라고 말하는지 알기 위해 오늘 어떤 단계를 거쳐야 할까요? 아마도 보안 질문일 겁니다.
잉고 슈베르트: 맞습니다. 따라서 기본적으로 공격자가 소셜 네트워크에서 얻은 사전 지식의 조합일 가능성이 높습니다. 다른 공격일 수도 있고, 불법이든 아니든 데이터 브로커를 통해 구매한 데이터일 수도 있습니다. 그리고 우리가 처음에 이야기했던 고압적인 환경과 결합하면 공격자에게는 정말 좋은 표적이 될 수 있겠죠?
존 니콜라스: 네, 그 외에도 모방하고 싶은 개인을 조사하는 것에 대해서도 많이 이야기하지만, 현재 우리가 사용할 수 있는 도구가 있다면 'X 회사는 IT 인프라에서 무엇을 사용하나요? 그들의 기술 스택은 어떤 모습일까요? 따라서 헬프 데스크와 대화를 나눌 때 더 신뢰할 수 있습니다. VPN에 액세스할 수 있는지가 아닙니다. 팔로알토 VPN이 작동하지 않아요. 도와주실 수 있나요? 그러자마자 그들은 바로 '이게 더 익숙하네요.
INGO SHUBERT: 이 경우에는 공격자인 당신이 더 친숙하게 들리는데, 이는 당신이 우리 중 한 명이라는 뜻이고, 따라서 아웃소싱 헬프 데스크에서 당신을 더 신뢰할 수 있다는 뜻이고, 결국 당신은 회사의 일부가 아니기 때문에 거의 그들 중 하나라는 뜻입니다.
폴 멀비힐: 얼마 전에 제가 본 적이 있는데, 헬프데스크를 통해 회사를 해킹하고 돈을 받는 사람이 있었습니다. 그 영상에서 그는 약 30초 만에 헬프데스크 시스템에 액세스했는데, 기본적으로 전화를 걸어 회사에서 온 것처럼 보이도록 전화번호를 위조했기 때문에 헬프데스크 직원들은 "아, 내부자구나"라고 생각하게 됩니다. 그런 다음 그들은 사용자 행세를 하거나 VPN 시스템이 무엇인지, 어떤 정보를 가지고 있는지에 대해 질문하면서 그들을 설득하여 웹사이트에 액세스하도록 도와주었고, 실제로 그 사람이 사용 중인 컴퓨터에 백도어 액세스 권한을 부여했습니다.
INGO SCHUBERT: 기본적으로 인증을 위해 증거에 의존하는 것이죠. 공격자가 생성하는 따뜻하고 모호한 느낌에 가깝습니다. 그렇다면 대신 무엇을 해야 할까요? 이걸 어떻게 하면 다르게 할 수 있을까요? 완전히 새로운 문제인 것 같지는 않잖아요? 헬프 데스크는 수십 년 동안 존재해 왔잖아요?
폴 멀비힐: 네, 제 생각에는 IT 보안에 있어서는 우리가 가장 취약한 부분이라고 생각합니다. 우리가 알고 있는 것에 의존하고 있다면 아마 알아낼 수 있을 겁니다. 다른 출처에서 알아낼 수 없거나 배울 수 없는 무언가를 가지고 누군가를 인증해야 하는 영역으로 내려가야 하나요? 그래서 일종의 MFA 스텝업이나 그런 종류의 라인에 따라 '그래, 좋아, 당신은 시스템을 가지고 있고, 도움을 요청하고, 증명하라'고 말하는 것과 같습니다. 하지만 질문을 통해서는 안 됩니다.
잉고 슈베르트: 가장 인기 있는 질문은 할머니의 결혼 전 이름과 같은 보안 질문이라고 말씀드리려고 했는데요. 그 중 몇 개는 항상 같은 질문인가요?
폴 멀비힐: 맞아요. 똑같은 10개의 질문이 있는데 그중 세 개를 골라보세요. 그거 알아요? 그 목록을 찾아서 모두에게 맞는 답이 무엇인지 알아낼 수 있을 것 같아요.
잉고 슈베르트: 맞습니다. 다시 중요한 주제로 돌아가서, 신원 보안의 일반적인 주제는 증거와 강력한 증거가 필요하다는 것입니다. MFA를 언급하신 것 같습니다. 바로 여기서 MFA가 등장합니다.
폴 멀비힐: 네. 회사에 MFA가 설정되어 있다면 이를 적극 활용하세요. John이 MFA를 설정하고 헬프 데스크에 전화하는 경우, 이를 사용하여 본인이 본인임을 증명하세요. 물론 모든 MFA가 똑같이 만들어지지는 않지만, 존이 어디서 태어났는지, 처녀인지, 어머니의 처녀인지, 이것저것 알아보고 질문에 답하는 것이 아무것도 하지 않는 것보다는 낫습니다. 그런 다음 MFA를 설정한 단계라면 이를 증명하세요.
INGO SCHUBERT: 그렇다면 이제 어떻게 작동할까요? 이 경우 RSA ID Plus를 사용하면 헬프 데스크에서 무엇을 해야 할까요? 최종 사용자는 이를 위해 무엇을 해야 할까요? 예를 들어, MFA를 수행한다고 하면 그건 한 가지입니다. 하지만 단계별로 어떻게 작동하는지가 중요합니다. 사용자는 무엇을 어떻게 해야 할까요?
폴 멀비힐: ID Plus의 경우 두 사람 간에 통화가 이루어지기 때문에 양면성이 약간 있습니다. 헬프 데스크 담당자가 시스템에서 사용자를 찾은 다음 인증 세션을 트리거합니다. 전화를 거는 최종 사용자가 URL을 알고 있거나, 아니면 엔드포인트로 이동해야 하는 URL을 학습한 다음 엔드포인트 내에서 MFA를 수행합니다. FIDA인지, 푸시 승인인지, 생체인식인지, 어떤 방법을 선택하든 회사에서 결정할 것입니다. 그리고 승인에 성공하면 인증 코드를 받습니다. 이를 헬프 데스크 담당자에게 전달합니다. 하지만 이는 순전히 신원 확인 번호일 뿐입니다. 인증 번호가 아닙니다. 이 번호로는 아무것도 들여다볼 수 없습니다.
잉고 슈베르트: 맞아요. 따라서 현재 사용 중인 OTP 등을 제공하지 않아도 됩니다.
폴 멀비힐: OTP를 사용한다면 OTP를 사용합니다. 푸시 승인, Fido의 생체 인식을 수행합니다. 그 시점에서 정보를 공유하지 않고 이 모든 작업을 수행합니다. 결과를 얻습니다. 헬프 데스크 담당자에게 결과를 전달하는데, 이 역시 확인을 위한 것입니다. 어떤 종류의 인증도 아닙니다. 그리고 나서
헬프 데스크 직원이 '네, 이 번호를 알려주세요, 하나, 둘, 셋, 넷, 다섯, 입력하면 시스템에서 '네, 이 사람이 맞습니다'라는 메시지가 표시됩니다.
에피소드 1 - 양자 컴퓨팅
잉고 슈베르트(RSA)와 데이비드 렐로(버닝 트리)와 함께 양자 암호화, 위험에 대한 타임라인, 조직이 양자 이후 ID 복원력에 대비하는 방법에 대한 토론을 이어가세요. 이 확장된 첫 번째 에피소드에서 전체 대화를 들어보세요. 자리에 앉아 팝콘을 드세요! 좋은 시청입니다!
비디오 대본
잉고 슈베르트: 신원 보안의 미래를 형성하는 힘을 분석하는 동영상 블로그인 RSA Identity Unmasked에 오신 것을 환영합니다. 저는 호스트인 잉고 슈버트입니다. 오늘은 업계 전반에 걸쳐 많은 관심을 불러일으키고 있는 양자 컴퓨팅에 대해 알아보겠습니다. 오늘은 버닝 트리의 데이비드 렐로와 함께합니다. 바로 시작하겠습니다. 오늘날 양자 컴퓨팅은 과대 광고, 위협, 기회 또는 이 세 가지 모두에 해당합니다. 작년 9월 블레클리 파크에서 버닝 트리의 데이비드 릴로와 저, 잉고 슈베르트가 함께 시작한 토론을 다시 한 번 살펴보고자 합니다. 그럼 바로 시작하겠습니다. 데이비드, 이번 에피소드에 오신 것을 환영합니다.
데이비드 렐로: 감사합니다
INGO SCHUBERT: 청중을 위한 혜택과 같은 관점에서 양자 컴퓨팅이 무엇인지 몇 마디로 설명해 주시면 전문가 수준에 도달할 수 있을 것 같습니다.
데이비드 렐로: 이론 물리학으로 들어가면 몇 명을 잃을 수도 있다고 생각하기 때문에 양자 컴퓨터를 보는 기본적인 방법부터 시작하겠습니다.
잉고 슈베르트: 네
데이비드 렐로: 양자 컴퓨터는 기존 컴퓨터와 다른 방식으로 작동합니다. 컴퓨터에게 명령을 내리는 것이죠. 양자 컴퓨터는 다르게 작동합니다. 양자 컴퓨터가 사용하는 것은 양자역학이며, 따라서 양자 역학의 다차원 세계에서 데이터를 보고 데이터를 봅니다. 데이터를 같은 방식으로 읽지 않기 때문에 가설을 세우고 동시에 여러 가지 구조를 살펴볼 수 있습니다. 마치 책을 읽을 때 기존 컴퓨터는 처음부터 끝까지 읽지만 양자 컴퓨터는 책을 읽으면서 데이터를 보는 것과 비슷합니다. 따라서 양자 컴퓨터는 정보를 훨씬 더 빠르게 처리할 수 있습니다. 그리고 문제를 풀 때도 문제를 순차적으로 풀려고 하는 것이 아니라 모든 문제를 한꺼번에 해결하는 것과 같습니다.
잉고 슈베르트: 네, 물론 알고리즘은 상당히 다릅니다. 그렇기 때문에 많은 사람들이, 그리고 저 역시 마찬가지입니다. 물론 실제로 어떻게 프로그래밍해야 하는지에 대해 어려움을 겪고 있습니다. 전통적인 IT 배경에서 볼 때, 저는 때때로 이것이 정말 다른 짐승이라는 것을 이해하는 데 도움이되는 것은 모든 비트와 같은 전통적인 컴퓨터라는 것입니다. 비트가 N개 있으면 N만큼의 데이터를 저장할 수 있습니다. 0, 1, 맞죠? 양자에서는 N의 거듭제곱에 2를 더한 양이 되므로, 기존의 인스턴트가 작동하면 이 경우에는 같은 양의 큐비트에 훨씬 더 많은 양이 저장되는 것과 같죠? 따라서 저장과 처리는 단지 다른 수준에 있습니다. 그렇지 않으면 며칠 동안 여기에있을 것이기 때문에 거기에 남겨 둘 것 같습니다. 기본 사항만 설명했습니다.
다음으로 살펴보고자 하는 주제는 양자 컴퓨팅의 현재 상태입니다. 지금 우리는 어디에 와 있을까요? 아마도 블레츨리 공원에서 우리를 지켜보신 분들이라면 우리가 어디에 있는지, 어디로 갈 것인지에 대해 다양한 의견을 가지고 계실 것 같습니다. 그럼 여러분부터 시작하겠습니다. 양자 컴퓨팅의 현재 상태는 어떤가요?
데이비드 렐로: 양자 컴퓨팅은 아직 초기 단계에 있다고 생각합니다. 그래서 많은 양자 컴퓨터가 나와 있고 실제로 양자 컴퓨터에서 시간을 고용하여 데이터를 볼 수 있습니다. 하지만 양자 컴퓨터가 개발되는 방식에는 여러 가지 문제가 있다고 생각합니다. 일부 양자 컴퓨터는 온도와 같은 측면에서 많은 제어가 필요합니다. 양자 컴퓨터는 절대 영도, 즉 영하 270도에서 작동하기 때문에 정말 춥습니다. 이를 위해서는 큰 시설과 큰 장비, 큰 에너지가 필요합니다. 그렇지 않으면 응집력을 잃고 플랫폼의 안정성을 잃게 됩니다.
초기 양자 컴퓨터는 이 문제로 인해 항상 소진되었습니다. 따라서 이는 해결하고 해결해야 할 문제입니다. 또 다른 문제는 양자 컴퓨터가 데이터를 동시에 보기 때문에 많은 노이즈가 발생한다는 것입니다. 성경과 같은 책을 처음부터 끝까지 읽지 않고 한 번에 읽어야 한다면, 머릿속에서 이해할 수 없는 이야기가 만들어질 것입니다. 그리고 메시지가 무엇인지 소화하고 이해하고 증류하는 것은 매우 어려워집니다.
따라서 시스템 내 노이즈로 인해 엄청난 양의 문제가 발생했습니다. 옥스퍼드에서는 오류 등급과 시스템 내 노이즈를 상당히 줄인 좋은 성과를 거둔 바 있습니다. 하지만 현재 가장 중요한 문제는 한 번에 얽힐 수 있는 큐빗의 양인데, 큐빗이 100 큐빗 정도를 초과하기 시작하면 큐빗의 응집력이 떨어지기 시작합니다. 따라서 실제로 정보를 처리하기 위해 한 번에 얽힐 수 있는 큐빗의 양은 제한되어 있습니다. 이는 곧 기계의 처리 능력과 용량이 제한된다는 것을 의미합니다.
따라서 아직 암호화와 관련된 양자 컴퓨팅이라고 부를 수 있는 수준은 아니지만 입증된 단계에 있습니다. 작동합니다. 과학자들이 말하는 대로 작동합니다. 이제 다음 단계로 나아가 더 많은 투자를 하는 것이 관건입니다. 몇 달마다 더 많은 발전이 이루어지거나 집중적인 투자가 이루어지고 있으며, 우리는 진전을 보기 시작했습니다.
잉고 슈베르트: 네, 맞습니다. 양자 컴퓨터를 비교해보면, 사진만 봐도 알 수 있죠? 5년 전과 지금을 비교해 보면, 5년 전에는 부분적으로 물리적 실험이라고 할 수 있지만, 5년 전에는 훨씬 더 물리적인 실험이었죠? 그런 것들의 물리적 설정 만 보면 그렇죠?
하지만 문제를 던지면 기존 컴퓨터보다 훨씬 빠르게 문제를 해결할 수 있는 것은 사실입니다. 그리고 그 중 하나가 바로 응집력이라고 말씀하셨죠. 네, 응집력의 기본은 일정 시간 동안 시스템을 안정적으로 유지할 수 있는지 여부입니다. 그리고 그것은 일반적으로 최대 초 단위로 측정됩니다. 예, 또는이 모든 칩에 포함 된 칩에 따라 밀리 초 단위로 측정됩니다. 그리고 이는 많은 경우에 유용하지 않은 시간입니다. 하지만 몇 가지 사용 사례는 의미가 있습니다. 양자 코프로세서처럼 생각하면 됩니다. 하지만 제가 가진 문제는 많은 사용 사례에서와 마찬가지로 엔비디아의 GPU 몇 개로 문제를 해결할 수 있을지 의문이라는 것입니다.
그래서 양자 컴퓨팅 분야에서도 여전히 많은 과대 광고가 계속되고 있습니다. AI 과대광고와도 약간 겹치는 부분이 있다고 생각합니다. 물론 그것이 과대광고라면 진짜라고 주장할 수도 있습니다. 하지만 요점은 많은 과대 광고와 많은 돈이 떠돌고 있다는 것입니다. 그 자금의 일부는 지금 출구 전략을 찾고 있다고 생각합니다. 그리고 양자 컴퓨팅은 매력적으로 보이죠? 그래서 그들은 거기에 많은 것을 쏟아 붓고 있고 근본적으로 이것이 과대 평가되고 그들이 무엇을 약속하는지에 대해 과대 평가되고 있으며 이것은 실제로 여기 스펙트럼을 가로 지르고 있습니다. 블레츨리 파크에서 저는 구글 윌로우 칩을 예로 들었는데, 구글은 실제로이 새로운 칩에 대한 보도 자료를 통해이 모든 오류를 크게 수정했으며 대중 언론에서도이 칩이 기존 컴퓨터가 10 분 안에 할 수있는 일을 5 분 안에 할 수 있다는 주장을 받았습니다. 35 년의 힘 네, 우주는 10 년의 25 배에 불과하기 때문에 놀랍습니다. 그리고 그것을 읽으면 그래, 아니요, 제대로 할 수 없습니다. 이 것이 5 분 동안 작동 할 수 있고 수백만 배나 할 수 없다면 그렇게 할 수 없다는 것과 같았습니다, 그런 식이죠. 그리고 크고 작은 여러 회사의 다른 보도 자료를 보면 달성한 성과를 과대 포장하는 경향이 약간 있습니다.
안타깝게도 이 때문에 지난 몇 년 동안 양자 컴퓨팅이 실제로 이뤄낸 일부 진전이 묻혀버렸다고 생각합니다. 그리고 이것이 바로 양자 컴퓨팅의 위협이 실제보다 훨씬 더 현실적으로 다가오고 있는 것처럼 보이게 만드는 부분이라고 생각합니다. 하지만 양자 컴퓨팅이 갑자기 나타나면 세상이 멸망할 것이라는 이야기를 하기 전에, 양자 컴퓨터의 장점은 무엇일까요? 그렇다면 양자 컴퓨터가 다른 어떤 것보다 훨씬 더 잘할 수 있는 것은 무엇일까요?
데이비드 렐로: 양자 컴퓨터가 현재 어느 단계에 와 있는지에 대해 말씀하신 것에 대해서도 답변해드리겠습니다. 저는 양자 컴퓨터의 측면에서 문제가 있다는 데 동의하지만, 양자 컴퓨터의 안정성을 실제로 달성하는 데는 현재 제시되고 있는 것보다 훨씬 더 가까워졌다고 생각합니다. 돌이켜보면 실제로 미래를 바라보는 가장 좋은 방법 중 하나는 역사를 살펴보는 것이라고 생각합니다. 제가 은행에서 일하던 젊은 시절에 메인프레임이 있었는데, 구식 IBM 메인프레임이었습니다. 메인프레임은 방 하나를 차지했죠. 큰 방이었죠. 작은 방이 아니었죠. 꽤 큰 방이었죠. 그리고 방을 가득 채웠죠. 이 메인프레임에는 밸브가 있었어요. 수냉 탱크가 세 개 있었어요 이 은행 지하에는 수영장이 있었어요. 엄청나게 컸죠. 그리고 불과 몇 년 전에 그 메인프레임의 펀치 카드 시스템을 교체했었죠.
지게차와 중장비가 필요했던 구형 메인프레임을 꺼낼 때는 물리적으로 메인프레임을 다시 장착할 수 없었기 때문에 실제로 일부 문을 잘라내야 했습니다. 그리고 이전보다 기하급수적으로 커진 랙과 메인프레임 컴퓨터로 교체했습니다. 지난 몇 년 동안 컴퓨터의 발전은 엄청나게 가속화되었습니다. 30년만 거슬러 올라가도, 40년만 거슬러 올라가도 엄청난 변화가 일어나고 있는 것을 알 수 있습니다.
잉고 슈베르트: 네.
데이비드 렐로: 현재 양자 컴퓨터는 초기 지표와 과학이 있지만, 냉각 시스템과 대형 장비가 필요하고 모든 종류의 장비가 필요하기 때문에 지하실에 탱크가 3개 있는 오래된 메인프레임과 비슷하게 느껴집니다. 엄청난 금액이 투입됩니다. 많은 투자가 이루어지고 있습니다. 그리고 이러한 문제는 해결될 것입니다. 그리고 우리가 생각하는 것보다 더 빨리 해결될 수도 있습니다. 그리고 현재 우리가 매달 보고 있는 발전은 우리가 점점 더 결속력에 가까워지고 있음을 시사하고 있습니다. 그래서 조금 더 가까워질 수도 있다고 생각합니다.
양자 컴퓨터가 실제로 어떤 사람들이 주장하는 것만큼 빠르지는 않지만 훨씬 더 빠르게 데이터를 처리할 수 있기 때문에 이전에는 해결할 수 없었던 문제를 살펴보고 해결할 수 있기 때문에 양자 컴퓨터가 등장한다면 정말 흥미로운 일이 될 것이라고 생각합니다.
이론 물리학에서 슈뢰딩거의 고양이라는 개념이 있는데, 그 고양이는 죽었나요, 살아있나요? 썩은 건가요? 죽었나요, 살았나요? 고양이의 상태는 어떤가요? 양자 컴퓨터는 실제로 고양이를 모든 가능성으로 보고 볼 수 있으므로 우리가 해결할 수 없었던 주요 문제를 해결할 수 있습니다.
잉고 슈베르트: 네, 그리고 의학이나 단백질 폴딩 같은 분야에서는 양자 컴퓨터가 기존 컴퓨터보다 확실히 우위를 점할 수 있을 것 같습니다. 그리고 일기 예보와 같이 처리해야 하는 방대한 양의 데이터가 있는 모든 것, 예를 들어 지질학적 데이터 등 컴퓨팅의 이점을 누릴 수 있는 사용 사례가 꽤 많이 있습니다.
자, 이렇게 다시 돌아오는 것이 더 빨리 당신의 요점은 그가 과거에 트랜지스터로 이런 일이 일어났다는 것이 다시 일어나는 직선이 아니기 때문에 그렇지 않다고 생각할 수 있으므로 지난번에 당첨되었다고해서 다음 번에 당첨되지 않는 것은 복권처럼 매번 0에서 시작하고 특히 응집력이있는 것은 아닐 수도 있습니다, 예를 들어 쇼의 알고리즘을 실행할 수 있는 범용 양자 컴퓨터가 되기 위해 몇 백 큐비트, 몇 천 큐비트를 이야기한다면 암호화에 위협이 될 수 있습니다. 수십만 큐비트라는 말씀이시죠? 그리고 그렇게 가는 도중에 어딘가에서 벽에 부딪힐 수도 있겠죠? 이러한 문제를 해결한다는 보장은 없습니다. 그럴 수도 있고, 실제로 그럴 수도 있지만 장담할 수는 없습니다. 동시에 양자 컴퓨터는 기본적으로 GPU 덕분에 전 세계적으로 컴퓨팅 성능이 엄청나게 증가한 환경에서 상업적으로 살아남아야 하죠? AI 덕분이죠. 예전에는 비트코인 열풍이 불었다면 지금은 AI가 대세입니다. 따라서 칩 설계의 근본적인 발전과 같은 발전이 없이는 불가능합니다. 네, 네, 칩이 작아지긴 했죠. 컴퓨팅 파워가 엄청나게 증가했기 때문에 이제 기본적으로 제한 요소는 전력입니다. 그래서 전력입니다.
이러한 환경에서 양자 컴퓨터는 살아남아야 합니다. 이제, 특히 암호 해독과 같은 경우에는 일부 정부에서 그렇게 할 것이라고 주장할 수 있습니다. 네, 그건 괜찮습니다. 그들은 돈이 충분하니까요. 그들은 그런 것에 신경 쓰지 않아요. 글쎄, 신경 써야 할지도 모르죠. 우리가 낸 세금인데 신경 쓰지 않는다고 가정해 봅시다.
완벽하게 작동하는 범용 양자 컴퓨터로 가는 길에는 실용적인 양자 컴퓨팅 사용 사례가 있습니다. 이는 분명한 사실입니다. 그렇지 않다는 말이 아닙니다. 그리고 좋은 사용 사례도 있습니다. 예를 들어 제약 연구에서의 단백질 폴딩을 들 수 있죠?
하지만 위협에 대해 이야기해 보죠? 전력 소비와 같은 것을 말하는 것이 아닙니다. 왜냐하면 오늘날에는 기존 장치에 그런 것이 있기 때문입니다. 내 말은, 특히 IT 보안에 대한 위협과 그 다음이 보안이죠? 쇼의 알고리즘을 언급했으니 이것이 무엇이고 보안에 어떤 영향을 미치는지 간단히 설명해야 할 것 같습니다.
양자 컴퓨터는 정보와 데이터를 훨씬 더 빠르게 처리할 수 있기 때문에 쇼의 알고리즘을 사용하여 암호화 키를 리버스 엔지니어링할 수 있기 때문에 암호화 관련 양자 컴퓨터가 있으면 몇 초, 몇 분 안에 키를 해독할 수 있습니다.
잉고 슈베르트: 네.
데이비드 렐로: 따라서 우리가 소비하고, 사용하고, 액세스하는 대부분의 데이터는 공격에 취약할 수 있습니다.
잉고 슈베르트: 네. 그래서 쇼르의 주장은, 앞서 말씀드린 것처럼, 수십만 개의 큐비트가 응집되어 일정 시간 동안 실행되어야 하기 때문에 오늘날 이를 실행할 수 있는 양자 컴퓨터가 없다는 것입니다. 따라서 몇 초라고는 하지만 요즘의 양자 컴퓨터에서는 몇 초도 문제가 됩니다. 따라서 RSA 알고리즘, 즉 개인 공개 키, RSA를 사용하지만 디피-헬만을 사용하고 타원 곡선, ECC를 사용하는 개인 공개 키가 실제로 본질적으로 깨지거나 무효화됩니다. 따라서 기본적으로 대중적이고 지난 수십 년 동안 사용되어 온 모든 것이 본질적으로 깨질 것입니다. 양자 컴퓨터가 등장하면 모두 깨질 것입니다. 물론 기존 컴퓨터는 여전히 늘 그래왔듯이 어려움을 겪을 것이므로 위협이 되지는 않습니다.
이 알고리즘이 깨지면 모든 곳에서 이러한 알고리즘이 사용된다는 뜻이죠? 예를 들어 전통적인 TLS, 웹 서버 통신, 클라이언트에서 웹 서버로의 통신, VPN, 이메일 서명, 전송되는 파일 암호화 등 모든 것이 RSA, ECC, 또는 Diffie-Hellman을 기반으로 하는 경우가 많죠? 따라서 실제로 재앙이라고 할 수 있습니다.
데이비드 렐로: 물론 그렇겠죠. 완전히 재앙이 될 것입니다. 더 많이 조사하고 실제로 더 많은 사용 사례를 살펴볼수록 더 많은 시스템이 실패할 것이라고 생각합니다. 전 세계적인 문제입니다. 금융 시스템에 대한 인증과 인증 같은 것들 말이죠. 심지어 비트코인 같은 것들도 해킹을 당합니다. 타원 곡선 암호화를 사용하는 비트코인이 손상될 수 있습니다. 그러면 그 결과 금융 시스템이 완전히 무너질 수 있습니다.
네, 정말 치명적일 수 있습니다. 일반적인 광범위한 사용 사례의 주요 문제뿐만 아니라 사람들이 항상 생각하지 않는 작은 덜 대중적인 문제에서도 볼 수 있다고 생각하기 때문에 IOT와 OT에 대해 이야기하기 시작하고 의료 기기 및 의료 장비에 대해 생각하기 시작할 때 이를 타협할 수 있는 능력을 볼 수 있다고 생각합니다. 인슐린 펌프를 착용하고 있는 사람을 예로 들어보겠습니다.
인슐린 펌프의 암호화를 해독할 수 있다면 누군가를 죽일 수 있습니다.
잉고 슈베르트: 네.
데이비드 렐로: 갑자기 이런 일의 배후에 있는 범죄가 기하급수적으로 더 커질 수 있다는 것이죠. 그리고 영화 마이너리티 리포트나 터미네이터와 같은 사례가 발생하기 시작합니다.
잉고 슈베르트: 이제야 말씀하시네요. 이제 막 흥미로워졌네요.
하지만 다시 양자 컴퓨터의 가용성으로 돌아와서, 하루아침에 이뤄지는 일이 아니기 때문에 하루아침에 이뤄지지는 않을 것입니다. 예를 들어 누군가 쇼의 알고리즘을 실행할 수 있는 20만 큐빗의 양자 컴퓨터를 마침내 얻었다고 가정해 봅시다. 보통은 100만 큐빗 정도입니다. 10만 큐비트 정도만 있으면 된다는 연구 결과도 있습니다. 갑자기 모든 사람이 양자 컴퓨터를 갖게 되는 것은 아닙니다. 양자 컴퓨팅에 접근할 수 있는 것은 소수의 정부와 연구 시설뿐입니다. 모든 사이버 범죄자가 양자 컴퓨팅에 접근할 수 있는 것도 아닙니다.
하지만 위협은 현실입니다. 2000년의 문제와 비슷하다고 생각합니다. 한동안 이러한 문제가 발생할 것으로 예상했지만, 이를 완화하기 위해 여러 가지 조치를 취했지만 별다른 효과가 없었습니다.
데이비드 렐로: 하지만 우리가 뭔가를 했기 때문이죠.
잉고 슈베르트: 맞습니다. 우리가 뭔가를 했기 때문이죠? 만약 우리가 아무것도 하지 않았다면 아마 큰 문제가 되었을 것이고, 우리가 뭔가를 했는데 괜찮아졌겠죠? 이 경우도 아마 이 경우와 비슷할 것이라고 생각합니다. 왜냐하면 할 수 있는 일이 있기 때문에 다음 작업으로 넘어갈 수 있기 때문입니다.
네, 그래서 우리는 얼마나 오래있을 것인지에 대해 동의하지 않을 수 있습니다. 그래서 이걸 던지는 것처럼 MITRE 보고서가 있었는데 미국의 정부 지원 연구 기관으로서 올해 초에 최근 보고서가 있었는데 그들은이 쇼의 알고리즘을 2040 년대 초반 아마도 2050 년대 초반에 넣었 기 때문에 바로 밀어 붙일 인센티브가 없었기 때문에 확실한 보고서 였지만 이것이 훨씬 빠르다고해도 2030 년대 이전이 될 것 같지는 않습니다. 기적이 일어나지 않는 한 그럴 가능성은 거의 없다고 생각합니다. 그렇다면 양자 대재앙에 대비하기 위해 지금 당장 무엇을 할 수 있을까요?
데이비드 렐로: 2050년보다는 훨씬 더 빨라질 것 같아요. 예측은 불가능한 일이기 때문에 저는 예측을 시도하는 것을 싫어합니다. 인간에게는 초자연적인 능력이 없기 때문에 미래를 예측하려고 하면 필연적으로 실패할 수밖에 없죠.
잉고 슈베르트: 그럼 2055년에 만나 봅시다. 같은 시간에요, 그래요, 그럼 이 얘기를 할 수 있겠네요. 제가 아직 내부에 있다면요.
데이비드 렐로: 물론이죠. 시작하죠. 같은 시간, 같은 장소에서요. 그렇게 하죠. 좋아요, 하지만 더 빠르면 어떻게 하면 그 이벤트를 축하할 수 있을지 생각해 봅시다. 기술이 발전할 때마다 획기적인 일이 일어나고, 어느 시점에 일어나기 때문이죠. 다음 주에 일어날 수도 있습니다. 10년 후에 일어날 수도 있고요. 저희도 모르죠. 하지만 과학이 있기 때문에 반드시 일어날 것이라고 확신합니다. 과학은 믿을 만합니다. 진짜예요. 해바라기 밭은 지금도 응집력을 유지할 수 있습니다. 상온의 들판에서 그 주변에서 일어나는 모든 일들이 안정적으로 유지되는 것이죠. 아래에서 뛰어다니는 동물과 공해 등 모든 것들. 해바라기 밭은 응집력을 가질 수 있습니다.
잉고 슈베르트: 맞습니다.
데이비드 렐로: 왜 많은 과학자들이 그렇게 하나요?
잉고 슈쿠버트: 네, 하지만 진화하는 데는 200만 년이 걸리죠? 그게 제 요점입니다. 저도 그 점에 동의하지만, 그들이 약간 앞서 나가고 있죠?
데이비드 렐로: 다시 본론으로 돌아와서, 우리가 가진 문제 중 하나는 블레클리 파크에서도 잠깐 언급했지만, 암호화 키 관리와 관련하여 현재 우리가 가진 관행과 모범 사례라고 할 수 있는 것은 많은 회사가 실패했다고 생각합니다. 예를 들어 몇 년 전 SSL 취약점이 발생했을 때 모든 사람들이 앞다투어 키를 교체하려고 했습니다. 그 덕분에 기업들은 TLS 키를 교체하는 방식에 있어 훨씬 더 민첩해졌고, 이는 환상적인 일이었습니다. 문제의 상당 부분이 해결된 것이죠. TLS 키에 민첩성이 있다면 키를 변경할 수 있다는 뜻입니다. 이 과정에서 모든 것이 제대로 작동하는지 확인하기 위해 몇 가지 테스트를 수행해야 할 수도 있습니다.
하지만 조직은 지금부터 인증 기관과 키를 발급하는 방법 및 TLS 수준에서 키를 교체하는 방법에 대해 생각할 수 있습니다. 그리고 그것은 괜찮습니다. 우리가 발견하는 문제는 조직에 들어가면 20~30개, 심지어 40%의 키가 이러한 방식으로 관리되지 않는다는 것입니다. 많은 하드웨어가 하드웨어 인프라에 키를 내장하고 있는 경우가 많고, 이러한 하드웨어 중 일부는 20년 동안 사용할 수 있으며, 하드웨어 내에서 키를 변경한다는 것은 하드웨어를 변경하는 것을 의미합니다.
특히 애플리케이션 자체에 키가 내장되어 있는 모놀리식 빌드 시대에는 코딩에 있어 잘못된 관행이 많았습니다. 그리고 우리가 생각하기 시작했을 때.
잉고 슈베르트: 제 말이 그 말인 것 같습니다. 이는 양자 컴퓨팅 여부와 관계없이 나쁜 관행이었습니다.
데이비드 렐로: 맞습니다. 그래서 우리가 Q-Day라는 아이디어를 생각하기 시작했을 때, Y2K에서는 날짜가 있었기 때문에 쉬웠습니다. 우리는 Q-Day와 날짜가 없습니다.
잉고 슈베르트: 아주 좋은 지적입니다.
하지만 내일이 될 수도 있고, 10년 후가 될 수도 있고, 그보다 훨씬 더 오래 걸릴 수도 있는 상황이 오면 조직의 상당 부분과 그 키를 쉽게 또는 쉽게 교체할 수 없는 상황이 발생하고 패닉에 빠지게 될 것입니다. 데이터가 손상되면 엄청난 규모의 문제가 발생하게 될 것입니다.
하지만 또 다른 문제는 제가 질문을 많이 받는 문제인데, 바로 ‘지금 수확하고 나중에 해독'이라는 위협입니다. 데이비드 캐머런 영국 총리가 중국에 의해 모든 데이터가 도난당했다는 유명한 말을 한 적이 있을 정도로 수년 동안 암호화된 데이터가 도난당하는 것을 보아왔지만, 이는 중요하지 않습니다. 암호화되어 있으니까요. 몇 년 전으로 거슬러 올라가면 지금 당장은 사실이지만, 양자 컴퓨터와 같은 기술을 고려할 때 이는 문제가 될 수 있습니다. 그리고 물론 데이터는 오래갑니다.
INGO SCHUBERT: 하지만 그 데이터 중 일부는 여전히 관련성이 있을 것입니다. 전부는 아니지만 일부분은요. 제 생각도 마찬가지입니다. 5년 후에 암호가 해독되더라도 누가 신경이나 쓰겠어요? 아니면 10년 후에라도요. 따라서 인증을 위한 많은 신원 데이터가 5년 또는 10년 후에 해독되더라도 그때는 이미 오래되었기 때문에 크게 신경 쓰지 않아도 된다고 주장할 수 있습니다. 하지만 전략적 데이터는 수십 년 후에도 해를 끼칠 수 있는 경우가 많죠? 그리고 꼭 국가일 필요도 없습니다. 일반 기업, 일반 기업일 수도 있습니다.
데이비드 렐로: 맞습니다.
잉고 슈베르트: 어떤 경우인가요?
데이비드 렐로: 저는 레거시 시스템이 있는 조직을 많이 방문합니다. 실제로 얼마 전까지 애플리케이션이 있는 조직에 근무한 적이 있었습니다. 소스 코드를 잃어버렸기 때문에 블랙박스로 취급하고 블랙박스로 취급했습니다. 그걸 만든 사람은 이미 오래 전에 떠났으니 건드리지 마세요. 넘어지면 전원을 켜거나 끄고 다시 켜고 기도하는 것밖에 할 수 있는 일이 없으니까요. 여러분이 할 수 있는 일은 아무것도 없습니다. 그리고 이 시스템은 매장의 모든 액세스, 매장의 모든 액세스를 제어합니다. 그리고 만약 해킹당하면, 해킹당하면 조직이 무너집니다.
잉고 슈베르트: 단일 장애 지점.
데이비드 렐로: 단일 장애 지점. 단일 장애 지점이 있는 조직이 엄청나게 많다는 것은 놀라운 일입니다. 조직은 ID 및 액세스 관리 인프라를 어떻게 현대화할지 고민해야 합니다. ID 및 액세스 관리에 대해 생각하기 시작하면 ID 및 액세스 관리는 모든 것으로 통하는 길입니다. 최근 독일을 비롯해 영국, 이탈리아 등지에서 발생한 랜섬웨어 공격에서 우리는 이를 확인할 수 있었습니다. 이러한 랜섬웨어 공격은 액세스 제어 시스템을 표적으로 삼고 있습니다. 액티브 디렉터리든, 앞서 설명한 시스템이든, 실제로 액세스를 손상시키고 조직을 다운시키고 통신을 중단시키고 액세스 기능을 중단시킬 수 있는 소프트하고 쉬운 표적이기 때문에 인증에서 이를 표적으로 삼고 있습니다. 이러한 맥락에서 ID 액세스 관리를 현대화하는 것이 가장 중요한 우선순위 중 하나가 될 것입니다.
잉고 슈베르트: 네, 맞아요. 어떻게 보더라도 말이 되니 반박하기 어렵습니다. 베어본 암호화 키 관리로 돌아가면 많은 고객이 자신이 무엇을 가지고 있는지 알지 못한다고 생각하죠? 어디를 암호화하는지, 키는 어디에 있는지, 디지털 서명은 어디에 하는지 제대로 파악하지 못하죠. 이런 개요 같은 게 없죠. 이것이 문제의 일부라고 생각하죠? 존재하지 않는 것을 알면 고칠 수 없으니까요. 많은 고객이 기본적인 사이버 위생에 어려움을 겪고 있습니다. 안타깝게도 제가 매일같이 겪는 일이죠? 오늘 아침에도 20년 된 RSA 소프트웨어를 실행하는 고객과 통화했는데, 20년 된 소프트웨어였죠?
데이비드 렐로: 와우.
INGO SCHUBERT: 실제로 지원팀에 전화가 왔는데 지원팀이 전화를 받을 수 없었고, 전화를 받던 지원 담당자가 그 소프트웨어가 나왔을 때 아마 유치원에 있었을 거라고 생각했죠? 그래서 제 요점은 이러한 기본적인 사이버 위생과 가시성을 확보하지 않는 한, 우선 퀀텀 레디 상태에 도달 할 수 없다는 것입니다. 예, Q-day에 대비할 준비가 된 상태입니다. 그것은 불가능에 가깝습니다.
또한, 제 생각에는 이런 문제를 해결하기 전까지는 양자 컴퓨팅에 대해 걱정할 필요가 없다는 것이죠? 어떤 소프트웨어를 실행하고 있는지 모르고 최신 상태로 유지하지 않으면, 예를 들어 포스트 양자 암호화를 구현하는 것처럼 당연히 공급업체가 이 문제를 해결해 주는 것에 의존하게 되니까요, 그렇죠?
하지만 소프트웨어가 새 버전으로 출시되고 멋진 양자 컴퓨팅 기능이 모두 포함되어 있는데도 설치하지 않으면 존재하지 않는 것이 되겠죠? 그리고 그렇게 한다고 해도, 예를 들어 데이터 관리와 같은 정책과 절차가 제대로 되어 있지 않다면 무슨 소용이 있을까요? 공격자가 헬프 데스크에 전화해서 입력을 요청할 수 있다면 양자 컴퓨터가 필요하지 않겠죠? 오늘은 필요하지 않습니다. 어제에도 필요하지 않았고요. 내일도 필요하지 않습니다. 정책이 올바르지 않은 경우 헬프 데스크에 전화하여 액세스 권한을 얻으면 됩니다.
따라서 양자 컴퓨터와는 전혀 상관없는 많은 일들이 잘못될 수 있고, 잘못되었고, 잘못될 것입니다. 그리고 제가 우려하는 것은 사람들이 이 양자라는 것, 이 Q-Day를 보면서 이 멋지고 반짝이는 장난감에 정신이 팔리는 것이죠? 반면에 그들은 해야 할 숙제가 너무 많은데, 아마 수십 년 동안 해보지 않은 숙제겠죠? 물론 여러분은 그렇게 해야 하고, 가시성을 확보하고, 패치를 적용하고, 절차를 수정해야 한다고 주장할 수 있습니다. 고객이 그렇게 하기 위해 양자 컴퓨팅이라는 위협이 필요하다면 그렇게 해야겠죠? 저는 행복할 수 있습니다.
하지만 한편으로는 양자 컴퓨팅이 장애물에 부딪히면 어떻게 될까 하는 생각이 들기도 합니다. 그리고 몇 년 동안은 실질적인 이점이나 발전이 없다가 2060세대가 '나는 머지않아 직장에서 사라질 테니 걱정할 필요가 없다'는 식의 접근 방식은 잘못된 것이니 어떻게든 해결해야 한다고 생각하죠.
몇 가지 지식을 알려드릴게요 네, 독일 철학자 엠마누엘 칸트 네, 이제 그 편집자를 자르지 마세요 네, 그건 케이예요 케이 -A -N -T 맞죠? 그래서 이제부터 엠마누엘이라고 부르기로 했어요.
그래서 18세기 독일의 철학자, 그는 많은 현명한 말을 했습니다. 하지만 제가 가장 현명하다고 생각하는 것 중 하나는 옳은 일을 하는 것이 옳은 일이기 때문에 옳은 일을 한다는 것이죠? 신 같은 존재에게 브라우니 포인트를 얻어서가 아니라 옳은 일이기 때문에 하는 것이죠. 옳은 일이기 때문에 하는 것이죠.
그리고 암호화 위치, 정책, 절차, 패치 등 암호화 방법에 대한 개요를 잘 파악하고 있다면 양자 컴퓨팅이 10년, 20년, 30년 후가 되든 상관없이 올바른 조치를 취하는 것이 좋습니다. 그건 중요하지 않습니다. 그렇게 해야 합니다. 지난 20년 동안 그렇게 해왔어야 합니다. 그게 핵심입니다. 여기서 우리는 동의하는 것 같아요. 네, 물론이죠. 양자 컴퓨팅이 어디에 있고 어디로 갈 것인지에 대해 서로 다른 의견을 가지고 있기 때문에 동의하지 않는다고 생각합니다. 하지만 퀀텀에 대비해야 한다고 말하는 고객이 있다면 당연히 그 노력이 헛되지 않습니다.
데이비드 렐로: 네, 절대 아닙니다. 제가 항상 도전받는 현실 중 하나는 대기업의 이사회와 재무 이사 등과 많은 시간을 보내면서, 기업은 제품이나 서비스를 공급하기 위해 존재하며, 물론 자선 단체가 아니라면 민간 부문에서 이익을 창출하기 위해 존재하기 때문에 그것이 옳은 일이라고 해서 실제로 돈을 쓰고 그것이 나에게 부정적인 수익을 준다는 생각은 금융 사람들이 실제로 깨닫기 어렵고 도전적인 것이기 때문입니다. 따라서 옳은 일이기 때문에 무언가에 투자하는 것은 철학적 논의에 가깝습니다. 저는 그것이 반드시 올바른 접근 방식이라고 생각하지 않습니다.
잉고 슈베르트: 네, 물론이죠.
데이비드 렐로: 물론 전적으로 동의하지만, 제가 믿는 신앙적 관점에서 보면 항상 옳은 일을 하고 싶다는 생각은 변함이 없습니다. 하지만 현실은 기업이 이를 위해 존재하지 않는다는 것입니다. 기업은 옳은 일을 하기 위해 존재하지 않죠. 때로는 조금 부도덕할 때도 있죠.
INGOSCHUBERT: 정말요? 그런 말은 처음 듣네요. 메모해 두겠습니다.
데이비드 렐로: 그래서 저는 여러분이 하는 일은 우리가 다른 방식으로 그것을 바라보는 것이고, 우리가 보고 있고 사람들이 공감하고 이해하는 현실 중 하나는 주어진 환경과 관련된 내 위험 노출이 무엇인지 측정하고 인식하고 깨닫는 것이며, 우리는 그것을 항상 이 세상에서 변화를 위한 사례를 어떻게 구축해야 하는지, 그리고 변화가 어떤 모습인지로 돌아가야 하는 가시적인 무언가와 연결시켜야 한다고 생각해요. 조직이 이 문제에 대한 답을 찾도록 돕기 시작했을 때 우리가 스스로 설정한 과제 중 하나는 양자 대비를 다루는 프레임워크가 실제로 없다는 것이었습니다. 전혀 없습니다.
그래서 저희는 표준을 만들었습니다. 우리는 표준을 작성하여 퀀텀을 바라보는 접근 방식에 대해 설명했습니다. NIST의 다양한 표준과 모범 사례, ISF 및 다양한 다른 것들을 사용하여 모델과 프레임워크를 만들어서 살펴볼 수 있도록 했습니다. 이를 통해 블랙박스 환경인 모든 액세스를 관리하는 ID 시스템과 같은 시스템을 예로 들었을 때, 이러한 시스템을 사용하면 어떤 위험에 노출될 수 있는지 살펴볼 수 있습니다. 그리고 거기에서 퀀텀을 완전히 제거할 것입니다. 내 위험은 무엇인가요? 내가 내 위험을 제대로 이해하고 있는가? 만약 그것이 다운되면 내 환경은 어떻게 될까요? 그리고 만약 내가 그 위험을 인식할 수 있다면, 나는 그것에 대해 뭔가를 해야 합니다.
INGO SCHUBERT: 그리고 이것은 결국 많은 기업이나 조직에서 일반적으로 누락되고 있는 적절한 리스크 관리입니다. 그리고 이는 양자 컴퓨팅 여부와 관계없이 실제로 수년 동안 수행되어야 했고, 지금도 수행되어야 합니다. 이것이 제 요점입니다.
물론 그것이 옳은 일이기 때문에 그렇게 하는 것은 아니겠죠? 재정적으로 납득하기 어려운 주장입니다. 저도 전적으로 동의합니다. 하지만 다른 모든 위협이 있기 때문에 그렇게 해야 하는 것 아닌가요? 그리고 다시 말하지만, 양자 컴퓨팅으로 인해 이 모든 것을 살펴보고 파악하고 적절한 위험 관리를 해야 한다는 개념을 판매해야 한다면, 제 추측이 맞겠죠? 저는 그것이 절대적으로 올바른 방법이라고 생각합니다. 그것이 서명을 받는 데 필요한 지렛대라면 당연히 그렇게 해야 합니다. 결국 양자 컴퓨팅이 30년 후의 일이더라도 지금 당장 혜택을 누릴 수 있기 때문입니다. 이러한 준비가 되어 있으면 현재도 보안을 유지할 수 있기 때문입니다. 돈을 낭비하는 것이 아닙니다. 네, 그래서 저는 그것이 바로 옳은 일이라고 생각합니다. 그리고 유럽에서도 몇 가지 권장 사항과 프레임워크가 있는데, 예를 들어 2026년까지, 솔직히 말해서 DORA 규정을 준수하려면 이미 준비해야 한다고 말합니다. 일부 사람들이 그렇게 하는 것을 보지 못하기 때문에 같은 것을 다시 보게 될 수도 있습니다. 따라서 2026년까지 가시성과 위험 관리, 그리고 고위험의 경우 2030년까지, 중저위험의 경우 2035년까지 어떤 형태로든 퀀텀 준비성을 확보해야 하겠죠? 그래서 아직 멀게 보이지만 이미 2025년 말, 우리가 이것을 기록할 때 출시는 2026년입니다.
이제 불과 몇 년밖에 남지 않았습니다. 그리고 대화의 처음으로 돌아가서 Y2K 문제를 보면 1999년에 시작하셨다면 아마 조금 늦은 것 같죠? 그러니 지금 당장 준비해야 합니다.
데이비드 렐로: 인간의 심리 측면에서 흥미로운 점이라고 생각되는 것 중 하나는 규제, 유럽 규제, 도라와 같은 것들입니다. 기업이 올바른 일을 하는 데 소홀하기 때문에 규제가 실제로 효력을 발휘합니다.
잉고 슈베르트: 네, 물론입니다.
데이비드 렐로: 그리고 그들이 옳은 일을 하지 않고 있기 때문에 의원들은 우리가 그것을 보지 않으면 나라에 큰 문제가 생길 것이라고 말합니다. 그래서 무언가를 해야 할 때 법이 작용합니다. 그래서 영국의 NCSC는 양자 관련 지침을 마련했습니다. 그리고 유럽에는 DORA가 있습니다. 그리고 슬프게도 브렉시트 때문에
잉고 슈베르트: 제가 가져오지 않은 것을 가져오셨군요.
데이비드 렐로: 회복탄력성 법안은 이제 막 검토를 시작한 단계입니다. 회복탄력성 법안은 공개적으로 의견을 수렴하기 위해 공개되었습니다. 현재 1호 법안이 공개되어 의견을 수렴하고 있습니다. 그래서 조만간 국회에서 법안 낭독이 있을 예정입니다. 이 문제에 대해 전 세계와 함께 논의할 수 있기를 바랍니다.
잉고 슈베르트: 미국만 빼고요. 미국은 마치 지도에서 보면 거친 곳처럼 보이죠. 네, 정말 그렇죠. 네, 미국 동료들과도 그렇게 이야기하는 것을 보면, 네, 우리에게는 정말 그런 것이 없죠? 그러나 전 세계 다른 곳에서는 회복력, 위험 관리가 규제 및 손실 측면에서 조금 더 성숙한 것 같습니다.
데이비드 렐로: 반드시 있어야 합니다.
잉고 슈베르트: 당연히 있어야죠? 그리고 여러분도 저만큼, 어쩌면 저보다 더 많은 정보를 가지고 있을 텐데, 그 중 몇 가지는 너무나 당연한 것, 즉 적절한 위험 관리가 필요합니다. 만약 그런 일이 발생하면 어떤 결과가 초래될지 알고 있어야 하죠? 물론 비즈니스가 돈을 벌고 있는데 무언가가 이를 방해하고 있다면 당연히 그래야 합니다. 그 이유와 해결 방법을 알아야 합니다. 그러나 그들은 법에 의해 강제되기 전까지는 그렇게하지 않습니다. 어떤 의미에서 옳은 슬픈 일입니다.
데이비드 렐로: 슬프게도 인간의 본성이 작용하죠. 하지만 위험을 보는 것이 어렵지 않고 위험 관리가 어렵지 않다는 것을 알기 때문에 어려움을 겪습니다.
잉고 슈베르트: 아니요, 하지만 시간이 걸립니다.
데이비드 렐로: 시간이 걸리긴 하지만 프로세스를 간소화하는 데 도움이 되는 다양한 기술이 시중에 많이 나와 있습니다. 컴퓨터는 프로세스를 자동화하도록 설계되었습니다. 컴퓨터가 있는 모든 이유는 실제로 무언가를 하기 위해 많은 사람이 수작업으로 처리해야 하는 프로세스가 있기 때문입니다. 컴퓨터를 사용하면 이 모든 프로세스를 자동화할 수 있습니다. 그리고 최신 시스템을 사용하면 더 많은 것을 자동화할 수 있습니다. 취약성 관리 같은 것을 예로 들 수 있습니다. 현대화된 환경이 구축되어 있고 취약성 스캔을 실행하고 있다면 기술 리스크가 무엇인지 비교적 잘 파악할 수 있습니다.
잉고 슈베르트: 네. 저희도 마찬가지입니다. ID 거버넌스. 결국 로켓 과학이 아니죠. 네, 물론이죠. 서로 다른 시스템을 모두 연결하고 규칙 등을 만들어야 할 수도 있습니다. 하지만 그런 다음 가시성을 확보하고 업무 분리, 규정 준수와 같은 관점을 갖게 됩니다. 그리고 네, 그것은 일입니다. 물론 비용과 시간 측면에서 투자가 필요하지만, 이를 통해 무언가를 얻을 수 있습니다.
데이비드 렐로: 네.
잉고 슈베르트: 맞습니다. 또한 사람들은 위험 관리가 실제로 이 보안에 모든 돈을 투자해서는 안 되는 것을 발견하거나 큰 영향을 미치지 않기 때문에 탄력적으로 만드는 반면, 다른 하나는 나쁜 일이 발생하면 실제로 더 많은 투자를해야하기 때문에 더 많은 것을 돌려받을 수 있다는 것을 깨닫지 못한다고 생각합니다. 리스크 관리를 제대로 하지 않으면 가시성을 확보할 수 없으므로 어떻게 올바른 결정을 내릴 수 있을까요? 따라서 사람들은 기본적으로 조직이 이를 수행하지 않음으로써 스스로를 해치고 있는 것이죠?
데이비드 렐로: ID 거버넌스는 실제로 이를 가능하게 하고 도움을 준다는 측면에서 큰 도움이 됩니다. 맞아요. 많은 조직과 ID에 대해 이야기할 때 ID는 보험 정책과 같이 보안을 위한 것이 아닙니다. ID는 인에이블러입니다. ID는 조직이 사람들의 액세스 방식을 보다 효율적이고 효과적으로 개선할 수 있도록 지원하는 실질적인 비즈니스 지원 도구입니다. 하지만 적시에 적절한 장소에서 적절한 액세스를 제공하고 이를 실제로 추진하는 거버넌스 모델을 갖추는 것이 중요합니다. 따라서 ITGC 제어 및 재무 시스템을 검토하기 시작하면 권한, 업무 분리, 그에 따른 의무에 대한 액세스 권한을 어떻게 만들어야 하는지 살펴볼 수 있습니다. 이러한 사항들은 새로운 것이 아닙니다. 수십 년 동안 회사법과 금융 규정에 명시되어 있습니다.
잉고 슈버트: 물론입니다.
데이비드 렐로: 이제 훌륭한 ID 거버넌스 시스템을 통해 이를 제어할 수 있는 기능이 있습니다. 그리고 현대화된 솔루션을 사용하면 실제로 매우 쉬워집니다. 사람들이 생각하는 것만큼 어렵지 않습니다.
잉고 슈베르트: 저희를 보세요. ID 보안 거버넌스에 대해 이야기하면서 퀀텀으로 시작했습니다. 하지만 그게 바로 요점입니다. 고객이나 일반 조직에서 '그래, 괜찮아'라는 식의 논의를 통해 문을 여는 것과 같다고 생각합니다. 양자 위협에 대해 이야기하지만 결국에는 양자보다는 다른 것에 대한 토론을 하게 되죠. 미래에 무슨 일이 일어나든 지금 당장 고칠 수 있고, 지금 고쳐야 한다는 식이죠.
데이비드 렐로: 기본적인 위생 개념입니다.
잉고 슈베르트: 바로 기본적인 위생 개념입니다. 이것이 바로 이 이야기를 마무리하는 완벽한 방법입니다. 데이비드, 고마워요. 정말 만날 때마다 몇 시간이고 이야기할 수 있을 것 같았어요. 정말 감사합니다. 그래서 양자 위협이 멀게 느껴질 수 있다고 생각합니다.
그럴 수도 있고 아닐 수도 있습니다. 하지만 이 대화를 통해 시청자들과 청취자들이 '오늘 당장 퀀텀에 대비하기 위해 어떤 일을 해야 할지 고민할 필요가 없다'는 생각을 가지셨으면 좋겠습니다. 전혀 나쁘지 않습니다.
현재 존재하는 위협으로부터 지금 당장 혜택을 받을 수 있는 것이죠? 그 혜택을 누리기 위해 20년을 기다릴 필요가 없습니다. 지금 바로 실현할 수 있습니다.
이것으로 양자 컴퓨팅과 신원 보안에 미치는 영향에 대한 오늘의 토론을 마무리하겠습니다. 공상 과학 소설 속 양자 미래와 조직은 실제 위험과 기회가 어디에 있는지 이해해야 합니다. ID 복원력과 조직이 미래를 대비하는 기술에 대한 더 자세한 인사이트를 원하시면 RSA.com을 방문하세요. 받은 편지함에서 더 많은 에피소드를 보고 싶으시다면 구독하는 것을 잊지 마세요. 참여해 주셔서 감사드리며 다음에 또 뵙겠습니다.
데이비드 렐로: 감사합니다
INGO SCHUBERT: 청중을 위한 혜택과 같은 관점에서 양자 컴퓨팅이 무엇인지 몇 마디로 설명해 주시면 전문가 수준에 도달할 수 있을 것 같습니다.
데이비드 렐로: 이론 물리학으로 들어가면 몇 명을 잃을 수도 있다고 생각하기 때문에 양자 컴퓨터를 보는 기본적인 방법부터 시작하겠습니다.
잉고 슈베르트: 네
데이비드 렐로: 양자 컴퓨터는 기존 컴퓨터와 다른 방식으로 작동합니다. 컴퓨터에게 명령을 내리는 것이죠. 양자 컴퓨터는 다르게 작동합니다. 양자 컴퓨터가 사용하는 것은 양자역학이며, 따라서 양자 역학의 다차원 세계에서 데이터를 보고 데이터를 봅니다. 데이터를 같은 방식으로 읽지 않기 때문에 가설을 세우고 동시에 여러 가지 구조를 살펴볼 수 있습니다. 마치 책을 읽을 때 기존 컴퓨터는 처음부터 끝까지 읽지만 양자 컴퓨터는 책을 읽으면서 데이터를 보는 것과 비슷합니다. 따라서 양자 컴퓨터는 정보를 훨씬 더 빠르게 처리할 수 있습니다. 그리고 문제를 풀 때도 문제를 순차적으로 풀려고 하는 것이 아니라 모든 문제를 한꺼번에 해결하는 것과 같습니다.
잉고 슈베르트: 네, 물론 알고리즘은 상당히 다릅니다. 그렇기 때문에 많은 사람들이, 그리고 저 역시 마찬가지입니다. 물론 실제로 어떻게 프로그래밍해야 하는지에 대해 어려움을 겪고 있습니다. 전통적인 IT 배경에서 볼 때, 저는 때때로 이것이 정말 다른 짐승이라는 것을 이해하는 데 도움이되는 것은 모든 비트와 같은 전통적인 컴퓨터라는 것입니다. 비트가 N개 있으면 N만큼의 데이터를 저장할 수 있습니다. 0, 1, 맞죠? 양자에서는 N의 거듭제곱에 2를 더한 양이 되므로, 기존의 인스턴트가 작동하면 이 경우에는 같은 양의 큐비트에 훨씬 더 많은 양이 저장되는 것과 같죠? 따라서 저장과 처리는 단지 다른 수준에 있습니다. 그렇지 않으면 며칠 동안 여기에있을 것이기 때문에 거기에 남겨 둘 것 같습니다. 기본 사항만 설명했습니다.
다음으로 살펴보고자 하는 주제는 양자 컴퓨팅의 현재 상태입니다. 지금 우리는 어디에 와 있을까요? 아마도 블레츨리 공원에서 우리를 지켜보신 분들이라면 우리가 어디에 있는지, 어디로 갈 것인지에 대해 다양한 의견을 가지고 계실 것 같습니다. 그럼 여러분부터 시작하겠습니다. 양자 컴퓨팅의 현재 상태는 어떤가요?
데이비드 렐로: 양자 컴퓨팅은 아직 초기 단계에 있다고 생각합니다. 그래서 많은 양자 컴퓨터가 나와 있고 실제로 양자 컴퓨터에서 시간을 고용하여 데이터를 볼 수 있습니다. 하지만 양자 컴퓨터가 개발되는 방식에는 여러 가지 문제가 있다고 생각합니다. 일부 양자 컴퓨터는 온도와 같은 측면에서 많은 제어가 필요합니다. 양자 컴퓨터는 절대 영도, 즉 영하 270도에서 작동하기 때문에 정말 춥습니다. 이를 위해서는 큰 시설과 큰 장비, 큰 에너지가 필요합니다. 그렇지 않으면 응집력을 잃고 플랫폼의 안정성을 잃게 됩니다.
초기 양자 컴퓨터는 이 문제로 인해 항상 소진되었습니다. 따라서 이는 해결하고 해결해야 할 문제입니다. 또 다른 문제는 양자 컴퓨터가 데이터를 동시에 보기 때문에 많은 노이즈가 발생한다는 것입니다. 성경과 같은 책을 처음부터 끝까지 읽지 않고 한 번에 읽어야 한다면, 머릿속에서 이해할 수 없는 이야기가 만들어질 것입니다. 그리고 메시지가 무엇인지 소화하고 이해하고 증류하는 것은 매우 어려워집니다.
따라서 시스템 내 노이즈로 인해 엄청난 양의 문제가 발생했습니다. 옥스퍼드에서는 오류 등급과 시스템 내 노이즈를 상당히 줄인 좋은 성과를 거둔 바 있습니다. 하지만 현재 가장 중요한 문제는 한 번에 얽힐 수 있는 큐빗의 양인데, 큐빗이 100 큐빗 정도를 초과하기 시작하면 큐빗의 응집력이 떨어지기 시작합니다. 따라서 실제로 정보를 처리하기 위해 한 번에 얽힐 수 있는 큐빗의 양은 제한되어 있습니다. 이는 곧 기계의 처리 능력과 용량이 제한된다는 것을 의미합니다.
따라서 아직 암호화와 관련된 양자 컴퓨팅이라고 부를 수 있는 수준은 아니지만 입증된 단계에 있습니다. 작동합니다. 과학자들이 말하는 대로 작동합니다. 이제 다음 단계로 나아가 더 많은 투자를 하는 것이 관건입니다. 몇 달마다 더 많은 발전이 이루어지거나 집중적인 투자가 이루어지고 있으며, 우리는 진전을 보기 시작했습니다.
잉고 슈베르트: 네, 맞습니다. 양자 컴퓨터를 비교해보면, 사진만 봐도 알 수 있죠? 5년 전과 지금을 비교해 보면, 5년 전에는 부분적으로 물리적 실험이라고 할 수 있지만, 5년 전에는 훨씬 더 물리적인 실험이었죠? 그런 것들의 물리적 설정 만 보면 그렇죠?
하지만 문제를 던지면 기존 컴퓨터보다 훨씬 빠르게 문제를 해결할 수 있는 것은 사실입니다. 그리고 그 중 하나가 바로 응집력이라고 말씀하셨죠. 네, 응집력의 기본은 일정 시간 동안 시스템을 안정적으로 유지할 수 있는지 여부입니다. 그리고 그것은 일반적으로 최대 초 단위로 측정됩니다. 예, 또는이 모든 칩에 포함 된 칩에 따라 밀리 초 단위로 측정됩니다. 그리고 이는 많은 경우에 유용하지 않은 시간입니다. 하지만 몇 가지 사용 사례는 의미가 있습니다. 양자 코프로세서처럼 생각하면 됩니다. 하지만 제가 가진 문제는 많은 사용 사례에서와 마찬가지로 엔비디아의 GPU 몇 개로 문제를 해결할 수 있을지 의문이라는 것입니다.
그래서 양자 컴퓨팅 분야에서도 여전히 많은 과대 광고가 계속되고 있습니다. AI 과대광고와도 약간 겹치는 부분이 있다고 생각합니다. 물론 그것이 과대광고라면 진짜라고 주장할 수도 있습니다. 하지만 요점은 많은 과대 광고와 많은 돈이 떠돌고 있다는 것입니다. 그 자금의 일부는 지금 출구 전략을 찾고 있다고 생각합니다. 그리고 양자 컴퓨팅은 매력적으로 보이죠? 그래서 그들은 거기에 많은 것을 쏟아 붓고 있고 근본적으로 이것이 과대 평가되고 그들이 무엇을 약속하는지에 대해 과대 평가되고 있으며 이것은 실제로 여기 스펙트럼을 가로 지르고 있습니다. 블레츨리 파크에서 저는 구글 윌로우 칩을 예로 들었는데, 구글은 실제로이 새로운 칩에 대한 보도 자료를 통해이 모든 오류를 크게 수정했으며 대중 언론에서도이 칩이 기존 컴퓨터가 10 분 안에 할 수있는 일을 5 분 안에 할 수 있다는 주장을 받았습니다. 35 년의 힘 네, 우주는 10 년의 25 배에 불과하기 때문에 놀랍습니다. 그리고 그것을 읽으면 그래, 아니요, 제대로 할 수 없습니다. 이 것이 5 분 동안 작동 할 수 있고 수백만 배나 할 수 없다면 그렇게 할 수 없다는 것과 같았습니다, 그런 식이죠. 그리고 크고 작은 여러 회사의 다른 보도 자료를 보면 달성한 성과를 과대 포장하는 경향이 약간 있습니다.
안타깝게도 이 때문에 지난 몇 년 동안 양자 컴퓨팅이 실제로 이뤄낸 일부 진전이 묻혀버렸다고 생각합니다. 그리고 이것이 바로 양자 컴퓨팅의 위협이 실제보다 훨씬 더 현실적으로 다가오고 있는 것처럼 보이게 만드는 부분이라고 생각합니다. 하지만 양자 컴퓨팅이 갑자기 나타나면 세상이 멸망할 것이라는 이야기를 하기 전에, 양자 컴퓨터의 장점은 무엇일까요? 그렇다면 양자 컴퓨터가 다른 어떤 것보다 훨씬 더 잘할 수 있는 것은 무엇일까요?
데이비드 렐로: 양자 컴퓨터가 현재 어느 단계에 와 있는지에 대해 말씀하신 것에 대해서도 답변해드리겠습니다. 저는 양자 컴퓨터의 측면에서 문제가 있다는 데 동의하지만, 양자 컴퓨터의 안정성을 실제로 달성하는 데는 현재 제시되고 있는 것보다 훨씬 더 가까워졌다고 생각합니다. 돌이켜보면 실제로 미래를 바라보는 가장 좋은 방법 중 하나는 역사를 살펴보는 것이라고 생각합니다. 제가 은행에서 일하던 젊은 시절에 메인프레임이 있었는데, 구식 IBM 메인프레임이었습니다. 메인프레임은 방 하나를 차지했죠. 큰 방이었죠. 작은 방이 아니었죠. 꽤 큰 방이었죠. 그리고 방을 가득 채웠죠. 이 메인프레임에는 밸브가 있었어요. 수냉 탱크가 세 개 있었어요 이 은행 지하에는 수영장이 있었어요. 엄청나게 컸죠. 그리고 불과 몇 년 전에 그 메인프레임의 펀치 카드 시스템을 교체했었죠.
지게차와 중장비가 필요했던 구형 메인프레임을 꺼낼 때는 물리적으로 메인프레임을 다시 장착할 수 없었기 때문에 실제로 일부 문을 잘라내야 했습니다. 그리고 이전보다 기하급수적으로 커진 랙과 메인프레임 컴퓨터로 교체했습니다. 지난 몇 년 동안 컴퓨터의 발전은 엄청나게 가속화되었습니다. 30년만 거슬러 올라가도, 40년만 거슬러 올라가도 엄청난 변화가 일어나고 있는 것을 알 수 있습니다.
잉고 슈베르트: 네.
데이비드 렐로: 현재 양자 컴퓨터는 초기 지표와 과학이 있지만, 냉각 시스템과 대형 장비가 필요하고 모든 종류의 장비가 필요하기 때문에 지하실에 탱크가 3개 있는 오래된 메인프레임과 비슷하게 느껴집니다. 엄청난 금액이 투입됩니다. 많은 투자가 이루어지고 있습니다. 그리고 이러한 문제는 해결될 것입니다. 그리고 우리가 생각하는 것보다 더 빨리 해결될 수도 있습니다. 그리고 현재 우리가 매달 보고 있는 발전은 우리가 점점 더 결속력에 가까워지고 있음을 시사하고 있습니다. 그래서 조금 더 가까워질 수도 있다고 생각합니다.
양자 컴퓨터가 실제로 어떤 사람들이 주장하는 것만큼 빠르지는 않지만 훨씬 더 빠르게 데이터를 처리할 수 있기 때문에 이전에는 해결할 수 없었던 문제를 살펴보고 해결할 수 있기 때문에 양자 컴퓨터가 등장한다면 정말 흥미로운 일이 될 것이라고 생각합니다.
이론 물리학에서 슈뢰딩거의 고양이라는 개념이 있는데, 그 고양이는 죽었나요, 살아있나요? 썩은 건가요? 죽었나요, 살았나요? 고양이의 상태는 어떤가요? 양자 컴퓨터는 실제로 고양이를 모든 가능성으로 보고 볼 수 있으므로 우리가 해결할 수 없었던 주요 문제를 해결할 수 있습니다.
잉고 슈베르트: 네, 그리고 의학이나 단백질 폴딩 같은 분야에서는 양자 컴퓨터가 기존 컴퓨터보다 확실히 우위를 점할 수 있을 것 같습니다. 그리고 일기 예보와 같이 처리해야 하는 방대한 양의 데이터가 있는 모든 것, 예를 들어 지질학적 데이터 등 컴퓨팅의 이점을 누릴 수 있는 사용 사례가 꽤 많이 있습니다.
자, 이렇게 다시 돌아오는 것이 더 빨리 당신의 요점은 그가 과거에 트랜지스터로 이런 일이 일어났다는 것이 다시 일어나는 직선이 아니기 때문에 그렇지 않다고 생각할 수 있으므로 지난번에 당첨되었다고해서 다음 번에 당첨되지 않는 것은 복권처럼 매번 0에서 시작하고 특히 응집력이있는 것은 아닐 수도 있습니다, 예를 들어 쇼의 알고리즘을 실행할 수 있는 범용 양자 컴퓨터가 되기 위해 몇 백 큐비트, 몇 천 큐비트를 이야기한다면 암호화에 위협이 될 수 있습니다. 수십만 큐비트라는 말씀이시죠? 그리고 그렇게 가는 도중에 어딘가에서 벽에 부딪힐 수도 있겠죠? 이러한 문제를 해결한다는 보장은 없습니다. 그럴 수도 있고, 실제로 그럴 수도 있지만 장담할 수는 없습니다. 동시에 양자 컴퓨터는 기본적으로 GPU 덕분에 전 세계적으로 컴퓨팅 성능이 엄청나게 증가한 환경에서 상업적으로 살아남아야 하죠? AI 덕분이죠. 예전에는 비트코인 열풍이 불었다면 지금은 AI가 대세입니다. 따라서 칩 설계의 근본적인 발전과 같은 발전이 없이는 불가능합니다. 네, 네, 칩이 작아지긴 했죠. 컴퓨팅 파워가 엄청나게 증가했기 때문에 이제 기본적으로 제한 요소는 전력입니다. 그래서 전력입니다.
이러한 환경에서 양자 컴퓨터는 살아남아야 합니다. 이제, 특히 암호 해독과 같은 경우에는 일부 정부에서 그렇게 할 것이라고 주장할 수 있습니다. 네, 그건 괜찮습니다. 그들은 돈이 충분하니까요. 그들은 그런 것에 신경 쓰지 않아요. 글쎄, 신경 써야 할지도 모르죠. 우리가 낸 세금인데 신경 쓰지 않는다고 가정해 봅시다.
완벽하게 작동하는 범용 양자 컴퓨터로 가는 길에는 실용적인 양자 컴퓨팅 사용 사례가 있습니다. 이는 분명한 사실입니다. 그렇지 않다는 말이 아닙니다. 그리고 좋은 사용 사례도 있습니다. 예를 들어 제약 연구에서의 단백질 폴딩을 들 수 있죠?
하지만 위협에 대해 이야기해 보죠? 전력 소비와 같은 것을 말하는 것이 아닙니다. 왜냐하면 오늘날에는 기존 장치에 그런 것이 있기 때문입니다. 내 말은, 특히 IT 보안에 대한 위협과 그 다음이 보안이죠? 쇼의 알고리즘을 언급했으니 이것이 무엇이고 보안에 어떤 영향을 미치는지 간단히 설명해야 할 것 같습니다.
양자 컴퓨터는 정보와 데이터를 훨씬 더 빠르게 처리할 수 있기 때문에 쇼의 알고리즘을 사용하여 암호화 키를 리버스 엔지니어링할 수 있기 때문에 암호화 관련 양자 컴퓨터가 있으면 몇 초, 몇 분 안에 키를 해독할 수 있습니다.
잉고 슈베르트: 네.
데이비드 렐로: 따라서 우리가 소비하고, 사용하고, 액세스하는 대부분의 데이터는 공격에 취약할 수 있습니다.
잉고 슈베르트: 네. 그래서 쇼르의 주장은, 앞서 말씀드린 것처럼, 수십만 개의 큐비트가 응집되어 일정 시간 동안 실행되어야 하기 때문에 오늘날 이를 실행할 수 있는 양자 컴퓨터가 없다는 것입니다. 따라서 몇 초라고는 하지만 요즘의 양자 컴퓨터에서는 몇 초도 문제가 됩니다. 따라서 RSA 알고리즘, 즉 개인 공개 키, RSA를 사용하지만 디피-헬만을 사용하고 타원 곡선, ECC를 사용하는 개인 공개 키가 실제로 본질적으로 깨지거나 무효화됩니다. 따라서 기본적으로 대중적이고 지난 수십 년 동안 사용되어 온 모든 것이 본질적으로 깨질 것입니다. 양자 컴퓨터가 등장하면 모두 깨질 것입니다. 물론 기존 컴퓨터는 여전히 늘 그래왔듯이 어려움을 겪을 것이므로 위협이 되지는 않습니다.
이 알고리즘이 깨지면 모든 곳에서 이러한 알고리즘이 사용된다는 뜻이죠? 예를 들어 전통적인 TLS, 웹 서버 통신, 클라이언트에서 웹 서버로의 통신, VPN, 이메일 서명, 전송되는 파일 암호화 등 모든 것이 RSA, ECC, 또는 Diffie-Hellman을 기반으로 하는 경우가 많죠? 따라서 실제로 재앙이라고 할 수 있습니다.
데이비드 렐로: 물론 그렇겠죠. 완전히 재앙이 될 것입니다. 더 많이 조사하고 실제로 더 많은 사용 사례를 살펴볼수록 더 많은 시스템이 실패할 것이라고 생각합니다. 전 세계적인 문제입니다. 금융 시스템에 대한 인증과 인증 같은 것들 말이죠. 심지어 비트코인 같은 것들도 해킹을 당합니다. 타원 곡선 암호화를 사용하는 비트코인이 손상될 수 있습니다. 그러면 그 결과 금융 시스템이 완전히 무너질 수 있습니다.
네, 정말 치명적일 수 있습니다. 일반적인 광범위한 사용 사례의 주요 문제뿐만 아니라 사람들이 항상 생각하지 않는 작은 덜 대중적인 문제에서도 볼 수 있다고 생각하기 때문에 IOT와 OT에 대해 이야기하기 시작하고 의료 기기 및 의료 장비에 대해 생각하기 시작할 때 이를 타협할 수 있는 능력을 볼 수 있다고 생각합니다. 인슐린 펌프를 착용하고 있는 사람을 예로 들어보겠습니다.
인슐린 펌프의 암호화를 해독할 수 있다면 누군가를 죽일 수 있습니다.
잉고 슈베르트: 네.
데이비드 렐로: 갑자기 이런 일의 배후에 있는 범죄가 기하급수적으로 더 커질 수 있다는 것이죠. 그리고 영화 마이너리티 리포트나 터미네이터와 같은 사례가 발생하기 시작합니다.
잉고 슈베르트: 이제야 말씀하시네요. 이제 막 흥미로워졌네요.
하지만 다시 양자 컴퓨터의 가용성으로 돌아와서, 하루아침에 이뤄지는 일이 아니기 때문에 하루아침에 이뤄지지는 않을 것입니다. 예를 들어 누군가 쇼의 알고리즘을 실행할 수 있는 20만 큐빗의 양자 컴퓨터를 마침내 얻었다고 가정해 봅시다. 보통은 100만 큐빗 정도입니다. 10만 큐비트 정도만 있으면 된다는 연구 결과도 있습니다. 갑자기 모든 사람이 양자 컴퓨터를 갖게 되는 것은 아닙니다. 양자 컴퓨팅에 접근할 수 있는 것은 소수의 정부와 연구 시설뿐입니다. 모든 사이버 범죄자가 양자 컴퓨팅에 접근할 수 있는 것도 아닙니다.
하지만 위협은 현실입니다. 2000년의 문제와 비슷하다고 생각합니다. 한동안 이러한 문제가 발생할 것으로 예상했지만, 이를 완화하기 위해 여러 가지 조치를 취했지만 별다른 효과가 없었습니다.
데이비드 렐로: 하지만 우리가 뭔가를 했기 때문이죠.
잉고 슈베르트: 맞습니다. 우리가 뭔가를 했기 때문이죠? 만약 우리가 아무것도 하지 않았다면 아마 큰 문제가 되었을 것이고, 우리가 뭔가를 했는데 괜찮아졌겠죠? 이 경우도 아마 이 경우와 비슷할 것이라고 생각합니다. 왜냐하면 할 수 있는 일이 있기 때문에 다음 작업으로 넘어갈 수 있기 때문입니다.
네, 그래서 우리는 얼마나 오래있을 것인지에 대해 동의하지 않을 수 있습니다. 그래서 이걸 던지는 것처럼 MITRE 보고서가 있었는데 미국의 정부 지원 연구 기관으로서 올해 초에 최근 보고서가 있었는데 그들은이 쇼의 알고리즘을 2040 년대 초반 아마도 2050 년대 초반에 넣었 기 때문에 바로 밀어 붙일 인센티브가 없었기 때문에 확실한 보고서 였지만 이것이 훨씬 빠르다고해도 2030 년대 이전이 될 것 같지는 않습니다. 기적이 일어나지 않는 한 그럴 가능성은 거의 없다고 생각합니다. 그렇다면 양자 대재앙에 대비하기 위해 지금 당장 무엇을 할 수 있을까요?
데이비드 렐로: 2050년보다는 훨씬 더 빨라질 것 같아요. 예측은 불가능한 일이기 때문에 저는 예측을 시도하는 것을 싫어합니다. 인간에게는 초자연적인 능력이 없기 때문에 미래를 예측하려고 하면 필연적으로 실패할 수밖에 없죠.
잉고 슈베르트: 그럼 2055년에 만나 봅시다. 같은 시간에요, 그래요, 그럼 이 얘기를 할 수 있겠네요. 제가 아직 내부에 있다면요.
데이비드 렐로: 물론이죠. 시작하죠. 같은 시간, 같은 장소에서요. 그렇게 하죠. 좋아요, 하지만 더 빠르면 어떻게 하면 그 이벤트를 축하할 수 있을지 생각해 봅시다. 기술이 발전할 때마다 획기적인 일이 일어나고, 어느 시점에 일어나기 때문이죠. 다음 주에 일어날 수도 있습니다. 10년 후에 일어날 수도 있고요. 저희도 모르죠. 하지만 과학이 있기 때문에 반드시 일어날 것이라고 확신합니다. 과학은 믿을 만합니다. 진짜예요. 해바라기 밭은 지금도 응집력을 유지할 수 있습니다. 상온의 들판에서 그 주변에서 일어나는 모든 일들이 안정적으로 유지되는 것이죠. 아래에서 뛰어다니는 동물과 공해 등 모든 것들. 해바라기 밭은 응집력을 가질 수 있습니다.
잉고 슈베르트: 맞습니다.
데이비드 렐로: 왜 많은 과학자들이 그렇게 하나요?
잉고 슈쿠버트: 네, 하지만 진화하는 데는 200만 년이 걸리죠? 그게 제 요점입니다. 저도 그 점에 동의하지만, 그들이 약간 앞서 나가고 있죠?
데이비드 렐로: 다시 본론으로 돌아와서, 우리가 가진 문제 중 하나는 블레클리 파크에서도 잠깐 언급했지만, 암호화 키 관리와 관련하여 현재 우리가 가진 관행과 모범 사례라고 할 수 있는 것은 많은 회사가 실패했다고 생각합니다. 예를 들어 몇 년 전 SSL 취약점이 발생했을 때 모든 사람들이 앞다투어 키를 교체하려고 했습니다. 그 덕분에 기업들은 TLS 키를 교체하는 방식에 있어 훨씬 더 민첩해졌고, 이는 환상적인 일이었습니다. 문제의 상당 부분이 해결된 것이죠. TLS 키에 민첩성이 있다면 키를 변경할 수 있다는 뜻입니다. 이 과정에서 모든 것이 제대로 작동하는지 확인하기 위해 몇 가지 테스트를 수행해야 할 수도 있습니다.
하지만 조직은 지금부터 인증 기관과 키를 발급하는 방법 및 TLS 수준에서 키를 교체하는 방법에 대해 생각할 수 있습니다. 그리고 그것은 괜찮습니다. 우리가 발견하는 문제는 조직에 들어가면 20~30개, 심지어 40%의 키가 이러한 방식으로 관리되지 않는다는 것입니다. 많은 하드웨어가 하드웨어 인프라에 키를 내장하고 있는 경우가 많고, 이러한 하드웨어 중 일부는 20년 동안 사용할 수 있으며, 하드웨어 내에서 키를 변경한다는 것은 하드웨어를 변경하는 것을 의미합니다.
특히 애플리케이션 자체에 키가 내장되어 있는 모놀리식 빌드 시대에는 코딩에 있어 잘못된 관행이 많았습니다. 그리고 우리가 생각하기 시작했을 때.
잉고 슈베르트: 제 말이 그 말인 것 같습니다. 이는 양자 컴퓨팅 여부와 관계없이 나쁜 관행이었습니다.
데이비드 렐로: 맞습니다. 그래서 우리가 Q-Day라는 아이디어를 생각하기 시작했을 때, Y2K에서는 날짜가 있었기 때문에 쉬웠습니다. 우리는 Q-Day와 날짜가 없습니다.
잉고 슈베르트: 아주 좋은 지적입니다.
하지만 내일이 될 수도 있고, 10년 후가 될 수도 있고, 그보다 훨씬 더 오래 걸릴 수도 있는 상황이 오면 조직의 상당 부분과 그 키를 쉽게 또는 쉽게 교체할 수 없는 상황이 발생하고 패닉에 빠지게 될 것입니다. 데이터가 손상되면 엄청난 규모의 문제가 발생하게 될 것입니다.
하지만 또 다른 문제는 제가 질문을 많이 받는 문제인데, 바로 ‘지금 수확하고 나중에 해독'이라는 위협입니다. 데이비드 캐머런 영국 총리가 중국에 의해 모든 데이터가 도난당했다는 유명한 말을 한 적이 있을 정도로 수년 동안 암호화된 데이터가 도난당하는 것을 보아왔지만, 이는 중요하지 않습니다. 암호화되어 있으니까요. 몇 년 전으로 거슬러 올라가면 지금 당장은 사실이지만, 양자 컴퓨터와 같은 기술을 고려할 때 이는 문제가 될 수 있습니다. 그리고 물론 데이터는 오래갑니다.
INGO SCHUBERT: 하지만 그 데이터 중 일부는 여전히 관련성이 있을 것입니다. 전부는 아니지만 일부분은요. 제 생각도 마찬가지입니다. 5년 후에 암호가 해독되더라도 누가 신경이나 쓰겠어요? 아니면 10년 후에라도요. 따라서 인증을 위한 많은 신원 데이터가 5년 또는 10년 후에 해독되더라도 그때는 이미 오래되었기 때문에 크게 신경 쓰지 않아도 된다고 주장할 수 있습니다. 하지만 전략적 데이터는 수십 년 후에도 해를 끼칠 수 있는 경우가 많죠? 그리고 꼭 국가일 필요도 없습니다. 일반 기업, 일반 기업일 수도 있습니다.
데이비드 렐로: 맞습니다.
잉고 슈베르트: 어떤 경우인가요?
데이비드 렐로: 저는 레거시 시스템이 있는 조직을 많이 방문합니다. 실제로 얼마 전까지 애플리케이션이 있는 조직에 근무한 적이 있었습니다. 소스 코드를 잃어버렸기 때문에 블랙박스로 취급하고 블랙박스로 취급했습니다. 그걸 만든 사람은 이미 오래 전에 떠났으니 건드리지 마세요. 넘어지면 전원을 켜거나 끄고 다시 켜고 기도하는 것밖에 할 수 있는 일이 없으니까요. 여러분이 할 수 있는 일은 아무것도 없습니다. 그리고 이 시스템은 매장의 모든 액세스, 매장의 모든 액세스를 제어합니다. 그리고 만약 해킹당하면, 해킹당하면 조직이 무너집니다.
잉고 슈베르트: 단일 장애 지점.
데이비드 렐로: 단일 장애 지점. 단일 장애 지점이 있는 조직이 엄청나게 많다는 것은 놀라운 일입니다. 조직은 ID 및 액세스 관리 인프라를 어떻게 현대화할지 고민해야 합니다. ID 및 액세스 관리에 대해 생각하기 시작하면 ID 및 액세스 관리는 모든 것으로 통하는 길입니다. 최근 독일을 비롯해 영국, 이탈리아 등지에서 발생한 랜섬웨어 공격에서 우리는 이를 확인할 수 있었습니다. 이러한 랜섬웨어 공격은 액세스 제어 시스템을 표적으로 삼고 있습니다. 액티브 디렉터리든, 앞서 설명한 시스템이든, 실제로 액세스를 손상시키고 조직을 다운시키고 통신을 중단시키고 액세스 기능을 중단시킬 수 있는 소프트하고 쉬운 표적이기 때문에 인증에서 이를 표적으로 삼고 있습니다. 이러한 맥락에서 ID 액세스 관리를 현대화하는 것이 가장 중요한 우선순위 중 하나가 될 것입니다.
잉고 슈베르트: 네, 맞아요. 어떻게 보더라도 말이 되니 반박하기 어렵습니다. 베어본 암호화 키 관리로 돌아가면 많은 고객이 자신이 무엇을 가지고 있는지 알지 못한다고 생각하죠? 어디를 암호화하는지, 키는 어디에 있는지, 디지털 서명은 어디에 하는지 제대로 파악하지 못하죠. 이런 개요 같은 게 없죠. 이것이 문제의 일부라고 생각하죠? 존재하지 않는 것을 알면 고칠 수 없으니까요. 많은 고객이 기본적인 사이버 위생에 어려움을 겪고 있습니다. 안타깝게도 제가 매일같이 겪는 일이죠? 오늘 아침에도 20년 된 RSA 소프트웨어를 실행하는 고객과 통화했는데, 20년 된 소프트웨어였죠?
데이비드 렐로: 와우.
INGO SCHUBERT: 실제로 지원팀에 전화가 왔는데 지원팀이 전화를 받을 수 없었고, 전화를 받던 지원 담당자가 그 소프트웨어가 나왔을 때 아마 유치원에 있었을 거라고 생각했죠? 그래서 제 요점은 이러한 기본적인 사이버 위생과 가시성을 확보하지 않는 한, 우선 퀀텀 레디 상태에 도달 할 수 없다는 것입니다. 예, Q-day에 대비할 준비가 된 상태입니다. 그것은 불가능에 가깝습니다.
또한, 제 생각에는 이런 문제를 해결하기 전까지는 양자 컴퓨팅에 대해 걱정할 필요가 없다는 것이죠? 어떤 소프트웨어를 실행하고 있는지 모르고 최신 상태로 유지하지 않으면, 예를 들어 포스트 양자 암호화를 구현하는 것처럼 당연히 공급업체가 이 문제를 해결해 주는 것에 의존하게 되니까요, 그렇죠?
하지만 소프트웨어가 새 버전으로 출시되고 멋진 양자 컴퓨팅 기능이 모두 포함되어 있는데도 설치하지 않으면 존재하지 않는 것이 되겠죠? 그리고 그렇게 한다고 해도, 예를 들어 데이터 관리와 같은 정책과 절차가 제대로 되어 있지 않다면 무슨 소용이 있을까요? 공격자가 헬프 데스크에 전화해서 입력을 요청할 수 있다면 양자 컴퓨터가 필요하지 않겠죠? 오늘은 필요하지 않습니다. 어제에도 필요하지 않았고요. 내일도 필요하지 않습니다. 정책이 올바르지 않은 경우 헬프 데스크에 전화하여 액세스 권한을 얻으면 됩니다.
따라서 양자 컴퓨터와는 전혀 상관없는 많은 일들이 잘못될 수 있고, 잘못되었고, 잘못될 것입니다. 그리고 제가 우려하는 것은 사람들이 이 양자라는 것, 이 Q-Day를 보면서 이 멋지고 반짝이는 장난감에 정신이 팔리는 것이죠? 반면에 그들은 해야 할 숙제가 너무 많은데, 아마 수십 년 동안 해보지 않은 숙제겠죠? 물론 여러분은 그렇게 해야 하고, 가시성을 확보하고, 패치를 적용하고, 절차를 수정해야 한다고 주장할 수 있습니다. 고객이 그렇게 하기 위해 양자 컴퓨팅이라는 위협이 필요하다면 그렇게 해야겠죠? 저는 행복할 수 있습니다.
하지만 한편으로는 양자 컴퓨팅이 장애물에 부딪히면 어떻게 될까 하는 생각이 들기도 합니다. 그리고 몇 년 동안은 실질적인 이점이나 발전이 없다가 2060세대가 '나는 머지않아 직장에서 사라질 테니 걱정할 필요가 없다'는 식의 접근 방식은 잘못된 것이니 어떻게든 해결해야 한다고 생각하죠.
몇 가지 지식을 알려드릴게요 네, 독일 철학자 엠마누엘 칸트 네, 이제 그 편집자를 자르지 마세요 네, 그건 케이예요 케이 -A -N -T 맞죠? 그래서 이제부터 엠마누엘이라고 부르기로 했어요.
그래서 18세기 독일의 철학자, 그는 많은 현명한 말을 했습니다. 하지만 제가 가장 현명하다고 생각하는 것 중 하나는 옳은 일을 하는 것이 옳은 일이기 때문에 옳은 일을 한다는 것이죠? 신 같은 존재에게 브라우니 포인트를 얻어서가 아니라 옳은 일이기 때문에 하는 것이죠. 옳은 일이기 때문에 하는 것이죠.
그리고 암호화 위치, 정책, 절차, 패치 등 암호화 방법에 대한 개요를 잘 파악하고 있다면 양자 컴퓨팅이 10년, 20년, 30년 후가 되든 상관없이 올바른 조치를 취하는 것이 좋습니다. 그건 중요하지 않습니다. 그렇게 해야 합니다. 지난 20년 동안 그렇게 해왔어야 합니다. 그게 핵심입니다. 여기서 우리는 동의하는 것 같아요. 네, 물론이죠. 양자 컴퓨팅이 어디에 있고 어디로 갈 것인지에 대해 서로 다른 의견을 가지고 있기 때문에 동의하지 않는다고 생각합니다. 하지만 퀀텀에 대비해야 한다고 말하는 고객이 있다면 당연히 그 노력이 헛되지 않습니다.
데이비드 렐로: 네, 절대 아닙니다. 제가 항상 도전받는 현실 중 하나는 대기업의 이사회와 재무 이사 등과 많은 시간을 보내면서, 기업은 제품이나 서비스를 공급하기 위해 존재하며, 물론 자선 단체가 아니라면 민간 부문에서 이익을 창출하기 위해 존재하기 때문에 그것이 옳은 일이라고 해서 실제로 돈을 쓰고 그것이 나에게 부정적인 수익을 준다는 생각은 금융 사람들이 실제로 깨닫기 어렵고 도전적인 것이기 때문입니다. 따라서 옳은 일이기 때문에 무언가에 투자하는 것은 철학적 논의에 가깝습니다. 저는 그것이 반드시 올바른 접근 방식이라고 생각하지 않습니다.
잉고 슈베르트: 네, 물론이죠.
데이비드 렐로: 물론 전적으로 동의하지만, 제가 믿는 신앙적 관점에서 보면 항상 옳은 일을 하고 싶다는 생각은 변함이 없습니다. 하지만 현실은 기업이 이를 위해 존재하지 않는다는 것입니다. 기업은 옳은 일을 하기 위해 존재하지 않죠. 때로는 조금 부도덕할 때도 있죠.
INGOSCHUBERT: 정말요? 그런 말은 처음 듣네요. 메모해 두겠습니다.
데이비드 렐로: 그래서 저는 여러분이 하는 일은 우리가 다른 방식으로 그것을 바라보는 것이고, 우리가 보고 있고 사람들이 공감하고 이해하는 현실 중 하나는 주어진 환경과 관련된 내 위험 노출이 무엇인지 측정하고 인식하고 깨닫는 것이며, 우리는 그것을 항상 이 세상에서 변화를 위한 사례를 어떻게 구축해야 하는지, 그리고 변화가 어떤 모습인지로 돌아가야 하는 가시적인 무언가와 연결시켜야 한다고 생각해요. 조직이 이 문제에 대한 답을 찾도록 돕기 시작했을 때 우리가 스스로 설정한 과제 중 하나는 양자 대비를 다루는 프레임워크가 실제로 없다는 것이었습니다. 전혀 없습니다.
그래서 저희는 표준을 만들었습니다. 우리는 표준을 작성하여 퀀텀을 바라보는 접근 방식에 대해 설명했습니다. NIST의 다양한 표준과 모범 사례, ISF 및 다양한 다른 것들을 사용하여 모델과 프레임워크를 만들어서 살펴볼 수 있도록 했습니다. 이를 통해 블랙박스 환경인 모든 액세스를 관리하는 ID 시스템과 같은 시스템을 예로 들었을 때, 이러한 시스템을 사용하면 어떤 위험에 노출될 수 있는지 살펴볼 수 있습니다. 그리고 거기에서 퀀텀을 완전히 제거할 것입니다. 내 위험은 무엇인가요? 내가 내 위험을 제대로 이해하고 있는가? 만약 그것이 다운되면 내 환경은 어떻게 될까요? 그리고 만약 내가 그 위험을 인식할 수 있다면, 나는 그것에 대해 뭔가를 해야 합니다.
INGO SCHUBERT: 그리고 이것은 결국 많은 기업이나 조직에서 일반적으로 누락되고 있는 적절한 리스크 관리입니다. 그리고 이는 양자 컴퓨팅 여부와 관계없이 실제로 수년 동안 수행되어야 했고, 지금도 수행되어야 합니다. 이것이 제 요점입니다.
물론 그것이 옳은 일이기 때문에 그렇게 하는 것은 아니겠죠? 재정적으로 납득하기 어려운 주장입니다. 저도 전적으로 동의합니다. 하지만 다른 모든 위협이 있기 때문에 그렇게 해야 하는 것 아닌가요? 그리고 다시 말하지만, 양자 컴퓨팅으로 인해 이 모든 것을 살펴보고 파악하고 적절한 위험 관리를 해야 한다는 개념을 판매해야 한다면, 제 추측이 맞겠죠? 저는 그것이 절대적으로 올바른 방법이라고 생각합니다. 그것이 서명을 받는 데 필요한 지렛대라면 당연히 그렇게 해야 합니다. 결국 양자 컴퓨팅이 30년 후의 일이더라도 지금 당장 혜택을 누릴 수 있기 때문입니다. 이러한 준비가 되어 있으면 현재도 보안을 유지할 수 있기 때문입니다. 돈을 낭비하는 것이 아닙니다. 네, 그래서 저는 그것이 바로 옳은 일이라고 생각합니다. 그리고 유럽에서도 몇 가지 권장 사항과 프레임워크가 있는데, 예를 들어 2026년까지, 솔직히 말해서 DORA 규정을 준수하려면 이미 준비해야 한다고 말합니다. 일부 사람들이 그렇게 하는 것을 보지 못하기 때문에 같은 것을 다시 보게 될 수도 있습니다. 따라서 2026년까지 가시성과 위험 관리, 그리고 고위험의 경우 2030년까지, 중저위험의 경우 2035년까지 어떤 형태로든 퀀텀 준비성을 확보해야 하겠죠? 그래서 아직 멀게 보이지만 이미 2025년 말, 우리가 이것을 기록할 때 출시는 2026년입니다.
이제 불과 몇 년밖에 남지 않았습니다. 그리고 대화의 처음으로 돌아가서 Y2K 문제를 보면 1999년에 시작하셨다면 아마 조금 늦은 것 같죠? 그러니 지금 당장 준비해야 합니다.
데이비드 렐로: 인간의 심리 측면에서 흥미로운 점이라고 생각되는 것 중 하나는 규제, 유럽 규제, 도라와 같은 것들입니다. 기업이 올바른 일을 하는 데 소홀하기 때문에 규제가 실제로 효력을 발휘합니다.
잉고 슈베르트: 네, 물론입니다.
데이비드 렐로: 그리고 그들이 옳은 일을 하지 않고 있기 때문에 의원들은 우리가 그것을 보지 않으면 나라에 큰 문제가 생길 것이라고 말합니다. 그래서 무언가를 해야 할 때 법이 작용합니다. 그래서 영국의 NCSC는 양자 관련 지침을 마련했습니다. 그리고 유럽에는 DORA가 있습니다. 그리고 슬프게도 브렉시트 때문에
잉고 슈베르트: 제가 가져오지 않은 것을 가져오셨군요.
데이비드 렐로: 회복탄력성 법안은 이제 막 검토를 시작한 단계입니다. 회복탄력성 법안은 공개적으로 의견을 수렴하기 위해 공개되었습니다. 현재 1호 법안이 공개되어 의견을 수렴하고 있습니다. 그래서 조만간 국회에서 법안 낭독이 있을 예정입니다. 이 문제에 대해 전 세계와 함께 논의할 수 있기를 바랍니다.
잉고 슈베르트: 미국만 빼고요. 미국은 마치 지도에서 보면 거친 곳처럼 보이죠. 네, 정말 그렇죠. 네, 미국 동료들과도 그렇게 이야기하는 것을 보면, 네, 우리에게는 정말 그런 것이 없죠? 그러나 전 세계 다른 곳에서는 회복력, 위험 관리가 규제 및 손실 측면에서 조금 더 성숙한 것 같습니다.
데이비드 렐로: 반드시 있어야 합니다.
잉고 슈베르트: 당연히 있어야죠? 그리고 여러분도 저만큼, 어쩌면 저보다 더 많은 정보를 가지고 있을 텐데, 그 중 몇 가지는 너무나 당연한 것, 즉 적절한 위험 관리가 필요합니다. 만약 그런 일이 발생하면 어떤 결과가 초래될지 알고 있어야 하죠? 물론 비즈니스가 돈을 벌고 있는데 무언가가 이를 방해하고 있다면 당연히 그래야 합니다. 그 이유와 해결 방법을 알아야 합니다. 그러나 그들은 법에 의해 강제되기 전까지는 그렇게하지 않습니다. 어떤 의미에서 옳은 슬픈 일입니다.
데이비드 렐로: 슬프게도 인간의 본성이 작용하죠. 하지만 위험을 보는 것이 어렵지 않고 위험 관리가 어렵지 않다는 것을 알기 때문에 어려움을 겪습니다.
잉고 슈베르트: 아니요, 하지만 시간이 걸립니다.
데이비드 렐로: 시간이 걸리긴 하지만 프로세스를 간소화하는 데 도움이 되는 다양한 기술이 시중에 많이 나와 있습니다. 컴퓨터는 프로세스를 자동화하도록 설계되었습니다. 컴퓨터가 있는 모든 이유는 실제로 무언가를 하기 위해 많은 사람이 수작업으로 처리해야 하는 프로세스가 있기 때문입니다. 컴퓨터를 사용하면 이 모든 프로세스를 자동화할 수 있습니다. 그리고 최신 시스템을 사용하면 더 많은 것을 자동화할 수 있습니다. 취약성 관리 같은 것을 예로 들 수 있습니다. 현대화된 환경이 구축되어 있고 취약성 스캔을 실행하고 있다면 기술 리스크가 무엇인지 비교적 잘 파악할 수 있습니다.
잉고 슈베르트: 네. 저희도 마찬가지입니다. ID 거버넌스. 결국 로켓 과학이 아니죠. 네, 물론이죠. 서로 다른 시스템을 모두 연결하고 규칙 등을 만들어야 할 수도 있습니다. 하지만 그런 다음 가시성을 확보하고 업무 분리, 규정 준수와 같은 관점을 갖게 됩니다. 그리고 네, 그것은 일입니다. 물론 비용과 시간 측면에서 투자가 필요하지만, 이를 통해 무언가를 얻을 수 있습니다.
데이비드 렐로: 네.
잉고 슈베르트: 맞습니다. 또한 사람들은 위험 관리가 실제로 이 보안에 모든 돈을 투자해서는 안 되는 것을 발견하거나 큰 영향을 미치지 않기 때문에 탄력적으로 만드는 반면, 다른 하나는 나쁜 일이 발생하면 실제로 더 많은 투자를해야하기 때문에 더 많은 것을 돌려받을 수 있다는 것을 깨닫지 못한다고 생각합니다. 리스크 관리를 제대로 하지 않으면 가시성을 확보할 수 없으므로 어떻게 올바른 결정을 내릴 수 있을까요? 따라서 사람들은 기본적으로 조직이 이를 수행하지 않음으로써 스스로를 해치고 있는 것이죠?
데이비드 렐로: ID 거버넌스는 실제로 이를 가능하게 하고 도움을 준다는 측면에서 큰 도움이 됩니다. 맞아요. 많은 조직과 ID에 대해 이야기할 때 ID는 보험 정책과 같이 보안을 위한 것이 아닙니다. ID는 인에이블러입니다. ID는 조직이 사람들의 액세스 방식을 보다 효율적이고 효과적으로 개선할 수 있도록 지원하는 실질적인 비즈니스 지원 도구입니다. 하지만 적시에 적절한 장소에서 적절한 액세스를 제공하고 이를 실제로 추진하는 거버넌스 모델을 갖추는 것이 중요합니다. 따라서 ITGC 제어 및 재무 시스템을 검토하기 시작하면 권한, 업무 분리, 그에 따른 의무에 대한 액세스 권한을 어떻게 만들어야 하는지 살펴볼 수 있습니다. 이러한 사항들은 새로운 것이 아닙니다. 수십 년 동안 회사법과 금융 규정에 명시되어 있습니다.
잉고 슈버트: 물론입니다.
데이비드 렐로: 이제 훌륭한 ID 거버넌스 시스템을 통해 이를 제어할 수 있는 기능이 있습니다. 그리고 현대화된 솔루션을 사용하면 실제로 매우 쉬워집니다. 사람들이 생각하는 것만큼 어렵지 않습니다.
잉고 슈베르트: 저희를 보세요. ID 보안 거버넌스에 대해 이야기하면서 퀀텀으로 시작했습니다. 하지만 그게 바로 요점입니다. 고객이나 일반 조직에서 '그래, 괜찮아'라는 식의 논의를 통해 문을 여는 것과 같다고 생각합니다. 양자 위협에 대해 이야기하지만 결국에는 양자보다는 다른 것에 대한 토론을 하게 되죠. 미래에 무슨 일이 일어나든 지금 당장 고칠 수 있고, 지금 고쳐야 한다는 식이죠.
데이비드 렐로: 기본적인 위생 개념입니다.
잉고 슈베르트: 바로 기본적인 위생 개념입니다. 이것이 바로 이 이야기를 마무리하는 완벽한 방법입니다. 데이비드, 고마워요. 정말 만날 때마다 몇 시간이고 이야기할 수 있을 것 같았어요. 정말 감사합니다. 그래서 양자 위협이 멀게 느껴질 수 있다고 생각합니다.
그럴 수도 있고 아닐 수도 있습니다. 하지만 이 대화를 통해 시청자들과 청취자들이 '오늘 당장 퀀텀에 대비하기 위해 어떤 일을 해야 할지 고민할 필요가 없다'는 생각을 가지셨으면 좋겠습니다. 전혀 나쁘지 않습니다.
현재 존재하는 위협으로부터 지금 당장 혜택을 받을 수 있는 것이죠? 그 혜택을 누리기 위해 20년을 기다릴 필요가 없습니다. 지금 바로 실현할 수 있습니다.
이것으로 양자 컴퓨팅과 신원 보안에 미치는 영향에 대한 오늘의 토론을 마무리하겠습니다. 공상 과학 소설 속 양자 미래와 조직은 실제 위험과 기회가 어디에 있는지 이해해야 합니다. ID 복원력과 조직이 미래를 대비하는 기술에 대한 더 자세한 인사이트를 원하시면 RSA.com을 방문하세요. 받은 편지함에서 더 많은 에피소드를 보고 싶으시다면 구독하는 것을 잊지 마세요. 참여해 주셔서 감사드리며 다음에 또 뵙겠습니다.
