기술 그 이상: 보안 설계로 새로운 위협 해결
오늘날의 디지털 환경에서는 기술적인 보안 조치만으로는 충분하지 않습니다. 딥 페이크 및 소셜 엔지니어링과 같은 새로운 위협은 우리의 프로세스를 표적으로 삼고 인간의 취약성을 악용하고 있습니다. 최근의 예는 이 문제의 시급성을 강조합니다.
홍콩 경찰에 따르면 다국적 기업의 재무 직원이 화상 회의 중에 딥페이크 기술을 사용하여 회사 CFO를 사칭한 사기꾼에게 2,500만 달러를 송금하도록 속았습니다. 홍콩 경찰은 브리핑에서 이 정교한 계획에 직원이 화상 통화에 참여하고 여러 동료와 상호 작용하고 있다고 믿는 것이 포함되었으며, 이들 모두는 실제로 딥페이크 창작물이라고 밝혔습니다.
이번 사건은 보안이 기술을 넘어서야 한다는 것을 보여줍니다. 보안 설계는 시스템뿐만 아니라 프로세스에도 적용되어야 한다는 것이 분명합니다.
공동 책임
CISO로서 우리는 종종 보안 문제에 대한 주요 책임 당사자로 간주됩니다. 그러나 이 책임은 프로세스 소유자와 공유되어야 합니다. 설계에 의한 보안은 IT만의 책임이 아닙니다. 모든 감독은 해야 할 역할이 있습니다. 모든 비즈니스 프로세스에 보안을 구축하는 것은 정교한 위협으로부터 조직을 보호하는 데 필수적입니다. 이는 안전한 워크플로를 설계하고, 팀을 지속적으로 교육하고, 방어를 강화하는 정책을 구현하는 것을 의미합니다.
안전하지 않은 기술의 과제
이메일 및 화상 회의와 같은 안전하지 않은 기술에 의존하는 한 이러한 위험을 완화하기 위해 비기술적 조치를 구현해야 합니다. 이메일 및 화상 회의는 피싱, 스푸핑 및 중간자 공격에 취약하기 때문에 본질적으로 안전하지 않습니다. 이러한 기술은 강력한 보안을 염두에 두고 설계되지 않았으며 광범위한 사용과 비즈니스 운영을 방해하지 않고 향상된 보안 조치를 통합하는 복잡성으로 인해 쉽게 수정할 수 없습니다.
새로운 AI 기술은 이러한 안전하지 않은 기술과 관련된 위험을 증가시키고 있으며 앞으로도 그럴 것이므로 포괄적인 보안 조치를 채택하는 것이 더욱 중요해졌습니다. 따라서 명확한 검증 프로토콜, 피싱 시도 식별에 대한 정기적인 교육, 여러 채널을 통한 신원 확인을 위한 강력한 정책 수립과 같은 비기술적 조치를 구현하는 것이 이러한 기술과 관련된 위험을 완화하는 데 중요합니다.
잘못된 확신을 피함
종종 구현되는 빠른 기술 수정은 이메일 필터링 소프트웨어를 사용하여 피싱 이메일을 차단하는 것입니다. 이렇게 하면 직원에게 도달하는 피싱 시도의 양을 줄일 수 있지만 잘못된 보안 감각을 조성할 수 있습니다. 직원들은 모든 악성 이메일이 적발되고 있다고 생각할 수 있으며, 이는 안일하게 이어질 수 있습니다. 실제로 정교한 피싱 시도는 여전히 필터를 우회할 수 있으며 적절한 교육 및 검증 프로토콜이 없으면 직원은 여전히 취약합니다.
기술로 인해 발생하는 모든 문제에 대해 이러한 빠른 기술 수정에 의존하면 근본적인 취약점을 해결하지 않고 보안에 대한 환상을 불러일으키기 때문에 잘못된 확신을 가질 수 있습니다. 이 접근 방식은 정교한 공격자가 악용하는 인적 요소와 프로세스 약점을 고려하지 않습니다.
보안 강화를 위한 실용적인 단계
간단한 정책으로 이 사건을 예방할 수 있었습니다. 예를 들어, 다른 통신 채널을 통한 2차 확인을 요구하는 등 대규모 거래에 대한 검증 프로토콜을 구현합니다 (전화 통화 또는 보안 메시징 앱과 같은), 전송이 발생하기 전에 사기를 폭로할 수 있습니다. 이러한 종류의 정책은 중요한 작업을 다시 확인하여 추가 보안 계층을 추가합니다.
보안 책임 강화
위험이 진화함에 따라 위험을 관리하는 우리의 접근 방식도 진화해야 합니다. 보안은 일반 비즈니스 수준으로 승격되어야 하는 책임입니다. 모든 수준의 관리자는 보안 기능을 운영 구조에 내장하는 열쇠를 쥐고 있습니다. 프로세스 설계에서 보안을 사전에 해결함으로써 위험을 최소화하고 탄력적이고 미래 지향적인 조직을 구축할 수 있습니다.
이 변화를 함께 추진합시다. 설계에 의한 보안은 명확한 책임과 함께 모든 관리 수준에서 공유된 책임이어야 합니다.
#보안설계 #사이버 보안 #딥페이크 #사회 공학 #프로세스보안 #지도력 #디지털 트랜스포메이션