잘못된 정보, MFA 의심 및 AI: RSAC 2023에서 본 모든 것
마지막 라이브 스트리밍이 끝났고 샌프란시스코에서 또 다른 RSA 컨퍼런스가 왔다가 사라졌습니다. 올해 우리는 AI의 영향, 계속되는 잘못된 정보의 확산, 다단계 인증의 실패와 미래, EV 충전소의 보안 등에 대한 세션을 보았습니다. 다음은 RSAC 2023에서 본 모든 내용을 요약한 것입니다.
이번 주 RSAC의 헤드라인을 장식한 참석자 중에는 Twitter의 전직 신뢰 및 안전 책임자인 Yoel Roth가 있었습니다. 그는 다른 사이버 보안 전문가 몇 명과 함께 업계가 허위 정보와 잘못된 정보의 온라인 확산을 억제하는 데 어떻게 도움이 될 수 있는지 논의했습니다. Kim Key가 쓴 것처럼 잘못된 정보는 새로운 악성코드라는 제목의 세션은 업계에서 이를 수행할 수 있는지 여부에 대한 논의보다는 누가 이를 수행해야 하는지에 대한 논의로 바뀌었습니다.
변호사이자 정책 옹호자인 캐서린 겔리스(Catherine Gellis)는 법적인 관점에서 이 문제를 살펴보면 미국 수정헌법 제1조는 일부 형태의 허위 정보나 잘못된 정보를 보호한다고 지적했습니다. "때로는 사람들이 틀릴 때도 있습니다"라고 Gellis는 설명했습니다. "잘못은 발생합니다. 잘못된 것을 말하고 금지하는 법이 있다면 자신이 옳다고 말하는 사람들에게 냉담한 영향을 미칠 것입니다."
Gellis는 정부가 온라인 표현에 관한 진실의 유일한 중재자가 되어서는 안 된다고 말했습니다. 그는 수정헌법 제1조가 플랫폼에서 표현을 제한하는 민간 기업의 권리도 보호한다고 지적했습니다.
RSA Security CEO Rohit Ghai는 기조 연설에서 AI가 보안 산업에 큰 영향을 미칠 것이라는 불편한 진실을 인정했습니다. "우리는 많은 일자리가 사라지고, 많은 것이 변화하고, 일부는 창출될 것이라는 사실을 받아들여야 합니다"라고 Ghai는 말했습니다. (RSA 컨퍼런스는 RSA 보안과 별개입니다.)
Ghai에 따르면 사라질 수 있는 직업은 "나쁜 AI"로 인해 발생하는 수많은 피싱 공격을 처리하는 것과 같이 AI가 인간이 할 수 있는 것보다 더 빠르고 더 잘 수행할 수 있는 직업이 될 것입니다. 사이버 보안의 새로운 작업에는 AI가 활용하는 데이터를 공격으로부터 보호하고 AI 도구가 윤리적으로 작동하도록 보장하는 것이 포함될 수 있습니다.
베테랑 커뮤니케이션 및 보안 리더로 구성된 패널에 따르면, 신중한 준비, 신속하고 효과적인 커뮤니케이션, 건전한 유연성은 성공적인 기업 사이버 보안 사고 대응 계획의 주요 특징입니다. 발표자들은 무대 위에서 사이버 보안 사고 대응 공포 이야기를 교환하면서 온라인 공격의 여파를 처리하는 임무를 맡은 동료 업계 전문가들에게 조언을 전했습니다.
Raytheon Technologies의 최고 정보 보안 책임자인 브래드 마이오리노(Brad Maiorino)는 자신의 경험에 비추어 볼 때 사과적이고 사실적이며 즉각적인 성명을 발표함으로써 사이버 사고에 대응하는 기업 리더를 소비자가 더 빨리 용서한다고 지적했습니다. "나는 당시 '너 미쳤어, 그러면 안 돼!'라고 말하고 있었어요. 그러나 결국 그것은 유익한 것으로 판명되었습니다."라고 Maiorino는 말했습니다. "고객들은 돌아와서 회사에 보상을 했습니다."
랜섬웨어 공격이나 기타 사이버 사고에 대비하여 비즈니스를 준비하기 위한 PCMag 가이드를 확인하세요.
한 가지 특이한 세션이 보안과 법학 사이의 경계에서 시끄러웠습니다. 해커를 잡기 위해 트랩 파일을 내놓는 것이 무고한 제3자가 트랩을 펼칠 수 있다는 점을 고려하면 매력적인 골칫거리가 될 수 있는지에 대한 의문을 제기한 모의재판을 제시했습니다. 이 재판은 논리적인 결론에 이르렀지만, 우리는 분석하기 더 어려운 실제 상황을 보게 될 것입니다.
PCMag에서는 가능할 때마다 다단계 인증(MFA)을 사용하는 것이 좋습니다. 그럼에도 불구하고 MFA와 관련된 데이터 침해 상황을 찾는 것이 일반적입니다. MFA가 상어를 뛰어 넘었나요? MFA에 대한 강연에서는 여러 위반 사례를 분석한 결과 MFA 자체가 아닌 MFA 구성, MFA 공급자 또는 MFA 사용자를 공격하여 성공했다는 사실을 발견했습니다. MFA는 여전히 규칙입니다!
비밀번호는 문제이며 해결책은 사용자 이름이나 비밀번호 없이 개인을 안전하게 인증하고 다중 요소 인증(MFA)이 내장된 비밀번호 키 또는 암호화 자격 증명을 사용하는 데 있다고 합니다. RSAC의 여러 세션에서는 Passkey의 이점에 초점을 맞추는 동시에 앞으로의 과제도 살펴보았습니다.