Nadya Bartol: Better cybersecurity starts with honesty and accountability | TED
36,308 views ・ 2021-06-01
아래 영문자막을 더블클릭하시면 영상이 재생됩니다.
00:00
Transcriber:
0
0
7000
번역: 혜지 장
검토: JY Kang
00:13
Today, I'm going to talk about
a shameful topic.
1
13063
3667
오늘은 부끄러운 얘기를
해보려고 합니다.
00:17
This has happened to many of us,
and it's embarrassing,
2
17463
4034
우리 대부분에게 해당되는 것이고
당황스러운 얘기예요.
00:21
but if we don't talk about it,
nothing will ever change.
3
21530
3367
하지만 우리가 이 얘기를 하지 않으면
아무것도 바뀌지 않습니다.
00:24
It's about being hacked.
4
24930
2067
바로 해킹에 대한 것입니다.
00:27
Some of us have clicked on a phishing link
and downloaded a computer virus.
5
27630
4600
우리 중 몇몇은
피싱 사기 링크를 클릭하거나
컴퓨터 바이러스를
다운받은 적 있을 겁니다.
00:32
Some of us have had our identities stolen.
6
32263
2434
개인정보를 도난당한 분도 있겠죠.
00:34
And those of us
who are software developers
7
34730
2000
우리 같은 소프트웨어 개발자들 중에는
00:36
might have written insecure code
with security bugs in it
8
36763
3367
보안에 오류가 있는
위험한 코드를 썼을지도 모릅니다.
00:40
without realizing it.
9
40163
1400
그런 줄도 모르고 말이죠.
00:42
As a cybersecurity expert,
10
42530
1700
사이버보안 전문가로서
00:44
I have worked with countless companies
on improving their cybersecurity.
11
44263
4334
저는 수많은 기업과 사이버보안을
개선하는 일을 해왔습니다.
00:49
Cybersecurity experts like me
have advised companies
12
49063
3400
저 같은 사이버보안 전문가들은
기업들에게 여러 조언을 해줍니다.
00:52
on good cybersecurity practices,
13
52497
2600
바람직한 사이버보안 활동,
00:55
monitoring tools
14
55130
1133
감시 도구와
00:56
and proper user behaviors.
15
56297
1700
적절한 사용자 행동에 대해서요.
00:58
But I actually see a much bigger problem
that no tool can fix:
16
58030
4733
하지만 어떤 도구로도 고칠 수 없는
매우 심각한 문제를 발견했죠.
01:02
the shame associated with
the mistakes that we make.
17
62797
3300
바로 우리가 저지르는 실수에 대한
수치심입니다.
01:06
We like to think of ourselves
as competent and tech savvy,
18
66563
3867
우리는 우리 스스로를 유능하며
최신기술을 잘 안다고 생각합니다.
01:10
and when we make these mistakes
that can have a really bad impact
19
70463
3300
우리와 회사에 막대한 영향을 주는
살수를 저질렀을 때도 그렇습니다.
01:13
on us and our companies --
20
73797
1400
01:15
anything from a simple annoyance,
21
75230
1867
성가신 사소한 실수에서
01:17
to taking a lot of time to fix,
22
77130
2167
수정에 많은 시간이 필요한 실수나
01:19
to costing us and our employers
a lot of money.
23
79330
3633
막대한 비용이 필요한 경우에
이르기까지 말이죠.
01:23
Despite billions of dollars
that companies spend on cybersecurity,
24
83630
4467
기업이 사이버보안에
수십 억을 들였음에도 불구하고,
01:28
practitioners like me see the same
problems over and over again.
25
88130
4500
저 같은 전문가들은
같은 문제를 계속해서 발견합니다.
01:32
Let me give you some examples.
26
92663
1800
예를 들어 보겠습니다.
01:35
The 2015 hack of Ukrainian utilities
27
95330
3033
2015년 우크라이나에 있었던
전력시설 해킹으로
01:38
that disconnected power
for 225,000 customers
28
98397
3766
225,000개 고객들의
전기 공급이 끊겼고
01:42
and took months to restore
back to full operations
29
102197
3666
복구에만 몇 달이 걸렸습니다.
01:45
started with a phishing link.
30
105897
2100
피싱 사기 링크를 통한 해킹이었죠.
01:48
By the way, 225,000 customers
is a lot more 225,000 people.
31
108030
5567
하지만 225,000개 고객 수에 비해
피해자 수는 그 이상입니다.
01:53
Customers can be anything
from an apartment building
32
113630
2700
고객은 아파트 빌딩에서부터
01:56
to an industrial facility
33
116363
1400
산업 시설,
01:57
to a shopping mall.
34
117797
1433
쇼핑몰까지 다양하니까요.
01:59
The 2017 data breach of Equifax
35
119263
3100
2017년 에퀴팩스사의
정보 유출 사건으로
02:02
that exposed personally
identifiable information
36
122363
2834
개인정보를 도난당한 사람만
02:05
of 140 million people
37
125230
2433
1억4천만 명에 달하고
02:07
and may ultimately cost Equifax something
on the order of 1.4 billion dollars:
38
127663
6334
에퀴팩스사는 14억 달러에 달하는
손실을 입게 될 것입니다.
02:14
that was caused by an exploitation
of a well-known vulnerability
39
134030
3500
그것은 이미 잘 알려진 취약성을
이용한 것이었습니다.
02:17
in the company's customer
consumer complaint portal.
40
137563
2934
그 기업의 고객 불만 게시판에
이미 올라온 내용이었죠.
02:21
Fundamentally, this is about
technology and innovation.
41
141563
4100
이것은 근본적으로
기술과 혁신에 관한 것입니다.
02:25
Innovation is good;
it makes our lives better.
42
145697
3000
혁신은 좋습니다.
우리 삶을 더 좋게 만드니까요.
02:28
Most of the modern cars we drive today
are fundamentally computers on wheels.
43
148697
6033
오늘날 우리가 타고 다니는
최신 자동차들 대부분은
바퀴 달린 컴퓨터입니다.
02:34
They tell us where to go to avoid traffic,
when to take them in for maintenance
44
154763
4834
교통혼잡을 피해 어디로 가야하는지,
언제 수리가 필요한지 알려주고
02:39
and then give us all kinds of
modern-day conveniences.
45
159630
3200
많은 최신의 편의성들을 제공합니다.
02:42
Many people use connected
medical devices like pacemakers
46
162863
3434
많은 사람들이 몸에 연결된
의료 장치를 사용합니다.
심박조절기와 인슐린 주사기가 있는
당뇨 감시 장치같은 것들이요.
02:46
and glucose monitors with insulin pumps.
47
166330
2300
02:49
These devices make
these people's lives better
48
169197
2533
이런 장치들은
우리 삶을 더 좋게 만들고
02:51
and sometimes even extend their lives.
49
171763
2534
때로는 생명을 연장해주기도 합니다.
02:54
But anything that can be interconnected
can be hacked when it's connected.
50
174297
5533
하지만 상호연결될 수 있는 어떤 것이든
연결됐을 때 해킹될 수 있습니다.
03:00
Did you know that the former
US Vice President Dick Cheney
51
180230
3067
예전에 미국 부통령 딕 체니가
심장이식을 받기 전에
03:03
kept his pacemaker disconnected from Wi-Fi
before he received a heart transplant?
52
183330
4500
심박조절기의 와이파이 연결을
끊어뒀던 것 알고 계신가요?
03:07
I will let you figure out why.
53
187863
2134
왜 그런지 알려드리겠습니다.
03:10
In a digitally interconnected world,
cyber risks are literally everywhere.
54
190830
5033
디지털로 상호연결된 세상에서
사이버 위협은 말그대로
어디에나 있습니다.
03:16
For years, my colleagues and I
have been talking about
55
196230
2800
지난 몇 년간, 저와 제 동료들은
03:19
this elusive notion
of cybersecurity culture.
56
199063
2467
사이버 보안 문화의
모호한 개념에 대해 다루어 왔습니다.
03:22
Cybersecurity culture is when
everybody in the organization
57
202030
3367
사이버 보안 문화는
한 기관에 속한 모든 구성원이
사이버 보안을 자신의 일처럼 생각해서
03:25
believes that cybersecurity is their job,
58
205430
2733
03:28
knows what to do and what not to do
59
208197
1900
해야 할 것과
하지 말아야 할 것을 알고
03:30
and does the right thing.
60
210097
1333
적절한 조치를 취하는 것입니다.
03:32
Unfortunately, I can't tell you
which companies do this well,
61
212063
3500
안타깝게도 어떤 기업이 잘 하고 있는지
말씀드릴 수는 없습니다.
03:35
because by doing so, I would put
a juicy target on their backs
62
215597
3500
만약 그걸 공개하면
그 기업들은 달콤한 먹잇감이 되어
03:39
for ambitious attackers.
63
219097
1933
야심찬 해커들이 공격할 테니까요.
03:41
But what I can do is make
cybersecurity less mysterious,
64
221030
4267
하지만 제가 할 수 있는 것은
사이버 보안의 신비감을 없애고
03:45
bring it out into the open
and talk about it.
65
225297
2900
그에 대한 논의의 장을 여는 것입니다.
03:48
There should be no mystery or secrecy
within an organization.
66
228763
4600
조직에서는 어떠한 숨김도
비밀도 없어야 합니다.
03:54
When something is invisible
and it's working,
67
234197
3800
무언가 보이지 않는 것이
작동하고 있을 때,
03:58
we don't know that it's there
until it's not there.
68
238030
3467
그것이 없어질 때까지는
그런 게 있었는지도 모릅니다.
04:01
Kind of like toilet paper.
69
241530
2333
화장실 휴지나 마찬가지죠.
04:04
When the COVID-19 pandemic began,
70
244663
2734
코로나19 대유행이 시작될 떄,
04:07
what has been there all of a sudden
became super important
71
247430
3167
갑자기 생겨나고는
엄청나게 중요한 것이 되었습니다.
04:10
because we couldn't find it anywhere.
72
250597
1800
어디에서도 찾을 수 없었기 때문이죠.
04:12
Cybersecurity is just like that:
73
252830
2167
사이버보안도 마찬가지입니다.
04:15
when it's working, we don't know,
and we don't care.
74
255030
3067
우리는 그것이 작동하는 걸 모르고
신경도 쓰지 않습니다.
04:18
But when it's not working,
75
258130
1533
하지만 작동하지 않을 때,
04:19
it can be really, really bad.
76
259697
2600
정말 정말 나빠질 수 있습니다.
04:22
Toilet paper is pretty straightforward.
77
262797
2766
화장지는 꽤 단순하지만
04:25
Cybersecurity is mysterious and complex.
78
265563
3034
사이버보안은 이해하기 힘들고 복잡하죠.
04:28
And I actually think it starts
with the notion of psychological safety.
79
268630
3867
저는 그것이 심리적 안전 개념에서
시작한다고 봅니다.
04:33
This notion was popularized
by an organizational behavior scientist,
80
273297
3900
이 개념을 대중화시킨 분이
조직행동학자인 에이미 에드먼슨입니다.
04:37
Amy Edmondson.
81
277230
1733
04:38
Amy studied behavior of medical teams
in high-stakes situations like hospitals,
82
278963
5167
그녀는 병원 같은 급박한 상황에서
의학 팀들의 행동을 연구했습니다.
04:44
where mistakes could be fatal.
83
284163
1734
그런 곳은 실수가 치명적 결과를 낳죠.
04:45
And she found out
that nurses were not comfortable
84
285930
2700
그리고 그녀는 간호사들이
의사에게 뭔가를 제의할 때
04:48
bringing up suggestions to the doctors
85
288630
2267
불편함을 느끼는다는 걸 알았습니다.
04:50
because of the fear
of questioning authority.
86
290897
2233
권위에 도전하는 것에 대한
공포감 때문이죠.
04:53
Amy helped improve medical teams
87
293797
2600
에이미는 의료팀 개선을 통해
04:56
to make nurses more comfortable
bringing up suggestions to the doctors
88
296430
3700
간호사들이 환자 치료에 대해 의사에게
더 편하게 제의할 수 있게 했습니다.
05:00
for patient treatment
89
300130
1200
05:01
without the fear of being
scolded or demeaned.
90
301330
3067
야단 맞거나 창피당하는
두려움 없이 말이죠.
05:04
For that to happen, doctors needed
to listen and be receptive --
91
304397
3566
이를 가능케 하려면, 의사는
듣고 받아들일 줄 알아야 합니다.
05:07
without judging.
92
307997
1200
미리 판단하지 않고 말이죠.
05:10
Psychological safety is when everybody
is comfortable speaking up
93
310363
4134
심리적 안정은 모두가 편하게 말하고
05:14
and pointing things out.
94
314530
1700
편하게 지적힣 수 있을 때 생깁니다.
05:17
I want cybersecurity to be the same.
95
317097
2733
저는 사이버보안도 같았으면 합니다.
05:19
And I want cybersecurity practitioners
to be comfortable bringing suggestions up
96
319863
4034
그리고 사이버 보안 종사자들이
편하게 의견을 제시하면 좋겠습니다.
05:23
to senior executives
or software developers,
97
323930
2867
고위 임원들이나
소프트웨어 개발자들에게요.
05:26
without being dismissed as those people
who continue to talk about
98
326830
3900
그들에게 해고당하는 일도
없으면 좋겠습니다.
그들은 공포와 오류 얘기만 반복하고
05:30
horrors and errors,
99
330763
1334
05:32
and say no.
100
332130
1267
안 된다고만 하죠.
05:33
Not doing so is really hard
101
333963
3100
그렇게 하지 않는 것이
정말 힘든 이들도 있습니다.
05:37
for the individuals who are responsible
for the creation of digital products
102
337097
4100
디지털 제품 개발을
담당하는 사람들이죠.
05:41
because fundamentally, it's about
their pride and joy in their creations.
103
341230
4800
왜냐하면 그들은 개발하는 것에 대한
자부심과 즐거움이 있기 때문입니다.
05:46
I once tried talking to a senior
software development executive
104
346597
3433
한번은 소프트웨어 개발 고위 임원과
대화를 시도한 적이 있습니다.
05:50
about the need to do better security.
105
350063
2034
더 나은 보안의 필요성을 얘기하자
05:52
You know what he said?
106
352097
1233
그가 뭐라고 말했을까요?
05:53
"Are you telling me
we're developing insecure code?"
107
353363
2534
“우리가 보안이 취약한 프로그램을
개발하고 있다는 말인가요?”
05:56
In other words, what he heard
was, "Your baby is ugly."
108
356263
3434
말하자면, 그에게는 이렇게 들린 거죠.
“당신 아기는 참 못 생겼네요.”
06:00
What if instead of focusing on
what not to do,
109
360330
4400
하지 말아야 할 것에 집중하는 대신에
06:04
we focused on what to do?
110
364763
2267
해야 할 것에 초점을 맞추면 어떨까요?
06:07
Like, how do we develop better software
111
367063
3567
예를 들어, 어떻게 하면
더 나은 소프트웨어를 개발하고
06:10
and protect our customer
information at the same time?
112
370663
3534
동시에 고객의 정보를
보호할 수 있을지에 대해서요.
06:14
Or how do we make sure
that our organization is able to operate
113
374230
4433
또는 어떻게 하면 우리의 조직이
잘 돌아갈지에 대해서요.
06:18
in crisis, under attack
or in an emergency?
114
378697
2766
위기, 해킹 공격
또는 비상상황에서 말이죠.
06:21
And what if we reward good things that
people do in cybersecurity in some way
115
381863
4067
그리고 사이버보안 종사자들의 성과에
어떤 식으로든 보상을 주고
06:25
and encourage them to do so,
116
385963
1600
일을 잘 하도록 격려하면 어떨까요?
06:27
like reporting security incidents,
117
387597
2166
보안 사고를 보고하고,
06:29
reporting potential phishing emails,
118
389797
2566
피싱 사기 의심 메일을 알리거나,
06:32
or finding and fixing
software security bugs
119
392363
3500
자신이 개발한 소프트웨어의
오류를 찾아내고
06:35
in the software that they develop?
120
395897
1866
수정하도록 하는 거죠.
06:37
And what if we tied these good security
actions to performance evaluations
121
397797
3800
또 이러한 우수한 보안 조치를
업무 평가에 반영하면 어떨까요?
06:41
to make it really matter?
122
401630
1633
그러면 정말 신경 쓰겠죠?
06:43
I would love for us to communicate
these good cybersecurity things
123
403763
4267
저는 훌륭한 사이버보안에 대해
함께 소통하길 원하고
06:48
and encourage them in some sort of
company-wide communications
124
408063
2934
회사 전체가 소통하도록
장려하고 싶습니다.
06:51
like newsletters, blogs,
websites, microsites --
125
411030
2700
소식지, 블로그, 웹사이트,
마이크로사이트 등등
06:53
whatever we use to communicate
to our organization.
126
413763
3267
조직과 소통할 수 있는
모든 수단을 통해서요.
06:57
What if a company announced a competition
for who finds the most security bugs
127
417063
5467
회사에서 대회 같은 걸 열면 어떨까요?
누가 보안 버그를 많이 찾아내고
07:02
and fixes them in a two-week
development sprint
128
422530
3267
2주 개발 기간 내에
오류를 고치는 대회 말이죠.
07:05
and then announces the winner
of the competition for the quarter
129
425830
3333
그리고 분기별로 대회 우승자를 뽑아서
가상공간의 회사 대강당에서 발표하고
07:09
at a large company virtual town hall,
130
429197
2766
07:11
and then rewards these people,
these winners, with something meaningful,
131
431963
4234
그 우승자들에게 상을 주는 겁니다.
의미있는 것들로요.
07:16
like a week's vacation or a bonus.
132
436230
2167
일주일 간의 휴가라든가
보너스 같은 거 말이죠.
07:18
Others will see
the celebration and recognition,
133
438763
2834
그렇게 축하받고
인정받는 걸 보는 사람들은
07:21
and they'll want to do the same.
134
441630
1933
자신들도 그렇게 하고 싶을 것입니다.
07:23
In the energy industry,
135
443563
1400
에너지 산업계에는
07:24
there is a really strong
culture of safety.
136
444997
2833
안전에 대해
아주 강한 문화가 존재합니다.
07:27
People care about this culture,
are proud of it,
137
447830
2967
사람들은 이 문화에 관심을 가지고,
자랑스러워합니다.
07:30
and there is a collective
reinforcement of this culture
138
450797
3466
그리고 이 문화에는
집단적인 강화가 존재하는데,
07:34
to make sure that nobody gets hurt.
139
454297
1933
이를 바탕으로 절대 그 누구도
피해를 입게 두지 않습니다.
07:36
One of the ways they exhibit and keep
this safety conscious culture going
140
456230
4533
안전 인식 문화를 드러내고
유지하는 방법 중 한 가지는
07:40
is by counting and visibly displaying days
since the last safety incident.
141
460797
6233
마지막 안전 사고로부터 날짜를 세고
눈에 띄게 게시하는 것입니다.
07:47
And then everybody works really hard
not to have that count go back to zero
142
467663
4367
그러면 모두가 열심히 일하며
그 숫자가 다시 0으로
돌아가지 않도록 노력하죠.
07:52
because that means
that somebody did get hurt.
143
472063
2500
그렇게 됐다는 건
누군가 다쳤다는 뜻이니까요.
07:54
Cybersecurity is the same as safety.
144
474597
3133
사이버보안은 안전과 똑같습니다.
07:57
What if we all agree
145
477763
1634
우리 모두가 한마음으로
07:59
to keep that count of days
since the last cybersecurity incident
146
479430
3267
마지막 사이버보안 사고로부터 경과일을
08:02
going on forever
147
482730
1333
영원히 유지하고
08:04
and then work really hard
not to have it reset to zero?
148
484097
3200
0으로 돌아가지 않도록
열심히 일하기로 하면 어떨까요?
08:08
And then certain things are a no-no,
149
488097
2033
그리고 절대 하면 안 되는 것을 정하고
08:10
and we need to clearly communicate
to our organizations what they are
150
490163
3434
그것들이 무엇인지 조직에
명확하게 전달할 필요가 있습니다.
08:13
in an easily digestible
and maybe even fun way,
151
493630
2867
이해하기 쉽고 재밌는 방식으로요.
08:16
like gamification or simulations,
152
496530
2667
게임이나 시뮬레이션 같은 방식으로
08:19
to make sure that people
can remember this.
153
499230
2467
사람들이 확실하게
기억할 수 있도록 하는 겁니다.
08:21
And if somebody does something
they're not supposed to do,
154
501730
2833
누군가가 하지 말아야 할 것을 했다면
08:24
they should face some sort
of consequences.
155
504597
2133
그 댓가를 치러야 할 것입니다.
08:26
So, for example, if an employee buys
equipment on Amazon or eBay
156
506763
4734
예를 들어, 한 직원이 아마존이나
이베이에서 장비를 구매했거나
08:31
or uses personal Dropbox
for their company business,
157
511530
3400
회사 업무에 개인적으로
웹하드 서비스를 사용한다면
08:34
then they should face
some sort of consequences.
158
514963
2467
처벌을 각오해야 할 것입니다.
08:37
And when this happens, executives
should get the same treatment
159
517463
3134
그리고 그런 일이 일어나면
임원들도 일반 사원과 동일한
처벌을 받아야 할 것입니다.
08:40
as regular employees,
160
520630
1667
08:42
because if they don't,
then people won't believe that it's real
161
522297
3000
그렇게 하지 않으면, 사람들은
실제로 처벌 받지 않는다고 생각하고
08:45
and will go back to their old behaviors.
162
525330
1933
예전의 행동으로 돌아가기 때문입니다.
08:47
It's OK to talk about mistakes,
163
527297
2500
실수라고 할 수도 있습니다.
08:49
but just like a teenager who violates
the rules tells us about it,
164
529830
4033
하지만 규칙을 위반한 십대가
잘못을 고백하듯이
08:53
we appreciate that they told us about it,
165
533897
2066
스스로 밝히는 것은 고맙지만
08:55
but there should still be
some sort of consequences.
166
535997
2433
여전히 일종의 댓가를
치러야 할 것입니다.
09:00
Cybersecurity is a journey.
167
540263
2134
사이버보안은 여정입니다.
09:02
It's not a destination,
168
542430
1500
목적지가 아니므로
09:03
and we need to keep working on it.
169
543930
1933
우리는 계속해서 노력해야 합니다.
09:06
I would love for us to celebrate
cybersecurity people
170
546297
3133
사람들이 사이버보안 종사자들을
기념하면 좋겠습니다.
09:09
like the heroes that they are.
171
549430
1933
영웅처럼 말이에요.
09:11
If we think about it,
they are firefighters,
172
551363
2967
생각해보면, 그들은 소방관과
09:14
emergency room doctors and nurses,
173
554330
1833
응급실 의사와 간호사,
09:16
law enforcement, risk executives
and business strategists
174
556197
3766
법 집행관, 위험 관리 책임자와 사업전략가,
09:19
all in the same persona.
175
559963
1900
그런 사람들과 다름없습니다.
09:21
And they help us protect our modern life
that we like so much.
176
561897
3800
그들은 우리가 그토록 좋아하는
현대 문물을 지키는 데 도움을 줍니다.
09:25
They protect our identities,
our inventions, our intellectual property,
177
565697
4333
우리의 개인정보, 발명품, 지적 재산,
09:30
our electric grid, medical devices,
178
570063
2400
전력망과 의료기기,
09:32
connected cars and myriad other things.
179
572497
3500
커넥티드 카, 그리고
수많은 것들을 지켜주죠.
09:35
And I'd like to be on that team.
180
575997
1600
저는 그런 팀에 있고 싶습니다.
09:38
So let's agree that this thing
is with us to stay,
181
578097
4266
그러니 그것이 우리와
함께한다는 것을 인정합시다.
09:42
let's create a safe environment
to learn from our mistakes,
182
582363
3600
우리의 실수로부터 교훈을 얻어
안전한 환경을 만듭시다.
09:45
and let's commit to making things better.
183
585963
2367
더 나은 환경을 만들겠다고 약속합시다.
09:48
Thank you.
184
588363
1267
감사합니다.
New videos
Original video on YouTube.com
이 웹사이트 정보
이 사이트는 영어 학습에 유용한 YouTube 동영상을 소개합니다. 전 세계 최고의 선생님들이 가르치는 영어 수업을 보게 될 것입니다. 각 동영상 페이지에 표시되는 영어 자막을 더블 클릭하면 그곳에서 동영상이 재생됩니다. 비디오 재생에 맞춰 자막이 스크롤됩니다. 의견이나 요청이 있는 경우 이 문의 양식을 사용하여 문의하십시오.