주 컨텐츠로 이동

사이버 보안

2025년 10월 29일

 

사이버 범죄를 막으려면 범죄자처럼 생각하지 마세요.

해커에서 사이버 보안 컨설턴트로 변신한 그렉 반 데르 가스트가 기업이 사후 대응이 아닌 사전 예방을 통해 더 나은 기반을 구축할 수 있는 방법을 설명합니다.

Google 로고

스콧 스타인버그

기여자

개인용 컴퓨터가 등장하던 90년대 중반 네덜란드에서 자란 많은 별이 빛나는 소년들처럼, 그렉 반 데어 가스트도 영화 "해커스"에 푹 빠져 있었습니다.

"감수성이 예민한 청소년 시절, 컴퓨터에 침입하는 데 정말 능숙해지면 안젤리나 졸리와 데이트할 수 있다고 가르쳤죠." 그는 웃으며 말합니다.

그 풋풋한 로맨스는 실현되지 못했지만, 이 십대는 컴퓨터를 다루는 방법을 빠르게 배웠고 투표할 나이가 되기도 전에 세계에서 가장 주목받는 사이버 범죄자 중 한 명으로 성장했습니다. 반 데르 가스트는 초기 지하 활동으로 감옥에 갇히기보다는 유명한 사이버 보안 컨설턴트로서 경력을 쌓는 데 도움이 되었지만, 기술적인 시작과는 다른 방향으로 발전해 나갔습니다.

실제로 그는 고객들에게 사이버 보안을 기술적 문제로만 생각하지 말 것을 촉구하며, 좋은 보안 성과를 달성하는 가장 좋은 방법은 사이버 보안 업계 외부의 접근 방식을 차용하는 것이라고 말합니다. 

 

그렉 반 데르 가스트

작년 부다페스트에서 열린 마스터카드 스페이스4커머스 이벤트에 참석한 그렉 반 데르 가스트. 

 

예상치 못한 하이테크의 운명적 반전

영화적 영감을 받은 듯한 이 장면에서 반 데르 가스트는 16세 때 인도의 핵무기 시설을 해킹해 지하 핵실험 데이터를 훔쳤습니다. "그들은 이전 버전의 메일 서버를 사용하고 있었는데, 제가 속여서 관리 계정을 제공했습니다."라고 그는 말합니다. 이로 인해 여러 정보 기관의 레이더망에 포착되었고, 결국 그는 세계에서 가장 악명 높은 해커 5인 중 한 명으로 선정되었습니다.

1998년 가을, 반 데르 가스트가 유럽에서 미국으로 이주한 지 얼마 되지 않았을 때 미국 국방부 산하 기관에서 정장을 입은 한 무리의 남자들이 그의 집 문을 두드렸습니다. "90일 비자를 초과해서 이민국에서 온 줄 알았어요." 그는 "90일 비자를 초과했기 때문"이라고 말합니다.

이 10대 해커에게 다행히도, 이 기관은 그들을 기소하는 것이 아니라 가상 언더그라운드에서 떠오르는 스타를 모집하려고 했습니다. 그 순간 그는 재빨리 편을 바꿔 국방부와 함께 향후 3년간 FBI와 합동 작전을 수행하기 시작했습니다. 이 업무에는 해커 및 관련 범죄 활동에 대한 첩보 수집과 국가적 관심사에 대한 데이터 침해 조사도 포함됩니다.

이 색다른 교육은 사이버 보안 전문가, 기조 연설자, 기업 고문으로 25년간 경력을 쌓는 발판이 되었고, 현재 Sequioa Consulting의 설립자 겸 전무이사로 활동하며 경영진과 글로벌 조직이 "사이버 보안을 줄이고 더 안전하게 비즈니스를 수행"할 수 있도록 돕고 있습니다.

 

제가 배운 것은 조직이 IT의 기본을 지키고 프로세스를 적극적으로 성숙시키기 위해 노력했다면 거의 모든 침해 사고를 예방할 수 있었을 것이라는 점입니다.

Greg van der Gaast

 

"저는 해커들이 사용하는 방법, 전술 및 기능에 대한 교훈을 배우는 것부터 시작했습니다."라고 그는 말합니다. "하지만 지금 생각해보면? 조직이 IT의 기본을 지키고 프로세스를 적극적으로 성숙시키기 위해 노력했다면 거의 모든 침해 사고를 예방할 수 있었을 것이라는 점을 깨달았습니다."

이 접근 방식은 그의 회사가 지지하는 방식입니다. 실제로 이 회사는 경영 컨설팅, 린 사고 및 기타 분야의 방법론을 기술에 적용하여 IT 프로세스를 개선함으로써 위협 행위자가 악용할 수 있는 실패 지점이 줄어들도록 합니다.

스티어링 휠의 중심이 맞지 않거나 서스펜션 암에서 볼트가 빠지거나 브레이크 라인에 공기가 차는 등 생산된 모든 자동차에 결함이 있는 자동차 공장을 간단하게 비유할 수 있습니다. 완성차의 모든 결함을 고치기 위해 더 많은 인력을 고용하는 것은 말도 안 된다고 그는 말합니다. 대신 이러한 결함이 발생하는 조립 라인 스테이션에서 공정 중에 문제를 해결하여 결함 수를 줄이고 비용도 절감할 수 있습니다.

하지만 반 데르 가스트는 사이버 보안의 접근 방식이 대부분 전자에 가깝기 때문에 업계는 근본적인 원인은 거의 손대지 않은 채 사전 예방이 아닌 사후 대응에 머물러 있다고 말합니다.

"근본적으로 우리는 해커들이 우리의 취약점을 이용하지 못하도록 하는 군비 경쟁을 하고 있지만, 왜 이렇게 많은 도전에 직면하고 있는지 스스로에게 물어볼 필요가 있습니다."라고 그는 말합니다. "즉, 애초에 왜 이러한 취약점이 존재할까요?"

전직 해커였던 그는 지난 30년 동안 이러한 광범위한 질문을 던져왔으며, 이는 기업과 사회 전반에 걸쳐 그 어느 때보다 중요한 질문입니다.

 

사이버 보안의 미래를 위한 계획

보안을 가장 간단하게 바라보는 방법은 취약점이 악용되는 것이며, 이러한 취약점은 사실상 코드, 구성, 제어, 설계, 계획, 심지어 문화의 결함 등 품질 문제라고 그는 말합니다.

이러한 문제를 해결하면 취약점 수가 줄어들기 때문에 취약점 앞에서 방어를 강화할 필요 없이 악용될 가능성이 줄어든다고 그는 말합니다. 이는 보안 지출을 줄이는 데 그치지 않고 비즈니스 및 IT 프로세스의 효율성을 높여 비용도 절감하는 경향이 있다고 그는 덧붙입니다.

"프로세스와 품질의 기능으로서 보안에 더 집중하기 시작하면 근본적인 문제를 해결할 뿐만 아니라 비즈니스가 긍정적인 변화를 일으키고 비용을 절감하는 데 도움이 될 수 있습니다."

반 데르 가스트는 항상 기술 중심의 보안 컨설턴트보다 훨씬 더 깊이 파고들어 문제의 근원을 파악하는 것부터 조직의 보안을 시작합니다. "대부분의 기업은 사이버 보안에 대해 불을 끄기 위해 끊임없이 노력하는 접근 방식을 취하는 경향이 있습니다."라고 그는 말합니다. "대신 IT 문제의 원인이 무엇인지 살펴보려고 노력합니다.

"애플리케이션 설계에서 문제가 발생하고 있나요? 비즈니스 부서마다 서로 다른 IT 프로세스와 공급업체를 사용하고 있나요?"라고 그는 덧붙입니다. "문제의 근본 원인을 파악한 후에는 이를 체계적으로 최적화하고 제거할 수 있습니다."

 

사이버 범죄에 대한 다른 접근 방식 취하기

반 데르 가스트는 사이버 범죄 문제에 대처하는 방식에 초점을 바꿔야 한다고 생각합니다. 범죄자를 바라보는 대신 범죄가 왜 그렇게 쉬운지에 초점을 맞춰야 합니다.

그는 거의 모든 침해 사고는 알려진 취약점과 관련된 것으로 수정이 가능하며, 대부분의 경우 이러한 수정은 1년 이상 전부터 가능했다고 언급합니다.

"내가 곡물 한 봉지를 정원에 놓아두면 일주일 후 수천 마리의 쥐가 있는 것을 보고 놀라지 않을 수 없을 것입니다. 이상적인 솔루션은 수천 개의 쥐덫을 내려놓고 관리하는 것이 아니라 곡물을 더 잘 보관하거나 필요한 이유에 대한 프로세스를 변경하는 것입니다."

결론: 세계 최고의 사이버 보안 시스템을 설치할 수 있지만 적절한 ID 관리 도구가 없고, 직원들의 교육이 불충분하며, 시스템, 디바이스 또는 애플리케이션을 패치 및 업그레이드하지 않았다면 해커는 디지털이든 다른 방식이든 기업의 방어를 간단히 우회할 수 있다고 그는 말합니다. 

 

사람들에게 사이버 위협을 막을 수 있는 도구 제공

궁극적으로 자동화된 공격과 딥페이크 동영상과 같은 AI 기반 위협이 증가하는 시대에 사이버 범죄자로부터 현대 조직을 성공적으로 방어하려면 훈련, 교육, 사후 대응이 아닌 사전 예방적 접근 방식이 필요하다고 반 데어 가스트( )는 말합니다.

이러한 위협은 일단 파악되면 취약하지 않다면 공격 속도가 아무리 빨라도 상관이 없으며, 자금 이체는 항상 딥페이크에 취약하지 않은 정해진 프로세스를 통해 이루어지는 등 견고한 기반을 구축하여 무력화할 수 있는 경우가 많습니다.

그가 보기에 조직을 돕기 위해 할 수 있는 최선의 방법은 취약성을 유발하는 문제를 파악하고 가능한 한 조직과 문화적인 문제까지 살펴서 해결하는 것입니다. 그런 다음 보안팀이 조직의 모든 부서와 협력하여 모든 비즈니스 및 IT 프로세스를 이해하고 필요에 따라 프로세스를 재정의하여 도입할 수 있는 위험을 줄이고 남아있는 위험을 인지하도록 하세요.

조직이 이러한 작업을 수행하여 근본적인 문제를 이해한 후에야 더 나은 곳으로 나아가기 위한 전략과 로드맵을 수립할 수 있습니다.

수십 년 전 컴퓨터 책을 뒤적거렸던 것처럼, 오늘날에도 반 데어 가스트의 관심사는 여전히 많은 정보를 흡수하는 것입니다. 전직 사이버 범죄자였던 그는 현재 자동차 수리와 모범 비즈니스 사례에 관한 책 읽기를 취미로 삼고 있으며, 사이버 보안의 성공은 소프트웨어보다 훨씬 더 중요한 문제라고 말합니다."많은 문제는 하이테크 솔루션보다 문화에서 비롯됩니다."라고 말합니다.

대규모 결제 사기 방지

Money 20/20에서 발표된 마스터카드 위협 인텔리전스는 위험을 줄이고 복원력을 강화하기 위해 마스터카드의 결제 사기 인사이트와 레코디드 퓨처의 위협 인텔리전스를 결합한 것입니다.