Cybercrime is out of control. It's everywhere. We hear about it every single day. This year, over two billion records lost or stolen. And last year, 100 million of us, mostly Americans, lost our health insurance data to thieves -- myself included. What's particularly concerning about this is that in most cases, it was months before anyone even reported that these records were stolen.
사이버 범죄는 통제할 수 없습니다. 어디에서나 일어나죠. 우리는 매일 사이버 범죄에 대한 뉴스를 접합니다. 올해만 해도 20억 건이 넘는 기록들이 사라지거나 도난당했습니다. 작년에는 미국인이 대다수인 약 1억 명에 달하는 사람들의 건강보험 가입 정보를 도둑맞았습니다. 제 정보도 포함되었죠. 이런 일이 특히 우려스러운 이유는 대부분의 경우에 몇 달이 지난 뒤에야 이런 기록이 도난당했음을 알게 되기 때문입니다.
So if you watch the evening news, you would think that most of this is espionage or nation-state activity. And, well, some of it is. Espionage, you see, is an accepted international practice. But in this case, it is only a small portion of the problem that we're dealing with. How often do we hear about a breach followed by, "... it was the result of a sophisticated nation-state attack?" Well, often that is companies not being willing to own up to their own lackluster security practices. There is also a widely held belief that by blaming an attack on a nation-state, you are putting regulators at bay -- at least for a period of time.
그리고 여러분이 이런 일을 저녁 뉴스에서 접하면 그 대부분이 첩보 활동이거나 국가적 활동이라고 생각합니다. 물론 일부는 그렇죠. 첩보 활동은 국제 관행으로 받아들여지고 있으니까요. 하지만 이 경우는 우리가 다루는 문제의 극히 일부에 불과합니다. 위반 사실의 뒤에는 종종 이런 표현이 뒤따릅니다. 이는 국가를 대상으로 한 치밀한 공격의 결과였다고 말이죠. 그건 어쩌면 보안에 관한 허술한 관행을 인정하지 않으려는 업체들의 이야기일 겁니다. 또한 그 기저에 깔려있는 것은 공격 대상을 국가 차원으로 돌림으로써 적어도 한동안은 규제 당국을 궁지로 몰 수 있을 거라는 생각이죠.
So where is all of this coming from? The United Nations estimates that 80 percent of it is from highly organized and ultrasophisticated criminal gangs. To date, this represents one of the largest illegal economies in the world, topping out at, now get this, 445 billion dollars. Let me put that in perspective for all of you: 445 billion dollars is larger than the GDP of 160 nations, including Ireland, Finland, Denmark and Portugal, to name a few.
그렇다면 이런 일들을 누가 저지르는 걸까요? UN은 이들 범죄의 약 80% 정도는 대단히 조직화되고 치밀한 범죄 집단에 의해 저질러지고 있다고 판단합니다. 지금은 이는 세계적으로 가장 큰 규모의 지하 경제 중의 하나로 부각되고 있고 그 규모는 놀랍게도 4,450억 달러에 달합니다. 어느 정도 규모인지 말씀드리자면 4,450억 달러는 약 160여 개국의 GDP보다 큰 액수입니다. 아일랜드, 핀란드, 덴마크, 포르투갈을 포함한 여러 나라가 해당되죠.
So how does this work? How do these criminals operate? Well, let me tell you a little story. About a year ago, our security researchers were tracking a somewhat ordinary but sophisticated banking Trojan called the Dyre Wolf. The Dyre Wolf would get on your computer via you clicking on a link in a phishing email that you probably shouldn't have. It would then sit and wait. It would wait until you logged into your bank account. And when you did, the bad guys would reach in, steal your credentials, and then use that to steal your money. This sounds terrible, but the reality is, in the security industry, this form of attack is somewhat commonplace. However, the Dyre Wolf had two distinctly different personalities -- one for these small transactions, but it took on an entirely different persona if you were in the business of moving large-scale wire transfers.
그러면 그런 일이 어떻게 일어날까요? 어떻게 이런 범죄를 저지를 수 있는 걸까요? 짧은 이야기를 하나 들려드리겠습니다. 몇 년 전, 우리의 보안 연구원들은 다소 평범하지만 복잡한 은행거래 악성코드를 추적하고 있었습니다. 다이어 울프(Dyre Wolf)라는 악성 코드였죠. 다이어 울프는 피싱 메일에 있는 링크를 클릭하면 컴퓨터에 설치됩니다. 보통은 클릭하면 안되지만 말이죠. 그리고 조용히 기다립니다. 여러분이 인터넷 은행 계좌에 로그인할 때까지 기다리죠. 그리고 로그인을 하면 그 악당들은 컴퓨터에 접근하여 여러분의 신용 정보를 빼갑니다. 그리고 이를 이용하여 여러분의 돈을 훔치죠. 생각만 해도 끔찍하죠. 하지만 보안 업계 쪽에서는 이는 늘상 일어나는 일이며 이러한 형태의 공격은 비교적 평범한 편에 속합니다. 하지만 다이어 울프는 두 가지의 독특한 특징을 갖고 있습니다. 방금처럼 소액을 송금하는 경우와는 달리 여러분이 사업적으로 매우 큰 금액을 송금할 때는 완전히 다른 형태를 띄게 됩니다.
Here's what would happen. You start the process of issuing a wire transfer, and up in your browser would pop a screen from your bank, indicating that there's a problem with your account, and that you need to call the bank immediately, along with the number to the bank's fraud department. So you pick up the phone and you call. And after going through the normal voice prompts, you're met with an English-speaking operator. "Hello, Altoro Mutual Bank. How can I help you?" And you go through the process like you do every time you call your bank, of giving them your name and your account number, going through the security checks to verify you are who you said you are. Most of us may not know this, but in many large-scale wire transfers, it requires two people to sign off on the wire transfer, so the operator then asks you to get the second person on the line, and goes through the same set of verifications and checks.
무슨 일이 일어나는지 설명드리죠. 여러분이 송금을 시작하려고 하면 화면에 팝업창이 나타나고 계좌에 문제가 발생한 것 같으니 은행에 바로 전화를 해달라면서 은행사기 대응 부서의 전화번호를 보여줍니다. 그러면 여러분은 바로 전화를 걸겠죠. 정상적인 음성안내들을 거치고 나면 상담원이 영어로 이렇게 말하죠. "안녕하세요. 알토로 은행입니다. 무엇을 도와드릴까요?" 그리고 늘 은행에 전화를 걸면 일어나는 일들이 진행됩니다. 여러분의 이름과 계좌 번호를 알려주고 자신이 맞는지 본인 인증과 보안 점검을 과정을 거치죠. 여러분은 잘 모르시겠지만 큰 액수를 송금할 때는 송금 승인을 위해서 두 명의 인증이 필요합니다. 그래서 그 상담원은 여러분에게 두 번째 직원을 연결해주고 인증과 확인을 위한 동일한 과정을 거칩니다.
Sounds normal, right? Only one problem: you're not talking to the bank. You're talking to the criminals. They had built an English-speaking help desk, fake overlays to the banking website. And this was so flawlessly executed that they were moving between a half a million and a million and a half dollars per attempt into their criminal coffers.
정상적인 것 같죠? 그런데 문제가 하나 있습니다. 여러분은 은행과 통화한 것이 아닙니다. 바로 범죄자들과 이야기한 것입니다. 그들은 영어로 된 헬프데스크를 만들고 가짜 웹사이트를 운영합니다. 그런데 이 모든 것들이 너무나도 정교하게 이루어져서 50만에서 150만 달러의 돈을 자신들의 범죄 계좌로 간단하게 옮깁니다.
These criminal organizations operate like highly regimented, legitimate businesses. Their employees work Monday through Friday. They take the weekends off. How do we know this? We know this because our security researchers see repeated spikes of malware on a Friday afternoon. The bad guys, after a long weekend with the wife and kids, come back in to see how well things went.
이러한 범죄 조직은 마치 합법적인 사업체인 것처럼 운영됩니다. 그 직원들은 월요일부터 금요일까지 일하죠. 그리고 주말에는 쉽니다. 이걸 어떻게 아느냐고요? 우리 연구원들이 분석해보니 금요일 오후에 악성코드 공격이 가장 빈번하게 나타났기 때문입니다. 악당들은 긴 주말을 아내와 아이들과 보낸 뒤에 일이 얼마나 잘 되었는지 돌아와서 확인만 하면 되는거죠.
The Dark Web is where they spend their time. That is a term used to describe the anonymous underbelly of the internet, where thieves can operate with anonymity and without detection. Here they peddle their attack software and share information on new attack techniques. You can buy everything there, from a base-level attack to a much more advanced version. In fact, in many cases, you even see gold, silver and bronze levels of service. You can check references. You can even buy attacks that come with a money-back guarantee --
그들이 시간을 보내는 곳을 다크 웹이라고 합니다 이는 도둑들이 익명으로 운영하며 감시망을 피해 활동할 수 있는 인터넷 공간을 의미합니다. 그 곳에서 그들은 공격용 소프트웨어를 판매하며 새로운 공격 기법들을 공유합니다. 이곳에서는 기본적인 공격부터 매우 발전된 형태의 버전까지 무엇이든 구매할 수 있습니다. 사실, 대부분의 경우에 금 은,동 메달 수준의 공격 서비스로 나뉘어집니다. 증명서를 받아볼 수도 있고 심지어 어떤 공격 서비스는 구매시에 환불 보증까지 해주죠.
(Laughter)
(웃음 소리)
if you're not successful. Now, these environments, these marketplaces -- they look like an Amazon or an eBay. You see products, prices, ratings and reviews. Of course, if you're going to buy an attack, you're going to buy from a reputable criminal with good ratings, right?
만일 공격이 실패했다면 말이죠. 이제, 이런 환경들, 이런 판매시장은 Amazon이나 eBay와 같아졌습니다. 상품, 가격, 평가 등급과 사용기까지 볼 수 있습니다. 당신이 공격 서비스를 구매하려 한다면 평가가 좋고 범죄적 평판도 높은 것을 사겠죠. 그렇죠?
(Laughter)
(웃음)
This isn't any different than checking on Yelp or TripAdvisor before going to a new restaurant. So, here is an example. This is an actual screenshot of a vendor selling malware. Notice they're a vendor level four, they have a trust level of six. They've had 400 positive reviews in the last year, and only two negative reviews in the last month. We even see things like licensing terms. Here's an example of a site you can go to if you want to change your identity. They will sell you a fake ID, fake passports. But note the legally binding terms for purchasing your fake ID. Give me a break. What are they going to do -- sue you if you violate them?
새로운 음식점을 가고 싶을 때 Yelp나 TripAdvisor에서 찾아보는 것과 다르지 않죠. 예를 하나 보여드리죠. 이는 실제로 판매자가 악성코드를 판매하는 페이지의 스크린 샷입니다. 판매자 등급은 4등급이고 신뢰 등급은 6등급이네요. 작년에 400개의 긍정적 리뷰를 받았고 지난 달에는 단 2개의 부정적인 리뷰를 받았군요. 심지어 이용 약관까지도 있습니다. 또 다른 예로서 여러분의 신분을 바꿀 수 있는 사이트도 있습니다. 그곳에서는 가짜 신분증과 가짜 여권을 판매하죠. 여기에는 위조 신분증 거래에 있어서 법적 구속력을 갖는 조항이 있는데요. 그런데 잠깐만요. 그 조항을 어긴다고 해서 판매자가 여러분을 고소할 수 있을까요?
(Laughter)
(웃음)
This occurred a couple of months ago. One of our security researchers was looking at a new Android malware application that we had discovered. It was called Bilal Bot. In a blog post, she positioned Bilal Bot as a new, inexpensive and beta alternative to the much more advanced GM Bot that was commonplace in the criminal underground.
몇 달 전에 이런 일이 있었습니다. 우리 보안 연구원 중 하나가 저희가 새로 발견한 안드로이드 OS의 악성코드 앱을 분석하고 있었습니다. 빌라 봇(Bilal Bot)이라는 것이었습니다. 그리고 우리 블로그에 빌라 봇은 새롭고, 저렴한 베타버전으로 일반적으로 범죄 영역에서 매우 흔하게 사용되는 GM봇을 대체하기 위한 것이라는 글을 올렸죠.
This review did not sit well with the authors of Bilal Bot. So they wrote her this very email, pleading their case and making the argument that they felt she had evaluated an older version. They asked her to please update her blog with more accurate information and even offered to do an interview to describe to her in detail how their attack software was now far better than the competition.
그런데 빌라봇 제작자들에게는 이 리뷰가 마음에 들지 않았습니다. 그래서 그들은 그 연구원에게 바로 이런 메일을 보냈고 그들의 입장을 항변하며 아마 그 연구원이 이전 버전을 가지고 리뷰를 쓴 것 같다고 주장했습니다. 그들은 더욱 정확한 정보를 가지고 블로그를 업데이트해달라고 요청했죠. 심지어 그 공격 소프트웨어가 현재 경쟁자들보다 얼마나 더 나은지 보다 자세하게 설명할 수 있도록 우리에게 인터뷰를 제안하기도 했습니다.
So look, you don't have to like what they do, but you do have to respect the entrepreneurial nature of their endeavors.
자, 생각해보세요. 그들이 저지르는 일들은 좋아할 이유가 없지만 기업가적 측면에서의 그들의 노력은 존경할 만합니다.
(Laughter)
(웃음)
So how are we going to stop this? It's not like we're going to be able to identify who's responsible -- remember, they operate with anonymity and outside the reach of the law. We're certainly not going to be able to prosecute the offenders. I would propose that we need a completely new approach. And that approach needs to be centered on the idea that we need to change the economics for the bad guys.
그러면 이런 일을 어떻게 막아야 할까요? 책임자를 색출하기는 어려울 것 입니다. 기억하세요. 그들은 익명으로 운영되고 법 테두리 밖에서 활동합니다. 범죄자를 기소하기도 쉽지 않죠. 저는 완전히 새로운 접근법이 필요하다고 제안하고 싶습니다. 그 접근법의 기본 개념은 악당들의 경제 구조를 바꾸는 데에 있습니다.
And to give you a perspective on how this can work, let's think of the response we see to a healthcare pandemic: SARS, Ebola, bird flu, Zika. What is the top priority? It's knowing who is infected and how the disease is spreading. Now, governments, private institutions, hospitals, physicians -- everyone responds openly and quickly. This is a collective and altruistic effort to stop the spread in its tracks and to inform anyone not infected how to protect or inoculate themselves.
그 방법에 대한 이해를 돕기 위해서 유행성 전염병에 대처한다고 생각해보죠. 사스, 에볼라, 조류 독감, 지카 바이러스같은 것들이요. 가장 먼저 할 일은 무엇일까요? 누가 감염되었고 어떻게 병이 퍼지고 있는지 파악하는 것입니다. 정부, 사설 기관, 병원, 의사. 모두가 공개적이고 신속하게 대응합니다. 모두가 협력하고 사심없는 노력을 기울여 감염 경로를 따라 병이 퍼지는 것을 막고 감염되지 않은 사람들에게는 스스로를 보호하는 방법과 예방 접종에 관한 정보를 제공하죠.
Unfortunately, this is not at all what we see in response to a cyber attack. Organizations are far more likely to keep information on that attack to themselves. Why? Because they're worried about competitive advantage, litigation or regulation. We need to effectively democratize threat intelligence data. We need to get all of these organizations to open up and share what is in their private arsenal of information. The bad guys are moving fast; we've got to move faster. And the best way to do that is to open up and share data on what's happening.
불행히도 사이버 공격의 세계에서는 이런 반응을 기대하기 어렵습니다. 여러 단체들은 공격에 대한 정보들을 퍼뜨리지 않으려고 할 가능성이 더 높습니다. 왜 그럴까요? 왜냐하면 그들은 경쟁 우위를 걱정하고 소송과 규정만을 생각하기 때문입니다. 우리는 위협이 될만한 정보들을 효과적으로 대중화해야 합니다. 이런 모든 단체들이 가지는 개인 정보 저장소를 열고 공유할 필요가 있습니다. 악당들이 빠르게 움직인다면 우리가 보다 빠르게 움직이면 됩니다. 그리고 이를 실천하는 최고의 방법은 무슨일이 일어났는지 공개하고 공유하는 것입니다.
Let's think about this in the construct of security professionals. Remember, they're programmed right into their DNA to keep secrets. We've got to turn that thinking on its head. We've got to get governments, private institutions and security companies willing to share information at speed. And here's why: because if you share the information, it's equivalent to inoculation. And if you're not sharing, you're actually part of the problem, because you're increasing the odds that other people could be impacted by the same attack techniques.
보안 전문가들의 구성에 대해서 생각해봅시다. 그들은 비밀을 지키도록 유전자가 설정되어 있는 사람들이라고 생각하죠. 바로 그런 생각부터 바꾸어야 합니다. 무엇보다도 정부와 사설기관 보안 회사들로 하여금 신속하게 정보를 공유하도록 만들어야 합니다. 그 이유를 말씀드리죠. 정보를 공유한다는 것은 예방 접종을 하는 것과 같습니다. 만일 정보를 공유하지 않으면 여러분은 문제의 일부가 될 것입니다. 똑같은 공격 기법을 가지고 다른 사람이 영향을 받을 확률이 높아지기 때문입니다.
But there's an even bigger benefit. By destroying criminals' devices closer to real time, we break their plans. We inform the people they aim to hurt far sooner than they had ever anticipated. We ruin their reputations, we crush their ratings and reviews. We make cybercrime not pay. We change the economics for the bad guys. But to do this, a first mover was required -- someone to change the thinking in the security industry overall.
하지만 더 큰 장점이 있습니다. 범죄자의 도구를 거의 실시간으로 파괴함으로써 그들 계획을 무너뜨릴 수 있습니다. 그들의 예상보다 훨씬 더 빨리 그들이 노리는 사람들에게 알릴 수 있습니다. 그들의 명성을 무너뜨리고 그들에 대한 평가와 리뷰를 부술 수 있습니다. 사이버 범죄로 돈을 벌지 못하게 만들 수 있습니다. 그 악당들의 경제 구조를 바꾸는 거죠. 그러나 그러기 위해서는 앞서 이끌어 줄 사람이 필요합니다 보안 업계 전반의 사고 방식을 바꿀 누군가가 필요합니다.
About a year ago, my colleagues and I had a radical idea. What if IBM were to take our data -- we had one of the largest threat intelligence databases in the world -- and open it up? It had information not just on what had happened in the past, but what was happening in near-real time. What if we were to publish it all openly on the internet? As you can imagine, this got quite a reaction. First came the lawyers: What are the legal implications of doing that? Then came the business: What are the business implications of doing that? And this was also met with a good dose of a lot of people just asking if we were completely crazy.
약 1년 전, 저와 제 동료들은 급진적인 아이디어를 가지고 있었습니다. 만일 IBM이 우리의 개인정보를 모아서 위협이 될만한 방대한 정보들을 얻은 뒤에 그걸 공개해버린다면 어떻게 될까요? 과거의 정보들뿐만 아니라, 실시간으로 일어나는 일의 정보도 있을 것입니다. 이를 인터넷으로 모든 이에게 공개한다면 어떻게 될까요? 상상하시는대로 엄청난 반발이 있었습니다. 먼저 변호사의 지적이 있었습니다. 그 일이 법적으로 어떤 결과를 초래하게 될지를 물었죠. 사업 측면의 지적도 있었습니다. 그 일이 사업 측면에서 어떤 영향을 미치게 될지 물었습니다. 물론 우리에게 제정신이냐고 묻는 사람들도 많았습니다.
But there was one conversation that kept floating to the surface in every dialogue that we would have: the realization that if we didn't do this, then we were part of the problem. So we did something unheard of in the security industry. We started publishing. Over 700 terabytes of actionable threat intelligence data, including information on real-time attacks that can be used to stop cybercrime in its tracks. And to date, over 4,000 organizations are leveraging this data, including half of the Fortune 100. And our hope as a next step is to get all of those organizations to join us in the fight, and do the same thing and share their information on when and how they're being attacked as well.
하지만 누구와 대화를 나누든 계속해서 표면으로 떠오르는 한가지 주제가 있었습니다 그 일을 하지 않으면 우리에게도 문제가 있다는 깨달음이었습니다. 그래서 우리는 보안 업계에서 전례가 없었던 일을 했습니다. 우리는 사이버 범죄를 막기 위해 700 테라바이트가 넘는 활용 가능한 위협 요인 정보와 실시간 공격 정보를 발표하기 시작했습니다. 그리고 지금까지 100대 기업의 절반을 포함한 4,000개가 넘는 단체들이 이 데이터를 활용하고 있습니다. 그리고 다음 단계로서 우리의 바람은 모든 조직이 우리와 함께 이 싸움에 참여하고 똑같은 일을 하며 그들이 언제 어떻게 공격을 당했는지 그 정보를 공유하는 것입니다.
We all have the opportunity to stop it, and we already all know how. All we have to do is look to the response that we see in the world of health care, and how they respond to a pandemic. Simply put, we need to be open and collaborative.
우리에게는 범죄를 막을 기회가 있습니다, 그리고 그 방법도 이미 알고 있죠. 우리 모두가 해야 할 일은 공중보건이 어떻게 감염병에 대처하고 대응하는지 살펴보는 것입니다. 간단히 말해서 우리는 개방하고 더 협력해야 합니다.
Thank you.
감사합니다.
(Applause)
(박수)