Hacker News 의견

• Zero Trust 모델: 조직 내 네트워크를 외부처럼 취급하고 완전한 신뢰를 두지 않는 것이 중요함. Google은 BeyondCorp를 통해 이를 구현하여 내부 침해를 방지함.

• 보안과 이익의 불일치: 보안과 이익 간의 불일치는 문화적 변화 없이는 해결하기 어려움. 현재로서는 무엇이 이를 촉발할지 불확실함.

• 사이버 보안의 현실: 사이버 보안 업계는 실제 보안보다 규정 준수에 집중하는 경향이 있음. 규정 준수 기준이 부족하거나 제대로 시행되지 않음.

• 정부와 기업의 관계: 정부에 제품을 판매하는 기업들은 많은 돈을 벌 수 있으며, 이를 위해 부정적인 부분을 숨기기도 함. 이는 기본적인 윤리와 정직성의 부식을 초래함.

• 보안 인센티브: 보안 인센티브가 부족함. 판매 직원은 성과에 따라 보상을 받지만, 보안 직원은 성과가 없으면 해고됨. 이는 보안 문화를 저해함.

• 보안 우선주의: "보안을 우선시하라"는 경영진의 말은 중요하지 않음. 보안 문화를 보상하지 않으면 직원들은 다른 우선순위에 최적화됨.

• Microsoft의 보안 접근: Microsoft의 CEO Satya Nadella는 보안을 우선시한다고 말하지만, 실제로는 광고와 사용자 활동 기록에 집중함.

• 정부의 스마트 카드 사용: 미국 정부는 스마트 카드 인증을 사용하여 보안을 강화하려고 함. 그러나 Seamless SSO를 비활성화하면 사용자가 클라우드에 접근하기 어려워짐.

• 이익 우선주의: 대부분의 기업은 보안보다 이익을 우선시함. 이는 Microsoft만의 문제가 아님.

• Golden SAML 공격: Golden SAML은 취약점이 아니라 공격 유형임. SSO 인프라가 손상되면 모든 것이 위험에 처함.

• 비유적 설명: 다리 건설 회사가 구조적 결함을 무시하고 다리가 붕괴되는 상황을 비유로 들어, IT 업계에서도 비슷한 일이 발생한다고 설명함.

• 법적 규제 필요성: 네트워크 보안에 대한 법적 규제가 필요함. 기술이 스스로를 규제할 수 없다는 인식이 커지고 있음. 미국 정부가 Microsoft의 클라우드를 신뢰하지 않게 되면 대체할 곳이 많지 않음.