ThreatTank – 에피소드 6 – 2024년 2분기 공격 추세

ThreatTank 소개 – 에피소드 6: Q2 2024 분기별 공격 추세

Tom Gorup: Threat Tank에 오신 것을 환영합니다. 최신 위협 인텔리전스, 위협 대응 및 전 세계 보안 환경에 대한 인사이트를 다룬 팟캐스트입니다.
저는 Edgio 보안 서비스 부문 부사장인 Tom Gorup입니다. 오늘은 Edgio의 분기별 공격 트렌드 보고서를 자세히 살펴보겠습니다.
덮을 톤이 있어요. 시작하기 전에 오늘의 손님을 소개합니다.
그래서 오늘 저와 함께 앤드류 존슨과 케네스 토마스.
안녕하세요, 앤드류, 케네스

앤드류 존슨: 고마워요, 톰. 이곳에 오게 되어 반갑습니다.

Tom Gorup: 시작하기 전에, 그리고 여기서 다루어야 할 것이 많지만, 시작하기 전에, 약간의 소개를 해봅시다. 앤드류, 너 자신에 대해 말해봐 앤드류 존슨이 누구인지 사람들에게 알려주세요.

앤드류 존슨: 아, 당연히 그렇죠. 그래, 앤드류 존슨 저는 Edgio에서 WAF, 봇, DDoS, API 보안, 공격 서비스 관리 등 다양한 보안 솔루션을 담당하는 제품 마케팅을 이끌고 있습니다.
저는 사이버 보안 업계에서 8년 동안 웹 애플리케이션 보안 전반의 제품 마케팅 및 제품 관리 업무를 담당했으며, 원래 엔드포인트 보안 업계에 입사했습니다.

톰 고럽: 멋지다. 팟캐스트에 오신 것을 환영합니다. 이걸 파고들게 되어 기쁩니다.
케네스, 넌 어때? 케네스 토마스가 누구야?

케네스 토마스: 안녕 톰, 앤드류, 날 여기 와줘서 고마워. 나는 조직에 완전히 새로운 사람이다. 저는 위협 인텔리전스 부문에서 일하고 있으며 주로 트렌드를 파악하고 고객이 조치를 취할 수 있도록 이를 표면화하는 일상적인 업무를 수행하고 있습니다.
저는 최근 10년 동안 인공 지능과 사이버 모두에 중추를 두었습니다. 그래서 시스템 배경에서, 그것은 소방호스에서 약간의 음료였습니다. 하지만 제가 좋아하는 방식입니다.

Tom Gorup: 네, 실제로, 그리고 이 보고서를 위해 쏟아져야 하는 데이터의 양은 그 자체로 소방관이었습니다. 그래서, 두 분 다 오셔서 기쁩니다. 이것은 많은 재미가 될 것입니다.
하지만 시작하기 전에, 빙산을 깨는 데 필수적인 질문이 있습니다. 그리고 다시, 나는 다른 모든 사람들이 듣고있다, 나는 그것이 ‘팔목에서 떨어져’의 대답을 얻는 것이 훨씬 더 재미 있기 때문에 그것이 무엇인지 그들에게 말하지 않았다.
자, 여기 질문이 있습니다. 준비됐어?
만약 동물들이 말을 할 수 있다면, 어떤 종들이 그들 중 가장 무례한 종일까요? 만약 동물들이 말을 할 수 있다면, 그들 중 어느 것이 가장 무례한 것일까요?

케네스 토마스: 조롱새.

톰 고럽: 조롱새요? 사람들을 조롱하기 때문일까? 그게 그들의 자연스러운 상태라고요?

케네스 토마스: 아니요, 그들은 매우 영토적입니다. 저는 제 뒷마당에서 일상적으로 그들을 보기 때문에 이것을 알고 있습니다. 하지만 저는 절대적으로 다람쥐를 공격하는 조롱새를 보았고, 알다시피, 서사시 전투에 참여했습니다. 누군가 전화를 걸기 직전에 저도 머리에 조롱새가 날아왔어요. 저게 벨소리의 머리예요. 저게 저 자신이에요.

Tom Gorup : 저도 한 번 새가 저를 공격했습니다. 마치 새가 둥지에서 떨어져서 나무에 갇혀서 새를 꺼내려고 했지만, 저는 새가 참새라고 생각합니다. 그들은 마치 나를 폭격하는 것과 같았다. 나는 마치, 이봐, 난 그저 도우려는 거야. 하지만 난 도울 수 없었어. 왜냐하면 이 새들이 말 그대로 나를 공격하고 있었기 때문이야. 내가 그들의 아기를 구하려고 할 때 말이야. 슬픈 날이었습니다.

앤드류 존슨: 아, 당신도 나한테 나쁜 기억을 주고 있군요. 나는 여기서 이집트 거위에게 공격을 당했다. 캘리포니아에 있는 골프 코스에 이런 기러기들이 있는데, 그들은 매우 불쾌하고 영토에 속합니다. 말 그대로 제 가방을 등에 메고 뒤에서 와서 다이빙을 해야 했습니다. 나는 둥지나 뭐 그런 것에 너무 가까이 왔을 것이다. 그래서 저는 그것에 대해 약간의 PTSD를 가지고 있습니다. 하지만 어쨌든, 내가 가장 무례하다고 생각하는 동물은, 나는 푸들 팬이 아니에요, 나는 그들이 개 중에서 가장 냉정하다고 느낍니다. 사람들이 왜 그들을 얻는지 모르겠다. 아니면 치와와와 같은 사람들이 주변에 많이 있습니다. 나는 강아지 사람이지만 큰 팬은 아닙니다. 그래서 네, 저는 그들이 무슨 생각을 하고 있는지 알고 싶지 않습니다.

톰 고럽: 네, 고양이들이요. 슈퍼 무례합니다. 그들은 말할 필요도 없고 무례하다.

앤드류 존슨: 네. 그게 내 명단 2번이었다.

톰 고럽: 좋은 물건. 자, 이제 바로 그 주제로 넘어갈 수 있습니다. 사이버와 관련이 있는 것은 아니지만, 얼음 차단기가 되길 바랍니다.
이 공격 트렌드 보고서를 살펴보고 있습니다. 특히 눈에 띄는 주제는 웹 사이트 및 웹 애플리케이션과의 인간 주도적 상호 작용과 기계 주도적 상호 작용입니다.
잘 모르겠어, 앤드류, 그것에 대해 조금 말해봐 우리가 무엇을 보는지, 우리는 무엇을 보는가? 어떤 종류의 하이라이트를 얻었습니까?

Andrew Johnson: 네, 제 말은, 이 보고서에서 가장 놀라운 것 중 하나는 고객들이 공개한 AI 블록의 수였는데, 분기 대비 거의 3000%에 달합니다.
그리고 저는 이것이 정말로 기업이 생각하는 방식의 변화를 신호한다고 생각합니다. 인공 지능과 그들의 응용 프로그램 그리고 그들의 응용 프로그램에 존재하는 데이터와 정보입니다.
이 수치는 오픈 AI가 고객 사이트에 대한 스크레이핑 또는 요청이 3000 배 더 많았다는 것을 의미하는 것이 아니라 웹 관리자가 AI 및 데이터 또는 정보 제공에 대해 많은 생각을 하고 있다는 것을 의미합니다. 제가 생각하기에 가장 흥미로운 것들 중 하나였습니다.

Tom Gorup: 예, 흥미롭습니다. 왜냐하면 우리가 보고 있는 추세는 사람들이 자신의 데이터를 더 진지하게 받아들이는 것이기 때문입니다. 일반적으로 AI 봇과 봇은 정보를 얻기 위해 인터넷을 끊임없이 스크레이핑합니다. 그러나 일반적으로 Google 봇이나 빙봇과 같은 좋은 봇은 SEO를 돕고 사이트의 가용성을 높이는 데 더 많은 도움이 될 것입니다. 하지만 AI를 통해 우리는 잠재적으로 수익을 창출할 수 있는 훈련 모델을 찾고 있습니다. 그래서 어떤 의미에서는 데이터가 수익을 창출하고 있고 일부는 그것을 좋아하지 않을 수도 있습니다. 그래서, 케네스, 당신의 사이트를 긁는 AI는 나쁜 일인가? 우리가 막아야 할 것이나 어떻게 생각하세요?

케네스 토마스 : 그것은 정말로 당신이 무엇을하고 있는지에 달려 있습니다. 그리고 저는 이 말이 기술 외의 사람들에게는 고통스러운 용어라는 것을 압니다. 그것은 무엇에 달려 있지만, 실제로 그렇습니다. 그 이유는, 예를 들어, 만약 제가 웹사이트를 운영하고 있고, 제가 발견되고 싶다면, 저는 AI가 제 서비스에 대해 알기를 원하기 때문입니다. 간단히 말해서, AI는 내 사이트를 긁어 낼 수 있고 심지어 잠재적으로 내 사이트를 도구로 만들어 AI가 더 쉽게 소화하거나 이해할 수 있기 때문입니다. 하지만 다른 한편으로, 만약 제가 개인이나 사적인 단체이고, 제가 그렇게 운영한다면, 저는 아마도 제 개인 데이터를 공공의 수익 데이터 세트의 일부로 만들고 싶지 않을 것입니다. Andrew의 관점에서 볼 때, 이들 기업들은 공개적으로 직면한 데이터가 현재 자신에 대해 말하고 있는 내용과 교육 및 진흙 사용 관점에서 어떻게 활용할 수 있는지에 대한 가치 제안을 재고하고 있습니다. 그래서, 아시다시피, 그것은 실제로 사이트, 운영자, 심지어 위험에 대한 식욕에 달려 있습니다.

톰 고럽: 네, 흥미롭습니다. 그러니까, 제 생각에, 사람들이 웹을 서핑하는 방식의 변화를 목격하고 있는 것일까요? 그렇게 변하는 걸까요?

Kenneth Thomas: AI 측면에서는 OpenAI가 ChatGPT 플랫폼이라고 가정해 봅시다. 거의 인터넷 컨시어지로서 사용할 수 있습니다. 그래서, 여러분이 앉아서 대화를 나누는 동안, 뭔가가 튀어나올 수 있습니다. AI의 데이터 집합에 있지 않죠. 하지만 웹에 요청을 하고 그 데이터를 검색할 수 있습니다. 그리고이런사람들에게웹을더풍부하고완전한경험으로바꿉니다. 그러나 다른 한편으로, 그들은이 데이터를 얻고있는 사이트는 동일한 매개 변수 내에서 작동해야합니다. 이러한 방식으로 사이트가 스크레이핑되고 사용되고 있다는 사실을 알아야 합니다. 다시 말하지만, 응용 프로그램, 고객, 그리고 궁극적으로는 일반 소비에 사용할 수 있는 데이터의 가치 제안을 이해하는 전체 정신으로 이어집니다.

앤드류 존슨: 완전히. 여기에 덧붙이자면, 여러분에 대해서는 잘 모르겠지만, 제가 검색하는 방식은 오늘날 제품 마케팅에서 매우 다릅니다. 우리는 많은 연구를 합니다. 물론 저는 구글을 사용합니다. 오늘날에도 다른 사람들이 검색하는 것처럼 말이죠. 그래서, 그것은 일반적으로 결과에서 첫 번째 것입니다. 이제 Search Labs AI Overview라고 불립니다. 그리고 LLM 기반 스니펫처럼 개요를 제공하고 기본 웹 사이트 및 사물에 대한 링크를 제공합니다. 또한 Microsoft Bing을 통해 Copilot을 사용합니다. 네, 그게 제가 오늘 검색하는 방식입니다.

Tom Gorup: 저는 우리가 앞으로 나아갈 미래가 AI라고 생각합니다. 새 냉장고가 필요합니다. 냉장고가 나빠지고 있습니다. 우선, 무엇이 문제일까요? AI가 그 문제를 해결하는 데 도움이 될 수 있습니다. 그렇지 않다면, 나는 새로운 냉장고를 원한다. 그리고 여기 내 요구 사항이 있습니다, 그렇죠? 그러면 AI가 ‘이봐, 여기 가장 구매하고 싶은 냉장고 5대가 있는데 가장 가까운 Best Buy에서 구할 수 있잖아.
내가 주문하길 바래, 그렇지? 나는 당신의 AI 봇이 전체 흐름을 차지하는 것을 볼 수 있습니다. 그렇다면 기업들이 사이트를 바라보거나 이러한 사용 사례의 적용을 평가하는 방식은 어떻게 달라질 수 있을까요?

케네스 토마스: 즉각적으로 떠오르는 한 가지 사실은, 상식적인 지식은 아니지만, 구글 검색에 익숙한 분들이라면, 우리는 검색이 시간이 지남에 따라 진화했다는 것을 확실히 알고 있습니다. 그러나 모든 사람들에게 인식되지 않을 수있는 한 가지는 대략 2018 년경에 Google 검색이 변압기를 나타내는 양방향 인코더로 알려진 것을 통합하기 시작한다는 것입니다.
나는 그것이 일종의 단어들이라는 것을 알고 있지만.

Tom Gorup: 어딘가에 약어가 있어야 합니다.

케네스 토마스: 약어는 정확히 버트입니다. 재미있는 건 옛날에 엘모가 있었기 때문이죠. 나는 엘모가 무엇을 의미하는지 잊어 버렸지만, 버트는 효과적으로 트랜스포머의 인코더 표현이며, 그 중 하나는 데이터를 인코딩하고 디코딩하는 것입니다. 이렇게 함으로써, 같은 종류의 문장을 비교하고, 비슷한 구조를 가진 문장을 말하거나, 이 문장 유형과 일치하는 단어를 보여줄 수 있습니다. 아니면 감정 분석처럼 이 문장이 좋은지 나쁜지 말할지도 모른다. 하지만 요점은 이 버트의 기술이 구글에서 하는 모든 검색에 포함된다는 것입니다. 구글이 LLM을 사용하든 그렇지 않든 말이죠. 그리고 이것은 현재의 인공지능 혁명이 일어나기 훨씬 전에도 몇 번이나 일어났던 일들 중 하나입니다. 그러나 이 현시기 이전에는 Bing이라는 많은 검색 회사들이 ‘오, 글쎄요, 어쩌면 우리는 검색 고객에게 데이터를 다르게, 더 좋고 더 표현적인 방식으로 인코딩하여 서비스를 제공하는 것이 가장 좋을 것 같습니다.’라는 아이디어를 활용했습니다. 그래서 사람들이 이제 제가 원하는 방식으로 사이트들을 발견할 수 있도록 어떻게 해야 할지 고민해야 하는 이 모든 것을 보는 것은 매우 흥미롭습니다.

Tom Gorup: 기계로 읽을 수 있는 사이트와 인간이 읽을 수 있는 사이트의 버전과 거의 비슷합니다. 기계가 아닌 웹사이트와 상호 작용하는 인간을 생각하면 낭비되는 콘텐츠가 많습니다. 기계는 여러분의 그래픽이나 로고가 얼마나 좋은지 신경쓰지 않습니다. 하지만 인간은 그렇죠? 따라서 미래가 실제로 사용자가 AI와 상호 작용하여 제품을 구입하거나 인식하는 방식에 있다는 것을 아는 것은 상당히 큰 문제입니다.

앤드류 존슨: 특히 마케팅에 있어서는 그럴 것이고 그럴 것이라고 생각합니다. 나는 여전히 SEO가 죽은 것처럼 항상 기사를 보는 것처럼 머리를 감싸려고 노력하고 있습니다. 그리고 저는 머리를 빨리 감아야 합니다. 왜냐하면 저는 이것이 여기 있다고 생각하기 때문입니다.

톰 고럽: 좋은 질문입니다. 앤드류, AI SEO 같은 게 있을 거라고 생각해?

앤드류 존슨: 그럴 거라고 확신합니다. 그게 어떻게 생겼는지도 말해줄 수 없었지만, 그렇다고 믿습니다.

Tom Gorup: 예, 새로운 브랜드를 발견하는 것은 AI로 약간 단순화되거나 증폭될 수 있기 때문입니다. 또는 특정 제품의 상위 5 개 브랜드가 무엇인지에 대해, 아시다시피, 적어도 더 많은 틈새 배달. 하지만어떻게미래에우리가인공지능과어떻게상호작용하는지아십니까? 과연 클로드에게 돈을 지불해야만 그들의 속담적인 검색 엔진이나 AI 검색 엔진의 꼭대기에 오를 수 있는 유료 시나리오가 될까요? 아니면 어떻게 진행될까요? 그것에 대한 생각은? 흥미롭고 재미있는 주제이기 때문입니다.

앤드류 존슨: 마케팅에서 Google Ads에 입찰하는 것이 논리적으로 보입니다. 구글은 AI를 검색에 더 많이 포함시킬 것입니다. 그래서, 아마, 그렇게 될 것입니다.

Tom Gorup: 제 말은, 클릭률에 대해 생각할 때도 전체 역학을 바꿉니다. 마케팅에서 웹사이트의 가치나 웹사이트의 효과에 대해 측정하는 많은 것들이 있을 것입니다. 더 이상 여러분의 사이트와 인간의 상호작용을 측정할 수 없을 때, 대신에 AI 구성 요소가 있다면 어떻게 될까요? 기계의 측면이 있습니다. 그래서 당신은 어떻게 당신의 사이트가 인간이 그것에 서핑하지 않는 경우에 전과 같이 효과적인지 검증합니까.

케네스 토마스: 본질적으로 판매를 하고 계시는데요. 왜냐하면 제가 누군가의 대리인이나 그 자신에게 돈을 받는다면, 제게는 별로 중요하지 않기 때문입니다. 지불이 끝난 한, 그들은 그들의 제품을 얻었고 만족했습니다. 그리고 이를 위해, 저는 디지털 영향력 행사자의 부상을 쉽게 볼 수 있다고 생각합니다. 제가 의미하는 것은 마케팅 관점에서 영향력을 행사하는 사람들이 이미 있다는 것입니다. 하지만 우리는 반자율 시스템과 인공 지능의 결합이 여러분을 옹호하는 방식으로 결합된 것을 보지 못했습니다. 왜냐하면 제가 제품 X를 찾고 있다고 말하거나 서비스를 찾고 있다고 말할 수 있기 때문입니다. 하지만 여러분이 그렇게 말하고 있는 것은 여러분입니다. 실제로 광고와 효과적인 수익을 창출하는 기존의 모델에는 많은 다른 방법들이 있습니다. 그리고 나는 그런 종류의 정신이 곧 사라지는 것을 보지 못한다. 하지만 관심을 활용하는 방법과 그 방법을 고려할 때, 저는 시장 내에서 고객에게 제품과 이 모든 다른 것에 대해 알릴 수 있는 새로운 방법을 개발할 수 있는 많은 개선과 기회가 있다는 것을 알고 있습니다. 궁극적으로, 그것은 기술 분야에서 가장 큰 장애물 중 하나입니다. 그리고 그것은 당신에게 의미있는 것처럼 보입니다.

톰 고럽: 네, 흥미롭습니다. 계속해, 앤드류.

앤드류 존슨 : 네, 케네스가 언급 한 첫 번째 것 중 하나는 판매를 얻고 있습니까? 그것은 하나의 측정입니다. 만약 여러분이 밖에서 콘텐츠를 만들고 상승을 보게 된다면, 여러분은 그것을 측정할 수 있을 것입니다. 하지만 중요한 것은 AI 기반 검색 엔진을 거쳐 여러분의 사이트로 직접 들어오는 인간들로부터 어떤 부분이 있는지 측정하고 알아내는 것입니다. 좋아요, 케네스가 수익을 창출하거나 판매 상승을 보는 것에 대해 말하면 그렇게 할 수 있습니다. 분명히, 당신은 당신이 만드는 모든 캠페인이나 웹 페이지에 대해 필요합니다. 사람들이 좀 더 자세히 살펴볼 것 같아요. 오늘날 봇과 사람의 트래픽을 구분하는 솔루션이 있습니다. 실제로 AI를 통해 구동되는 솔루션도 있습니다. 클라이언트가 AI 스크레이퍼인지 사람인지를 알아내기 위해 다양한 방식으로 지문을 채취합니다. 따라서 웹 페이지를 보고 있는 사람을 분류하고 분석할 수 있습니다. 추론을 할 수도 있습니다. 구매를 해당 고객에 연결하는 방법도 있을 수 있습니다.

톰 고럽: 좋은 점입니다. 어디서 구매하시는건지 Anthropic은 구매를 할 수있는 특정 시장이나 방법을 활용하기 시작합니다. 이것이 AI가 어떤 의미에서 AI와 이야기하게하는 방법입니다. 그렇죠? 점들을 어떻게 연결할까요? 하지만 결국, 제 생각에, 앤드류는 제가 향하고 있는 곳이 AI 봇이나 사이트를 스크레이핑하는 봇에 대한 사업에 비용이 든다고 생각했습니다. 그리고 우리는 이 문제를 약간 완화시켜야 합니다. 왜냐하면 만약 수천 개의 봇이 여러분의 사이트에 계속해서 쏟아져 나온다면 통제할 수 없게 될 것이기 때문입니다. 그렇다면 우리는 어떻게 그 일부를 통제할 수 있을까요? 기업에서 준수해야 할 전술적인 사항은 무엇입니까?

앤드류 존슨: 네, 확실히 그렇습니다. 우선, 이것은 오래된 기술이지만 robots.txt 파일은 웹 관리자가 적어도 더 큰 AI 신생 기업, OpenAI, Anthropic 및 다른 사람들과 함께 생각해야하는 한 가지이며 실제로 IP 범위 또는 사용자 에이전트 정보를 게시합니다. 또한 사용자가 사이트를 보거나 사이트를 긁거나 검색을 통해 사용자를 검색하도록 허용하지 않으려는 경우 해당 사용자를 차단할 수 있습니다. 속도 제한을 설정하여 자주 사용하지 못하도록 하거나 리소스를 소모하거나 리소스와 대역폭을 소모하지 않도록 할 수 있습니다. 모든 회사가 그것을 따르는 것은 아니지만, 큰 회사는 그들이 그렇게 할 것이라고 말하고 있으며, 큰 회사는 많은 요청을 할 수있는 자원을 가지고 있다고 생각합니다. 그래서, 그들의 편에는 비용이 있습니다.

Tom Gorup: 기어다니는 것 같았던 것을 기억합니다. 우리가 이 보고서를 파헤치는 동안 여러분들이 발견한 분야가 있었습니다. 마치 크롤링 값과 같습니다.

앤드류 존슨:크롤링-지연.

톰 고럽: robots.txt 파일. 전에는 들어본 적이 없습니다.

앤드류 존슨: 네, 우리가 이것을 연구할 때 그것은 우리에게 새로운 것이었습니다. 그러나 네, 저는 심지어 인류학자들도 그것을 존중할 것이라고 언급한다고 생각합니다.

Tom Gorup: 그래서, 당신은 더 의도적으로 속도 제한 솔루션의 기술적 인 제어 기능을 가지고 있습니다. 그런 다음 robots.exe 파일을 통해 ‘이봐, 크롤링 속도를 제한할 수 있니?’와 같은 정중한 요청이 있습니다.

Andrew Johnson: 봇 관리 솔루션은 자동화된 트래픽과 자동화된 클라이언트를 감지하도록 설계되었습니다. 그래서, 당신은 그것들을 설정할 수 있습니다. Captchas와 같은 완화 조치를 설정할 수 있습니다. 나는 Anthropic이 Captchas를 해결하거나 우회하지 않음으로써 존중할 것이라고 말한 것을 기억합니다. 그것도 고려사항입니다.

Tom Gorup: 기업들이 이것을 조금 통제하기 위해 할 수 있다고 생각하는 다른 전술적 일들은 무엇입니까? 케네스?

케네스 토마스: 한가지 아이디어는, 우리가 일찍부터 얘기했는지는 모르겠지만, 한 가지 아이디어는 AI가 착륙하도록 의도된 장소의 특정 부분을 갖는 것입니다. 그리고 반드시 유산은 아니지만 가장 좋은 방법은 사이트 맵입니다. 사이트 매핑, 사이트 및 해당 리소스의 매핑을 나타내기 위한 XML 파일을 알고 있습니다. 하지만 이와 마찬가지로, 이런 종류의 것들은 다시 한 번 개선의 여지가 있고 그것을 더 잘 구현할 방법이 있다는 것을 보여줍니다. 그래서 실제로, 당신이 AI 봇이나 다른 LLM을 검색하는 웹 사이트의 안전한 항구 부분을 가지고 있다고 상상해보십시오. 그리고 그런 식으로, 그들은 반드시 모든 그래픽, 모든 스타일 등을 다운로드 할 필요가 없습니다. 그들은 단지 텍스트의 관점에서 사이트의 맥락을 가지고 있으며 거의 그들을 위해 텍스트 기반 서비스로 웹 사이트를 변환합니다. 그럼에도 불구하고, 이 모든 것들은 물론, 성공적으로 실행되기 전에 발명되고 동의되어야합니다.

톰 고럽: 좋은 점입니다. 그래서 저는 여기에 모여 사이트를 재평가하고 사이트에서 경험할 수 있는 다양한 유형의 상호 작용에 대해 생각하고 있습니다. 사이트가 우수한 사용자 경험을 보여주어야 하는 인간 중심의 상호 작용이 있습니다. 그리고 기계에 의해 구문 분석이 효과적으로 필요한 측면이 있습니다. 이러한 데이터는 가용성이 높고 쉽게 구문 분석할 수 있어야 합니다. 그리고 이상적으로, 그것은 당신에게 봉사하는 데 많은 비용이 들지 않습니다, 그렇죠? 자, 여기에적용할수있는기준이있습니다. 하지만여러분의요점은, 케네스씨, 그것이현재는넓게동의되지않는다는것입니다. 그렇죠?

Kenneth Thomas: 바로 떠오르는 것은 웹사이트 제공자들과 같은 제공자들이 프로그래밍 방식의 사고방식을 갖도록 강요하고 있다는 것입니다. 반면에, 제가 사이트를 운영하고 있고 사이트에 API가 연결되어 있다고 가정해 봅시다. 저는 이미 이런 것들을 생각하고 있습니다. 나는 이미 알아내기 위해 필요한 것들을 겪고 있습니다. 자, 누가 여기에 연결되나요? 그들은 어떻게 우리의 서비스에 도달합니까? 우리는 그들에게 무엇을 말하고 그들이 연결되었을 때 사용할 수있는 것은 무엇입니까? 이는 API를 사용할 수 있을 뿐만 아니라 안전하다는 것을 보장하는 초석과 같습니다. 사람들이 들어와서 요청을 하고 모든 데이터를 얻을 수 없다고 가정해 봅시다. 그리고 반대로, 이러한 사이트에서도 동일하게 이루어져야합니다. 그리고 Shopify가 운영하는 패션 부티크 유형의 사이트를 간단히 실행한다고 가정해 보겠습니다. 자, 저는 프로그래머의 사고방식에 더 많은 관심을 기울여야 합니다. 제 웹사이트가 일종의 API로 바뀌어야 하는 것과 같죠. 아마도 직접 판매를 하기 위해서가 아니라 정보를 나열하고 사용할 수 있는지 확인하기 위해서죠. 우리가 원하는대로, 또는 LLM과 그 데이터를 소비하는 모든 다른 것들에 대한 욕구로.

Tom Gorup: 네, 말씀하시는 대로 흥미롭습니다. 저는 어떤 의미에서 사용자 에이전트를 존중하는 것 사이의 이 싸움에 대해 생각하고 있었습니다. 그리고 그것은 스펙트럼의 양쪽 끝을 존중하는 것입니다. 봇 개발자는 사용자 에이전트뿐만 아니라 웹 관리자 또는 개발자를 통해 자신을 식별합니다. 이러한 사용자 에이전트를 사용하여 기계에서 판독할 수 있는 결과를 이끌어낼 수 있는 방법을 만듭니다. 우리가 존중하는 세상처럼 느껴지죠. 사용자 에이전트가 미래의 해시태그나 여러분이 뛰어들 수 있는 무언가가 될 수도 있습니다. 그래서 기계가 이끄는 인간이 이끄는 AI 세계에서는 다른 것들이 떠오르죠. 나는 우리가 확실히 이 주제에 관여한다는 것을 안다.

앤드류 존슨: 어느 날 기사를 봤어요. 웹 사이트의 정보 및 위치와 관련이 있습니다. 그리고 난 그냥 당신의 친구들의 생각을 듣고 싶어요. 우리가 이것에 대해 말하지 않았다는 것을 알지만, 이 큰 AI 회사들은 훈련 데이터가 필요하죠, 그렇죠? 그리고 무료 교육 데이터를 많이 얻을 수있는 완벽한 장소는 웹 사이트 또는 인터넷입니다. 그리고 그들은 AI 회사들이 이 교육 데이터를 클라우드에 저장하는 것을 걱정하고 있습니다. 그리고 종종 그것은 당신의 지리나 지역에서도 일어나지 않을 것입니다. 따라서 귀하의 정보가 실제로 귀하의 지역을 떠날 수 있습니다. 얼마나 큰 문제입니까? 제게는, 좋아요, 여러분이 웹사이트에 올린 것은 PII를 너무 많이 넣지 않을 거에요. 저는 이것이 실제로 해를 끼칠 수 있는 사용 사례를 생각해보려고 합니다.

톰 고럽: 대단한 생각이군요. 최근 신원조회업자가 누설한 것처럼요. 수억 수백만 명이나 수백만 명이었죠. 우리는 수백만 명이라고 말할 겁니다. 왜냐하면 제 앞에 사회보장번호와 신분증이 없거든요. 본질적으로. 사실, 저는 홈디포에서 거절당한 편지를 받았습니다. 홈디포에서 저를 식별할 수 없어서 홈디포 신용카드였죠. 저는 마치 제가 아니었기 때문이었죠. 그래서 분명히, 내 사회 보장 번호는 홈 디포에서 물건에 의해 활용되려고합니다. 하지만 그 목적을 위해, 저는 그것이 발견되었고 케네스가 제가 틀렸다면 저를 고쳐주었다고 생각합니다. 데이터베이스에 접근하기 위한 암호나 자격 증명은 웹사이트에서 일반 텍스트로 볼 수 있었다는 것이죠. 이런 실수는 항상 일어나는 거잖아요, 그렇죠? 데이터베이스가 평범하게 이용 가능한 것은 아니지만, AI 봇에 의해 스크레이핑될 수도 있고, 현재 기억에 있는 봇들은 사회 보장 번호를 가지고 있습니다. 잘 모르겠어. 어떻게 생각하세요? 어떻게 이런 것을 사용할 수 있을까요?

케네스 토마스: 아닙니다, 앤드류, 그리고 솔직히 말해서, 제가 생각하기에는 제대로 세분화되지 않았다고 생각합니다. 그러나 대부분의 조직은 보안 또는 기업 보안을 느슨하게 접근할 경우 단호한 공격자라도 기술에 관계없이 이러한 비밀을 찾아 자신의 목적에 활용할 수 있습니다. 글쎄요, 저는 그렇게 생각하지 않습니다. 인공지능의 관점에서 말해봅시다. 그게 걱정거리입니다. 다시 말해, 저는 적어도 이 시점에서는 AI가 로그인 비밀번호 조합을 찾아서 시도하는 것에 대해 걱정할 필요가 없다고 생각합니다. 제 생각에 더 큰 문제는 인간이 그것을 발견할 때, 그리고 종종 조직이나 프로젝트의 규모가 증가함에 따라 보안에 대한 초점이 같은 속도로 확장되지 않는 경우가 많다는 것입니다. 이 때문에 보안상의 격차가 생길 수 있습니다. 처리상의 격차가 더 큰 악용이나 더 큰 보안 손상으로 이어질 수 있습니다. 이 질문에 대한 좋은 대답은 없지만, 특히 현지화된 데이터 보호법이 있다면 고려해야 할 사항입니다. 예를 들어, CCPA는 캘리포니아 시민들에게 특정한 보호를 제공하고 있습니다. 텍사스의 우리에게까지 확장되지 않겠다고 말이죠. 그래서, 만약 여러분이 캘리포니아에 있는 데이터 제공자나 브로커라면, 캘리포니아에서 활동하고 있다면, 이런 종류의 일을 하기 위해서는 어떤 보호책이 마련되어야 합니다. 그래서, 다시 한 번, 우리는 이 경제를 건설하고 소프트웨어의 미래를 건설하기 위해 많은 발전과 일들이 우리 앞에 놓여 있다고 생각합니다. 하지만 동시에, 우리가 도출한 많은 표준과 모범 사례는 90년대 중반에서 후반까지 웹의 초기 시절부터 나온 것입니다. 이 모든 다른 힘들이 어떻게 결합하는지는 흥미롭습니다. 우리는 실시간으로 이것에 대해서도 생각해야 합니다.

앤드류 존슨 : 많은 사람들에게 도움이됩니다. 나는 완벽하게 작동하는 웹 사이트 관점에서 생각하고 있었다. 그리고 톰, 당신은 제가 잘못된 구성이나 느슨한 보안 관점, 그리고 그것이 어떻게 문제가 될 수 있는지에 대해 생각하도록 도와주었습니다. 하지만 또한, 다른 개인 정보 보호 법률에 대해 이야기 할 때, 이러한 AI 검색 엔진이나 AI 스크레이퍼의 요청은 노드에서 해당 지역에서 빠져 나올 수 있다고 생각합니다. 해당 지역의 서버에서 가져올 수도 있지만 해당 데이터를 가져갈 것입니다. 그것은 반드시 당신의 지역에 머물러 있지 않을 것입니다. 일반적으로 해당 지역 외부에 있는 보다 중앙 집중화된 클라우드로 이동합니다.

톰 고럽: 좋은 질문입니다. 탐험하기 좋은 주제입니다. 이 보고서에서는 시간이 훨씬 더 많다는 것을 알 수 있습니다. 한 가지 주제에 대해 이야기하고 있었는데, 보고서는 DDoS 스파이더링입니다. 공격자들이 애플리케이션 내의 다양한 엔드포인트를 탐색하여 가장 취약한 엔드포인트를 찾아내고 보고서에는 몇 가지 제어 및 권장 사항이 포함되어 있습니다. 여기에 뉴스에 당신을 착륙 할 상위 5 가지 약점이 있습니다. 우리는 AI를 활용하여 뉴스를 분석하여 더 많은 위협 인텔리전스를 수집하고 상위 CVE뿐만 아니라 뉴스에서 발견 한 약점을 찾아냅니다. 그리고 약간의 스포일러와, 올해 CVE 성장에 대한 예측에 반하는 모델 중 일부입니다. 2017년 이후 CVE에서 확인한 가장 큰 해가 될 수 있습니다. 꼭 나쁜 것은 아니지만 보고서에서 제외할 것이 훨씬 더 많다고 생각합니다. 그래서, 그 말과 함께, 거기에 뿌려야 할 것이 더 있습니다. AI, DDoS 스파이더링, 약점에 대해 마무리할 생각이 있습니까? 보고서 주변에 뭐가 있나?

Andrew Johnson: 오늘 사람들이 CVE의 일상에 대해 듣는 보고서가 꽤 흥미롭다고 생각했지만 코드에서 그것을 방지하는 방법은 무엇입니까? 이 보고서는 실제로 약점, 근본적인 약점 자체를 강조하는 좋은 일을한다고 생각합니다. 제 말은, 수년에 걸쳐 같은 범인이 많이 있지만, 더 안전한 소프트웨어를 만드는 데 중점을 둡니다. 이 보고서에는 많은 아이디어가 담겨 있다고 생각합니다.

톰 고럽: 네, 그건 좋은 점입니다. 나는 농담을 계속하고 종종 보안 사람들은 내가 그것을 말할 때 나와 함께 화가 나지만, 보안은 단지 패치에 불과하다는 점에서 연마하기 위해 의도되었습니다. 잘못된 구성에 대한 패치입니다. 그것은 가난한 코딩을위한 패치입니다. 솔직히, 무지를 위한 패치죠, 그렇죠? 누군가 이해가 안되는 것을 클릭하는 것 맞죠? 보안은 패치입니다. 더 가까이 갈수록 문제의 근원에 도달할 수 있습니다. 당신의 요점으로는, 잘못 작성된 소프트웨어 그리고 그것은 의도적이지 않다, 권리? 누구도 일부러 그런 짓을 하지 않는다. 일반적으로 시장 출시 속도가 빨라지거나 문제가 있다는 것을 모를 뿐입니다. 우리가 뿌리로 내려갈수록 우리는 더 나아질 것입니다.

앤드류 존슨: 맞아요. 보안 코딩 배경이 없는 개발자들이 많이 있습니다. 아마 대부분의 개발자들이 그랬을 것이다.

Tom Gorup: 네, 보안 담당자로도 어느 시점에 안전하지 않은 코드를 작성했다고 확신합니다. 그런 일이 일어나는 거죠, 그렇죠? 그리고 많은 것들이 그저 무지한 인식에 그쳐야 합니다. 그런 일이 일어날 수 있다는 것을 알고 있었습니까?
케네스 전체 또는 AI 중 어느 쪽이든 보고서 주위에 대한 마무리 생각은 무엇입니까?

케네스 토마스: 물론이죠. 저는 정말 즐거운 시간을 보냈습니다. 이 보고서를 작성하고, 특히 크롤링 지연과 같은 것들에 대해 알아냈습니다. 앞서 언급했듯이, 우리의 많은 표준은 당시부터 왔으며, 90 년대부터 왔습니다. robots.txt 은 확실히 그 중 하나입니다. 그러나 크롤링 지연은 레거시 표준 인력처럼 일종의 혁신을하고 있음을 나타냅니다. 시장의 반대편에는 혁신을 존중하는 기업들도 있습니다. 즉, 이 보고서에는 실행 가능한 인텔리전스가 다수 포함되어 있습니다. 사이트 운영자는 즉시 인텔을 활용하여 새로운 트래픽과 현재 관찰되는 패턴과 관련하여 무엇을 해야 하는지에 대한 결정을 내릴 수 있습니다. 그러나 AI는 확실히 여기에 머물러 있습니다. 나는 모든 사람들이 그 안에서 그들이 관심을 갖는 것을 따르도록 절대적으로 격려할 것입니다. 그러나 특히 AI 및 웹과 관련된 새로운 개발과 새로운 프로토콜을 찾으십시오. 왜냐하면 저는 우리가 아직 기술의 발전을 위해 갈 길이 꽤 있다고 생각하기 때문입니다. 그리고 특히, 지난 날 여러분이 올린 ‘시맨틱 웹(Tom, The Semantic Web)’도 제가 시맨틱 웹(SemanticWeb)이 발판이 되는 것을 보고 싶지만, 그건 저뿐입니다.

톰 고럽: 네, 대단하네요. 제 생각에 여러분이 중요한 점을 제기하고 있다고 생각합니다. 우리가 항상 바퀴를 재발명할 필요는 없다는 거죠, 그렇죠? 우리는 이미 사용 가능한 기술을 활용할 수 있습니다. 그리고 시맨틱 웹도, 마치 한동안 존재해왔던 것처럼 말이죠. 어쩌면 우리는 그것을 활용하여 어떤 미친 미래로 나아갈 수 있을지도 모릅니다. 특히 AI를 생각할 때, 그리고 향후 5-10년 또는 50년 안에 어떤 모습이 보이는지 생각할 때, 세상이 바뀔 것임을 알 수 있습니다.
하지만 두 분 다 고맙습니다. 이것은 훌륭한 대화였습니다. 다시 한 번 말씀드리지만, 모든 분들께 2분기 공격 트렌드 보고서를 확인해 보라고 권유합니다. 그것은 그 점에서 매우 많은 가치가 있으며, 이것들은 그것에 기여한 바위 스타들 중 일부입니다.

그러니 다음 시간까지 얼어붙어 있으세요.