조직의 공격 표면은 해커가 네트워크 또는 민감한 데이터에 무단으로 액세스하거나 사이버 공격을 수행하는 데 사용할 수 있는 취약성, 경로 또는 방법(공격 벡터라고도 함)의 총합입니다.
조직이 클라우드 서비스와 하이브리드(온프레미스/재택 근무) 작업 모델을 점점 더 많이 채택함에 따라 네트워크 및 관련 공격 표면은 날이 갈수록 커지고 복잡해지고 있습니다. Randori의 2022년 공격 표면 관리 현황에 따르면 조직의 67%가 지난 2년 동안 공격 표면의 규모가 커지는 것을 경험했습니다.
보안 전문가는 공격 표면을 디지털 공격 표면, 물리적 공격 표면, 소셜 엔지니어링 공격 표면의 세 가지 하위 표면으로 나눕니다.
Think 뉴스레터
Think 뉴스레터를 통해 AI, 사이버 보안, 데이터 및 자동화에 대한 선별된 뉴스를 제공하는 보안 리더들과 함께하세요. 받은 편지함으로 직접 제공되는 전문가 튜토리얼과 설명서를 통해 빠르게 배울 수 있습니다. IBM 개인정보 보호정책을 참고하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책 을 참조하세요.
디지털 공격 표면은 인터넷에 연결된 모든 해커에게 조직의 클라우드 및 온프레미스 인프라를 노출시킬 수 있습니다. 조직의 디지털 공격 표면에서 흔히 볼 수 있는 공격 벡터는 다음과 같습니다:
취약한 비밀번호: 추측하기 쉽거나 무차별 대입 공격을 통해 쉽게 해독할 수 있는 비밀번호는 사이버 범죄자가 사용자 계정을 손상시켜 네트워크에 액세스하고, 민감한 정보를 훔치고, 멀웨어를 퍼뜨리고, 인프라를 손상시킬 수 있는 위험을 높입니다. IBM의 2025 데이터 유출 비용(CODB) 보고서에 따르면 자격 증명 유출이 데이터 유출 원인의 10%를 차지했습니다.
구성 오류: 네트워크 포트, 채널, 무선 액세스 포인트, 방화벽 또는 프로토콜이 제대로 구성되어 있지 않으면 해커의 진입점으로 악용됩니다. 예를 들어 중간자 공격은 메시지 전달 채널에서 취약한 암호화 프로토콜을 사용하여 시스템 간의 통신을 가로채는 수법입니다.
소프트웨어, OS 및 펌웨어 취약성: 해커와 사이버 범죄자는 타사 앱, OS, 기타 소프트웨어 또는 펌웨어의 코딩 또는 구현 오류를 이용하여 네트워크에 침투하거나, 사용자 디렉터리에 접근하거나, 멀웨어를 심을 수 있습니다. 예를 들어 2021년에 사이버 범죄자들은 Kaseya의 VSA(가상 스토리지 어플라이언스) 플랫폼의 결함을 이용하여 소프트웨어 업데이트로 위장한 랜섬웨어를 Kaseya의 고객에게 배포했습니다.
인터넷 연결 자산: 공용 인터넷에 연결된 웹 애플리케이션, 웹 서버 및 기타 리소스는 본질적으로 공격에 취약합니다. 예를 들어 해커는 보안되지 않은 API(애플리케이션 프로그래밍 인터페이스)에 악성 코드를 삽입하여 관련 데이터베이스의 중요한 정보를 부적절하게 누설하거나 파괴할 수 있습니다.
공유 데이터베이스 및 디렉터리: 해커는 시스템과 장치 간에 공유되는 데이터베이스 및 디렉터리를 악용하여 중요한 리소스에 대한 무단 액세스 권한을 얻거나 랜섬웨어 공격을 시작할 수 있습니다. 2016년에는 Virlock 랜섬웨어가 여러 장치에서 액세스하는 협업 파일 폴더를 감염시키며 확산되었습니다.
오래되거나 사용이 중단된 디바이스, 데이터, 애플리케이션: 업데이트와 패치를 꾸준히 적용하지 않으면 보안 위험이 발생합니다. 한 가지 주목할 만한 예는 이미 패치가 제공된 Microsoft Windows 운영 체제의 취약점을 악용해 확산된 WannaCry 랜섬웨어입니다. 마찬가지로, 제거, 삭제 또는 폐기되지 않은 구형 엔드포인트, 데이터 세트, 사용자 계정, 그리고 앱들은 사이버 범죄자가 쉽게 악용할 수 있는 모니터링되지 않는 취약점을 만들어냅니다.
섀도우 IT: '섀도우 IT'는 직원이 IT 부서의 인지나 승인 없이 사용하는 소프트웨어, 하드웨어나 기기(무료 또는 인기 앱, 휴대용 저장 장치, 보안이 적용되지 않은 개인 모바일 기기)를 말합니다. 섀도우 IT는 IT팀이나 보안팀이 모니터링하지 않기 때문에 심각한 취약성이 발생하고 해커에게 악용될 수 있습니다.
물리적 공격 표면은 일반적으로 조직의 물리적 사무실 또는 엔드포인트 디바이스(서버, 컴퓨터, 노트북, 모바일 디바이스, IoT 디바이스 또는 운영 하드웨어)에 대한 액세스 권한이 있는 사용자만 액세스할 수 있는 자산과 정보를 노출합니다.
악의적인 내부자: 불만을 품거나 뇌물을 받은 직원 또는 악의적인 의도를 가진 다른 사용자가 액세스 권한을 사용하여 중요한 데이터를 훔치거나, 장치를 비활성화하거나, 멀웨어를 심는 등의 작업을 수행할 수 있습니다.
디바이스 도난: 범죄자는 엔드포인트 디바이스를 훔치거나 조직 건물에 침입해 해당 디바이스에 접근할 수 있습니다. 해커는 하드웨어를 장악한 후 이러한 디바이스에 저장된 데이터와 프로세스에 액세스할 수 있습니다. 또한 디바이스의 ID와 권한을 사용하여 다른 네트워크 리소스에 액세스할 수도 있습니다. 원격 근무자가 사용하는 엔드포인트, 직원의 개인 디바이스, 부적절하게 폐기된 디바이스는 일반적인 도난의 표적이 됩니다.
베이팅: 베이팅은 해커가 멀웨어에 감염된 USB 드라이브를 공공 장소에 두어 사용자가 장치를 컴퓨터에 연결하고 실수로 멀웨어를 다운로드하도록 속이는 공격입니다.
소셜 엔지니어링은 다음과 같은 다양한 방법을 통해 사람들을 속여 개인 또는 조직의 자산이나 보안을 손상시키는 실수를 저지르게 합니다.
소셜 엔지니어링은 기술적 또는 디지털 시스템 취약성보다는 인간의 약점을 악용하기 때문에 '인간 해킹'이라고도 합니다.
조직의 소셜 엔지니어링 공격 표면은 본질적으로 소셜 엔지니어링 공격에 대한 준비가 되어 있지 않거나 취약한 승인된 사용자의 수에 해당합니다.
피싱은 가장 잘 알려져 있고 가장 널리 퍼져 있는 소셜 엔지니어링 공격 벡터입니다. IBM의 2025년 데이터 침해 비용 보고서에 따르면 피싱은 데이터 침해의 주요 원인입니다.
피싱 공격에서 사기꾼은 수신자가 중요한 정보를 공유하거나, 악성 소프트웨어를 다운로드하거나, 돈이나 자산을 잘못된 사람에게 전송하거나, 기타 피해를 입히는 조치를 취하도록 조작하는 이메일, 문자 메시지 또는 음성 메시지를 보냅니다. 사기꾼들은 유명 소매업체, 정부 기관, 때로는 수신자가 개인적으로 알고 있는 개인 등 신뢰할 수 있거나 믿을 수 있는 조직이나 개인이 보낸 것처럼 보이거나 들리도록 피싱 메시지를 제작합니다.
공격 표면 관리(ASM)는 조직의 공격 표면을 해커의 관점에서 바라보는 프로세스와 기술로, 해커가 조직을 노릴 때 탐지하고 악용하려는 자산과 취약점을 식별하고 지속적으로 모니터링하는 것을 말합니다. ASM에는 일반적으로 다음이 포함됩니다.
잠재적으로 취약한 자산을 지속적으로 검색, 목록화 및 모니터링합니다. 모든 ASM 이니셔티브는 온프레미스 및 클라우드 자산을 포함하여 조직의 인터넷에 연결된 IT 자산에 대한 완전하고 지속적으로 업데이트되는 재고 목록에서 시작됩니다. 해커의 접근 방식을 취하면 알려진 자산뿐만 아니라 섀도우 IT 애플리케이션이나 디바이스도 발견할 수 있습니다. 이러한 애플리케이션이나 디바이스는 폐기되었지만 삭제되거나 비활성화되지 않았을 수 있습니다(고아 IT). 또는 해커나 멀웨어(악성 IT)가 심어놓은 자산, 더 본질적으로는 해커나 사이버 위협에 의해 악용될 수 있는 모든 자산을 의미합니다.
일단 발견된 자산은 잠재적인 공격 벡터로서 위험을 높이는 변경 사항이 있는지 실시간으로 지속적으로 모니터링됩니다.
공격 표면 분석, 위험 평가 및 우선순위 지정. ASM 기술은 자산이 제기하는 취약성 및 보안 위험에 따라 자산의 점수를 매기고 위협 대응 또는 수정을 위해 자산의 우선순위를 지정합니다.
공격 표면 감소 및 해결. 보안 팀은 공격 표면 분석 및 레드 팀에서 얻은 결과를 적용하여 공격 표면을 줄이기 위한 다양한 단기 조치를 취할 수 있습니다. 여기에는 더 강력한 암호 적용, 더 이상 사용하지 않는 애플리케이션 및 엔드포인트 디바이스 비활성화, 애플리케이션 및 OS 패치 적용, 피싱 사기를 인식하도록 사용자 교육, 사무실 출입을 위한 생체 인식 액세스 제어 도입, 소프트웨어 다운로드 및 이동식 미디어에 대한 보안 제어 및 정책 개정 등이 포함될 수 있습니다.
또한 조직은 공격 표면 관리 이니셔티브의 일환으로 또는 독립적으로 공격 표면을 줄이기 위해 보다 구조적이거나 장기적인 보안 조치를 취할 수 있습니다. 예를 들어 2단계 인증(2FA)이나 다중 요소 인증을 도입하면 취약한 암호 또는 잘못된 암호 위생과 관련된 잠재적 취약성을 줄이거나 제거할 수 있습니다.
더 넓은 범위에서 제로 트러스트 보안 접근 방식은 조직의 공격 표면을 크게 줄일 수 있습니다. 제로 트러스트 접근 방식을 사용하려면 네트워크 외부에 있든 이미 네트워크 내부에 있든 모든 사용자가 애플리케이션 및 데이터에 대한 액세스 권한을 얻고 유지하기 위해 인증, 권한 부여 및 지속적인 검증을 받아야 합니다. 제로 트러스트 원칙과 기술(지속적인 검증, 최소 권한 액세스, 지속적인 모니터링, 네트워크 마이크로 세분화)은 많은 공격 벡터를 줄이거나 제거하고 지속적인 공격 표면 분석에 유용한 데이터를 제공할 수 있습니다.