조직의 공격 벡터(위협 벡터라고도 함)와 사이버 보안 취약점은 함께 조직의 공격 표면을 구성합니다. 기업이 디지털 전환을 추진하면서 공격 표면은 더욱 확대되었습니다. 여기에는 인공지능(AI) 도입, 클라우드 및 데이터 센터 마이그레이션, 사물인터넷 장치 사용, 원격 근무 환경 구축 등이 포함됩니다. 이처럼 수많은 자산이 점점 더 복잡하고 분산된 기술 환경의 일부가 되면서, 사이버 범죄자는 네트워크와 운영 체제에 침투할 수 있는 더 많은 진입 지점을 확보하게 되었습니다.
한편 공격 벡터의 범위와 정교함 역시 진화해 왔습니다. 위협 행위자는 AI와 같은 최신 기술을 활용해 사용자를 조작하고 기존 보안 조치를 회피합니다.
다행히 엔터프라이즈 보안 팀은 공격 표면 관리(ASM)와 같은 사이버 보안 분야를 활용해 이러한 공격자를 차단할 수 있습니다. ASM은 조직이 잠재적인 공격 방법을 식별하고 공격 벡터에 대응하도록 지원하며, 이는 사이버 보안 위험을 완화하는 데 있어 핵심적인 단계입니다.
Think 뉴스레터
Think 뉴스레터를 통해 AI, 사이버 보안, 데이터 및 자동화에 대한 선별된 뉴스를 제공하는 보안 리더들과 함께하세요. 받은 편지함으로 직접 제공되는 전문가 튜토리얼과 설명서를 통해 빠르게 배울 수 있습니다. IBM 개인정보 보호정책을 참고하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책 을 참조하세요.
역학에서 벡터는 감염병을 전파하는 매개체를 의미합니다. 이는 모기나 박쥐와 같은 생물부터 주사기나 지폐와 같은 무생물까지 다양합니다.1 이러한 벡터를 이해하는 것은 공중보건 영역에서 질병 예방과 전파 차단 노력을 수립하는 데 중요한 정보를 제공합니다.
마찬가지로 사이버 공격 벡터의 다양성을 이해하면 조직과 이를 지원하는 사이버 보안 전문가는 사이버 위협 탐지 및 대응을 위한 전략과 툴을 수립하고 배포할 수 있습니다.
이러한 탐지와 대응이 이루어지지 않으면 심각한 결과로 이어질 수 있습니다. 공격 벡터는 종종 데이터 침해로 이어지며, 이 과정에서 위협 행위자는 민감하거나 기밀인 정보에 액세스하게 됩니다.
IBM 데이터 유출 비용 보고서 2025에 따르면 데이터 침해의 평균 비용은 444만 달러입니다. 이러한 비용에는 침해 조사와 감사, 고객·규제 기관·이해관계자에 대한 침해 보고, 합의금과 법률 비용, 고객 이탈로 인한 손실이 포함됩니다. 데이터 침해가 규제 벌금으로 이어질 수 있는 고도로 규제된 산업에서는 이러한 사고의 비용이 특히 높아지는 경향이 있습니다. 예를 들어 IBM 보고서에 따르면 2025년 의료 분야 데이터 침해의 평균 비용은 742만 달러입니다.
공격 벡터는 해커가 자산을 비활성화하거나 파괴하는 데에도 사용될 수 있으며, 이는 중대한 비즈니스 및 경제적 혼란을 초래할 수 있습니다. 예를 들어 2025년 9월에는 공항 체크인 시스템에 대한 사이버 공격으로 유럽 주요 도시의 공항에서 항공편 취소와 지연이 발생했습니다. 같은 달 초에는 한 영국 대형 자동차 제조사가 사이버 공격으로 인해 몇 주간 운영을 중단해야 했습니다.
변이를 일으키는 병원체와 마찬가지로 사이버 위협 환경도 계속 진화하고 있습니다. 예를 들어 20년 전에는 노트북이나 USB 드라이브와 같은 분실 또는 도난 장치가 전체 데이터 침해의 약 절반을 차지하는 주요 공격 벡터였습니다. 그러나 IBM 데이터 유출 비용(CODB) 보고서 2025에 따르면 오늘날 장치 도난은 전체 데이터 침해의 10% 미만을 차지하며, 나머지는 피싱부터 침해된 공급망에 이르기까지 다양한 벡터가 관련되어 있습니다.
사이버 범죄자는 새로운 기술을 활용해 공격 벡터를 활용하는 방식을 더욱 효율화하고 있습니다. 예를 들어 이들은 피싱 이메일과 웹페이지를 설득력 있게 제작하는 등 다양한 기만적 활동에 AI를 점점 더 많이 활용하고 있습니다. IBM 데이터 유출 비용(CODB) 보고서 2025에 따르면, 평균적으로 데이터 침해의 16%는 공격자가 AI를 사용한 사례였으며, 주된 활용 사례는 AI 생성 피싱(37%)과 딥페이크 사칭 공격(35%)이었습니다.
해커들은 또한 다크 웹을 탐색하며 스파이웨어 사용부터 비밀번호 크래킹에 이르는 다양한 사이버 범죄 활동을 수행하기 위한 서비스형 범죄(CaaS) 소프트웨어를 구매하고 있습니다. 2025 IBM® X-Force Threat Intelligence Index에 따르면, 고급 툴로 무장한 ‘형태를 바꾸는 사이버 적대자’는 더 많은 액세스를 확보하고, 네트워크 전반을 더욱 쉽게 이동하며, 비교적 은밀한 환경에서 새로운 거점을 구축합니다.
위협 행위자의 진화하는 공격 벡터를 추적하면 엔터프라이즈가 이에 대응하는 데 도움이 됩니다. IBM Security의 Distinguished Engineer인 Jeff Crume은 최근 IBM Technology 동영상에서 “해커가 무엇을 하고 있는지 더 많이 알수록 방어 체계를 더 효과적으로 구축할 수 있습니다.”라고 설명했습니다. "정보는 힘입니다."
조직마다 공격 벡터를 분류하는 방식은 다르지만, 일반적인 범주는 다음과 같습니다.
소셜 엔지니어링 공격은 사용자가 신뢰할 수 있는 상대와 소통하고 있다고 믿게 만든 뒤, 개인 데이터(은행 비밀번호, 신용카드 번호)나 조직 자산(독점 정보, 영업 비밀)의 보안을 스스로 훼손하도록 유도합니다.
가장 일반적인 소셜 엔지니어링 공격 중 하나는 피싱으로, 사기성 이메일, 문자 메시지, 전화 또는 웹사이트를 사용하는 방식입니다. IBM 데이터 유출 비용(CODB) 보고서 2025에 따르면, 피싱은 데이터 침해의 가장 일반적인 벡터로 나타났으며 전체 침해의 16%를 차지했고, 공격당 평균 비용은 480만 달러였습니다. 피싱 공격에는 공격자가 신뢰할 수 있는 출처를 가장하기 위해 이메일 주소나 기타 통신 수단을 위장하는 스푸핑이 자주 포함됩니다.
해커는 파트너에 접근하기 위해 타사 공급업체를 침투하려 하며, 이로 인해 공급망은 사이버 공격의 주요 표적이 됩니다. 현대의 공급망 에코시스템은 광범위한 공격 표면을 형성하는 디지털 시스템과 통신 기술로 인해 점점 더 취약해지고 있습니다.
공급망 사이버 공격은 생산 중단, 운송 및 물류 차질, 핵심 인프라 손상, 지적 재산 탈취 등 다양한 피해를 초래할 수 있습니다. IBM 데이터 유출 비용(CODB) 보고서 2025에 따르면 공급망 침해는 데이터 침해의 두 번째로 흔한 벡터이자, 공격당 평균 비용이 491만 달러로 두 번째로 비용이 큰 벡터입니다.
특히 더 많은 기업이 컴퓨터 시스템에 오픈 소스 소프트웨어를 의존하게 되면서 소프트웨어 공급망에 대한 공격에 대한 우려가 커지고 있습니다. 한 연구에 따르면 오픈 소스 패키지 리포지토리에서 비롯된 소프트웨어 공급망 위협은 3년 동안 1,300% 증가했습니다.2
서비스 거부(DoS) 공격은 애플리케이션이나 서비스를 느리게 하거나 중단시키는 사이버 공격입니다. 대부분의 경우 DoS 사고는 공격자가 네트워크 서버에 대량의 트래픽을 유입시켜 서버를 과부하 상태로 만들고 정상적인 요청 처리를 중단시키는 형태로 나타납니다. IBM 데이터 유출 비용(CODB) 보고서 2025에 따르면 서비스 거부 공격은 데이터 유출의 12% 이상을 차지했습니다.
강력한 형태의 DoS 공격으로는 분산 서비스 거부 공격(DDoS)이 있습니다. DDoS 공격에서는 공격 트래픽이 여러 출처에서 동시에 발생하기 때문에 탐지와 방어가 더욱 어려워질 수 있습니다. DDoS 공격은 해커가 범죄 활동을 위해 장악한 연결된 장치들의 집합인 봇넷을 통해 수행되는 경우가 많습니다.
탈취된 자격 증명 공격은 해커가 사용자 이름과 비밀번호와 같은 합법적인 사용자 로그인 자격 증명을 통해 시스템에 무단으로 액세스할 때 발생합니다. IBM X-Force Threat Intelligence Index에 따르면 전체 사이버 공격의 30%는 유효한 계정의 탈취 및 악용과 관련되어 있습니다.
해커는 탈취된 자격 증명 공격을 수행하기 위한 다양한 방법을 가지고 있습니다. 예를 들어 과거 데이터 침해에서 노출된 사용자 자격 증명을 사용하거나, 피싱을 통해 피해자가 자격 증명을 공유하도록 유도할 수 있습니다. 또한 컴퓨팅 성능과 자동화를 활용해 시행착오 방식으로 비밀번호를 추론하는 무차별 대입 공격을 사용할 수 있으며, 취약한 비밀번호는 일반적으로 더 쉽게 찾아낼 수 있습니다.
내부자 위협은 직원, 계약자, 비즈니스 파트너 등 권한이 있는 사용자가 고의 또는 실수로 합법적인 액세스 권한을 오용하거나 사이버 범죄자가 계정을 탈취하여 발생하는 사이버 보안 위협입니다.
내부자 위협에는 복수를 목적으로 한 불만 직원과 같은 악의적 내부자, 무지나 부주의로 보안 위협을 초래하는 부주의한 내부자, 자격 증명이 탈취된 내부자 등 다양한 유형이 있습니다.
IBM 데이터 유출 비용(CODB) 보고서 2025에 따르면 악의적 내부자 공격은 모든 공격 벡터 중 데이터 침해 비용이 가장 높은 원인으로, 사고당 492만 달러에 달합니다.
취약점 악용은 내부 또는 외부 위협 행위자가 조직의 디지털 환경에 존재하는 보안 약점을 악용할 때 발생합니다. X-Force Threat Intelligence Index에 따르면 외부에 공개된 애플리케이션의 취약점 악용은 주요 사이버 공격 벡터 중 하나입니다.
취약점의 예는 다음과 같습니다.
공통 취약점 및 노출(CVE) 목록과 같은 보안 취약점 카탈로그가 존재함에도 불구하고, 많은 취약점은 여전히 알려지지 않은 채로 방치되어 있습니다. 이러한 보안 약점은 악의적인 행위자가 이를 악용하기 전에 소프트웨어 공급자나 장치 공급업체가 수정할 시간이 전혀 없다는 의미에서 제로데이 취약점이라고 불립니다. 이로 인해 발생하는 공격을 제로데이 공격이라고 합니다.
멀웨어, 즉 악성 소프트웨어는 사회공학이나 공급망 침해와 같은 다른 공격 벡터의 구성 요소로 사용되는 경우가 많지만, 그 자체로 하나의 벡터 범주로 보기도 합니다. IBM X-Force Threat Intelligence Index에 따르면 2024년에는 랜섬웨어가 멀웨어 사례 중 가장 큰 비중(28%)을 차지했습니다.
멀웨어의 다른 예로는 해커에게 원격 액세스를 제공하는 원격 액세스 멀웨어, 유용한 프로그램으로 위장한 트로이 목마, 민감한 정보를 수집해 해커에게 전송하는 스파이웨어가 있습니다.
가치 있는 정보를 탈취하도록 설계된 인포스틸러 멀웨어는 이 분야에서 점점 더 커지는 위협입니다. X-Force Threat Intelligence Index에 따르면 피싱 이메일을 통해 매주 유포되는 인포스틸러의 수는 84% 급증했습니다.
해커가 사용할 수 있는 디지털 툴이 매우 다양해졌음에도 불구하고, 물리적 침입은 여전히 사이버 보안에서 현실적인 우려 사항으로 남아 있습니다. 예를 들어 공격자는 출입 배지를 위조하거나 공급업체를 사칭하거나, 권한이 있는 사람을 따라 기업의 보안 구역으로 들어갈 수 있는데, 이를 테일게이팅이라고 합니다. 이후 노트북이나 기타 장치를 훔치거나, 멀웨어를 다운로드하거나, 멀웨어가 담긴 USB 드라이브를 사무실 곳곳에 두어 호기심 많은 직원이 이를 꽂는 과정에서 무심코 멀웨어를 업로드하도록 만들 수 있습니다.
IBM 데이터 유출 비용(CODB) 보고서 2025에 따르면 물리적 도난이나 보안 문제로 인해 조직이 입는 평균 비용은 사고당 400만 달러를 초과합니다.
사이버 공격은 종종 두 가지 이상의 공격 벡터를 포함합니다. 예를 들어 공격자는 피싱을 사용해 사용자가 자신의 컴퓨터에 랜섬웨어가 다운로드되도록 속일 수 있습니다. 그런 다음 공격자는 피해자가 요구된 몸값을 지불하지 않을 경우 DDoS 공격을 가하겠다고 위협할 수 있습니다. 또는 공급업체 시스템의 취약점을 악용해 고객 시스템에 접근하는 공급망 침해 공격을 수행하고, 해당 시스템에 자격 증명을 스캔하기 위한 악성 코드를 주입한 뒤, 해커가 이를 사용해 데이터를 외부로 유출할 수도 있습니다.
공격 벡터를 분류하는 또 다른 방식은 수동형과 능동형의 두 가지 그룹으로 나누는 것입니다.
사이버 범죄자는 시스템을 변경하지 않고 정보에 접근하기 위해 수동형 공격 벡터를 사용합니다. 수동형 공격 벡터의 한 예로는 암호화가 적용되지 않은 Wi-Fi 네트워크가 있으며, 이는 해커의 도청에 취약합니다.
반면 해커는 시스템을 장악하거나 교란하거나 기타 방식으로 영향을 미치기 위해 능동형 공격 벡터를 사용합니다. 능동형 공격 벡터에는 서비스 거부 공격과 랜섬웨어 공격이 포함됩니다.
때로는 능동형 공격 벡터와 수동형 공격 벡터의 구분이 명확하지 않은 경우도 있습니다. 예를 들어 피싱이 대상 시스템을 변경하지 않고 단순히 정보를 획득하는 데만 사용될 경우 수동형 공격 벡터로 간주될 수 있습니다. 그러나 피해자를 속여 시스템에 랜섬웨어를 다운로드하게 만드는 피싱은 능동형 공격 벡터로 간주될 수 있습니다.
사이버 보안 전문가는 다양한 툴과 전략을 활용할 수 있지만, 잠재적인 공격 벡터를 대응하는 데 있어 공격 표면 관리(ASM)는 특히 중요합니다. ASM은 다른 사이버 보안 분야와 달리 해커의 관점에서 수행되며, 사이버 범죄자에게 매력적으로 보일 수 있는 기회를 기준으로 시스템을 평가합니다.
ASM은 다음의 네 가지 핵심 프로세스로 구성됩니다.
자산 발견은 공격자의 진입 지점이 될 수 있는 인터넷 노출 하드웨어, 소프트웨어 및 클라우드 자산을 자동으로 지속적으로 스캔하고 식별합니다.
자산이 식별된 후에는 분류되고 취약점이 분석되며, 공격 가능성을 기준으로 우선순위가 지정됩니다.
패치 적용, 디버깅, 강화된 데이터 암호화, 다중 요소 인증(MFA) 구현과 같은 조치가 우선순위에 따라 적용됩니다.
목록화된 네트워크 자산과 네트워크 자체는 지속적으로 모니터링되며, 새로운 취약점과 공격 벡터가 실시간으로 탐지되고 평가됩니다.
1 “What is a vector?” Philosophical transactions of the Royal Society of London. Series B, Biological Sciences. 2017년 3월 13일.
2 “The State of Software Supply Chain Security 2024.” ReversingLabs. 2024년.