오늘날의 위협 행위자는 개인 해커와 조직화된 사이버 범죄자부터 장기적인 사이버 전쟁을 벌이는 국가 지원 그룹에 이르기까지 다양합니다. 멀웨어 공격, 소셜 엔지니어링 사기, 제로데이 익스플로잇, 자가 복제 웜 등 그 전술이 점점 더 다양해지고 있습니다.
공격자는 패치되지 않은 웹 애플리케이션부터 잘못 구성된 클라우드 서비스까지 모든 종류의 취약점을 악용하여 대상 시스템을 손상시키고 기능을 방해합니다. 이러한 위협을 완화하기 위해 조직은 사이버 공격을 예방, 탐지 및 대응할 수 있는 계층화된 방어 체계를 구축하여 사이버 공격이 큰 혼란을 일으키기 전에 대응할 수 있어야 합니다.
Think 뉴스레터
Think 뉴스레터를 통해 AI, 사이버 보안, 데이터 및 자동화에 대한 선별된 뉴스를 제공하는 보안 리더들과 함께하세요. 받은 편지함으로 직접 제공되는 전문가 튜토리얼과 설명서를 통해 빠르게 배울 수 있습니다. IBM 개인정보 보호정책을 참고하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책 을 참조하세요.
사이버 공격은 진공 상태에서 발생하지 않습니다. 이들은 기술, 사람, 동기가 교차하는 지점을 공격합니다. 그 결과는 일시적인 가동 중단이나 파일 도난을 훨씬 뛰어넘습니다. IBM의 2025년 데이터 유출 비용(CODB) 보고서에 따르면 전 세계 평균 침해 비용은 탐지, 사고 대응, 다운타임, 매출 손실, 지속적인 브랜드 손상을 아울러 444만 달러에 달합니다.1
일부 사고는 비용이 훨씬 더 많이 듭니다. 2024년 3월에는 한 명의 피해자가 단일 랜섬웨어 공격으로 7,500만 달러를 지불한 반면, 비즈니스 이메일 침해(BEC) 사기로 인해 2024년에만 21,442건의 사고가 보고되었으며 조직에서 27억 7천만 달러의 손실이 발생했습니다.2 분석가들은 전 세계 연간 사이버 범죄 비용이 2024년 약 9조 2천억 달러에서 2028년에는 약 13조 8천억 달러로 증가할 것으로 예상하고 있습니다.
사이버 공격의 중요성을 완전히 이해하려면 사이버 공격을 세 가지 차원에서 검토하는 것이 중요합니다.
사이버 공격은 외부 및 내부 모두에서 광범위한 악의적인 행위자로부터 발생합니다.
외부 공격자는 매우 다양합니다. 조직화된 사이버 범죄 단체는 랜섬웨어 캠페인이나 다크 웹에서 훔친 데이터를 판매하여 수익을 창출할 수 있습니다. 일부는 손상된 시스템에 액세스하는 것을 전문으로 하는 전문 해커입니다.
국가 차원에서 국가가 후원하는 행위자들은 경쟁 정부 및 기업을 대상으로 장기간에 걸쳐 사이버 전쟁과 스파이 활동을 수행합니다. 그리고 직접적인 금전적 이익보다는 정치적 또는 사회적 대의에 대한 관심을 끌기 위해 시스템에 침입하는 핵티비스트도 있습니다.
내부자 위협은 이와는 다르지만 똑같이 심각한 위험을 초래합니다. 불만을 품은 직원이 복수를 위해 고의로 민감한 데이터를 유출하거나 시스템을 방해할 수 있습니다. 보안되지 않은 드라이브에 고객 데이터를 저장하는 사용자가 실수로 악의적인 공격자가 악용할 수 있는 동일한 취약점을 만드는 부주의한 경우도 있습니다. 내부자가 의도적으로 승인된 액세스를 오용하는 경우에만 진정한 사이버 공격으로 간주되지만, 부주의한 경우에도 외부 공격자에게 첫 번째 발판을 제공할 수 있습니다.
공격자가 시스템에 침입하는 이유는 지적 재산이든 개인 데이터든 모든 자산이 분명한 가치를 지니고 있기 때문입니다. 위협 행위자가 원하는 것은 주로 다음과 같습니다.
금융 자산: 은행 계좌, 결제 시스템, 암호화폐 지갑, 신용카드 번호, 직접 도용하거나 재판매할 수 있는 로그인 자격 증명이 포함됩니다.
데이터 및 지적 재산: 고객 데이터, 제품 디자인, 독점 연구 및 신원 도용 또는 다크 웹 재판매를 위한 개인 식별 정보(PII)를 포함합니다.
중요 인프라 및 정부 시스템: 에너지 그리드, 의료 시스템, 정부 기관에 걸쳐 필수 정보 시스템과 공공 서비스를 방해합니다.
일부 캠페인은 데이터를 훔치는 것이 아니라 기능을 마비시키는 것을 목표로 합니다. 예를 들어, 최근 분산 서비스 거부(DDoS) 공격은 약 35초 동안 초당 11.5테라비트(Tbps)의 트래픽으로 공격 대상을 압도했습니다. 한 연구원의 표현을 빌리자면 "단 45초 만에 9,350개 이상의 장편 HD 영화가 네트워크에 넘쳐나는 것과 같다"고 할 수 있습니다.
아마도 대답하기 가장 어려운 질문은 공격자가 공격하는 이유일 것입니다. 동기는 이익에서 정치, 개인적인 고충에 이르기까지 다양할 수 있으며, 단일 침해에 이러한 요인 중 두 가지 이상이 관련될 수 있습니다. 그러나 대부분의 활동은 범죄, 정치 또는 개인이라는 세 가지 큰 동인을 중심으로 이루어집니다.
사이버 범죄자들은 여러 정교한 도구와 기술을 사용하여 시스템을 손상시킵니다. 전술은 끊임없이 진화하지만 광범위한 사이버 위협, 고급 사이버 위협, 새로운 사이버 위협의 세 가지 계층으로 크게 그룹화할 수 있습니다.
이러한 기술은 사이버 범죄의 핵심입니다. 산업 전반에 걸쳐 확장되고 인간의 약점을 악용하며 국가 자원이 거의 필요하지 않습니다. 매우 일반적이고 효과적이기 때문에 대부분의 사이버 보안 사고의 중추를 형성합니다.
멀웨어는 시스템을 감염시켜 작동 불능 상태로 만들 수 있는 악성 소프트웨어입니다. 데이터를 파괴하거나, 정보를 훔치거나, 운영 체제의 실행 기능에 중요한 파일을 지울 수도 있습니다. 일반적인 멀웨어 유형에는 다음과 같은 것이 있습니다.
트로이 목마: 합법적인 프로그램으로 위장하여 사용자를 속여 설치하도록 하는 공격입니다. 원격 액세스 트로이 목마(RAT)는 피해자의 디바이스에 비밀 백도어를 만드는 반면, 드로퍼 트로이 목마는 발판을 마련한 후 추가 멀웨어를 설치합니다.
랜섬웨어: 강력한 암호화를 사용하여 몸값을 지불할 때까지 데이터나 시스템을 인질로 잡습니다.
스케어웨어: 피해자에게 가짜 경고를 퍼부어 민감한 정보를 다운로드하거나 제공하도록 유도합니다.
스파이웨어: 사용자 이름, 비밀번호, 신용카드 번호를 비밀리에 수집하여 공격자에게 다시 전송합니다.
루트킷: 숨겨진 상태로 유지하면서 운영 체제에 대한 관리자 수준 제어 권한을 부여합니다.
자가 복제 웜: 애플리케이션과 디바이스 간에 자동으로 확산됩니다.
소셜 엔지니어링 공격은 기술적 결함이 아닌 인간의 신뢰를 악용하여 사람들이 정보를 공개하거나 멀웨어를 설치하도록 설득합니다. 가장 일반적인 예로는 이메일, 문자 또는 소셜 미디어 메시지가 합법적인 요청을 모방하여 피해자가 악성 링크를 클릭하거나 감염된 첨부 파일을 열도록 유도하는 피싱이 있습니다.
더 표적화된 변종으로는 공개 소셜 프로필의 세부 정보를 사용하여 특정 개인에 맞게 공격을 조정하는 스피어 피싱이 있습니다. 웨일 피싱은 고위 경영진을 대상으로 하는 버전이며,BEC 사기는 CEO와 같은 신뢰할 수 있는 개인을 사칭하여 직원을 속여 자금을 송금하거나 기밀 데이터를 공유하도록 유도합니다.
도청 공격이라고도 하는 MITM 공격은 해커가 보안되지 않은 공용 Wi-Fi를 통해 두 당사자 간의 통신을 몰래 가로채는 방식으로 이루어집니다. 공격자는 메시지가 수신자에게 도달하기 전에 메시지를 읽거나 수정할 수 있습니다. 예를 들어 세션 하이재킹 변종에서는 침입자가 자신의 IP 주소를 피해자의 주소로 바꾸어 서버가 보호된 리소스에 대한 전체 액세스 권한을 부여하도록 속입니다.
더 인내심 있는 적들은 기술, 은신, 끈기를 통해 캠페인을 수행합니다. 이러한 전술은 은밀한 인간 운영자부터 자동화된 봇 군대까지 다양한 공격 벡터를 결합하는 경우가 많으며, 수개월에 걸쳐 전개될 수 있으므로 조기 탐지가 필수적입니다.
공격자는 소프트웨어 공급업체, 자재 공급업체 또는 기타 서비스 공급자를 표적으로 삼아 회사를 침해합니다. 공급업체는 고객의 네트워크에 연결되는 경우가 많기 때문에 한 번의 침해로 공격자가 여러 조직에 간접적으로 침투할 수 있습니다.
XSS 공격은 합법적인 웹 페이지나 애플리케이션에 악성 코드를 삽입합니다. 사용자가 사이트나 앱을 방문하면 코드가 사용자의 브라우저에서 자동으로 실행되어 민감한 정보를 훔치거나 방문자를 악성 웹사이트로 리디렉션합니다. 공격자는 이러한 공격을 실행하기 위해 JavaScript를 자주 사용합니다.
SQL 인젝션 공격은 악성 SQL(Structured Query Language) 명령을 웹사이트 또는 애플리케이션의 백엔드 데이터베이스로 보냅니다. 공격자는 검색 창 및 로그인 창과 같은 사용자 대상 필드를 통해 명령을 입력하여 데이터베이스가 신용카드 번호 또는 기타 고객 데이터와 같은 개인 데이터를 반환하도록 합니다.
도메인 이름 시스템(DNS) 터널링은 DNS 패킷 내에 악성 트래픽을 숨겨 방화벽 및 침입 탐지 시스템(IDS)과 같은 기존 보안 조치를 우회할 수 있도록 합니다. 위협 행위자는 이 기술을 사용하여 데이터를 조용히 추출하거나 멀웨어를 원격 명령 및 제어(C2) 서버에 연결할 수 있는 은밀한 통신 채널을 생성합니다.
제로데이 익스플로잇은 개발자가 수정 프로그램을 릴리스하기 전에 제로 데이 취약점이라고 알려진 이전에 알려지지 않았거나 패치되지 않은 소프트웨어 결함을 활용합니다. 이러한 공격은 며칠, 몇 달 또는 몇 년 동안 유효할 수 있으므로 지능형 위협 그룹이 선호하는 공격입니다.
파일리스 공격은 합법적인 소프트웨어 프로그램의 취약점을 이용헤 컴퓨터 메모리에 직접 악성 코드를 주입합니다. 메모리에서만 작동하고 디스크에 아티팩트를 거의 남기지 않기 때문에 많은 안티바이러스 소프트웨어 솔루션, 심지어 일부 차세대 안티바이러스(NGAV) 도구도 회피할 수 있습니다. 공격자는 PowerShell과 같은 스크립팅 환경을 활용하여 구성을 변경하거나 비밀번호를 훔치는 경우가 많습니다.
DNS 중독이라고도 하는 DNS 스푸핑은 DNS 레코드를 은밀하게 변경하여 웹사이트의 실제 IP 주소를 사기성 IP 주소로 대체합니다. 피해자가 합법적인 사이트를 방문하려고 하면 자신도 모르게 데이터를 훔치거나 멀웨어를 배포할 수 있는 악성 복사본으로 리디렉션됩니다.
악의적인 공격자들은 지능형 시스템을 조작하고, 새로운 인프라를 악용하고, 미래의 암호화를 훼손하여 공격 표면을 확장하고 있습니다. 이러한 사이버 위협은 여전히 진화하고 있지만 이미 보안 운영 센터(SOC)와 광범위한 보안팀의 주의를 요구하고 있습니다.
기업들은 워크로드를 퍼블릭 및 하이브리드 클라우드로 계속 전환하면서 잠재적인 공격 표면이 확대되고 있습니다. 잘못 구성된 스토리지 버킷, 노출된 애플리케이션 프로그래밍 인터페이스(API), 취약한 컨테이너 오케스트레이션 플랫폼(예: Kubernetes)은 공격자가 거의 실시간으로 전체 환경에 액세스할 수 있는 기회를 제공합니다. 단일 클라우드의 잘못된 구성을 표적으로 삼으면 위협 행위자가 기존의 경계 방어를 트리거하지 않고도 여러 워크로드에 걸쳐 횡방향으로 이동하여 고객 데이터를 유출할 수 있습니다.
양자 컴퓨팅의 발전은 오늘날의 공개 키 암호화를 위협하고 있습니다. 공격자들은 이미 '지금 수확하고 나중에 해독하는' 전략을 추구하고 있으며, 향후 양자 기능을 통해 현재의 암호화 알고리즘을 깨고 민감한 정보를 잠금 해제할 수 있을 것이라는 기대를 가지고 현재 암호화된 데이터를 훔치고 있습니다. 이러한 변화에 대비하려면 조직에서 포스트 퀀텀 암호화(PQC)의 발전을 추적하고 중요 시스템의 마이그레이션 경로를 계획해야 합니다.
사이버 공격을 방어하려면 단일 제품 또는 정책 이상이 필요합니다. 효과적인 사이버 보안은 사람, 기술, 프로세스를 융합하여 위협을 예측하고 노출을 제한하며 포괄적인 위협 탐지 및 대응을 제공합니다.
강력한 예방은 조직의 가장 중요한 자산과 그 주변의 공격 표면을 이해하여 무단 액세스 가능성을 줄이는 것에서 시작됩니다. 일반적인 안전장치는 다음과 같습니다.
ID 및 액세스 관리(IAM): 최소 권한 액세스, 다중 인증, 강력한 비밀번호 정책을 적용하여 필요한 사람만 중요한 시스템에 액세스할 수 있도록 합니다. 또한 많은 조직에서는 원격 사용자가 가상 사설망(VPN) 또는 기타 보안 채널을 통해 연결하도록 요구합니다.
네트워크 제어: 계층형 방화벽과 침입 방지 시스템(IPS)을 배포하여 네트워크에 들어오고 나가는 악성 트래픽을 차단합니다. 여기에는 멀웨어가 C2 서버에 접속하려는 시도가 포함됩니다.
공격 표면 관리(ASM): 공격자가 발견하기 전에 온프레미스, 클라우드 및 IoT 환경에서 노출된 자산을 식별, 카탈로그화 및 수정합니다.
통합 엔드포인트 관리(UEM): 데스크톱, 노트북, 모바일 디바이스 및 클라우드 워크로드를 포함한 모든 엔드포인트에 일관된 보안 정책을 적용합니다.
보안 인식 교육: 피싱 이메일, 소셜 엔지니어링 전술 및 기타 일반적인 진입 지점을 인식할 수 있는 능력을 직원에게 제공합니다.
완벽한 방어는 없기 때문에 조직은 컴퓨터 네트워크와 정보 시스템에 대한 실시간 가시성을 확보해야 합니다.
보안 정보 및 이벤트 관리(SIEM): 침입 탐지 시스템, 엔드포인트 탐지 및 대응(EDR) 도구 및 기타 모니터링 기술의 경고를 집계하고 분석합니다.
위협 인텔리전스: 알려진 위협 행위자, 전술 및 침해 지표(IOC)에 대한 데이터로 경고를 강화하여 분류 속도를 높입니다.
고급 분석 및 AI: 최신 탐지 플랫폼은 점점 더 머신 러닝을 사용하여 이상 징후를 표시하고 진행 중인 사이버 사고의 신호일 수 있는 미묘한 패턴을 식별합니다.
예방 및 탐지를 통해 공격이 발견되면 조율된 대응으로 피해를 제한하고 복구 속도를 높입니다.
보안 오케스트레이션, 자동화 및 대응(SOAR): 서로 다른 도구를 통합하고 일상적인 작업을 자동화하여 보안팀이 복잡한 조사에 집중할 수 있도록 합니다.
확장 탐지 및 대응(XDR): 엔드포인트, 네트워크, 이메일, 애플리케이션 및 클라우드 워크로드 전반에서 신호를 상호 연관시켜 통합된 보기와 빠른 해결을 제공합니다.
사고 후 검토: 얻은 교훈을 수집하고, 통제 수단을 업데이트하고, 새로운 정보를 예방 및 탐지 조치에 다시 제공합니다.
1 2025년 데이터 유출 비용(CODB), IBM, 2025년 9월 15일 액세스.
2 Federal Bureau of Investigation Internet Crime Report 2024, Internet Crime Complaint Center, 2025년 9월 15일 액세스.