사이버 위협의 유형

사이버 보안 위협 또는 사이버 위협을 가장 간단하게 설명하자면, 해커 또는 악의적인 행위자가 사이버 공격을 시작하기 위해 네트워크에 무단으로 액세스하려고 시도하는 것을 나타냅니다.

사이버 위협은 은행 계좌 번호를 제공하면 거액을 주겠다는 외국 유력자의 이메일과 같은 명백한 것부터 사이버 방어를 몰래 통과해 몇 달 또는 몇 년 동안 네트워크에 상주하며 비용이 많이 드는 데이터 침해를 유발하는 악성 코드 라인과 같이 교묘하게 은밀한 것까지 다양할 수 있습니다. 보안 팀과 직원이 다양한 유형의 사이버 보안 위협에 대해 더 많이 알수록 사이버 공격을 더 효과적으로 예방, 대비 및 대응할 수 있습니다.

'악성(Malicious) 소프트웨어'의 줄임말인
멀웨어는 컴퓨터 시스템이나 사용자에게 해를 끼치고자 의도적으로 작성된 소프트웨어 코드입니다.

거의 모든 현대 사이버 공격에는 특정 유형의 멀웨어가 포함됩니다.위협 행위자는 멀웨어 공격을 통해 무단 액세스 권한을 얻고, 감염된 시스템을 작동 불능 상태로 만들어 데이터를 파괴하고 중요한 정보를 훔치거나 운영 체제에서 중요한 파일을 삭제하기도 합니다.

일반적인 멀웨어 유형에는 다음과 같은 것이 있습니다.

• 랜섬웨어는 피해자의 데이터 또는 장치를 잠그고, 피해자가 공격자에게 몸값을 지불하지 않으면 잠금을 풀어주지 않거나 공개적으로 유출하겠다고 협박하는 악성 코드입니다. IBM Security X-Force Threat Intelligence Index 2023에 따르면 랜섬웨어 공격은 2022년 전체 사이버 공격의 17%를 차지했습니다.
   
• 트로이 목마는 유용한 프로그램으로 위장하거나 합법적인 소프트웨어 안에 숨어 사람들을 속여 다운로드하도록 유도하는 악성 코드입니다. 피해자의 장치에 비밀 백도어를 생성하는 원격 액세스 트로이 목마(RAT) 또는 대상 시스템이나 네트워크에 거점을 확보한 후 추가 멀웨어를 설치하는 드로퍼 트로이 목마가 그 예입니다.
• 스파이웨어는 사용자 이름, 비밀번호, 신용카드 번호 및 기타 개인 데이터와 같은 민감한 정보를 수집한 후 피해자가 모르는 사이 공격자에게 다시 전송하는 매우 은밀한 멀웨어입니다.
• 웜은 사람의 개입 없이 앱과 장치에 자동으로 확산되는 자가 복제 프로그램입니다.

흔히 '인간 해킹'이라고 하는 소셜 엔지니어링 은 표적이 기밀 정보를 노출하거나, 자신이나 조직의 재정적 안녕을 위협하거나, 개인 또는 조직의 보안을 손상시키는 행동을 취하도록 조작합니다.

피싱은 가장 잘 알려져 있고 가장 널리 퍼져 있는 소셜 엔지니어링 유형입니다. 피싱은 사기성 이메일, 이메일에 첨부된 파일, 문자 메시지 또는 전화를 사용하여 사람들을 속여 개인 데이터 또는 로그인 자격 증명을 공유하거나, 멀웨어를 다운로드하거나, 사이버 범죄자에게 돈을 송금하거나, 기타 사이버 범죄에 노출될 수 있는 행동을 취하도록 유도합니다.

일반적인 피싱의 유형은 다음과 같습니다.

• 스피어 피싱: 특정 개인을 조종하는 고도로 표적화된 피싱 공격으로, 피해자의 공개 소셜 미디어 프로필의 세부 정보를 사용하여 계략을 더욱 설득력 있게 만드는 경우가 많습니다.
   
• 웨일 피싱(Whale Phishing): 기업 임원이나 부유한 개인을 대상으로 하는 스피어 피싱입니다.
• 비즈니스 이메일 보안 침해(BEC): 사이버 범죄자가 경영진, 제공업체 또는 신뢰할 수 있는 비즈니스 동료로 가장하여 피해자를 속여 돈을 송금하거나 민감한 데이터를 공유하도록 유도하는 사기입니다.

또 다른 일반적인 소셜 엔지니어링 사기는 도메인 이름 스푸핑(DNS 스푸핑이라고도 함)으로, 사이버 범죄자가 실제 웹사이트나 도메인 이름과 유사한 가짜 웹사이트나 도메인 이름(예: support.apple.com을 ''applesupport.com''으로)을 사용해 사람들을 속이고 민감한 정보를 입력하도록 유도합니다. 피싱 이메일은 더 믿을 수 있고 합법적인 이메일로 보이기 위해서 스푸핑된 발신자 도메인 이름을 사용하는 경우가 많습니다.

중간자(MITM) 공격에서 사이버 범죄자는 네트워크 연결을 도청하여 두 당사자 간의 메시지를 가로채고 전달해 데이터를 훔칩니다. 보안되지 않은 Wi-Fi 네트워크는 종종 MITM 공격을 시작하려는 해커의 행복한 사냥터입니다.

서비스 거부(DoS) 공격은 대량의 부정 트래픽으로 웹사이트, 애플리케이션 또는 시스템을 압도하여 정상적인 사용자가 사용하기에 너무 느리게 만들거나 아예 사용할 수 없게 하는 사이버 공격입니다. 분산 서비스 거부 공격(DDoS 공격)은 인터넷에 연결되고 멀웨어에 감염된 장치 또는 봇 네트워크('봇넷'이라고 함)를 사용하여 대상 시스템을 무력화시키거나 충돌시킨다는 점을 제외하고는 DoS 공격과 유사합니다. 

제로데이 익스플로잇은 컴퓨터 소프트웨어, 하드웨어 또는 펌웨어에서 알려지지 않았거나 아직 해결되지 않았거나 패치되지 않은 보안 결함인 제로데이 취약점을 이용하는 사이버 공격의 한 유형입니다. '제로데이'는 소프트웨어 또는 장치 제공업체가 취약점을 수정할 시간이 제로, 즉 전혀 없다는 사실을 의미합니다. 이는 악의적인 공격자가 이미 취약한 시스템에 액세스하는 데 이 취약점을 이용했을 수 있기 때문입니다.

가장 잘 알려진 제로데이 취약점 중 하나는 널리 사용되는 Apache Log4j 로깅 라이브러리의 결함인 Log4Shell입니다. Log4Shell 취약점은 2021년 11월 발견 당시 이미 많은 웹 애플리케이션, 클라우드 서비스 및 서버와 같은 물리적 엔드포인트를 포함하여 전 세계 디지털 자산의 10%에 존재하고 있었습니다.

이름에서 알 수 있듯이 이러한 공격에는 사용자 계정의 비밀번호 또는 로그인 자격 증명을 추측하거나 훔치려는 사이버 범죄자가 포함됩니다. 많은 비밀번호 공격은 소셜 엔지니어링을 사용하여 피해자가 자신도 모르게 이 민감한 데이터를 공유하도록 속입니다. 그러나 해커는 무차별 비밀번호 대입 공격을 사용하여 비밀번호를 훔칠 수도 있으며, 성공할 때까지 다른 암호 조합을 반복적으로 시도할 수도 있습니다.

사물인터넷(IoT) 공격에서 사이버 범죄자는 스마트 홈 장치 및 산업 제어 시스템과 같은 IoT 장치의 취약점을 악용하여 장치를 장악하거나, 데이터를 훔치거나, 다른 악의적인 목적을 달성하기 위해 해당 장치를 봇넷의 일부로 사용합니다.

이러한 공격에서 해커는 프로그램에 악성 코드를 삽입하거나 멀웨어를 다운로드하여 원격 명령으로 데이터베이스를 읽거나 수정하고 웹 사이트 데이터를 변경할 수 있도록 합니다.

인젝션 공격에는 여러 유형이 있습니다. 다음에서는 가장 일반적인 두 가지 형태에 대해 설명합니다.

• SQL 인젝션 공격: 해커가 SQL 구문을 악용하여 신원을 스푸핑하거나, 기존 데이터를 노출, 변조, 파괴 또는 사용할 수 없게 만들거나, 데이터베이스 서버 관리자가 되는 경우입니다.
• 교차 사이트 스크립팅(XSS): 이러한 유형의 공격은 데이터베이스에서 데이터를 추출하는 대신 일반적으로 웹 사이트를 방문하는 사용자를 감염시킨다는 점을 제외하고는 SQL 삽입 공격과 유사합니다.

이러한 개인 또는 집단은 주로 금전적 이득을 목적으로 사이버 범죄를 저지릅니다. 사이버 범죄자들이 저지르는 일반적인 범죄에는 랜섬웨어 공격과 사람들을 속여 송금을 유도하거나 신용카드 정보, 로그인 자격 증명, 지적 재산 또는 기타 개인 정보나 민감한 정보를 유출하는 피싱 사기가 있습니다. 

이러한 개인 또는 집단은 주로 금전적 이득을 목적으로 사이버 범죄를 저지릅니다. 사이버 범죄자들이 저지르는 일반적인 범죄에는 랜섬웨어 공격과 사람들을 속여 송금을 유도하거나 신용카드 정보, 로그인 자격 증명, 지적 재산 또는 기타 개인 정보나 민감한 정보를 유출하는 피싱 사기가 있습니다. 

해커는 컴퓨터 네트워크나 시스템을 손상시킬 수 있는 기술을 가진 사람입니다.

모든 해커가 위협 행위자나 사이버 범죄자는 아닙니다. 예를 들어 윤리적 해커라고 하는 일부 해커는 본질적으로 사이버 범죄자로 가장하여 조직과 정부 기관이 컴퓨터 시스템에서 사이버 위협에 대한 취약점을 테스트하도록 도와줍니다.

국가와 정부는 민감한 데이터를 훔치거나 기밀 정보를 수집하거나 다른 정부의 중요 인프라를 방해할 목적으로 위협 행위자에게 자금을 지원하는 경우가 많습니다. 이러한 악성 활동에는 스파이 활동이나 사이버 전쟁이 포함되는 경우가 많으며 막대한 자금이 투입되는 경향이 있어 위협이 복잡하고 탐지하기가 어렵습니다. 

대부분의 다른 사이버 범죄자와 달리, 내부자 위협은 항상 악의적인 행위자에 의해 발생하는 것은 아닙니다. 다수는 직원이 무심코 멀웨어를 설치하거나, 회사에서 발급한 장치를 분실하는 바람에 사이버 범죄자가 이를 획득하여 네트워크에 액세스하는 용도로 사용하는 등의 인적 오류로 인해 회사에 피해를 입히기도 합니다.

하지만 악의적인 내부자도 존재합니다. 예를 들어, 불만을 품은 직원이 금전적 이익(예: 사이버 범죄자 또는 국가로부터의 금전적 대가)을 위해 또는 단순히 악의나 복수를 위해 액세스 권한을 남용할 수 있습니다.

강력한 암호(ibm.com 외부 링크), 이메일 보안 도구 및 바이러스 백신 소프트웨어는 모두 사이버 위협에 대한 중요한 첫 번째 방어선입니다.

또한 조직은 사이버 공격으로부터 보호하기 위해 방화벽, VPN, 다단계 인증, 보안 인식 교육 및 기타 고급 엔드포인트 보안 및 네트워크 보안 솔루션을 사용합니다.

그러나 사이버 보안 위협을 실시간으로 식별하고 위협을 신속하게 격리 및 수정하여 피해를 최소화하거나 예방할 수 있는 최첨단 위협 탐지 및 사고 대응 기능 없이는 보안 시스템이 완성되지 않습니다.

IBM Security QRadar SIEM은 기존 로그와 함께 네트워크 트래픽에 머신 러닝 및 사용자 행동 분석(UBA)을 적용하여 더 스마트한 위협 탐지와 빠른 문제 해결을 지원합니다. 최근 Forrester의 연구에서 QRadar SIEM은 보안 분석가가 오탐을 식별해 사고 조사에 소요되는 시간을 90% 줄이고, 심각한 보안 침해가 발생할 위험을 60% 줄임으로써 3년간 14,000시간 이상을 절약할 수 있도록 지원했습니다.* 리소스가 부족한 보안팀은 QRadar SIEM을 통해 위협을 신속하게 탐지하고 정보에 기반한 즉각적인 조치를 취하여 공격의 영향을 최소화하는 데 필요한 가시성과 분석 기능을 확보할 수 있습니다.

*IBM Security QRadar SIEM의 Total Economic Impact는 IBM의 의뢰로 Forrester Consulting이 2023년 4월에 실시한 위탁 연구입니다.  인터뷰에 응한 4명의 IBM 고객을 대상으로 한 복합 조직의 예상 결과를 기반으로 합니다. 실제 결과는 클라이언트 구성 및 조건에 따라 달라지므로 일반적으로 예상되는 결과를 제공할 수 없습니다.