사이버 공격이란 무엇인가요?

사이버 공격은 네트워크, 컴퓨터 시스템 또는 디지털 디바이스에 무단으로 액세스하여 데이터, 애플리케이션 또는 기타 자산을 도용, 노출, 변경, 비활성화 또는 파괴하는 의도적인 활동을 일컫습니다.

위협 행위자는 사소한 절도부터 전쟁 행위에 이르기까지, 다양한 이유로 사이버 공격을 시작합니다. 이들은 멀웨어 공격, 소셜 엔지니어링 사기 및 비밀번호 도용과 같은 다양한 전술을 사용하여 표적 시스템에 무단으로 접근합니다.

사이버 공격은 비즈니스를 방해하고, 피해를 입히고, 심지어 파괴할 수도 있습니다. 데이터 침해를 복구하기 위해 발생하는 비용은 평균 435만 달러입니다. 이는 위반을 발견하고 대응하는 데 드는 비용, 다운타임 및 매출 손실, 비즈니스 및 브랜드에 대한 장기적인 평판 손상으로 생기는 손실이 모두 포함된 금액입니다.

그러나 일부 사이버 공격에는 다른 사이버 공격보다 비용이 훨씬 더 많이 들 수 있습니다. 어느 랜섬웨어 공격은 피해 회사에 4천만 달러에 달하는 대가를 요구했습니다(ibm.com 외부 링크). 비즈니스 이메일 침해(BEC) 사기는 단 하나의 공격을 통해 피해자로부터 4천7백만 달러에 달하는 금액을 훔쳤습니다(ibm.com 외부 링크). 고객의 개인 식별 정보(PII)를 침해하는 사이버 공격은 고객의 신뢰 상실, 규제 위반 벌금을 초래할 뿐 아니라 법적 조치로 이어질 수도 있습니다. 추산에 따르면, 사이버 범죄는 2025년까지 연간 10.5조 달러의 손실을 세계 경제에 가져올 것이라고 합니다(ibm.com 외부 링크).

사이버 공격은 왜 발생하나요?

사이버 공격은 다양한 동기로 발생할 수 있지만, 일반적으로 범죄, 정치, 개인적 목적의 세 가지 범주로 나눌 수 있습니다.

범죄적 동기를 가진 공격자는 금전적 절도, 데이터 절도 또는 비즈니스 중단을 통해 금전적 이득을 추구합니다. 사이버 범죄자는 은행 계좌를 해킹하여 직접 돈을 훔치거나, 소셜 엔지니어링 사기를 통해 사람들을 속여 돈을 송금하도록 유도할 수 있습니다. 해커는 데이터를 훔쳐서 신원을 도용하는 데 사용하거나, 다크 웹에 판매하거나, 대가를 요구하기도 합니다.

갈취는 또 다른 인기 있는 수법입니다. 해커는 기업이 돈을 지불할 때까지 랜섬웨어, DDoS 공격 또는 기타 전술을 사용하여 데이터 또는 디바이스를 인질로 잡을 수 있습니다. XX-Force Threat Intelligence에 따르면 사이버 공격의 27%는 피해자를 갈취하는 것을 목적으로 합니다.

개인적 동기를 가진 공격자는 회사에 불만을 품은 현직 또는 전직 직원으로, 주로 사소한 일에 대한 보복을 노리는 경우가 많습니다. 이들은 돈 또는 민감한 데이터를 훔치거나, 회사 시스템을 방해할 수 있습니다.

정치적 동기를 가진 공격자는 사이버 전쟁, 사이버 테러 또는 '핵티비즘(hacktivism)'과 관련이 있는 경우가 많습니다. 사이버 전쟁에 가담하는 국가 활동 세력은 적국의 정부 기관이나 주요 인프라를 표적으로 삼는 경우가 많습니다. 예를 들어, 러시아와 우크라이나 사이의 전쟁이 시작된 후 양국의, 주요 기관에 대한 사이버 공격이 급증했습니다(ibm.com 외부 링크). '핵티비스트'라고 불리는 사회운동가 성향의 해커는 목표물에 심각한 피해를 주지 않을 수 있습니다. 그보다는 자신들의 공격에 관해 대중에게 알림으로써 공격의 대의에 대한 관심을 유도하는 목적을 갖고 있는 경우가 많습니다.

이보다 흔하지 않은 공격 동기로는 해커가 지식재산을 훔치도록 하여 경쟁업체보다 부당한 이점을 얻는 기업 스파이 활동과 시스템의 취약점을 악용하여 다른 사람들에게 경고하는 자경단 해커가 있습니다. 일부 해커는 단순히 재미로 해킹하며 지적 도전을 즐깁니다.

사이버 공격의 배후는 누구일까요?

범죄 조직, 국가 활동 세력, 민간인 모두 사이버 공격을 시작할 수 있습니다. 위협 행위자를 분류하는 한 가지 방법은 외부 위협 또는 내부 위협으로 분류하는 것입니다.

외부 위협은 네트워크나 디바이스를 사용할 권한이 없으면서 여기에 침입하는 경우입니다. 외부 사이버 위협 행위자에는 조직범죄 단체, 전문 해커, 국가 활동 세력, 아마추어 해커, 해커 등이 포함됩니다.

내부자 위협은 회사 자산을 사용할 권한이 있고 합법적인 액세스가 가능한 사용자가 고의로 또는 실수로 자산을 남용한 경우에 발생합니다. 시스템 액세스 권한을 가진 직원, 비즈니스 파트너, 고객, 계약업체 및 공급업체가 이 범주에 포함됩니다.

부주의한 사용자로 인해 회사가 위험에 처하는 경우도 있지만, 사용자가 의도적으로 권한을 사용하여 악의적인 활동을 수행하는 경우에만 사이버 공격으로 규정합니다. 보안되지 않은 드라이브에 민감한 정보를 부주의하게 저장하는 직원은 사이버 공격을 저지르는 것이 아니지만, 불만을 품은 직원이 개인적인 이익을 위해 기밀 데이터를 고의로 복사하는 것은 사이버 공격에 해당합니다.

사이버 공격의 표적은 무엇인가요?

위협 행위자는 일반적으로 특정한 목표를 위해서 컴퓨터 네트워크에 침입합니다. 위협 행위자가 원하는 것은 주로 다음과 같습니다.

돈
기업의 재무 데이터
고객 목록
개인 식별 정보(PII) 또는 기타 민감한 개인 데이터를 포함한 고객 데이터
이메일 주소 및 로그인 정보
영업 비밀 또는 제품 디자인과 같은 지식재산권

가끔은 사이버 공격자가 어떤 것도 훔치려는 의도를 갖고 있지 않을 때도 있습니다. 단지 정보 시스템이나 IT 인프라를 파괴하여 기업, 정부 기관 또는 기타 대상에 피해를 주는 것만이 목적인 경우도 있습니다.

사이버 공격이 비즈니스에 어떤 영향을 주나요?

사이버 공격이 성공할 경우 기업에 피해를 줄 수 있습니다. 다운타임, 데이터 손실, 금전 손실이 발생할 수 있기 때문입니다. 예를 들어 보겠습니다.

해커가 멀웨어나 서비스 거부 공격을 사용하여 시스템 또는 서버 충돌을 일으킬 수 있습니다. 이로 인해 발생하는 다운타임은 심각한 서비스 중단과 금전적 손실로 이어질 수 있습니다. 데이터 침해 비용 보고서에 따르면, 데이터 침해로 인해 발생하는 비즈니스 손실은 평균 142만 달러에 달한다고 합니다.
해커는 SQL 인젝션 공격을 통해 시스템에서 데이터를 변경, 삭제 또는 탈취할 수 있습니다.
피싱 공격에서 해커는 사람들을 속여 돈이나 민감한 정보를 보내도록 유도합니다.
랜섬웨어 공격은 회사가 공격자에게 대가를 지불할 때까지 시스템을 비활성화할 수 있습니다. 한 보고서(ibm.com 외부 링크)에 따르면 기업이 대가로 지불하는 금액은 평균 미화 812,360달러입니다.

사이버 공격은 표적에 직접적인 해를 끼치는 것 외에도 많은 부차적인 비용과 결과를 가져올 수 있습니다. 예를 들어, 데이터 침해 비용 보고서에 따르면 침해를 탐지, 대응 및 해결하기 위해 기업이 지출하는 비용은 평균 262만 달러라고 합니다.

사이버 공격은 직접적인 표적 외에 다른 피해자에게도 영향을 줄 수 있습니다. 2021년, DarkSide 랜섬웨어 갱단은 미국 최대의 정제 송유관 시스템인 Colonial Pipeline을 공격했습니다. 공격자는 유출된 비밀번호를 사용하여 회사 네트워크에 침입했습니다(ibm.com 외부 링크). 이들이 미국 동부 해안으로 공급되는 가스와 경유, 제트 연료의 45%를 운반하는 송유관을 폐쇄하는 바람에 심각한 연료 부족 현상이 발생했습니다.

사이버 범죄자들은 Colonial Pipeline에 약 500만 달러의 비트코인 암호화폐를 대가로 요구했습니다(ibm.com 외부 링크). 그러나 이 회사는 미국 정부의 도움을 받아 230만 달러를 회수할 수 있었습니다.

사이버 공격의 일반적인 유형은 무엇인가요?

사이버 범죄자들은 여러 가지 정교한 툴과 기술을 사용해 엔터프라이즈 IT 시스템, 개인용 컴퓨터 및 기타 대상에 대한 사이버 공격을 시작합니다. 가장 일반적인 사이버 공격의 유형은 다음과 같습니다.

멀웨어

멀웨어는 시스템을 감염시켜 작동 불능 상태로 만들 수 있는 악성 소프트웨어입니다. 멀웨어는 데이터를 파괴하거나, 정보를 훔치거나, 운영 체제의 실행 기능에 중요한 파일을 지울 수도 있습니다. 멀웨어에는 다음과 같은 여러 형태가 있습니다.

트로이 목마는 유용한 프로그램으로 위장하거나 합법적인 소프트웨어 안에 숨어서 사용자가 설치하도록 속입니다. 원격 액세스 트로이 목마(RAT)는 피해자의 디바이스에 비밀 백도어를 만드는 반면, 드로퍼 트로이 목마는 발판을 마련한 후 추가 멀웨어를 설치합니다.
랜섬웨어는 강력한 암호화를 사용하여 데이터 또는 시스템을 인질로 잡는 정교한 멀웨어입니다. 그런 다음 사이버 범죄자는 시스템을 풀어주고 기능을 복원하는 대가로 금전을 요구합니다. IBM의 X-Force Threat Intelligence에 따르면 랜섬웨어는 전체 공격 중 17%를 차지하며, 두 번째로 흔한 사이버 공격 유형입니다.
스케어웨어는 가짜 메시지를 사용하여 피해자가 겁을 먹고 멀웨어를 다운로드하거나 사기범에게 민감한 정보를 전달하도록 유도.
스파이웨어는 사용자 이름, 비밀번호, 신용카드 번호와 같은 민감한 정보를 몰래 수집하는 멀웨어의 일종입니다. 그런 다음 이 정보를 해커에게 전송합니다.
루트킷은 해커가 컴퓨터의 운영 체제 또는 기타 자산에 대해 관리자 수준의 액세스 권한을 얻을 수 있게 해주는 멀웨어 패키지입니다.
웜은 앱과 디바이스 사이에서 자동으로 확산할 수 있는 자가 복제 멀웨어입니다.

소셜 엔지니어링

소셜 엔지니어링 공격은 사람들이 공유해서는 안 되는 정보를 공유하거나, 다운로드해서는 안 되는 소프트웨어를 다운로드하거나, 범죄자들에게 돈을 보내는 등 하지 말아야 할 일들을 하도록 유도하는 것을 말합니다.

피싱은 가장 널리 퍼진 소셜 엔지니어링 공격 중 하나입니다. 데이터 침해 비용 보고서에 따르면, 피싱은 데이터 침해 사고와 관련된 두 번째로 큰 원인입니다. 가장 기본적인 피싱 사기는 가짜 이메일이나 문자 메시지를 사용하여 사용자의 로그인 정보를 훔치거나, 민감한 데이터를 유출하거나, 멀웨어를 유포하는 것입니다. 피싱 메시지는 합법적인 발신자가 보낸 것처럼 보이도록 설계되는 경우가 많습니다. 이러한 메시지는 일반적으로 피해자가 악성 웹사이트로 연결되는 하이퍼링크를 클릭하거나 멀웨어를 담고 있는 이메일 첨부 파일을 열도록 유도합니다.

사이버 범죄자들은 또한 더욱 정교한 피싱 방법을 개발했습니다. 스피어 피싱은 특정 개인을 조종하기 위해 설계된 고도로 표적화된 공격으로, 피해자의 소셜 미디어 공개 프로필에 있는 세부 정보를 활용해 더욱 설득력 있는 계략을 꾸미는 경우가 많습니다. 스피어 피싱의 일종인 웨일 피싱은 기업의 고위 임원을 표적으로 삼습니다. 비즈니스 이메일 침해(BEC) 사기에서는 사이버 범죄자가 임원, 공급업체 또는 기타 비즈니스 동료로 위장하여 피해자를 속인 다음 돈을 송금하거나 민감한 데이터를 공유하도록 유도합니다.

서비스 거부(DoS) 공격

서비스 거부(DoS) 및 분산 서비스 거부(DDoS) 공격은 시스템 리소스를 사기성 트래픽으로 가득 채웁니다. 이 트래픽은 시스템을 압도하여 합법적인 요청에 대한 응답을 방해하고 시스템의 수행 능력을 저하합니다. 서비스 거부 공격은 그 자체로 끝일 수도 있고 다른 공격을 위한 준비 단계일 수도 있습니다.

DoS 공격과 DDoS 공격의 차이점은 DoS 공격은 단일 소스를 사용하여 사기성 트래픽을 생성하는 반면, DDoS 공격은 여러 소스를 사용한다는 점입니다. DDoS 공격은 인터넷에 연결되고 멀웨어에 감염되어 해커의 통제를 받는 디바이스로 구성된 네트워크인 봇넷을 통해 수행되는 경우가 많습니다. 봇넷에는 노트북, 스마트폰, 사물인터넷(IoT) 디바이스가 포함될 수 있습니다. 일반적으로 피해자는 봇넷이 언제 자신의 디바이스를 탈취했는지도 알지 못합니다.

계정 유출

계정 유출은 해커가 악의적인 활동을 위해 합법적인 사용자의 계정을 가로채는 공격을 뜻합니다. 사이버 범죄자는 다양한 방법으로 사용자 계정에 침입할 수 있습니다. 피싱 공격을 통해 로그인 정보를 훔치거나, 다크 웹에서 훔친 비밀번호 데이터베이스를 구입할 수도 있습니다. Hashcat 및 John Ripper와 같은 암호 공격 툴을 사용하여 비밀번호 암호화를 해제하거나, 자동화된 스크립트나 봇을 실행하는 무차별 대입 공격을 수행하여 계정이 뚫릴 때까지 가능한 비밀번호 조합을 생성해 테스트할 수 있습니다.

중간자 공격

'도청 공격'이라고도 하는 중간자(MiTM) 공격에서는 해커가 두 사람 사이 또는 사용자와 서버 사이의 통신을 비밀리에 가로챕니다. MitM 공격은 일반적으로 보안되지 않은 공공 와이파이 네트워크를 통해 수행되는데, 이러한 네트워크에서 위협 행위자가 상대적으로 쉽게 트래픽을 염탐할 수 있습니다.

해커는 사용자의 이메일을 읽을 수 있고, 이메일이 수신자에게 도달하기 전에 몰래 변경할 수도 있습니다. 세션 하이재킹 공격에서는 해커가 사용자와 회사의 기밀 데이터베이스와 같은 중요한 자산을 호스팅하는 서버 간의 연결을 방해합니다. 해커는 자신의 IP 주소를 사용자의 IP 주소와 바꿔치기하여 합법적인 세션에 로그인한 합법적인 사용자인 것처럼 서버를 속입니다. 이를 통해 해커는 자유롭게 데이터를 훔치거나, 다른 방식으로 혼란을 일으킬 수 있습니다.

공급망 공격

공급망 공격은 해커가 소프트웨어 공급업체, 자재 공급업체 및 기타 서비스 제공업체를 표적으로 삼아 기업에 침입하는 사이버 공격입니다. 공급업체는 어떤 방식으로든 고객의 네트워크에 연결되어 있기 때문에 해커는 공급업체의 네트워크를 공격 벡터로 사용하여 여러 표적에 한 번에 액세스할 수 있습니다.

예를 들어, 2020년에 러시아 국가 활동 세력이 소프트웨어 공급업체인 SolarWinds를 해킹한 후 소프트웨어 업데이트를 가장하여 고객에게 멀웨어를 배포했습니다(ibm.com 외부 링크). 이 멀웨어를 통해 러시아 스파이들이 재무부, 법무부, 국무부 등 SolarWinds의 서비스를 사용하는 다양한 미국 정부 기관의 민감한 데이터에 액세스할 수 있었습니다.

기타 사이버 공격 유형

크로스 사이트 스크립팅(XSS)

크로스 사이트 스크립팅(XSS) 공격은 합법적인 웹 페이지 또는 웹 애플리케이션에 악성 코드를 삽입하는 것입니다. 사용자가 사이트 또는 앱을 방문하면 코드가 사용자의 웹 브라우저에서 자동으로 실행되며, 일반적으로 민감한 정보를 훔치거나 스푸핑 된 악성 웹사이트로 사용자를 리디렉션합니다. 공격자는 종종 JavaScript를 사용하여 XSS 공격을 수행합니다.

SQL 인젝션

SQL 인젝션 공격은 구조화된 쿼리 언어(SQL)를 사용하여 웹사이트 또는 앱의 백엔드 데이터베이스에 악성 명령을 전송합니다. 해커는 검색창이나 로그인 창처럼 사용자가 이용하는 필드를 통해 명령을 입력합니다. 그러면 명령이 데이터베이스로 전달되어 신용카드 번호나 고객 정보와 같은 개인 데이터를 반환하도록 요청합니다.

DNS 터널링

DNS 터널링은 DNS 패킷 내에 악성 트래픽을 숨겨 방화벽 및 기타 보안 조치를 우회할 수 있게 합니다. 사이버 범죄자들은 DNS 터널링을 사용하여 비밀 통신 채널을 만들어 데이터를 자동으로 추출하거나 멀웨어와 명령 및 제어(C&C) 서버 간의 연결을 설정하는 데 사용할 수 있습니다.

제로데이 공격

제로데이 공격은 보안 커뮤니티에 알려지지 않았거나, 알려졌지만 아직 패치되지 않은 취약점인 제로데이 취약점을 활용합니다. 이러한 취약점은 개발자가 결함에 대해 알기 전까지 며칠, 몇 달 또는 몇 년 동안 존재할 수 있어 해커의 주요 표적이 됩니다.

파일리스 공격

파일리스 공격은 합법적인 소프트웨어 프로그램의 취약점을 이용헤 컴퓨터 메모리에 직접 악성 코드를 주입합니다. 사이버 범죄자들은 Microsoft Windows 운영 체제에 내장된 스크립팅 툴인 PowerShell을 사용하여 구성을 변경하거나 비밀번호를 도용하는 악성 스크립트를 실행하는 경우가 많습니다.

DNS 스푸핑

'DNS 포이즈닝'이라고도 하는 DNS 스푸핑 공격은 DNS 레코드를 은밀하게 편집하여 웹사이트의 실제 IP 주소를 가짜 IP 주소로 대체합니다. 실제 사이트를 방문하려고 하는 피해자는 자신도 모르는 새 데이터를 훔치거나 맬웨어를 퍼뜨리는 악성 웹사이트로 연결됩니다.

사이버 공격 예방, 탐지 및 대응

조직에서 사이버 보안 시스템과 전략을 구현하면 사이버 공격을 줄일 수 있습니다. 사이버 보안은 기술, 사람, 프로세스를 조합하여 중요한 시스템과 민감한 정보를 디지털 공격으로부터 보호하는 방법입니다.

사이버 공격 예방

많은 조직이 위협 관리 전략을 구현하여 소중한 자산과 리소스를 파악하고 보호합니다. 위협 관리에는 다음과 같은 정책 및 보안 솔루션이 포함될 수 있습니다.

최소 권한 액세스, 다중 인증, 강력한 비밀번호 정책을 포함한 ID 및 액세스 관리(IAM) 플랫폼과 정책을 사용하면 적절한 사람만 적절한 리소스에 액세스할 수 있습니다. 회사에서는 재택 근무자가 보안되지 않은 Wi-Fi를 통해 중요한 리소스에 액세스할 때 VPN(가상 사설망)을 사용하도록 요구할 수도 있습니다.
종합 데이터 보안 플랫폼 및 DLP(Data Loss Prevention) 툴은 중요한 데이터를 암호화하고 액세스 및 사용량을 모니터링하며 의심스러운 활동이 감지될 때 경고를 표시할 수 있습니다. 또한 정기적으로 데이터 백업을 수행하면 침해가 발생했을 때 피해를 최소화할 수 있습니다.
방화벽은 위협 행위자가 애초에 네트워트에 침입할 수 없도록 차단하는 데 도움이 됩니다. 방화벽은 명령 및 제어 서버와 통신을 시도하는 멀웨어와 같이 네트워크 외부로 유출되는 악성 트래픽도 차단할 수 있습니다.
사용자에게 보안 인식 교육을 제공하면 사용자가 피싱 및 기타 소셜 엔지니어링 공격과 같은 가장 일반적인 사이버 공격 벡터를 파악하고 피할 수 있습니다.
패치 관리 일정 및 정기적인 침투 테스트를 포함한 취약점 관리 정책은 해커가 취약점을 악용하기 전에 미리 파악하고 차단할 수 있습니다.
공격 표면 관리(ASM) 툴은 잠재적으로 취약한 자산을 사이버 공격자가 발견하기 전에 파악하고 카탈로그화, 수정할 수 있습니다.
통합 엔드포인트 관리(UEM) 툴을 사용하면 노트북, 데스크톱, 모바일 디바이스 등 기업 네트워크의 모든 엔드포인트에 대한 보안 정책과 제어를 적용할 수 있습니다.

사이버 공격 탐지

시이버 공격 시도를 완전히 방지하는 것은 불가능하므로 조직은 지속적인 보안 모니터링 및 조기 탐지 프로세스를 사용하여 진행 중인 사이버 공격을 식별하고 플래그를 지정할 수도 있습니다. 예를 들면 다음과 같습니다.

보안 정보 및 이벤트 관리(SIEM) 시스템은 침입 탐지 시스템(IDS), 엔드포인트 탐지 및 대응 시스템(EDR) 및 기타 보안 솔루션을 비롯한 다양한 내부 사이버 보안 툴의 경보를 중앙 집중화하고 추적합니다.
위협 인텔리전스 플랫폼은 보안 경고가 강화되어 보안팀이 직면할 수 있는 사이버 보안 위협 유형을 이해하는 데 도움이 됩니다.
바이러스 백신 소프트웨어는 컴퓨터 시스템에서 악성 프로그램을 정기적으로 검사하고 발견된 멀웨어를 자동으로 제거할 수 있습니다.
사전 예방적 위협 헌팅 프로세스는 지능형 지속 위협(APT)과 같이 네트워크에 은밀하게 잠복해 있는 사이버 위협을 추적할 수 있습니다.

사이버 공격에 대한 대응

또한 조직은 진행 중인 사이버 공격 및 기타 사이버 보안 이벤트에 적절히 대응하기 위한 조치를 취할 수도 있습니다. 예를 들면 다음과 같습니다.

인시던트 대응 계획을 도입하면 다양한 종류의 사이버 공격을 차단하고 제거하며 영향을 받는 시스템을 복원하고 근본 원인을 분석하여 향후 공격을 방지할 수 있습니다. 인시던트 대응 계획은 사이버 공격으로 인한 전반적인 비용을 절감하는 것으로 드러났습니다. 데이터 침해 비용 보고서에 따르면 공식적인 인시던트 대응팀과 계획을 갖춘 조직은 침해 발생 시 들어가는 비용이 평균 58% 낮습니다.
보안 오케스트레이션, 자동화 및 대응(SOAR) 솔루션을 사용하면 보안팀이 반자동 또는 완전 자동화된 플레이북을 통해 서로 다른 보안 툴을 조정하여 사이버 공격에 실시간으로 대응할 수 있습니다.
확장 탐지 및 대응(XDR) 솔루션은 사용자, 엔드포인트, 이메일, 애플리케이션, 네트워크, 클라우드 워크로드 및 데이터 등 모든 보안 계층에 걸쳐 보안 툴과 운영을 통합합니다. XDR은 사전 예방적 위협 헌팅을 비롯해 복잡한 사이버 공격 예방, 탐지, 조사 및 대응 프로세스를 자동화하는 데 도움이 됩니다.