사이버 공격은 네트워크, 컴퓨터 시스템 또는 디지털 디바이스에 무단으로 액세스하여 데이터, 애플리케이션 또는 기타 자산을 도용, 노출, 변경, 비활성화 또는 파괴하는 의도적인 활동을 일컫습니다.
위협 행위자는 사소한 절도부터 전쟁 행위에 이르기까지, 다양한 이유로 사이버 공격을 시작합니다. 이들은 멀웨어 공격, 소셜 엔지니어링 사기 및 비밀번호 도용과 같은 다양한 전술을 사용하여 표적 시스템에 무단으로 접근합니다.
사이버 공격은 비즈니스를 방해하고, 피해를 입히고, 심지어 파괴할 수도 있습니다. 데이터 침해를 복구하기 위해 발생하는 비용은 평균 435만 달러입니다. 이는 위반을 발견하고 대응하는 데 드는 비용, 다운타임 및 매출 손실, 비즈니스 및 브랜드에 대한 장기적인 평판 손상으로 생기는 손실이 모두 포함된 금액입니다.
그러나 일부 사이버 공격에는 다른 사이버 공격보다 비용이 훨씬 더 많이 들 수 있습니다. 어느 랜섬웨어 공격은 피해 회사에 4천만 달러에 달하는 대가를 요구했습니다(ibm.com 외부 링크). 비즈니스 이메일 침해(BEC) 사기는 단 하나의 공격을 통해 피해자로부터 4천7백만 달러에 달하는 금액을 훔쳤습니다(ibm.com 외부 링크). 고객의 개인 식별 정보(PII)를 침해하는 사이버 공격은 고객의 신뢰 상실, 규제 위반 벌금을 초래할 뿐 아니라 법적 조치로 이어질 수도 있습니다. 추산에 따르면, 사이버 범죄는 2025년까지 연간 10.5조 달러의 손실을 세계 경제에 가져올 것이라고 합니다(ibm.com 외부 링크).
사이버 공격은 다양한 동기로 발생할 수 있지만, 일반적으로 범죄, 정치, 개인적 목적의 세 가지 범주로 나눌 수 있습니다.
범죄적 동기를 가진 공격자는 금전적 절도, 데이터 절도 또는 비즈니스 중단을 통해 금전적 이득을 추구합니다. 사이버 범죄자는 은행 계좌를 해킹하여 직접 돈을 훔치거나, 소셜 엔지니어링 사기를 통해 사람들을 속여 돈을 송금하도록 유도할 수 있습니다. 해커는 데이터를 훔쳐서 신원을 도용하는 데 사용하거나, 다크 웹에 판매하거나, 대가를 요구하기도 합니다.
갈취는 또 다른 인기 있는 수법입니다. 해커는 기업이 돈을 지불할 때까지 랜섬웨어, DDoS 공격 또는 기타 전술을 사용하여 데이터 또는 디바이스를 인질로 잡을 수 있습니다. XX-Force Threat Intelligence에 따르면 사이버 공격의 27%는 피해자를 갈취하는 것을 목적으로 합니다.
개인적 동기를 가진 공격자는 회사에 불만을 품은 현직 또는 전직 직원으로, 주로 사소한 일에 대한 보복을 노리는 경우가 많습니다. 이들은 돈 또는 민감한 데이터를 훔치거나, 회사 시스템을 방해할 수 있습니다.
정치적 동기를 가진 공격자는 사이버 전쟁, 사이버 테러 또는 '핵티비즘(hacktivism)'과 관련이 있는 경우가 많습니다. 사이버 전쟁에 가담하는 국가 활동 세력은 적국의 정부 기관이나 주요 인프라를 표적으로 삼는 경우가 많습니다. 예를 들어, 러시아와 우크라이나 사이의 전쟁이 시작된 후 양국의, 주요 기관에 대한 사이버 공격이 급증했습니다(ibm.com 외부 링크). '핵티비스트'라고 불리는 사회운동가 성향의 해커는 목표물에 심각한 피해를 주지 않을 수 있습니다. 그보다는 자신들의 공격에 관해 대중에게 알림으로써 공격의 대의에 대한 관심을 유도하는 목적을 갖고 있는 경우가 많습니다.
이보다 흔하지 않은 공격 동기로는 해커가 지식재산을 훔치도록 하여 경쟁업체보다 부당한 이점을 얻는 기업 스파이 활동과 시스템의 취약점을 악용하여 다른 사람들에게 경고하는 자경단 해커가 있습니다. 일부 해커는 단순히 재미로 해킹하며 지적 도전을 즐깁니다.
범죄 조직, 국가 활동 세력, 민간인 모두 사이버 공격을 시작할 수 있습니다. 위협 행위자를 분류하는 한 가지 방법은 외부 위협 또는 내부 위협으로 분류하는 것입니다.
외부 위협은 네트워크나 디바이스를 사용할 권한이 없으면서 여기에 침입하는 경우입니다. 외부 사이버 위협 행위자에는 조직범죄 단체, 전문 해커, 국가 활동 세력, 아마추어 해커, 해커 등이 포함됩니다.
내부자 위협은 회사 자산을 사용할 권한이 있고 합법적인 액세스가 가능한 사용자가 고의로 또는 실수로 자산을 남용한 경우에 발생합니다. 시스템 액세스 권한을 가진 직원, 비즈니스 파트너, 고객, 계약업체 및 공급업체가 이 범주에 포함됩니다.
부주의한 사용자로 인해 회사가 위험에 처하는 경우도 있지만, 사용자가 의도적으로 권한을 사용하여 악의적인 활동을 수행하는 경우에만 사이버 공격으로 규정합니다. 보안되지 않은 드라이브에 민감한 정보를 부주의하게 저장하는 직원은 사이버 공격을 저지르는 것이 아니지만, 불만을 품은 직원이 개인적인 이익을 위해 기밀 데이터를 고의로 복사하는 것은 사이버 공격에 해당합니다.
위협 행위자는 일반적으로 특정한 목표를 위해서 컴퓨터 네트워크에 침입합니다. 위협 행위자가 원하는 것은 주로 다음과 같습니다.
가끔은 사이버 공격자가 어떤 것도 훔치려는 의도를 갖고 있지 않을 때도 있습니다. 단지 정보 시스템이나 IT 인프라를 파괴하여 기업, 정부 기관 또는 기타 대상에 피해를 주는 것만이 목적인 경우도 있습니다.
사이버 공격이 성공할 경우 기업에 피해를 줄 수 있습니다. 다운타임, 데이터 손실, 금전 손실이 발생할 수 있기 때문입니다. 예를 들어 보겠습니다.
사이버 공격은 표적에 직접적인 해를 끼치는 것 외에도 많은 부차적인 비용과 결과를 가져올 수 있습니다. 예를 들어, 데이터 침해 비용 보고서에 따르면 침해를 탐지, 대응 및 해결하기 위해 기업이 지출하는 비용은 평균 262만 달러라고 합니다.
사이버 공격은 직접적인 표적 외에 다른 피해자에게도 영향을 줄 수 있습니다. 2021년, DarkSide 랜섬웨어 갱단은 미국 최대의 정제 송유관 시스템인 Colonial Pipeline을 공격했습니다. 공격자는 유출된 비밀번호를 사용하여 회사 네트워크에 침입했습니다(ibm.com 외부 링크). 이들이 미국 동부 해안으로 공급되는 가스와 경유, 제트 연료의 45%를 운반하는 송유관을 폐쇄하는 바람에 심각한 연료 부족 현상이 발생했습니다.
사이버 범죄자들은 Colonial Pipeline에 약 500만 달러의 비트코인 암호화폐를 대가로 요구했습니다(ibm.com 외부 링크). 그러나 이 회사는 미국 정부의 도움을 받아 230만 달러를 회수할 수 있었습니다.
사이버 범죄자들은 여러 가지 정교한 툴과 기술을 사용해 엔터프라이즈 IT 시스템, 개인용 컴퓨터 및 기타 대상에 대한 사이버 공격을 시작합니다. 가장 일반적인 사이버 공격의 유형은 다음과 같습니다.
멀웨어는 시스템을 감염시켜 작동 불능 상태로 만들 수 있는 악성 소프트웨어입니다. 멀웨어는 데이터를 파괴하거나, 정보를 훔치거나, 운영 체제의 실행 기능에 중요한 파일을 지울 수도 있습니다. 멀웨어에는 다음과 같은 여러 형태가 있습니다.
소셜 엔지니어링 공격은 사람들이 공유해서는 안 되는 정보를 공유하거나, 다운로드해서는 안 되는 소프트웨어를 다운로드하거나, 범죄자들에게 돈을 보내는 등 하지 말아야 할 일들을 하도록 유도하는 것을 말합니다.
피싱은 가장 널리 퍼진 소셜 엔지니어링 공격 중 하나입니다. 데이터 침해 비용 보고서에 따르면, 피싱은 데이터 침해 사고와 관련된 두 번째로 큰 원인입니다. 가장 기본적인 피싱 사기는 가짜 이메일이나 문자 메시지를 사용하여 사용자의 로그인 정보를 훔치거나, 민감한 데이터를 유출하거나, 멀웨어를 유포하는 것입니다. 피싱 메시지는 합법적인 발신자가 보낸 것처럼 보이도록 설계되는 경우가 많습니다. 이러한 메시지는 일반적으로 피해자가 악성 웹사이트로 연결되는 하이퍼링크를 클릭하거나 멀웨어를 담고 있는 이메일 첨부 파일을 열도록 유도합니다.
사이버 범죄자들은 또한 더욱 정교한 피싱 방법을 개발했습니다. 스피어 피싱은 특정 개인을 조종하기 위해 설계된 고도로 표적화된 공격으로, 피해자의 소셜 미디어 공개 프로필에 있는 세부 정보를 활용해 더욱 설득력 있는 계략을 꾸미는 경우가 많습니다. 스피어 피싱의 일종인 웨일 피싱은 기업의 고위 임원을 표적으로 삼습니다. 비즈니스 이메일 침해(BEC) 사기에서는 사이버 범죄자가 임원, 공급업체 또는 기타 비즈니스 동료로 위장하여 피해자를 속인 다음 돈을 송금하거나 민감한 데이터를 공유하도록 유도합니다.
서비스 거부(DoS) 및 분산 서비스 거부(DDoS) 공격은 시스템 리소스를 사기성 트래픽으로 가득 채웁니다. 이 트래픽은 시스템을 압도하여 합법적인 요청에 대한 응답을 방해하고 시스템의 수행 능력을 저하합니다. 서비스 거부 공격은 그 자체로 끝일 수도 있고 다른 공격을 위한 준비 단계일 수도 있습니다.
DoS 공격과 DDoS 공격의 차이점은 DoS 공격은 단일 소스를 사용하여 사기성 트래픽을 생성하는 반면, DDoS 공격은 여러 소스를 사용한다는 점입니다. DDoS 공격은 인터넷에 연결되고 멀웨어에 감염되어 해커의 통제를 받는 디바이스로 구성된 네트워크인 봇넷을 통해 수행되는 경우가 많습니다. 봇넷에는 노트북, 스마트폰, 사물인터넷(IoT) 디바이스가 포함될 수 있습니다. 일반적으로 피해자는 봇넷이 언제 자신의 디바이스를 탈취했는지도 알지 못합니다.
계정 유출은 해커가 악의적인 활동을 위해 합법적인 사용자의 계정을 가로채는 공격을 뜻합니다. 사이버 범죄자는 다양한 방법으로 사용자 계정에 침입할 수 있습니다. 피싱 공격을 통해 로그인 정보를 훔치거나, 다크 웹에서 훔친 비밀번호 데이터베이스를 구입할 수도 있습니다. Hashcat 및 John Ripper와 같은 암호 공격 툴을 사용하여 비밀번호 암호화를 해제하거나, 자동화된 스크립트나 봇을 실행하는 무차별 대입 공격을 수행하여 계정이 뚫릴 때까지 가능한 비밀번호 조합을 생성해 테스트할 수 있습니다.
'도청 공격'이라고도 하는 중간자(MiTM) 공격에서는 해커가 두 사람 사이 또는 사용자와 서버 사이의 통신을 비밀리에 가로챕니다. MitM 공격은 일반적으로 보안되지 않은 공공 와이파이 네트워크를 통해 수행되는데, 이러한 네트워크에서 위협 행위자가 상대적으로 쉽게 트래픽을 염탐할 수 있습니다.
해커는 사용자의 이메일을 읽을 수 있고, 이메일이 수신자에게 도달하기 전에 몰래 변경할 수도 있습니다. 세션 하이재킹 공격에서는 해커가 사용자와 회사의 기밀 데이터베이스와 같은 중요한 자산을 호스팅하는 서버 간의 연결을 방해합니다. 해커는 자신의 IP 주소를 사용자의 IP 주소와 바꿔치기하여 합법적인 세션에 로그인한 합법적인 사용자인 것처럼 서버를 속입니다. 이를 통해 해커는 자유롭게 데이터를 훔치거나, 다른 방식으로 혼란을 일으킬 수 있습니다.
공급망 공격은 해커가 소프트웨어 공급업체, 자재 공급업체 및 기타 서비스 제공업체를 표적으로 삼아 기업에 침입하는 사이버 공격입니다. 공급업체는 어떤 방식으로든 고객의 네트워크에 연결되어 있기 때문에 해커는 공급업체의 네트워크를 공격 벡터로 사용하여 여러 표적에 한 번에 액세스할 수 있습니다.
예를 들어, 2020년에 러시아 국가 활동 세력이 소프트웨어 공급업체인 SolarWinds를 해킹한 후 소프트웨어 업데이트를 가장하여 고객에게 멀웨어를 배포했습니다(ibm.com 외부 링크). 이 멀웨어를 통해 러시아 스파이들이 재무부, 법무부, 국무부 등 SolarWinds의 서비스를 사용하는 다양한 미국 정부 기관의 민감한 데이터에 액세스할 수 있었습니다.
크로스 사이트 스크립팅(XSS) 공격은 합법적인 웹 페이지 또는 웹 애플리케이션에 악성 코드를 삽입하는 것입니다. 사용자가 사이트 또는 앱을 방문하면 코드가 사용자의 웹 브라우저에서 자동으로 실행되며, 일반적으로 민감한 정보를 훔치거나 스푸핑 된 악성 웹사이트로 사용자를 리디렉션합니다. 공격자는 종종 JavaScript를 사용하여 XSS 공격을 수행합니다.
SQL 인젝션 공격은 구조화된 쿼리 언어(SQL)를 사용하여 웹사이트 또는 앱의 백엔드 데이터베이스에 악성 명령을 전송합니다. 해커는 검색창이나 로그인 창처럼 사용자가 이용하는 필드를 통해 명령을 입력합니다. 그러면 명령이 데이터베이스로 전달되어 신용카드 번호나 고객 정보와 같은 개인 데이터를 반환하도록 요청합니다.
DNS 터널링은 DNS 패킷 내에 악성 트래픽을 숨겨 방화벽 및 기타 보안 조치를 우회할 수 있게 합니다. 사이버 범죄자들은 DNS 터널링을 사용하여 비밀 통신 채널을 만들어 데이터를 자동으로 추출하거나 멀웨어와 명령 및 제어(C&C) 서버 간의 연결을 설정하는 데 사용할 수 있습니다.
제로데이 공격은 보안 커뮤니티에 알려지지 않았거나, 알려졌지만 아직 패치되지 않은 취약점인 제로데이 취약점을 활용합니다. 이러한 취약점은 개발자가 결함에 대해 알기 전까지 며칠, 몇 달 또는 몇 년 동안 존재할 수 있어 해커의 주요 표적이 됩니다.
파일리스 공격은 합법적인 소프트웨어 프로그램의 취약점을 이용헤 컴퓨터 메모리에 직접 악성 코드를 주입합니다. 사이버 범죄자들은 Microsoft Windows 운영 체제에 내장된 스크립팅 툴인 PowerShell을 사용하여 구성을 변경하거나 비밀번호를 도용하는 악성 스크립트를 실행하는 경우가 많습니다.
'DNS 포이즈닝'이라고도 하는 DNS 스푸핑 공격은 DNS 레코드를 은밀하게 편집하여 웹사이트의 실제 IP 주소를 가짜 IP 주소로 대체합니다. 실제 사이트를 방문하려고 하는 피해자는 자신도 모르는 새 데이터를 훔치거나 맬웨어를 퍼뜨리는 악성 웹사이트로 연결됩니다.
조직에서 사이버 보안 시스템과 전략을 구현하면 사이버 공격을 줄일 수 있습니다. 사이버 보안은 기술, 사람, 프로세스를 조합하여 중요한 시스템과 민감한 정보를 디지털 공격으로부터 보호하는 방법입니다.
많은 조직이 위협 관리 전략을 구현하여 소중한 자산과 리소스를 파악하고 보호합니다. 위협 관리에는 다음과 같은 정책 및 보안 솔루션이 포함될 수 있습니다.
시이버 공격 시도를 완전히 방지하는 것은 불가능하므로 조직은 지속적인 보안 모니터링 및 조기 탐지 프로세스를 사용하여 진행 중인 사이버 공격을 식별하고 플래그를 지정할 수도 있습니다. 예를 들면 다음과 같습니다.
또한 조직은 진행 중인 사이버 공격 및 기타 사이버 보안 이벤트에 적절히 대응하기 위한 조치를 취할 수도 있습니다. 예를 들면 다음과 같습니다.
연결되고 현대화된 보안 제품군으로 공격에 대응하세요. QRadar 포트폴리오는 엔터프라이즈급 AI가 내장되어 있으며 공통 사용자 인터페이스, 공유 인사이트, 연결된 워크플로를 통해 엔드포인트 보안, 로그 관리, SIEM 및 SOAR를 위한 통합 제품을 제공합니다.
사전 위협 헌팅, 지속적인 모니터링 및 위협에 대한 심층 조사는 이미 바쁜 IT 부서가 직면한 최우선 과제 중 일부에 불과합니다. 신뢰할 수 있는 인시던트 대응팀을 대기 상태로 유지하면 대응 시간을 줄이고 사이버 공격의 영향을 최소화하며 더 빠르게 복구할 수 있습니다.
IBM은 최신 랜섬웨어 위협을 방지하고 퇴치하기 위해 800TB의 위협 활동 데이터, 1천7백만 건 이상의 스팸 및 피싱 공격 정보, 2억 7천만 건의 엔드포인트로 구성된 네트워크에서 수집한 약 1백만 개의 악성 IP 주소에 대한 데이터를 활용합니다.
데이터 유출 비용 보고서는 나날이 늘어가는 위협 환경에 대한 최신 인사이트를 공유할 뿐 아니라 시간을 절약하고 손실을 제한할 방법에 대한 권장 사항을 제공합니다.
IBM Security X-Force Threat Intelligence는 CISO, 보안팀 및 비즈니스 리더에게 실행 가능한 인사이트를 제공하여 위협 행위자가 공격을 수행하는 방식과 조직을 선제적으로 보호하는 방법을 이해하는 데 도움이 됩니다.
X-Force 사이버 공격 준비 및 실행 프레임워크는 오늘날의 공격을 대표하는 논리적 흐름을 제공하며, 일반적으로 다른 프레임워크에 포함되지 않는 단계를 통합합니다.