해킹(사이버 해킹)은 변칙적이거나 불법적인 수단을 동원해 디지털 기기, 컴퓨터 시스템 또는 컴퓨터 네트워크에 무단으로 접근하는 행위를 말합니다. 보안 취약점을 악용하여 네트워크에 침입하여 데이터를 훔치는 사이버 범죄가 해킹의 대표적인 예입니다.
하지만 해킹이 항상 악의적인 목적을 갖고 있는 것은 아닙니다. 맞춤형 프로그램을 실행하기 위해 개인 스마트폰을 조작하는 소비자도 엄밀히 말해서 해커라 할 수 있습니다.
악의적인 해커들은 사이버 공격을 시작하거나, 협박하거나, 멀웨어 또는 훔친 데이터를 서로 판매하여 수익을 얻는 거대한 사이버 범죄 경제를 구축했습니다. 2027년까지 모든 사이버범죄의 글로벌 비용은 약 24조 달러에 달할 것으로 예상됩니다.1
악의적인 해킹은 치명적인 결과를 초래할 수 있습니다. 개인은 신원 도용, 금전 도용 등에 직면합니다. 조직은 시스템 다운타임, 데이터 유출 및 고객 이탈, 수익 감소, 평판 손상, 벌금 또는 기타 법적 처벌로 이어지는 기타 피해를 겪을 수 있습니다. IBM의 데이터 유출 비용(CODB) 보고서에 따르면 평균 데이터 유출로 인해 조직은 488만 달러의 비용을 지출합니다.
해킹 스펙트럼의 반대쪽 끝에 있는 사이버 보안 커뮤니티는 윤리적 해커(범죄 의도가 없고 도움을 주는 해커)의 도움을 받아 보안 조치를 테스트하고, 보안 결함을 해결하며, 사이버 위협을 예방하고 있습니다. 이러한 윤리적인 해커들은 기업의 보안 시스템을 강화하는 것과 악의적인 해커들을 잡기 위해 법 집행 기관과 협력함으로써 생계를 유지합니다.
사이버 공격은 컴퓨터 시스템이나 사용자에게 해를 끼치려는 의도적인 노력이며, 해킹은 승인되지 않은 수단을 통해 시스템에 액세스하거나 제어하는 행위입니다. 주요 차이점은 사이버 공격은 항상 대상에게 피해를 입히지만 해킹은 좋거나 나쁘거나 중립적일 수 있다는 것입니다.
악의적인 행위자는 해킹 기술을 사용하여 사이버 공격을 시작할 수 있습니다(예: 시스템 취약성을 악용하여 네트워크에 침입하여 랜섬웨어를 심는 사람).
이와 반대로 윤리적 해커는 해킹 기술을 사용하여 조직이 방어를 강화하도록 돕습니다. 이는 본질적으로 사이버 공격과 반대되는 개념입니다.
또 다른 중요한 차이점은 해킹이 무조건 불법은 아니라는 것입니다. 시스템 소유자로부터 허가를 받은(또는 시스템 소유자 본인이 직접 수행하는) 해킹 활동은 합법입니다.
반면, 사이버 공격은 대상의 동의가 없고 적극적으로 해를 입히는 것을 목표로 하기 때문에 거의 항상 불법입니다.
Think 뉴스레터
Think 뉴스레터를 통해 AI, 사이버 보안, 데이터 및 자동화에 대한 선별된 뉴스를 제공하는 보안 리더들과 함께하세요. 받은 편지함으로 직접 제공되는 전문가 튜토리얼과 설명서를 통해 빠르게 배울 수 있습니다. IBM 개인정보 보호정책을 참고하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책 을 참조하세요.
해커는 동기와 전술에 따라 3가지 주요 카테고리로 나뉩니다.
해를 끼치기 위해 해킹하는 악의적인 해커
회사를 피해로부터 보호하기 위해 해킹하는 윤리적 해커
'좋은' 해킹과 '나쁜' 해킹의 경계를 모호하게 만드는 자경단 또는 '그레이 햇' 해커
악의적인 해커('블랙 햇 해커'라고도 함)는 악의적 해킹을 통해 타인에게 피해를 주고 개인적 또는 금전적 이익을 취하는 사이버 범죄자입니다.
일부 악의적인 해커는 사이버 공격을 직접 수행하는 반면, 다른 해커는 다크 웹에서 다른 해커에게 판매하기 위해 악성 코드나 익스플로잇을 개발합니다. (예: 서비스형 랜섬웨어 계약 참조) 그들은 단독으로 또는 랜섬웨어 갱단, 사기 조직 또는 기타 조직화된 그룹의 일부로 일할 수 있습니다.
돈은 악의적인 해커의 가장 일반적인 동기입니다. 그들은 일반적으로 다음과 같은 방법으로 급여를 "벌고" 있습니다.
다른 시스템에 침입하거나, 신원을 도용 또는 판매할 때 사용하기 위해 민감한 데이터나 개인 정보(로그인 정보, 신용 카드 번호, 은행 계좌 번호, 주민등록번호 등)를 훔치는 행위가 해킹입니다.
IBM X-Force Threat Intelligence Index에 따르면 데이터 유출은 사이버 공격의 가장 일반적인 영향으로, 공격의 32%에서 발생합니다.
랜섬웨어 공격 또는 분산 서비스 거부(DDoS) 공격을 사용하여 피해자가 몸값을 지불할 때까지 데이터, 디바이스 또는 비즈니스 운영을 인질로 잡는 등 피해자를 갈취하는 행위. Threat Intelligence Index에 따르면 갈취는 인시던트의 24%에서 발생하여 두 번째로 흔한 공격 영향입니다.
고객사의 경쟁업체에 고용되어 지식재산권 또는 기타 기밀 정보를 탈취하기 위해 기업 스파이 활동을 수행하는 행위.
악의적인 해커는 때때로 돈 이외의 동기를 가지고 있습니다. 예를 들면, 승진을 놓쳐 불만을 품은 직원이 고용주의 시스템을 해킹할 수 있습니다.
윤리적 해커("화이트 햇 해커"라고도 함)는 컴퓨터 해킹 기술을 사용하여 기업이 보안 취약점을 찾아 수정하여 위협 행위자가 악용할 수 없도록 돕습니다.
윤리적 해킹은 합법적인 직업입니다. 윤리적 해커는 해킹하는 기업에서 보안 컨설턴트 또는 직원으로 일합니다. 윤리적 해커는 신뢰를 구축하고 기술을 입증하기 위해 CompTIA 및 EC-Council과 같은 기관에서 인증을 획득하고 엄격한 행동 강령을 따릅니다. 이들은 해킹에 앞서 늘 허가를 받고 피해를 입히지 않으며 결과를 기밀로 유지합니다.
가장 일반적인 윤리적 해킹 서비스 중 하나는 침투 테스트(또는 "펜 테스트")로, 해커가 웹 애플리케이션, 네트워크 또는 기타 자산에 대한 모의 사이버 공격을 시작하여 약점을 찾는 것입니다. 그런 다음 자산 소유자와 협력하여 이러한 약점을 수정합니다.
윤리적 해커는 취약성 평가를 수행하거나 멀웨어를 분석하여 위협 인텔리전스를 수집하거나, 안전한 소프트웨어 개발 수명주기에 참여할 수도 있습니다.
그레이 햇 또는 그레이 햇 해커들도 윤리적인 진영과 악의적인 진영으로 명확하게 구분되지 않는 경우가 있습니다. 이러한 자경단원들은 허가 없이 시스템에 침입하지만 해킹한 조직을 돕고 그 대가로 무언가를 얻을 수도 있습니다.
'그레이 햇'이라는 이름은 이러한 해커가 도덕적 회색 지대에서 활동한다는 사실을 나타냅니다. 이들은 시스템에서 발견한 결함을 회사에 알리고, 이 취약점을 고쳐 주는 대가로 비용이나 일자리를 요구하기도 합니다. 또한 좋은 의도를 가지고도 실수로 악의적인 해커에게 새로운 공격 벡터를 알릴 수도 있습니다.
일부 아마추어 프로그래머들은 재미를 위해 또는 학습하기 위해 또는 어려운 목표를 깨트리고 유명세를 얻기 위해 해킹합니다. 예를 들어, 생성형 AI의 등장으로 탈옥 AI 모델을 실험하여 새로운 일을 하도록 하는 취미용 AI 해커들이 급증하고 있습니다.
"핵티비스트"는 사회적, 정치적 문제에 관한 관심을 끌기 위해 시스템을 해킹하는 활동가입니다. 어나니머스는 가장 잘 알려진 해킹 단체로, 러시아 정부와 유엔과 같은 유명 표적에 대한 공격을 감행한 바 있습니다.
국가가 후원하는 해커는 공식적으로 국가의 지원을 받습니다. 그들은 종종 국가 안보를 명목하여 적국을 염탐하거나, 중요한 인프라를 방해하거나, 잘못된 정보를 퍼뜨리기 위해 정부와 협력합니다.
이러한 해커가 윤리적인지 악의적인지는 보는 사람의 관점에 따라 다릅니다. 미국과 이스라엘 정부의 소행으로 여겨지는 이란 핵 시설에 대한 스턱스넷 공격을 생각해 보세요. 이란의 핵 프로그램을 안보 위협으로 보는 사람이라면 누구나 그 공격을 윤리적이라고 생각할 것입니다.
궁극적으로 해커가 하는 일은 시스템 설계자가 의도하지 않은 방식으로 시스템에 액세스하는 것입니다. 이를 수행하는 방법은 목표와 대상 시스템에 따라 다릅니다.
해킹은 누구나 낚이게 만드는 피싱 이메일을 발송하여 비밀번호를 탈취하는 것부터 시작해 수개월 동안 네트워크에 몰래 숨어 있는 지능형 지속적 위협(APT)까지 다양합니다.
가장 일반적인 해킹 방법은 다음과 같습니다.
사람들은 표준 Mac 또는 Microsoft 운영 체제를 사용하여 해킹할 수 있지만 많은 해커는 자격 증명 크래커 및 네트워크 스캐너와 같은 맞춤형 해킹 도구가 로드된 맞춤형 운영 체제(OS)를 사용합니다.
예를 들어, 모의 침투 테스트용으로 설계된 오픈 소스 Linux 배포판인 Kali Linux는 윤리적 해커들 사이에서 인기가 높습니다.
해커는 다양한 도구를 사용하여 대상에 대해 학습하고 악용할 수 있는 약점을 식별합니다.
예를 들어, 패킷 스니퍼는 네트워크 트래픽을 분석하여 트래픽의 출처, 이동 위치, 포함된 데이터를 파악합니다. 포트 스캐너는 해커가 연결할 수 있는 열려 있고 사용 가능한 포트가 있는지 디바이스를 원격으로 테스트합니다. 취약점 스캐너는 알려진 취약점을 검색하여 해커가 대상에 빠르게 진입할 수 있는 입구를 찾도록 돕습니다.
악성 소프트웨어라고도 하는 멀웨어는 악의적인 해커가 사용하는 핵심 무기입니다. X-Force Threat Intelligence Index에 따르면 사이버 공격의 43%가 멀웨어와 관련이 있습니다.
가장 일반적인 멀웨어 유형은 다음과 같습니다.
랜섬웨어는 피해자의 디바이스 또는 데이터를 잠그고 잠금을 해제하기 위한 대가를 요구합니다.
봇넷은 인터넷에 연결되고 멀웨어에 감염되어 해커의 통제를 받는 디바이스의 네트워크입니다. 봇넷 멀웨어는 일반적으로 보호 기능이 약하기 때문에 사물인터넷(IoT) 디바이스를 대상으로 하는 경우가 많습니다. 해커는 봇넷을 사용하여 분산 서비스 거부(DDoS) 공격을 시작합니다.
트로이 목마는 유용한 프로그램으로 위장하거나 합법적인 소프트웨어 안에 숨어서 사용자가 설치하도록 속입니다. 해커들은 트로이 목마를 사용하여 사용자가 알지 못하는 한 디바이스에 원격으로 접근하거나 다른 멀웨어를 다운로드합니다.
스파이웨어는 암호나 은행 계좌 정보와 같은 중요한 정보를 비밀리에 수집하여 공격자에게 다시 전송합니다.
정보 도용 멀웨어는 사이버 보안 팀이 다른 일반적인 멀웨어 변종을 막는 방법을 알게 됨에 따라 사이버 범죄자들 사이에서 특히 인기를 얻고 있습니다. Threat Intelligence Index에 따르면 2022~2023년에 인포스틸러 활동이 266% 증가했습니다.
소셜 엔지니어링 공격은 사람들을 속여 해커에게 돈이나 데이터를 보내거나 민감한 시스템에 대한 액세스 권한을 부여하도록 합니다. 일반적인 소셜 엔지니어링 전술은 다음과 같습니다.
사기성 이메일 또는 기타 메시지를 사용하는 비즈니스 이메일 손상 사기와 같은 피싱 공격입니다.
특정 개인을 대상으로 하는 스피어 피싱 공격은 종종 공개 소셜 미디어 페이지의 세부 정보를 사용하여 신뢰를 얻습니다.
미끼 공격은 해커가 멀웨어에 감염된 USB 드라이브를 공공 장소에 배치합니다.
스케어웨어 공격은 공포를 이용해 피해자가 해커가 원하는 일을 하도록 강요합니다.
해커는 항상 저항이 가장 적은 경로를 찾고 있으며, 많은 엔터프라이즈 네트워크에서 이는 직원 자격 증명을 훔치는 것을 의미합니다. IBM X-Force Threat Intelligence Index에 따르면, 유효한 계정 남용은 가장 흔한 사이버 공격 벡터로, 모든 사고의 30%를 차지합니다.
직원의 비밀번호를 이용해 해커는 권한이 있는 사용자로 위장하고 보안 제어를 바로 통과할 수 있습니다. 해커는 다양한 방법을 통해 계정 자격 증명을 얻을 수 있습니다.
스파이웨어와 정보 도용자를 사용하여 암호를 수집하거나 소셜 엔지니어링을 통해 로그인 정보를 공유하도록 사용자를 속일 수 있습니다. 이들은 자격 증명 크래킹 도구를 사용하여 잠재적 암호가 제대로 작동할 때까지 자동으로 테스트하는 무차별 대입 공격을 시작하거나 다크 웹에서 이전에 도난당한 자격 증명을 구입할 수도 있습니다.
방어자가 인공 지능(AI)을 사용하여 사이버 위협에 맞서는 것과 마찬가지로 해커는 AI를 사용하여 대상을 악용하고 있습니다. 이러한 경향은 해커가 AI 도구를 대상에 사용하는 것과 해커가 AI 앱의 취약점을 대상으로 하는 두 가지 방식으로 나타납니다.
해커는 생성형 AI를 사용하여 악성 코드를 개발하고, 취약점을 찾아내고, 익스플로잇을 만들 수 있습니다. 한 연구에서 연구원들은 ChatGPT와 같이 널리 사용 가능한 대규모 언어 모델(LLM)이 사례의 87%에서 일일 취약점을 악용할 수 있음을 발견했습니다.
X-Force Threat Intelligence Index에 따르면 해커들은 LLM을 사용하여 피싱 이메일을 작성하는 데 걸리는 시간이 5분으로 매우 짧습니다. 동일한 이메일을 수동으로 작성하는 데 16시간이 걸리던 것에 비해 5분이면 충분합니다.
이러한 AI 도구는 해킹 프로세스의 상당 부분을 자동화함으로써 해킹 분야로의 진입 장벽을 낮출 수 있으며, 이는 긍정적 및 부정적 결과를 모두 초래합니다.
AI 공격 표면이 확대되고 있는 상황에서 AI 앱의 채택이 증가함에 따라 해커는 기업과 개인에게 해를 끼칠 수 있는 더 많은 방법을 제공합니다. 예를 들어, 데이터 포이즈닝 공격은 품질이 낮거나 의도적으로 왜곡된 데이터를 학습 세트에 몰래 넣음으로써 AI 모델 성능을 저하시킬 수 있습니다. 프롬프트 인젝션은 악의적인 프롬프트를 사용하여 LLM을 속여 민감한 데이터를 유출하거나 중요한 문서를 파기하거나 심지어 파괴하도록 합니다.
중간 공격자(AITM)라고도 하는 중간자(MITM) 공격은 해커가 사용자 간의 이메일 또는 웹 브라우저와 웹 서버 간의 연결과 같은 두 당사자 간의 민감한 통신을 도청하는 것과 관련이 있습니다.
예를 들어, DNS 스푸핑 공격은 사용자를 합법적인 웹 페이지에서 해커가 제어하는 웹 페이지로 리디렉션합니다. 사용자는 자신이 실제 사이트에 있다고 생각하고 해커는 공유하는 정보를 비밀리에 훔칠 수 있습니다.
크로스 사이트 스크립팅(XSS)과 같은 인젝션 공격은 악성 스크립트를 사용하여 합법적인 앱과 웹 사이트를 조작합니다. 예를 들어, SQL 삽입 공격에서 해커는 공개 사용자 입력 필드에 SQL 명령을 입력하여 웹 사이트가 민감한 데이터를 유출하도록 합니다.
"자급자족"이라고도 하는 파일리스 공격은 해커가 이미 손상된 자산을 사용하여 네트워크를 통해 수평으로 이동하거나 추가 피해를 입히는 기술입니다. 예를 들어, 해커가 시스템의 명령줄 인터페이스에 대한 액세스 권한을 얻으면 많은 흔적을 남기지 않고 디바이스의 메모리에서 직접 악성 스크립트를 실행할 수 있습니다.
1980년대 초, 414s라는 해커 그룹이 로스 알라모스 국립 연구소, 슬론 케터링 암센터 등 대상을 침해했습니다. 414s로 인한 실제 피해는 거의 없었지만, 이들의 해킹이 미국 의회에서 컴퓨터 사기 및 남용에 관한 법률을 통과시키는 데 이바지했습니다. 이 법은 악의적인 해킹을 공식적으로 범죄로 규정했습니다.
1988년, 실험의 목적으로 인터넷에 공개된 모리스 웜은 컴퓨터 웜의 일종입니다.이로 인해 의도했던 것보다 더 많은 피해가 발생하여 수천 대의 컴퓨터가 오프라인 상태가 되었고 다운타임 및 문제 해결과 관련된 비용이 약 1,000만 달러에 달했습니다.
웜의 프로그래머인 로버트 태판 모리스(Robert Tappan Morris)는 컴퓨터 사기 및 남용에 관한 법률에 따라 최초로 중범죄 유죄 판결을 받았습니다.
2021년에는 Colonial Pipeline의 시스템이 해커의 공격으로 랜섬웨어에 감염되었고, 이로 인해 회사는 미국 동부 해안 지역 연료의 45%를 공급하는 파이프라인을 일시적으로 폐쇄할 수밖에 없었습니다. 해커는 다크 웹에서 찾은 직원의 비밀번호를 사용하여 네트워크에 접근했습니다. Colonial Pipeline Company는 데이터에 다시 접근하기 위해 5백만 달러의 대가를 지불했습니다.
2024년, 결제 시스템 회사인 Change Healthcare는 미국 의료 산업 전반의 청구 시스템을 중단시킨 대규모 데이터 유출을 겪었습니다. 해커는 수백만 명의 개인 데이터, 지불 세부 정보, 보험 기록 및 기타 민감한 정보를 입수했습니다.
Change Healthcare가 처리하는 데 도움을 주는 거래의 수가 너무 많기 때문에 이 침해 사건은 전체 미국인의 1/3에 영향을 미친 것으로 추정됩니다. 유출과 관련된 총 비용은 10억 달러에 달할 수 있습니다.
대부분의 기업을 포함하여 컴퓨터 시스템에 중요한 기능을 수행하는 조직이라면 해킹의 위험에 노출되어 있습니다. 해커의 레이더에서 벗어날 수 있는 방법은 없지만 기업은 해커의 침입을 더 어렵게 만들어 해킹 성공의 가능성과 비용을 모두 줄일 수 있습니다.
데이터 유출 비용(CODB) 보고서에 따르면 도난 및 손상된 자격 증명은 데이터 유출의 가장 일반적인 공격 벡터입니다.
강력한 암호는 해커가 자격 증명을 도용하는 것을 더 어렵게 만들 수 있습니다. 다단계 인증 (MFA) 및 권한 있는 액세스 관리(PAM) 시스템과 같은 엄격한 인증 조치를 통해 해커가 사용자 계정을 하이재킹하기 위해 훔친 암호보다 더 많은 것을 필요로 할 수 있습니다.
소셜 엔지니어링 공격을 인식하고, 회사 정책을 따르고, 적절한 보안 제어를 설치하는 것과 같은 사이버 보안 모범 사례에 대해 직원을 교육하면 조직이 더 많은 해킹을 방지하는 데 도움이 될 수 있습니다. 데이터 유출 비용(CODB) 보고서에 따르면 교육을 통해 데이터 침해 비용을 최대 258,629달러까지 줄일 수 있습니다.
해커는 보통 쉬운 표적을 찾고, 잘 알려진 취약성이 있는 네트워크를 침해하는 경우가 많습니다. 공식적인 패치 관리 프로그램을 통해 소프트웨어 제공업체의 보안 패치를 최신 상태로 유지하면 해커의 침입을 어렵게 만들 수 있습니다.
데이터 유출 비용(CODB) 보고서에 따르면 사이버 보안을 위해 AI 및 자동화에 막대한 투자를 하는 조직은 평균 188만 달러의 유출로 인한 비용을 줄일 수 있습니다.또한 AI 및 자동화에 투자하지 않는 조직보다 100일 더 빠르게 유출을 식별하고 차단합니다.
이 보고서는 AI와 자동화가 공격 표면 관리, 레드 팀 구성, 태세 관리와 같은 위협 방지 워크플로에 배포될 때 특히 유용할 수 있다고 지적합니다.
방화벽과 침입 방지 시스템(IPS)은 해커의 네트워크 침입을 탐지하고 차단하는 데 도움이 될 수 있습니다. 보안 정보 및 이벤트 관리(SIEM) 소프트웨어는 진행 중인 해킹을 발견할 수 있게 도와줍니다. 안티바이러스 프로그램은 멀웨어를 찾아 삭제할 수 있으며, 엔드포인트 탐지 및 대응(EDR) 플랫폼은 복잡한 해킹에 대한 대응을 자동화할 수 있습니다. 원격 직원은 가상 사설망(VPN)을 사용하여 네트워크 보안을 강화하고 도청자로부터 트래픽을 보호할 수 있습니다.
데이터 유출 비용(CODB) 보고서에 따르면 데이터의 위치에 관계없이 데이터를 중앙 집중식으로 제어하는 조직이 그렇지 않은 조직보다 유출을 더 빨리 식별하고 억제할 수 있습니다.
데이터 보안 태세 관리 솔루션, 데이터 손실 방지(DLP) 솔루션, 암호화 솔루션, 보안 백업과 같은 도구는 전송 중, 저장 중, 사용 중인 데이터를 보호하는 데 도움이 될 수 있습니다.
윤리적 해커는 악의적인 해커에 대한 최선의 방어 중 하나입니다. 윤리적 해커는 취약성 평가, 침투 테스트, 레드 팀 및 기타 서비스를 사용하여 해커와 사이버 위협이 악용하기 전에 시스템 취약성 및 정보 보안 문제를 찾아 수정할 수 있습니다.