오늘날에는 다양한 속성, 동기, 기술 수준 및 전술을 가진 다양한 유형의 위협 행위자가 있습니다. 가장 일반적인 유형의 위협 행위자에는 핵티비스트, 국가 행위자, 사이버 범죄자, 스릴 추구자, 내부 위협 행위자, 사이버 테러리스트 등이 있습니다.
사이버 범죄의 빈도와 심각성이 계속 증가함에 따라 개인과 조직의 사이버 보안을 개선하기 위해서는 이러한 다양한 유형의 위협 행위자를 이해하는 것이 점점 더 중요해지고 있습니다.
Think 뉴스레터
Think 뉴스레터를 통해 AI, 사이버 보안, 데이터 및 자동화에 대한 선별된 뉴스를 제공하는 보안 리더들과 함께하세요. 받은 편지함으로 직접 제공되는 전문가 튜토리얼과 설명서를 통해 빠르게 배울 수 있습니다. IBM 개인정보 보호정책을 참고하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책 을 참조하세요.
위협 행위자라는 용어는 광범위하고 상대적으로 모든 것을 포괄하며, 사이버 보안에 위협을 가하는 모든 사람이나 집단으로 확장됩니다. 위협 행위자는 동기와 정교함 수준에 따라 다양한 유형으로 분류되는 경우가 많습니다.
이러한 개인 또는 집단은 주로 금전적 이득을 목적으로 사이버 범죄를 저지릅니다. 사이버 범죄자들이 저지르는 일반적인 범죄에는 랜섬웨어 공격과 사람들을 속여 송금을 유도하거나 신용카드 정보, 로그인 자격 증명, 지적 재산 또는 기타 개인 정보나 민감한 정보를 유출하는 피싱 사기가 있습니다.
국가와 정부는 민감한 데이터를 훔치거나 기밀 정보를 수집하거나 다른 정부의 중요 인프라를 방해할 목적으로 위협 행위자에게 자금을 지원하는 경우가 많습니다. 이러한 악성 활동에는 스파이 활동이나 사이버 전쟁이 포함되는 경우가 많으며 막대한 자금이 투입되는 경향이 있어 위협이 복잡하고 탐지하기가 어렵습니다.
이러한 위협 행위자는 해킹 기술을 사용하여 언론의 자유를 확산하거나 인권 침해를 폭로하는 등 정치적 또는 사회적 의제를 홍보합니다. 핵티비스트들은 핵티비스트들이 긍정적인 사회 변화에 영향을 미치고 있다고 생각하며 개인, 조직 또는 정부 기관을 표적으로 삼아 기밀이나 기타 민감한 정보를 폭로하는 것이 정당하다고 생각합니다. 잘 알려진 핵티비스트 단체의 예로는 인터넷에서 언론의 자유를 옹호한다고 주장하는 국제 해킹 집단인 Anonymous가 있습니다.
스릴 추구자는 말 그대로 재미를 위해 컴퓨터와 정보 시스템을 공격합니다. 떤 사람들은 민감한 정보나 데이터를 얼마나 많이 훔칠 수 있는지 확인하고 싶어하고, 어떤 사람들은 해킹을 통해 네트워크와 컴퓨터 시스템이 어떻게 작동하는지 더 잘 이해하고자 합니다. 스크립트 키드라고 불리는 한 부류의 스릴 추구자들은 고급 기술력은 부족하지만 주로 재미나 개인적인 만족을 위해 기존의 툴과 기법을 사용하여 취약한 시스템을 공격합니다. 스릴 추구자는 항상 해를 입히려는 목적을 가지고 있는 것은 아니지만, 네트워크의 사이버 보안을 방해하고 향후 사이버 공격의 문을 열어 의도하지 않은 피해를 입힐 수 있습니다.
대부분의 다른 행위자 유형과 달리 내부 위협 행위자는 항상 악의적인 의도를 가지고 있는 것은 아닙니다. 일부는 무심코 멀웨어를 설치하거나 네트워크에 액세스하는 용도로 회사에서 발급한 디바이스를 분실하고 사이버 범죄자가 획득하는 등의 인적 오류로 인해 회사에 피해를 입히기도 합니다. 하지만 악의적인 내부자도 존재합니다. 예를 들어, 금전적 이득을 위해 액세스 권한을 남용하거나 승진을 위해 넘어간 것에 대한 보복으로 데이터 또는 애플리케이션에 손상을 입히는 불만을 품은 직원이 있을 수 있습니다.
사이버 테러리스트는 위협하거나 폭력을 초래하는 정치적 또는 이념적 동기로 사이버 공격을 시작합니다. 일부 사이버 테러리스트는 국가 행위자입니다. 또 어떤 사람들은 스스로 또는 비정부 단체를 대신하여 행동합니다.
위협 행위자들은 종종 대기업을 표적으로 삼습니다. 대기업은 더 많은 자금과 더 많은 민감한 데이터를 보유하고 있기 때문에 가장 큰 잠재적 보상을 제공합니다.
그러나 최근에는 상대적으로 취약한 보안 시스템으로 인해 중소기업(SMB)도 위협 행위자의 표적이 되는 경우가 많습니다. 실제로 FBI는 최근 중소기업을 대상으로 한 사이버 범죄의 증가율에 대한 우려를 언급하며, 2021년에만 중소기업이 사이버 공격으로 인해 전년 대비 64% 증가한 69억 달러의 손실을 입었다고 밝혔습니다.
마찬가지로, 위협 행위자들은 점점 더 적은 금액을 위해 개인과 가정을 표적으로 삼고 있습니다. 예를 들어 홈 네트워크와 컴퓨터 시스템에 침입하여 개인 ID 정보, 암호 및 잠재적으로 중요하고 민감한 데이터를 훔칠 수 있습니다. 실제로 현재 추정치에 따르면 컴퓨터를 사용하는 미국 가정 3곳 중 1곳이 멀웨어에 감염된 것으로 나타났습니다.
위협 행위자는 차별을 두지 않습니다. 공격자들은 가장 보람 있고 의미 있는 표적을 노리는 경향이 있지만, 어디서든 사이버 보안의 취약점을 찾아내어 이를 이용하기 때문에 위협 환경은 점점 더 비용이 많이 들고 복잡해지고 있습니다.
위협 행위자는 사이버 공격을 실행할 때 주요 동기, 리소스 및 의도된 표적에 따라 일부 전술에 더 많이 의존하는 혼합 전술을 사용합니다.
멀웨어는 컴퓨터를 손상시키거나 사용 중지시키는 악성 소프트웨어입니다. 멀웨어는 이메일 첨부 파일, 감염된 웹사이트 또는 손상된 소프트웨어를 통해 확산되는 경우가 많으며 위협 행위자가 데이터를 훔치고, 컴퓨터 시스템을 장악하고, 다른 컴퓨터를 공격하는 데 도움을 줄 수 있습니다. 멀웨어 유형에는 바이러스, 웜 및 트로이 목마 바이러스가 포함되며 합법적인 프로그램으로 위장한 컴퓨터에 다운로드됩니다.
랜섬웨어는 피해자의 데이터 또는 디바이스를 잠그고 피해자가 공격자에게 몸값을 지불하지 않으면 잠금을 풀어주지 않거나 더 나쁜 상태로 만들겠다고 위협하는 멀웨어의 일종입니다. 오늘날 대부분의 랜섬웨어 공격은 피해자의 데이터를 훔쳐 판매하거나 온라인으로 유출하겠다고 위협하는 이중 갈취 공격입니다. IBM X-Force Threat Intelligence Index에 따르면 랜섬웨어 공격은 멀웨어 공격 전체의 20%를 차지합니다.
시그니피컨트 게임 헌팅(BGH) 공격은 정부, 대기업, 중요 인프라 제공업체 등 운영 중단으로 인해 잃을 것이 많고 거액의 몸값을 지불할 가능성이 높은 대규모 조직을 대상으로 하는 대규모의 조직적인 랜섬웨어 캠페인입니다.
피싱 공격은 이메일, 문자 메시지, 음성 메시지 또는 가짜 웹사이트를 사용하여 사용자를 속여 민감한 데이터를 공유하거나 멀웨어를 다운로드하거나 사이버 범죄에 노출되도록 유도합니다. 피싱의 유형은 다음과 같습니다.
피싱은 사회공학의 한 형태로, 공포감이나 긴박감을 악용하여 사람들이 개인 또는 조직의 자산이나 보안을 침해하는 다른 실수를 저지르도록 유도하는 공격 및 전술의 일종입니다. 소셜 엔지니어링은 멀웨어에 감염된 USB 드라이브를 누군가 발견할 수 있는 곳에 두는 것처럼 간단할 수도 있고, 피해자와 몇 달에 걸쳐 장거리 연애 관계를 형성하면서 '만날 수 있다'는 희망을 주며 비행기 요금을 갈취하는 것처럼 복잡할 수도 있습니다.
소셜 엔지니어링은 기술적 취약점보다는 인간의 약점을 악용하기 때문에 "휴먼 해킹"이라고도 합니다.
이러한 유형의 사이버 공격은 네트워크나 서버에 트래픽을 폭주시켜 사용자가 사용할 수 없도록 하는 방식으로 작동합니다. 분산 서비스 거부(DDoS) 공격은 분산된 컴퓨터 네트워크를 마샬링하여 악성 트래픽을 전송함으로써 공격 대상을 더 빠르게 압도하고 탐지, 예방 또는 완화하기가 더 어려운 공격을 만들어 냅니다.
지능형 지속 위협(APT)은 몇 시간이나 며칠이 아닌 몇 달 또는 몇 년에 걸쳐 진행되는 정교한 사이버 공격입니다. APT는 위협 행위자가 피해자의 네트워크에서 탐지되지 않고 활동할 수 있도록 하여 컴퓨터 시스템에 침투하고 스파이 활동과 정찰을 수행하고, 권한과 승인 범위를 확장시키며(수평 이동이라고 함), 민감한 데이터를 훔칩니다. APT는 탐지하기가 매우 어렵고 실행 비용이 상대적으로 많이 들기 때문에 일반적으로 국가 행위자나 자금력이 풍부한 기타 위협 행위자가 시작합니다.
백도어 공격은 조직의 사이버 보안 조치로 보호되지 않는 운영 체제, 애플리케이션 또는 컴퓨터 시스템의 틈을 이용합니다. 소프트웨어 개발자나 하드웨어 제조업체가 업그레이드, 버그 수정 또는 (아이러니하게도) 보안 패치를 위해 백도어를 만드는 경우도 있지만, 위협 행위자가 멀웨어를 사용하거나 시스템을 해킹하여 자체적으로 백도어를 만드는 경우도 있습니다. 백도어는 위협 행위자가 탐지되지 않고 컴퓨터 시스템에 드나들 수 있게 해줍니다.
위협 행위자, 해커, 사이버 범죄자라는 용어는 특히 할리우드와 대중문화에서 자주 혼용되어 사용됩니다. 그러나 각각의 의미와 서로의 관계에는 미묘한 차이가 있습니다.
모든 위협 행위자나 사이버 범죄자가 해커는 아닙니다. 정의에 따르면 해커는 네트워크나 컴퓨터 시스템을 손상시킬 수 있는 기술적 능력을 갖춘 사람입니다. 하지만 일부 위협 행위자나 사이버 범죄자는 다른 사람이 찾아서 사용할 수 있도록 감염된 USB 드라이브를 남겨두거나 멀웨어가 첨부된 이메일을 보내는 것 이상의 기술적 조치를 취하지 않습니다.
모든 해커가 위협 행위자나 사이버 범죄자는 아닙니다. 예를 들어 윤리적 해커라고 하는 일부 해커는 본질적으로 사이버 범죄자로 가장하여 조직과 정부 기관이 컴퓨터 시스템에서 사이버 위협에 대한 취약성을 테스트하도록 도와줍니다.
특정 유형의 위협 행위자는 정의나 의도만 본다면 사이버 범죄자가 아니지만 실제로는 사이버 범죄자입니다. 예를 들어 충동적인 누군가가 '그저 재미로' 몇 분 동안 마을 전력망을 차단할 수 있습니다. 마찬가지로, 고귀한 뜻을 가지고 정부 기밀 정보를 유출해서 공개하는 핵티비스트의 행위는 의도나 신념에 관계없이 사이버 범죄라고 간주될 수 있습니다.
기술이 더욱 정교해짐에 따라 사이버 위협 환경도 더욱 정교해지고 있습니다. 위협 행위자보다 앞서 나가기 위해 조직은 사이버 보안 조치를 지속적으로 발전시키고 위협 인텔리전스를 더욱 스마트하게 활용하고 있습니다. 조직들은 위협 행위자의 영향을 완화하거나 원천차단하기 위해 다음과 같은 조치를 취할 수 있습니다.
보안 인식 교육. 위협 행위자는 사람의 실수를 탐색하는 경우가 많기 때문에 직원 교육은 중요한 방어선입니다. 보안 인식 교육은 회사에서 승인한 디바이스를 사용하지 않는 것부터 비밀번호를 올바르게 보관하는 방법, 피싱 이메일을 인식하고 대처하는 기술까지 모든 것을 다룰 수 있습니다.
다단계 및 적응형 인증. 다단계 인증(사용자 이름과 비밀번호 외에 하나 이상의 자격 증명 요구)이나 적응형 인증(사용자가 다른 기기나 위치에서 로그인할 때 추가 자격 증명 요구)을 도입하면 해커가 사용자의 이메일 비밀번호를 탈취하더라도 사용자의 이메일 계정에 접속하지 못하게 막을 수 있습니다.
엔터프라이즈 보안 소프트웨어. 이러한 솔루션은 보안팀과 보안 운영 센터(SOC)가 엔드포인트, 이메일, 애플리케이션, 네트워크, 클라우드 워크로드 등 모든 IT 인프라 도메인에서 비정상적이거나 악의적인 활동을 탐지하고 차단하는 데 도움을 줄 수 있습니다. 여기에는 보안 오케스트레이션, 자동화 및 대응(SOAR), 보안 인시던트 및 이벤트 관리(SIEM), 확장 탐지 및 대응(XDR)이 포함되며 그 외에도 다른 방식이 있을 수 있습니다.
조직은 정기적인 보안 평가를 수행하여 시스템 취약성을 식별할 수도 있습니다. 이러한 감사는 내부 IT 직원이 실시할 수 있지만 전문가나 외부 업체에 의뢰하는 기업도 있습니다. 정기적인 소프트웨어 업데이트를 실행하면 기업과 개인이 컴퓨터 및 정보 시스템의 잠재적인 취약점을 발견하고 보완하는 데 도움이 됩니다.