사이버 공격이란?

최신 공격 표면에는 IP 주소, API 엔드포인트, 토큰 저장소 또는 잘못 구성된 권한이 있는 모든 영역이 해당됩니다. 공격자들은 SaaS 통합을 악용하거나, CI/CD 파이프라인을 변조하거나, 머신 ID를 도용하여 신뢰할 수 있는 자동화를 가장할 수 있으므로 방화벽을 우회할 필요가 없습니다. 이러한 방식으로 침입한 후에는 네이티브 도구와 합법적인 액세스를 무기화하며 기존의 멀웨어 시그니처를 피해 탐지를 회피하는 경우가 많습니다.

물론 공격의 정교함은 다양합니다. 일부 단체는 무차별 자동화와 재활용한 자격 증명을 활용합니다. 피싱, 프로토콜 악용, 공급망 변조를 조합하여 사용하는 다단계 캠페인에 투자하는 기업도 있습니다. 대부분 엔터프라이즈급 플랫폼과 유사한 도구로 운영됩니다.

사이버 공격은 일회성 침입에서 지속적인 캠페인으로 발전했습니다. 조직은 더 이상 단발성 침해만 대응하는 수준을 넘어 금전적, 정치적 동기를 가진 공격자들의 지속적인 프로빙에 맞서야 합니다. 이러한 공격을 예방하려면 익스플로잇을 인식하는 방어 태세와 알려진 전술 및 새로운 전술을 고려한 조율된 대응 아키텍처 외에도 가시성 및 ID 인식 기반 적용이 필요합니다.

사이버 공격 유형 한눈에 보기

글로벌 사이버 공격 동향

현재 위협 행위자들은 기존 방어 체계의 모든 계층을 위협하는 규모와 속도로 활동하는 수준에 이르렀습니다. Palo Alto Networks의 보안팀은 매일 150만 건의 새로운 공격(전날까지 존재하지 않았던 위협)을 탐지합니다. 모든 플랫폼에서 매일 86억 건의 공격 시도를 차단하고 있습니다. 하지만 빈도만으로는 변화를 설명할 수 없습니다. 공격자들은 탐지를 회피하고 방어자가 가장 신뢰하는 합법적인 자격 증명, 네이티브 도구, 잘못 구성된 액세스 권한을 무기화하는 보다 빠르고 적응력 있는 방법을 채택하고 있습니다.

페이로드는 더 이상 우세하지 않습니다. 2024년에 발생한 침입 중 약 3분의 1이 유효한 자격 증명으로 시작되었습니다. 인포스틸러는 430만 대의 디바이스를 감염시키고 173억 개의 쿠키와 함께 3억 3천만 개의 사용자 이름과 암호를 수집했습니다. 이러한 세션 토큰을 통해 공격자는 클라우드 플랫폼, 메시징 앱, 내부 포털에 원활하게 액세스할 수 있었습니다. 엔드포인트 보호 기능을 완전히 우회한 공격이 상당히 많습니다.

공격 체인은 여러 도메인에 걸쳐 있습니다. 인시던트의 70%에서 침해 경로는 3개 이상의 표면을 넘었으며, 대부분 엔드포인트 액세스, 클라우드 측면 이동, ID 조작, 인간 타겟팅이 결합된 형태였습니다. 이러한 환경에서는 단일 계층 방어가 더 이상 유효하지 않습니다. 이제 보안 프로그램은 크로스 도메인 전술을 탐지하고 진행을 조기에 차단해야 합니다.

AI의 등장으로 공격자가 누리는 이점은 급증했습니다. 이제 생성형 모델은 내부 톤을 반영하는 피싱 이메일을 작성하고 변종 난독화 기능이 내장된 멀웨어 개발을 자동화합니다. 2025년 초에 인포스틸러 피싱이 전년 대비 180%까지 급증한 사례는 자동화가 수동 작업을 대체한 현실을 보여줍니다. Gartner 는 2027년까지 전체 공격의 17%가 AI 기반 기술을 사용할 것이며, 더 나아가 AI 에이전트가 계정 노출을 악용하는 데 걸리는 시간을 50%까지 단축할 것으로 예상하고 있습니다.

전 세계 텔레메트리 기록에 따르면 2023년에 발생한 멀웨어 공격은 60억 6천만 건이었습니다. 멀웨어 동작은 바뀌었지만 멀웨어는 여전히 기승을 부리고 있습니다. 기존 시그니처로는 더 이상 충분하지 않습니다. 이제 많은 변종이 파일 없이 로드되고 메모리 프로세스에 혼합되며 회피 지연 전술을 사용하여 시간 기반 탐지를 능가합니다.

랜섬웨어는 거의 보편적인 위협이 되었습니다. 2023년에는 72.7%의 조직이 랜섬웨어 인시던트를 한 번 이상 경험했습니다. 2024년 동안 미국의 중요 인프라 공격은 9% 증가했습니다. 이전 형태와 달리 오늘날의 랜섬웨어는 이중 갈취, 측면 탐색, 임베디드 원격 액세스를 통합하는 경우가 많으므로 이제 단순한 억제가 아닌 되돌릴 수 없는 피해를 막는 시간 싸움이 되어버렸습니다.

글로벌 경제 영향

방어자가 뒤처질수록 사이버 공격 성공에 따른 손실은 계속 증가하고 있습니다. 2024년 사이버 범죄로 인한 전 세계 피해 금액은 9조 2,200억 달러에 달했습니다. 2027년까지 연간 손실이 13조 8,200억 달러 ~ 23조 8,400억 달러에 달할 것이라는 예측은 속도면에서 조금씩 엇갈리지만 방향성에서는 모두 일치합니다. 성장 곡선은 이제 전 세계 GDP를 앞지르고 있습니다. 대부분의 보안 프로그램은 이러한 수준의 공격까지 대비해 개발되지 않았습니다.

관련 문서: Unit 42 위협의 최전선 보고서: 새로운 AI 위험에 대비하기

사이버 공격 분류

현대의 공격은 기회주의적 논리를 따르는데, 저항이 가장 적고 수익이 가장 높은 것을 악용하는 것입니다. 효과적인 방어를 준비하려면 조직은 공격자가 침입에 접근하는 방식을 파악해야 합니다.

소셜 엔지니어링

소셜 엔지니어링은 공격자들이 가장 저렴한 비용으로 진입할 수 있는 방법입니다. 공격자는 인간의 행동을 악용하여 기술적 방어를 우회합니다. 이제 피싱 키트에는 프록시 기반 토큰 캡처가 포함되어 있어 세션 바인딩 및 토큰 로테이션 정책이 적용되지 않으면 MFA는 효과가 없어집니다. 특히 지원 센터를 사칭한 퀴싱(QR 기반 피싱)과 콜백 피싱(음성 기반 프리텍스팅)도 급증했습니다.

웹 및 API 악용

공격자들이 웹 앱과 노출된 API를 주요 공격 벡터로 삼는 경우가 점점 많아지고 있습니다. OWASP 상위 10가지 결함은 여전히 진입점을 지배하고 있으며, 특히 액세스 제어 실패와 안전하지 않은 역직렬화 결함이 가장 많습니다. 한편, 공격자는 GraphQL 및 REST 인터페이스에서 API 잘못된 라우팅, 검증되지 않은 입력, 과도한 데이터 노출, 권한 초과를 악용하기도 합니다. 자동화된 검색 도구는 문서화되지 않은 엔드포인트를 크롤링한 다음 인증 게이트 뒤에 있는 로직 결함을 조사합니다.

네트워크 침입

네트워크 계층 침입은 이제 익스플로잇 체인보다 자격 증명 도용으로 시작되는 경우가 더 많습니다. 익스플로잇을 사용할 때 공격자는 사전 인증 RCE에 의존하는 패치되지 않은 에지 디바이스를 선호합니다. 그런 다음 내부에서는 프로토콜 수준 공격(예: SMB 릴레이, ARP 스푸핑, Kerberos 티켓 조작)을 사용하여 액세스를 확장합니다. 측면 이동은 예측 가능한 엔터프라이즈 아키텍처를 따르는 경우가 많은데, 여기서 플랫 VLAN과 공유 ID 도메인은 침해를 가속화합니다.

엔드포인트 손상

엔드포인트는 여전히 가장 눈에 잘 띄는 표적이지만 최근의 침해는 탐지 가능한 멀웨어 유포에 의존하는 경우가 거의 없습니다. 공격자는 메모리에서 코드를 실행하거나 네이티브 스크립팅 프레임워크를 악용합니다. DLL 사이드로딩을 통해 신뢰할 수 있는 앱을 파괴하기도 합니다. 브라우저 세션 하이재킹은 주요 기업 침해 사고의 전조로 랜섬웨어를 앞질렀습니다. 커널 수준의 가시성이 없으면 대부분의 EDR은 파일 기반 텔레메트리를 트리거하지 않는 실행 경로를 탐지하지 못합니다.

클라우드 구성 오류 익스플로잇

퍼블릭 S3 버킷, 제한 없는 관리형 ID, 개방형 Kubernetes 대시보드 등 공격자들은 이제 클라우드의 구성 오류를 공격 기회로 삼고 있습니다. CSPM 도구는 위험을 드러내지만 우선순위가 낮은 알림으로 팀을 곤란에 빠뜨리는 경우가 많습니다. 사이버 공격자들은 더 빠르게 움직여 기본 설정으로 이제 막 배포된 서비스 또는 유출된 토큰을 인터넷에서 스캐닝합니다.

공급망 조작

소프트웨어 공급망은 활용도가 높은 목표를 제공합니다. 공격자는 업스트림 종속성, 패키지 레지스트리 또는 CI/CD 자동화를 손상시켜 신뢰할 수 있는 아티팩트를 오염시킵니다. 종속성 혼동, 타이포스쿼팅, 악성 업데이트 인젝션은 NPM, PyPI, Docker Hub에서 널리 사용되는 구성 요소에 영향을 미쳤습니다. 공격자는 빌드 프로세스 내에서 환경 변수에 저장된 자격 증명을 변조하거나 GitHub Actions 또는 GitLab CI 구성 파일을 통해 워크플로를 재정의하는 경우가 많습니다.

공격 목표

공격자가 목적 없이 환경을 침해하는 경우는 거의 없습니다. 각 침입은 하나 이상의 목표에 매핑되어 공격자가 선택하는 기술과 보여주는 긴급성을 형성합니다.

• 데이터 도난에는 지적 재산, 인증 시크릿, 고객 기록 또는 감시 대상의 대량 유출이 포함됩니다. 스틸러 멀웨어, 클라우드 동기화 악용, HTTPS 또는 DNS 터널링을 통한 유출로 이러한 목표에 다가갑니다.
• 금전적 이득 비즈니스 이메일 침해(BEC) business email compromise (BEC), 암호화폐 채굴, 제휴사 기반 갈취를 감행하는 원동력입니다. 공격자는 내부 재무 워크플로를 모니터링하여 결제액을 가로채거나 리디렉션하며 종종 급여, 공급업체 시스템 또는 ERP 플랫폼을 표적으로 삼기도 합니다.
• 서비스 중단은 DDoS 공격, 파괴적인 와이퍼 멀웨어 또는 인프라 변조에서 자주 나타납니다. 국가와 연계된 단체는 지정학적 분쟁 중에 대중의 신뢰를 떨어뜨리거나 중요 산업을 혼란에 빠뜨리기 위해 이 전술을 사용합니다.
• 스파이 활동은 민감한 부서에 대한 지속적인 접근과 측면 이동을 위해 이루어집니다. 위협 행위자는 정책 메모, 협상 전략 또는 국방 R&D를 빼돌리면서 트래픽 쉐이핑과 휴면 임플란트를 사용하여 탐지를 피합니다.
• 파괴적 사보타주는 시스템을 영구적으로 저하시키도록 설계된 공격에서 나타납니다. AcidRain, WhisperGate 또는 CaddyWiper와 같은 와이퍼는 펌웨어를 지우거나 MBR을 덮어쓰거나 임베디드 디바이스를 벽돌 상태로 만듭니다. 중요 인프라에서 공격자는 물리적 세계의 교란을 노립니다.

프레임워크 정렬

The MITRE ATT&CK 프레임워크 v17.1은 가장 포괄적이고 체계적인 공격자 행동 카탈로그로 남아 있습니다. 전술 및 각 전술을 지원하는 기술과 하위 기술을 다음과 같이 분류합니다.

관찰된 활동을 ATT&CK에 매핑하면 구조화된 분류, 위협 헌팅, 탐지 엔지니어링이 가능합니다. 예를 들어 자격 증명 덤핑(T1003.001), 공용 애플리케이션 익스플로잇(T1190), 유효한 클라우드 계정 악용(T1078.004)에 PowerShell을 사용하는 경우 예방 및 대응 제어에 모두 알려야 합니다.

또한 MITRE ATT&CK는 팀이 레드팀 훈련, SOC 탐지 범위, 정책 시행을 실제 공격자 행동에 맞춰 조정할 수 있도록 지원합니다. 엔터프라이즈, 모바일, 클라우드 및 ICS 매트릭스는 분기별 업데이트를 통해 위협 환경의 변화를 반영하여 계속 확장되고 있습니다.

위협 행위자 환경

공격의 배후에 대해 충분한 근거를 통해 파악하지 못하면 어떤 보안 전략도 의미가 없습니다. 위협 행위자는 역량, 의도, 타겟팅 로직, 위험 허용 범위가 매우 다양합니다. 이러한 단체를 구분하지 못하는 조직은 방어력을 잘못 할당하여 쓸모없는 경고에 과도하게 지출하고 미션 크리티컬 자산은 노출된 채로 방치합니다.

국가 지원 단체

국가 대상 행위자는 장기적인 계획과 전용 인프라를 갖추고 운영하며 운영 비용에 민감하지 않은 경우가 많습니다. 정보 기관 또는 군부대의 지원을 받는 이러한 단체는 국가 이익에 부합하는 간첩 활동, 사전 위치 선정, 방해 공작을 수행합니다. 중국의 APT41, 러시아의 APT28, 북한의 라자루스 그룹, 이란의 오일리그는 각각 별개의 TTP를 유지하지만 툴체인과 C2 인프라 및 자금 세탁 방법을 점점 더 많이 공유하고 있습니다.

이들의 캠페인은 주로 통신, 에너지, 방위 계약업체, 정치 단체 및 반도체를 대상으로 합니다. 최초 침입에는 일반적으로 스피어 피싱, 제로데이 익스플로잇 또는 자격 증명 도용을 수반합니다. 그런 다음 국가 단체는 은밀하게 투자하여 수개월 동안의 체류 시간을 확보합니다. 측면 이동은 정책 또는 공급망 청사진을 보관하는 것으로 알려진 ID 도메인 컨트롤러와 협업 플랫폼 또는 SaaS 환경을 우선시합니다.

조직적 사이버 범죄

사이버 범죄 단체는 전문화된 비즈니스 형태로 운영됩니다. 일부는 제휴 기반 랜섬웨어 작전을 수행하며, 일부는 자격 증명 탈취 또는 금융 사기를 전문으로 합니다. 대부분 범죄인 인도 위험이 제한적인 지역에서 운영되며 중개된 액세스 시장과 에스크로가 적용되는 포럼을 통해 협력하는 경우가 많습니다.

초기 액세스 브로커는 산업, 지역, 권한 수준을 반영한 가격으로 거점을 판매합니다. 액세스 권한을 얻은 행위자는 Cobalt Strike, Sliver, 맞춤형 로더와 같은 후속 공격 툴킷을 사용합니다. 이들의 목표는 강탈이나 도난을 통해 빠르게 수익을 창출하는 것입니다. 현재 많은 범죄 단체가 지능형 지속 위협과 구별할 수 없을 정도로 빠른 운영 속도와 기술적 엄격함을 함께 추구하고 있습니다.

핵티비스트

핵티비스트 활동은 이념적 노선을 따릅니다. 어나니머스와 같은 단체는 국가나 범죄 집단에 비해 기술적 성숙도가 부족하지만, Denial-of-Service 공격, 웹사이트 훼손, 데이터 유출 등을 통해 사회적 파급력은 말할 것도 없고 큰 영향력을 행사하고 있습니다. 지정학적 분쟁, 특히 시민의 자유에 영향을 미치는 중요한 법안이 통과될 때 이들의 활동은 급증합니다.

최근 몇 년 동안 핵티비즘은 지역별 집단으로 분산되고 있습니다. 예를 들어, 친러시아 또는 친우크라이나 핵티비스트들은 주요 인프라를 파괴하고 민감한 정보를 유출하며 미디어 플랫폼에 허위 정보가 넘쳐나도록 조작했습니다. 무시되는 경우도 있지만, 유출된 도구 세트와 도난당한 자격 증명에 대한 액세스 권한으로 인해 그들의 행동을 무시하기가 어려워지는 경향이 있습니다.

내부자 위협

내부 행위자는 기술적으로 고유하면서도 조직적으로 파괴적인 위협의 범주를 보여줍니다. 내부자는 경계 방어를 우회하고 합법적인 액세스 권한, 심도 있는 운영 지식, 동기를 가지고 있는 경우가 많습니다. 내부자 위협은 악의적이거나 무의식적으로 행동할 수 있으며, 그 동기는 금전적 절박함에서 보복이나 강압에 이르기까지 다양합니다.

대부분의 내부자 인시던트는 시스템 관리자나 권한이 있는 엔지니어로부터 시작되지 않습니다. 오히려 영업팀, 계약업체, 지원 담당자가 마감 기한을 맞추기 위해 무단 전송, 세션 공유, 제어 우회 등으로 민감한 데이터를 노출하는 경우가 많습니다. 탐지 여부는 행동 기준선과 세션 모니터링에 따라 달라집니다.

동기 및 행동

공격 행동은 행위자가 얻을 수 있는 이득과 관련이 있습니다. 매핑 동기를 통해 방어자는 공격자의 체류 시간, 표적, 탐지 허용 범위를 예측할 수 있습니다.

금전적 보상

대부분의 침입 원인은 금전적 보상에 있습니다. 서비스형 랜섬웨어(RaaS), BEC, 자격 증명 탈취가 범죄 경제를 장악하고 있습니다. 재정적 동기가 있는 행위자는 점점 더 많은 기업 구조(예: 계열사, QA, 지원, 수익 공유 모델)를 통해 빠르게 수익을 창출하고자 합니다. 많은 공격자들은 암호화폐 결제 처리, 방탄 호스팅, 자금 세탁 서비스에서 법적으로 모호한 영역을 악용합니다.

전략적 인텔리전스

전략적 인텔리전스는 지정학적 영향력을 행사하려는 국가 단체에 동기를 부여합니다. 정책 자문가, 방위 계약업체, 과학 연구 기관, 공공 인프라 제공업체 등을 표적으로 삼습니다. 이러한 공격자들은 민감한 자료를 빼돌리거나 펌웨어 또는 관리 계층에 삽입하여 수개월 동안 탐지를 피하여 활동을 지속하는 경우가 많습니다.

이념적 목표

이념적 목표는 핵티비스트와 극단주의 성향의 단체를 선동합니다. 공격 대상은 일반적으로 정부 포털이나 비윤리적으로 여겨지는 기업 등 공공의 상징을 반영합니다. 작전 성공 여부는 기술적 이익보다는 파급력, 시기 적절한 방해, 평판 손상으로 결정됩니다.

불만

개인적인 불만은 일부 내부자와 주변 공격자를 자극하기도 합니다. 해고, 차별 인식, 승진 누락이 방해 행위, 데이터 도난, 민감한 커뮤니케이션 노출을 초래하는 경우가 많습니다. 이러한 공격의 경우, 규모는 작지만, 특히 규제를 받는 분야에서 불균형적인 피해로 이어질 수 있습니다.

따라서 위협 행위자 환경을 반드시 이해해야 합니다. 공격자가 누구인지, 공격자가 무엇을 원하는지 명확히 파악하지 못하면 예방은 맹목적인 방어에 그칠 수밖에 없습니다.

공격 라이프사이클 및 방법론

공격자는 한 번의 움직임으로 환경을 손상시키지는 않습니다. 정해진 단계를 거쳐 순차적으로 진행하며, 각 단계는 다음 단계로 이어지도록 합니다. 공격 구조를 파악하면 보안팀은 마찰을 일으켜 중간에 체인을 끊고 피해를 입기 전에 징후를 발견할 수 있습니다.

정찰

공격자는 정보 수집부터 시작합니다. 도메인 기록, 직원 LinkedIn 프로필, 노출된 GitHub 리포지토리 및 클라우드 자산 메타데이터는 종종 내부 아키텍처, 명명 규칙, ID 체계를 드러내기도 합니다.

Maltego, SpiderFoot, Recon-ng과 같은 오픈소스 인텔리전스(OSINT) 도구는 이러한 데이터를 대규모로 집계합니다. 자동화된 스크레이퍼는 침해 데이터베이스에서 자격 증명 재사용 패턴을 추출합니다. 공격자는 작전을 수행하기 전에 VPN 엔드포인트, 하위 도메인 및 애플리케이션 표면을 매핑합니다.

타겟을 프로파일링하면 더 정확하게 조준하여 공격할 수 있습니다. 공격자는 권한 노출, 외부의 구성 요류, 중요한 자격 증명 또는 데이터 처리 기능의 존재 여부에 따라 공격 대상의 우선순위를 정합니다.

무기화

타겟 프로파일링을 마치면 공격자는 페이로드를 제작합니다. Off-the-Shelf(OTS) 익스플로잇 키트에는 브라우저, 문서 및 메모리 기반 전송을 위한 로더, 난독화 도구, 사전 구축된 모듈이 포함되어 있습니다. 빌더는 암호화, 샌드박스 회피, 멀티벡터 구축을 지원합니다.

멀웨어 사용자 정의를 통해 페이로드가 시그니처 기반 탐지를 피할 수 있습니다. Shellter, Veil, 맞춤형 C2 드로퍼와 같은 도구는 다형성, 암호화 계층화, 단계별 전송을 지원합니다. 숙련도가 높은 단체는 페이로드가 시스템 아키텍처, 엔드포인트 보안 태세 및 운영 주기와 일치합니다.

전달

피싱은 여전히 주요한 전달 방법입니다. 공격자는 임베디드 링크, 무기화된 첨부 파일, 가짜 MFA 프롬프트, QR 코드를 사용하여 타겟이 스크립트를 실행하거나 자격 증명을 공개하도록 유도합니다. 고급 피싱 프록시는 실시간으로 토큰을 가로채고 세션 포워딩을 사용하여 MFA 검사를 통과합니다.

스미싱(SMS 피싱) 및 콜백 피싱 캠페인은 실시간 상호작용을 유발하여 신뢰도를 높입니다. VoIP 스푸핑과 가짜 지원 센터 연락처는 초기 침해 체인에서 여전히 흔하게 발생합니다.

드라이브 바이 다운로드는 취약한 브라우저 구성이나 악성 광고 인프라를 악용합니다. 익스플로잇 키트는 사용자 에이전트를 검사하고 익스플로잇 전제 조건을 충족한 후에만 플랫폼별 페이로드를 전달합니다. 일부는 이미지 파싱 또는 글꼴 렌더링 취약점을 통해 전달되는 제로클릭 익스플로잇을 사용합니다.

취약점 공격

자격 증명 도용은 초기 악용에서 소프트웨어 취약성을 앞지릅니다. 도난당한 토큰과 보안이 취약한 API 키를 사용하면 IDS 시그니처를 트리거하지 않고도 직접 액세스할 수 있습니다. 클라우드 환경은 유효한 ID를 소유했을 때 경계 제어를 우회하는 기본 구성으로 인해 어려움을 겪습니다.

제로데이 익스플로잇은 패치되지 않았거나 공개되지 않은 취약점을 노립니다. 드물기는 하지만 제로데이 공격은 탐색 후 며칠 내에 작전을 수행하는 경우가 많으며, 부분적인 금지령 하에 공개되는 경우 더욱 그렇습니다. 공격자들은 에지 디바이스의 원격 코드 실행 결함, SaaS 플랫폼의 인증 우회, 브라우저 엔진의 샌드박스 이스케이프를 선호합니다.

설치

익스플로잇에 성공하면 공격자는 액세스 권한을 유지하기 위해 임플란트를 구축합니다. 원격 액세스 트로이 목마(RAT)는 몰래 설치하고 암호화된 터널을 통해 외부 명령 서버에 연결할 수 있습니다. 대부분은 합법적인 시스템 프로세스로 위장하거나 서명된 바이너리를 악용하여 탐지를 회피합니다.

In 컨테이너화된 환경에서 공격자는 종종 이스케이프를 시도합니다. 잘못 구성된 런타임 권한 또는 안전하지 않은 컨테이너 이미지로 인해 호스트에 대한 트래버스, 권한 상승 또는 오케스트레이션 플랫폼의 손상이 발생할 수 있습니다. 공격자는 악의적인 사이드카를 삽입하거나, kubelet 동작을 재정의하거나, 느슨한 시크릿 관리를 통해 피벗합니다.

CnC(Command and Control)

공격자는 존재를 확인한 후 명령 및 제어(C2) 채널을 설정합니다. DNS 터널링은 어디에나 존재하고 검사가 부족하기 때문에 자주 사용됩니다. 악성 페이로드는 TXT 또는 A 레코드 조회로 명령을 인코딩하고 역방향으로 데이터를 유출합니다.

클라우드 호스팅 C2 인프라는 신뢰할 수 있는 서비스에 통합됩니다. 공격자는 Dropbox, GitHub Gist, Google Docs 또는 Pastebin에서 페이로드를 호스팅하고 명령을 실행합니다. 특히 자동화된 프로세스를 모방하는 사용자 에이전트를 통해 암호화되고 마스킹된 경우 이러한 제공업체로의 트래픽은 거의 경고를 트리거하지 않습니다.

한층 진보된 단체는 폴백 프로토콜, 비콘 간격 및 동적 구성 변경을 지원하는 맞춤형 C2 프레임워크를 구축합니다. 일부는 계층화된 인프라를 유지하면서 프록시 계층 또는 감염된 노드를 통해 라우팅하여 어트리뷰션을 방해합니다.

목표에 대한 조치

데이터 유출은 HTTPS, WebDAV 또는 SFTP를 통해 전송되는 압축 및 암호화된 BLOB을 통해 이루어집니다. 은밀한 캠페인에서 공격자는 클라우드 스토리지 서비스에 직접 동기화하거나 유출된 콘텐츠를 합법적인 애플리케이션 텔레메트리로 인코딩할 수 있습니다.

측면 이동은 도난당한 자격 증명, 토큰 사칭, 환경에서 이미 승인된 원격 관리 도구를 활용합니다. 일반적인 기법으로는 패스 더 해시, Kerberos 티켓 위조, 원격 데스크톱 또는 MDM 프로토콜 악용 등이 있습니다. 클라우드 네이티브 컨텍스트에서 공격자는 공유 메타데이터 서비스를 통해 IAM 역할을 열거하거나, 자동화 파이프라인을 하이재킹하거나, 리소스 경계를 넘나듭니다.

영향력 창출은 동기에 따라 다릅니다. 랜섬웨어는 시스템과 데이터를 암호화한 다음 백업과 로그를 삭제합니다. 와이퍼는 디스크 헤더 또는 펌웨어를 덮어쓰므로 시스템을 영구적으로 사용할 수 없도록 만듭니다. 사기 캠페인에서 공격자는 내부자의 신뢰를 얻을 수 있는 방식으로 금융 거래 경로를 변경하거나, 급여를 바꾸거나, BEC 이벤트를 연출합니다. 정치 행위자들은 민감한 문서를 유출하여 공개 담론에 영향을 주거나 평판을 훼손합니다.

기술 심층 분석

공격자는 방어자가 제어를 잘못 구성하거나 최소 권한을 적용하지 않는 모든 인프라를 표적으로 삼습니다. 엔드포인트와 네트워크에 사용되는 현재 툴킷을 파악하면 보안 리더가 공격자의 행동에 맞춰 투자를 조정할 수 있습니다.

엔드포인트 공격

엔드포인트는 초기 거점이자 측면 이동 경유지 역할을 합니다. 공격자가 실행 체인, 네이티브 툴링 또는 임시 토큰 도용을 통해 제어를 우회할 수 있다면 제로데이를 악용할 필요가 없습니다.

랜섬웨어의 진화

최신 랜섬웨어는 단독으로 작동하는 경우가 거의 없습니다. 단체를 데이터 도용, 액세스 수익화, 파괴 단계로 구성된 구조화된 플레이북을 따릅니다. 가장 우세한 방식은 이중 갈취입니다. 공격자는 데이터를 암호화하기 전에 테라바이트에 달하는 내부 기록, 계약서, 법률 메모, 고객 데이터를 유출합니다. 그런 다음, 공개하겠다고 협박하면서 랜섬 노트가 도착하기도 전에 협상을 시작합니다.

RaaS 생태계는 기술 장벽을 낮췄습니다. 제휴사는 페이로드를 허가하고, 운영자와 수익을 공유하며, C2 인프라, 결제 지원, 피해자 협상 플레이북까지 받을 수 있습니다. Black Basta, 8Base, LockBit와 같은 계열은 빠르게 진화하여 정적 탐지 시그니처를 앞지르는 경우가 많습니다.

액세스 권한은 일반적으로 초기 액세스 브로커에게 구매합니다. 배포는 RDP 남용, 손상된 VPN 또는 매크로가 포함된 첨부 파일을 통해 이루어집니다. 암호화는 로컬 드라이브와 매핑된 드라이브를 모두 대상으로 합니다. 현재 많은 랜섬웨어가 백업 프로세스를 비활성화하고 하이퍼바이저를 변조하여 스냅샷을 손상시키고 있습니다.

파일리스 기술

파일리스 멀웨어는 메모리에서 직접 실행되므로 영구 파일이 필요하지 않습니다. 자주 사용되는 플랫폼은 PowerShell, WMI 및 .NET입니다. 공격자는 페이로드를 리플렉티브 DLL로 로드하고, LOLBins를 사용하여 보조 도구를 준비하거나 프로세스 할로잉을 통해 신뢰할 수 있는 프로세스에 셸코드를 주입합니다.

Living-off-the-Land 바이너리(LOLBins)는 자격 증명 덤핑(rundll32, regsvr32)에서 측면 이동(wmic, mshta)에 이르기까지 모든 것을 지원합니다. 대부분의 엔드포인트 보호 플랫폼은 기본적으로 이를 허용하므로 행동 컨텍스트가 유일하게 실행 가능한 탐지 전략이 됩니다. 공격자는 이러한 바이너리를 네이티브 스크립팅으로 연결하여 조용하고 빠르며 어트리뷰션하기 어렵게 만듭니다.

네트워크 및 인프라 공격

신원이 새로운 경계가 되었지만, 핵심 네트워크 인프라는 여전히 주요 공격 대상이 되고 있습니다.

Distributed Denial-of-Service(DDoS)

DDoS 공격은 정치 및 금융 수단으로 다시 각광받고 있습니다. 볼류메트릭 캠페인은 2Tbps를 초과하는 경우가 흔합니다. 공격자는 손상된 IoT 디바이스, 노출된 API, 임대 클라우드 VM으로 구성된 봇넷을 사용합니다. 공격이 무작위 페이로드가 있는 지리적으로 분산된 소스에서 시작되면 완화가 복잡해집니다.

Mirai 변종, Condi, Pandora와 같은 오케스트레이션 플랫폼은 공격자가 동적으로 타겟팅할 수 있도록 사전 구축된 대시보드와 플러그인 모듈을 제공합니다. 공격자들은 점차 네트워크 계층 플러딩에서 애플리케이션 계층(7계층) 기술로 전환하여 요청 동시성이 높고 리소스 포화도가 낮은 특정 엔드포인트를 제압하고 있습니다.

7계층 플러딩은 주로 인증 워크플로, 검색 기능 또는 결제 카트 등 데이터베이스 상호 작용이 많은 영역을 표적으로 삼습니다. 이러한 플러딩은 많은 대역폭을 필요로 하지 않지만 백엔드 리소스를 고갈시켜 지연과 장애를 유발합니다.

중간자(MitM)

중간자(MitM) 공격은 보안 설정이 되어 있지 않거나 잘못 구성된 통신 채널을 악용하여 트래픽을 가로채거나 수정합니다. 엔터프라이즈 Wi-Fi 배포는 인증서 고정 또는 상호 TLS가 적용되지 않는 경우 특히 취약합니다.

TLS 다운그레이드 공격은 버전 폴백 동작을 악용합니다. 공격자는 핸드셰이크를 가로채고, 더 이상 사용되지 않는 암호화 스위트를 강제로 적용하며, 직접 제어하는 키로 트래픽을 재암호화합니다. TLS가 없는 경우에는 일반 텍스트 가로채기를 통해 자격 증명, 세션 토큰 또는 민감한 운영 데이터를 수집합니다.

비인증 액세스 포인트는 공격자가 제어하는 게이트웨이를 통해 신뢰할 수 있는 SSID와 프록시 연결을 모방합니다. 전혀 예상하지 않았던 디바이스를 자동으로 연결하고 적대적 인프라를 통해 트래픽을 라우팅합니다. WiFi Pumpkin 및 Bettercap과 같은 도구는 자격 증명을 피싱하거나 트래픽 스트림에 페이로드를 주입하는 캡티브 포털의 설정을 자동화합니다.

네트워크 기반 공격은 공격 벡터가 애플리케이션 계층 아래에 있기 때문에 클라우드 네이티브 탐지 시스템을 회피하는 경우가 많습니다. 방어에는 네트워크 세분화뿐만 아니라 프로토콜 인식 모니터링, 암호화된 전송 시행, 에지에서의 세션 이상 탐지 등이 필요합니다.

웹 및 애플리케이션 공격

웹 애플리케이션은 비즈니스 로직과 권한이 있는 백엔드 시스템을 노출하는 경우가 많기 때문에 여전히 최상위 공격 표면으로 있습니다. 대부분의 기업은 웹 자산에 대한 완전한 인벤토리가 충분하지 않으며, 소수의 기업만 API 입력이나 세션 동작에 대해 전체 컨텍스트를 검증합니다. 공격자는 다이렉트 인젝션, 로직 변조 또는 시행을 우회하는 연쇄 워크플로를 통해 이 틈새를 악용합니다.

인젝션 결함

SQL 인젝션은 20년 동안 인식되어 왔음에도 불구하고 지속되고 있습니다. 공격자는 백엔드 데이터베이스에서 실행되는 SQL 쿼리를 수정하는 입력을 조작하여 전체 스키마를 추출하거나 레코드를 수정하는 경우도 있습니다. 블라인드 SQLi 기술은 타이밍 기반 추론을 사용하여 한 번에 한 비트씩 데이터를 검색하는 방식으로 오류 메시지가 억제된 상태에서도 효과를 발휘합니다. 오래된 ORM 프레임워크를 기반으로 구축된 최신 웹 스택은 에지 케이스 페이로드를 정제하지 못하는 경우가 많습니다.

서버 측 요청 위조(SSRF)는 애플리케이션이 임의의 대상으로 아웃바운드 요청을 시작하도록 강제합니다. 공격자는 SSRF를 악용하여 내부 메타데이터 서비스, 클라우드 IAM 역할 및 내부 관리자 엔드포인트(외부에 노출되지 않음)에 액세스합니다. 클라우드 네이티브 환경에서 SSRF는 종종 권한 에스컬레이션 또는 테넌트 간 데이터 노출을 초래합니다. 서비스가 신뢰 기반 인증을 오용하거나 재귀적 리디렉션을 허용하는 경우 이러한 현상이 더욱 두드러지게 나타납니다.

로직 악용

액세스 제어 실패는 더 이상 "로그인 페이지 없음"을 의미하지 않습니다. 이제 헤더 또는 URL 매개변수를 기반으로 액세스가 부적절하게 시행되는 권한 부여 실패를 반영합니다. 공격자는 요청 구조를 변조하거나 역할을 상승시키거나 권한이 더 높은 세션에 연결된 API 토큰을 재사용하여 권한을 확대합니다. 클라우드 구성 오류에서 이러한 패턴을 반영하는 경우가 많은데, 문서에는 권한 경계가 있지만 실제로는 존재하지 않는 경우입니다.

비즈니스 로직 조작은 애플리케이션이 허용하는 것과 차단해야 하는 것 사이의 간극을 악용합니다. 공격자는 타이밍 불일치 외에도 경쟁 조건과 할인 계산 오류를 악용합니다. 금융 시스템에서는 통화 변환, 송장 생성 또는 이체 한도 조작을 통해 직접적인 손실이 발생합니다. 이와 같은 결함은 스캐너를 회피하므로 적대적 모델링이 필요합니다.

ID 및 자격 증명 도용

측면 이동, 권한 확대 또는 사칭과 관련된 모든 캠페인은 어떤 형태로든 자격 증명 액세스를 활용합니다. ID는 클라우드, 하이브리드, SaaS 생태계 전반에서 주요 공격 벡터가 되었습니다.

피싱 변종

이제 피싱은 가짜 로그인 페이지만으로 끝나지 않습니다. MFA 피로 공격은 승인될 때까지 사용자에게 반복적인 인증 요청을 쏟아냅니다. 일부 캠페인은 리버스 프록시를 사용하여 실시간으로 토큰을 가로채기 때문에 알림을 트리거하지 않고 즉시 재사용할 수 있습니다.

딥페이크 음성 통화를 실제 작전에 활용하기 시작했습니다. 사이버 범죄자는 유출된 몇 분 분량의 오디오를 사용하여 리더의 음성을 합성하고 자격 증명 재설정 또는 긴급 승인을 요청하는 전화를 걸고 있습니다. 이러한 캠페인은 스푸핑된 발신자 ID 및 조작된 이메일 스레드를 결합하여 보안이 강화된 환경에서도 성공합니다.

자격 증명 스터핑

자격 증명 스터핑 공격은 여러 서비스에서 재사용된 암호를 악용합니다. OpenBullet, SentryMBA, 맞춤형 Python 툴링과 같은 자동화 플랫폼은 로그인 포털, 모바일 API, OAuth 흐름에 대해 분당 수천 개의 사용자 이름-암호 조합을 테스트합니다. 최신 캠페인은 무작위 헤더 또는 디바이스 지문과 같은 행동 회피 기법을 주입하여 속도 제한과 탐지를 피합니다.

공격자는 인포스틸러, 침해 덤프, 토큰 탈취 멀웨어를 통해 새로운 인증 정보를 획득합니다. 대다수의 자격 증명에는 브라우저 스토리지 또는 개발자 환경에 내장된 세션 쿠키 또는 클라우드 액세스 키가 포함됩니다. 방어자는 재사용을 가정하고, 적극적으로 시크릿을 순환시키며, 이상 징후를 탐지해야 합니다. 행동, 컨텍스트 및 의도 검증을 포함하지 않는 인증은 제어가 아닙니다.

클라우드 네이티브 공격

대부분의 클라우드 침해는 예방 가능한 구성 오류 또는 압력을 받으면 무너지는 암묵적인 신뢰 가정에서 비롯됩니다.

구성 오류 익스플로잇

무제한 스토리지 버킷은 멀티클라우드 환경에서 가장 자주 노출되는 자산 중 하나입니다. 공개 읽기 액세스, 상속된 권한, 저장 데이터 암호화 제어의 미흡으로 인해 공격자는 인증되지 않은 단일 요청으로 민감한 데이터를 열거하고 추출할 수 있습니다. 공격자는 Grayhat Warfare, S3Scanner, CSP 전용 API와 같은 도구를 사용하여 검색을 자동화합니다.

권한이 과도하게 부여된 역할은 노출된 버킷보다 더 큰 피해를 줍니다. 많은 조직이 최소 권한을 준수하지 않아 서비스 계정이나 람다 함수에 와일드카드 권한(예: iam:PassRole 또는 s3:*)을 부여하고 있습니다. ID를 확보한 공격자는 합법적인 호출을 통해 환경 전반으로 확대할 수 있습니다. 역할 연쇄, 계정 간 가정 및 측면 이동이 이어집니다.

공급망 익스플로잇

CI/CD 파이프라인은 공격자에게 신뢰할 수 있는 프로덕션 경로를 제공합니다. 빌드 시스템이 손상되면 악성 코드 삽입, 환경 시크릿 유출, 프로덕션 레지스트리에 푸시된 아티팩트 수정이 가능해 집니다. Jenkins, GitHub Actions, GitLab Runner 및 자체 호스팅 에이전트는 확대된 권한과 최소한의 송신 모니터링으로 실행됩니다.

악성 패키지 삽입은 타사 종속성에 대한 신뢰를 악용합니다. 공격자는 타이포스쿼팅, 리포재킹 또는 기여자 사칭을 사용하여 라이브러리를 트로이 목마화한 다음 오픈 리포지토리에 게시합니다. 다운스트림 프로젝트에서 악용할 경우 빌드 또는 설치할 때 악성코드가 실행되어 면밀한 조사 없이 프로덕션 환경에 도달하는 경우가 많습니다.

관련 문서: 클라우드 공급 파이프라인 공격 구조

공급망 침해는 서명되고 검증된 아티팩트의 범위 내에서 작동하여 런타임 방어를 우회합니다. 방어자는 출처를 강화하고, 재현 가능한 빌드를 적용하고, 소프트웨어 자재 명세서(SBOM) 검증을 도입하여 노출을 줄여야 합니다. 파이프라인 시크릿, 특히 클라우드 액세스 권한을 부여하는 시크릿은 자동으로 순환되어야 하며 범위가 최소한으로 유지되어야 합니다.

OT 및 IoT 공격

IT와 OT의 융합으로 인해 이전에는 디지털 시스템에만 주력했던 위협 행위자들이 산업 환경에도 침투할 수 있게 되었습니다. 이에 반해 IoT 생태계는 대부분의 조직이 보안을 유지할 수 있는 속도보다 빠르게 확장되어 테스트를 마치지 못한 펌웨어와 관리되지 않는 API가 노출되는 경우가 많습니다.

산업 제어 시스템

프로토콜 조작은 Modbus, DNP3, Profinet과 같은 결정론적이고 인증되지 않은 OT 프로토콜을 표적으로 삼습니다. 이러한 프로토콜에는 암호화나 인증이 없기 때문에 공격자가 명령을 주입하거나 프로세스 상태를 읽거나 센서 값을 수정하여 물리적인 결과를 야기할 수 있습니다. 플랫 네트워크에서 PLC에 직접 액세스하는 환경에서는 공격자가 밸브, 릴레이 또는 제어 루프를 실시간으로 조작할 수 있습니다.

펌웨어 손상은 부트로더 또는 컨트롤러 수준에 악성 코드를 삽입하여 공격 수준을 더욱 강화합니다. 공격자는 손상된 업데이트 서버 또는 안전하지 않은 필드 업그레이드 프로토콜을 통해 재부팅 시에도 지속되는 코드를 심어 기존의 탐지를 무력화합니다. 일부 변종은 비상 종료를 지연시키거나 안전 인터록에 간섭합니다.

최신 ICS 환경에는 브리징 호스트(OT 및 IT 네트워크에 이중으로 연결되는 Windows 머신)가 포함된 경우가 많습니다. 여기가 피벗 포인트가 됩니다. 엄격한 세분화가 없다면 공격자는 몇 번의 측면 이동만으로 피싱 이메일에서 공장 현장 제어로 전환할 수 있습니다.

IoT 봇넷

IoT 봇넷은 대규모 DDoS 공격과 자격 증명 스터핑 캠페인에서 여전히 우세한 세력입니다. Mirai 변종은 소스 코드 가용성, 수정의 용이성, 기본 암호 스캐닝 로직으로 인해 빠르게 세력을 확장했습니다. 감염되면 라우터, DVR, 스마트 센서와 같은 디바이스가 C2 서버의 명령을 전달하고 HTTP 플러딩 또는 DNS 증폭을 통해 표적을 제압하게 됩니다.

API 익스플로잇을 통해 공격자는 관리 플레인에 액세스할 수 있습니다. 많은 IoT 플랫폼이 인증이 부족하거나 권한 확대를 허용하거나 지나치게 장황한 메타데이터를 반환하는 API를 노출하고 있습니다. 공격자는 이러한 엔드포인트를 악용하여 디바이스를 찾고, 텔레메트리를 재생하거나, 알려진 취약점을 재발하는 펌웨어 다운그레이드를 배포합니다.

IoT 생태계는 보안 온보딩을 시행하는 경우가 거의 없습니다. 패치 및 원격 관리도 마찬가지입니다. 즉, 네트워크에 연결된 디바이스는 가시성과 정책 제어가 즉시 뒤따르지 않으면 공격 표면의 일부가 됩니다. 대부분은 그렇지 않으며 공격자들도 이를 알고 있습니다.

사이버 공격 사례 연구

최근 공격을 보면 위협 행위자가 잘못 정렬된 제어, 평면 아키텍처 또는 사용자 신뢰 가정으로 인해 발생한 구조적 약점을 악용하는 방식을 알 수 있습니다.

MOVEit 대량 유출 사고

2023년 5월, Clop은 Progress Software의 MOVEit Transfer 제품의 제로데이를 악용하여 근래 역사상 가장 큰 규모의 데이터 도용 캠페인 중 하나를 시작했습니다. 이 결함으로 인해 인증되지 않은 SQL 인젝션이 허용되어 공격자가 웹 셸을 배포하고 MOVEit 서버에서 파일을 대량으로 빼돌릴 수 있었습니다.

몇 주 만에 수백 개의 조직(정부 기관, 대학, 금융 기관)이 MOVEit 서버가 악용되었습니다. 공격자들은 자동화를 구축하여 전 세계 인스턴스로 액세스를 확장했습니다. 그런 다음 유출 사이트를 통해 금품 갈취 협박을 이어갔습니다. 피해 단체로는 Shell, BBC, 미국 에너지부가 있었습니다.

데이터 유출로 인해 타사 관리형 파일 전송(MFT) 서비스의 시스템 위험이 노출되었습니다. 많은 조직이 민감한 네트워크 세그먼트에서 MOVEit 서버를 분리하지 못해 공격자가 침해 후 내부 시스템에 직접 접근할 수 있는 경로를 제공했습니다.

관련 문서: MOVEit Transfer SQL 인젝션 취약점: CVE-2023-34362, CVE-2023-35036, CVE-2023-35708

MGM Resorts 소셜 엔지니어링 침입 사고

2023년 9월, 위협 행위자가 LinkedIn 프로필을 사용하여 IT 서비스 데스크 직원을 식별하고 전화로 소셜 엔지니어링 기법을 이용해 액세스 자격 증명을 확보한 후에 MGM Resorts를 공격했습니다. 이 단체는 시스템을 침해한 후 랜섬웨어를 배포하여 여러 카지노와 호텔 운영을 중단시켰습니다.

Scattered Spider 단체에 소속된 공격자들은 합법적인 RMM 도구를 활용하여 측면으로 이동하고 보안 소프트웨어를 무력화했습니다. 정전이 일주일 이상 지속되며 디지털 룸 키, 게임 시스템, 결제 단말기를 사용할 수 없었습니다. 공개적으로 제출된 자료에 따르면 재정적 피해액은 1억 달러가 넘는 것으로 나타났습니다.

이 유출 사고로 두 가지 사실이 분명히 드러났습니다. 첫째, 공격자는 이제 휴대폰 기반 프리텍스팅 행동 인사이트를 사용하여 ID 제어를 우회합니다. 둘째, 많은 기업 SOC는 캠페인이 진행되는 동안 합법적인 관리자 도구의 악용을 탐지하지 못합니다.

2024년 의료 업계 랜섬웨어 급증

2024년 한 해 동안 의료 부문 전반에서 랜섬웨어 공격이 급증했습니다. ALPHV, LockBit, Rhysida는 병원, 보험사, 전자의무기록(EMR) 공급업체를 표적으로 삼았습니다. 자주 사용되는 진입점은 RDP 노출, VPN 취약점, 직원 워크스테이션에서 수집한 인포스틸러 파생 자격 증명 등이었습니다.

이러한 공격에는 암호화 전에 데이터를 갈취하는 경우가 많았고, 도용한 환자 기록을 유출하여 압박을 가하기도 했습니다. 중환자 치료 시스템이 오프라인 상태가 되기도 했습니다. 레거시 소프트웨어에 대한 종속성과 변경할 수 없는 백업의 부족으로 인해 복구 시간이 몇 주까지 늘어났습니다.

의료 기관은 평면 내부 네트워크를 운영하고, 오래된 엔드포인트 소프트웨어에 의존하며, 애플리케이션 계층 세분화가 부족하여 어려움을 겪었습니다. 랜섬웨어 공격자들은 이러한 조건을 매우 치밀하게 악용하여 산업별 규정 준수가 운영 복원력과 동일하지 않다는 것을 보여주었습니다.

세계 선거 기간 중 AI를 이용한 피싱

2024년 초, 조직적인 피싱 캠페인에서 생성형 AI를 악용하여 선거 관리자와 신뢰할 수 있는 공인을 사칭했습니다. 미국을 비롯한 인도, 여러 EU 회원국 등 많은 국가의 선거 담당자, 유권자 데이터베이스, 캠페인 팀을 표적으로 삼아 딥페이크 오디오 메시지 및 AI가 작성한 이메일이 발송되었습니다(AP 뉴스).

이 캠페인은 언어 모델을 사용하여 현지 방언으로 설득력 있는 메시지를 만들고, 언론 보도 주기에 맞춰 동적으로 조정했습니다. 일부 작전에서는 이메일 피싱과 AI 생성 전화를 병행하며 긴급성이나 신뢰성을 강화했습니다. 공격자들은 유권자 정보 시스템을 조작하고 민감한 계획 문서를 온라인으로 유출하기 위해 자격 증명을 수집했습니다.

이 공격은 생성형 모델이 어떻게 소셜 엔지니어링의 비용을 줄이고 효과를 높일 수 있는지 보여주었습니다. 견고한 인프라를 갖춘 공공 기관도 인간의 대응을 트리거하는 요인과 관할 구역 간의 일관성 없는 신원 확인 프로세스로 여전히 취약한 상태였습니다.

관련 문서: 속임수에 걸려 QL 인젝션 및 측면 이동을 위한 코드를 생성한 DeepSeek

도구, 플랫폼 및 인프라

공격자는 더 이상 처음부터 익스플로잇을 작성하거나 인프라를 수동으로 구축하지 않습니다. 합법적인 소프트웨어 개발 관행을 반영하는 성숙한 도구 및 서비스 생태계 내에서 작전을 수행합니다.

멀웨어 변종군

Cobalt Strike는 현재 가장 많이 모방되고 악용되는 후속 공격 프레임워크로 남아 있습니다. 본래 레드팀을 위해 설계되었으며 페이로드 스테이징, 명령 실행, 측면 이동 및 HTTP, DNS 또는 이름 지정된 파이프를 통한 비콘을 지원합니다. 위협 행위자는 수정된 대기 간격, 맞춤형 난독화 및 비활성화된 IoC가 포함된 크랙 버전을 정기적으로 배포합니다.

오픈 소스 대안인 Sliver는 보안팀과 공격자 모두에게 인기를 얻고 있습니다. Go로 작성되어 여러 아키텍처로 컴파일되고, 암호화된 피어투피어 C2를 지원하며, 신속한 사용자 정의할 수 있습니다. 모듈식 아키텍처는 다양한 운영 체제에서 지문을 채취하고 탐지하기가 어렵습니다.

Havoc은 최신 EDR을 우회하도록 설계된 최신 세대의 후속 공격 툴킷입니다. 2023년 말에 출시된 Havoc에는 메모리 내 페이로드 생성, 샌드박스 회피, 암호화된 C2 채널 등이 포함되어 있으며 일반적인 네트워크 프로토콜에 통합되도록 설계되었습니다. Cobalt Strike와 시그니처가 거의 겹치지 않기 때문에 제휴 랜섬웨어 그룹 사이에서 빠르게 인기를 얻었습니다.

관련 문서: Palo Alto Networks Unit 42에서 추적한 위협 행위자 그룹

공격적 보안 프레임워크

Metasploit은 자동화된 익스플로잇 및 페이로드 전달을 위한 기반 역할로 계속 활용되고 있습니다. 익스플로잇 체인, 리버스 셸 생성, 메모리 내 스테이징을 지원합니다. Metasploit은 정기적인 모듈 업데이트를 통해 오래된 시스템에 대한 마찰이 적은 접근 경로를 찾는 공격자들에게 안정적인 리소스로 자리잡았습니다.

Empire는 PowerShell에서 구축되어 나중에 Python 3으로 포팅되었으며 Windows 환경 내에서 파일리스 공격에 특화되어 있습니다. 네이티브 도구로 권한 확대, 자격 증명 덤핑, Kerberos 티켓 조작을 모두 지원합니다. Empire는 PowerShell 리모팅, AMSI 회피, 모듈식 스크립팅을 활용하므로 네이티브 실행이 선호되는 피싱이 많은 캠페인에서 여전히 적절합니다.

이러한 프레임워크는 취약점 발견과 익스플로잇 사이의 시간을 줄여줍니다. 공격자는 잘 관리된 라이브러리와 기업의 취약점에 맞게 사전 구축된 모듈을 사용하여 스캐닝에서 침해로 전환할 수 있습니다.

초기 액세스 중개

서비스형 액세스는 공식적인 공급망으로 발전했습니다. 브로커는 시스템을 손상시키고, 자격 증명을 추출하며, 네트워크 존재를 검증하고, 랜섬웨어 조직원, 데이터 마이너 또는 스파이 단체에 대한 액세스 권한을 경매에 부칩니다. 액세스 수준에는 RDP, VPN, Citrix 게이트웨이, Active Directory 및 클라우드 관리 콘솔이 포함됩니다.

다크웹 마켓플레이스는 교환을 촉진합니다. Exploit, BreachForums(종료 전까지), RuTOR와 같은 포럼은 가동 시간 보장, 산업 분야, 침해된 환경의 미리보기까지 정리하여 제공합니다. 많은 브로커는 거래 무결성을 보장하기 위해 에스크로와 중개인을 사용하여 엄격한 평판 모델에 따라 운영합니다.

구매자는 몇 시간 내에 행동하는 경우가 많습니다. 수익화 속도가 빠르다는 것은 이러한 시장에 자격 증명이 등장할 때 탐지 기간이 단축된다는 것을 의미합니다. 많은 조직은 측면 이동이 시작되거나 데이터 유출로 인해 외부 알림이 발생할 때까지 노출 사실을 인지하지 못합니다.

익스플로잇 경제

제로데이 브로커는 독립 연구자와 국가 또는 상업적 구매자 사이의 간극을 메워줍니다. 이러한 기업은 비공개로 운영되며 널리 배포된 플랫폼의 원격 코드 실행 취약점을 노리는 공격에 수십만 달러를 지불하고 있습니다. iOS, Android, Chrome 및 하이퍼바이저는 여전히 가장 주요한 표적입니다.

중개된 취약점은 공급업체의 조정을 우회하는 경우가 많습니다. 구매자는 해당 익스플로잇에 대한 독점적 권리를 요청하여 공개하지 않고 작전 중에 사용할 수 있도록 합니다. 지역별로 전문화되어 있는 브로커가 있는 반면, 중복되는 관심 분야를 가진 여러 정부에 공급하여 재악용하는 브로커도 있습니다.

HackerOne과 Bugcrowd 같은 버그 바운티 플랫폼은 서로 다른 기능을 수행합니다. 이러한 플랫폼은 책임감 있게 대규모로 공개하는 것을 장려하지만, 일부 연구자들은 비공개 제안이 실패한 후에야 대안으로 포상금을 활용하기도 합니다. 포상금을 통해 공개된 취약점이 그레이마켓 툴체인에서 재패키징되는 경우도 있는데, 특히 원래 보고서에 익스플로잇에 대한 세부 정보가 부족한 경우 더욱 그렇습니다.

공격 인프라는 모듈화, 재판매, 자동화를 향해 계속 진화하고 있습니다. 이 생태계를 모니터링하지 못하는 방어자는 뒤처지게 됩니다.

사이버 공격의 영향

IBM의 2025년 데이터 유출의 총 비용 보고서에 따르면 데이터 유출로 인한 평균 비용은 445만 달러이며, 미국 기반 조직의 경우 평균 948만 달러에 달합니다. 이 계산에는 규제 위반 벌금, 법적 합의금, 보험료 인상 등이 제외되어 총 노출액을 두 배로 늘리는 경우가 많습니다.

운영 중단

86%의 조직은 사이버 공격으로 비즈니스 운영에 지장을 받으며, 가동 중지 시간이 점점 더 길어져 점차 심각한 결과를 초래하고 있습니다. SaaS 제공업체나 실시간 물류 운영업체의 경우, 4시간의 중단으로도 고객 생태계 전체에 영향을 미칩니다.

일반적으로 중단은 업스트림에서 시작됩니다. 침해 이후에는 공급업체의 가용성, 품질 또는 데이터 무결성이 저하됩니다. OT를 표적으로 하는 단 한 번의 공격으로도 수개월 동안 제조 프로세스가 지연될 수 있습니다. 클라우드 기반 생태계에서는 상호 의존성으로 인해 한 플랫폼에서의 가동 중단 시간이 다른 관련 서비스에 영향을 미치면서 중단이 확대됩니다.

인시던트 억제로 인해 핵심 운영이 중단되는 경우가 많습니다. 확산을 차단하려면 보안팀은 토큰을 취소하고, 시스템을 리이미징하며, 네트워크 세그먼트를 종료하고, CI/CD 파이프라인을 일시 중지해야 합니다. 랜섬웨어를 피할 수 있어도 억제할 경우 수익을 창출하는 기능이 중단됩니다.

평판 손상

조직들은 침해 관련 헤드라인이 급증하고 고객 정보 유출로 인해 신뢰도가 추락하는 상황에 직면해 있습니다. 이해 관계자들은 종종 기술적 실패뿐만 아니라 회사의 대응에 대한 윤리적 태도에 대해서도 의문을 제기합니다.

신뢰 상실은 빠르게 현실화됩니다. 상장 기업은 공시 후 주가 하락을 경험하며, 의료 및 금융과 같은 부문은 장기적으로 실적이 저조한 경우가 많습니다. 사모 시장에서는 보안 통제가 불충분하다고 판단되면 투자자가 라운드를 지연하거나 밸류에이션을 낮출 수 있습니다.

시장의 신뢰 상실은 제3자에게도 영향을 미칩니다. 신뢰가 저하됐을 경우에 입게 되는 손실 범위는 돈으로 측정할 수 없습니다.

글로벌 침해-통지 요구 사항

GDPR 타임라인

Under the 일반 데이터 보호 규정(GDPR)에 따라 조직은 EU 거주자의 개인 데이터와 관련된 침해를 발견한 이후 72시간 이내에 감독 기관에 알려야 합니다. 고의가 아니더라도 이 기한을 지키지 못하면 기업은 전 세계 연간 매출액의 최대 4%에 해당하는 벌금을 물게 됩니다.

또한 이 규정은 자격 증명 도용, 행동 프로파일링 또는 추가 악용을 조장할 수 있는 데이터를 포함하여 침해로 인해 개인의 권리와 자유에 심각한 위험이 발생하는 경우, 영향을 받는 개인에게 즉시 통지하도록 의무화하고 있습니다. 대부분의 조직은 인시던트가 '고위험' 임계값을 충족하는지 여부를 명확하게 판단하지 못해 지체합니다. 규제 기관은 소비자 데이터와 관련된 모호성에 대해 사실상 용납하지 않겠다는 입장을 표명했습니다.

CIRCIA 의무 사항

미국에서는 2026년까지 중요 인프라에 대한 사이버 사고 보고법(CIRCIA)을 전면 시행할 예정이며, 기본 요구 사항은 이미 적용하고 있습니다. 적용 대상 기업은 중대한 사이버 인시던트가 발생한 이후 72시간 이내에 사이버 보안 및 인프라 보안 기관(CISA)에 보고해야 하며, 랜섬웨어 몸값 지불은 24시간 이내에 보고해야 합니다.

CIRCIA는 에너지, 금융, 교통, 공중 보건을 포함한 16개 중요 인프라 부문에 적용됩니다. 보고서에는 다음이 포함되어야 합니다.

• 인시던트 범위
• 악용된 취약점
• 피해를 입은 자산 유형
• 수행한 완화 조치

부문별 규정

재무적 복원력 지침

금융 서비스 부문에서 규제 기관은 이제 사이버 보안을 시스템 위험으로 규정하고 있습니다. 미국 통화감독청(OCC), 바젤위원회, 유럽은행감독청은 이사회가 복구 플레이북을 유지하고 중요 기능의 연속성을 입증하는 등 보안 감독을 자체적으로 수행하도록 요구하는 지침을 도입했습니다.

2025년 1월부터 EU 전역에서 시행되는 디지털 운영 복원력 법(DORA)은 이러한 기대치를 법문화하고 있습니다. DORA에서는 인시던트를 분류하고 탐지 후 몇 시간 이내에 의무적으로 보고하도록 규정하고 있습니다. 또한 타사 제공업체의 레드팀 구성을 포함하여 운영 복원력에 대한 지속적인 테스트가 필요합니다. 규정을 위반할 경우 기업은 감독 기관의 제재와 시장 조사를 받게 됩니다.

의료 업계 HIPAA 시행

미국에서는 여전히 의료 보험 양도 및 책임에 관한 법률(HIPAA)이 건강 정보 보호를 위한 주요 규제 프레임워크로 남아 있습니다. 미국 민권 사무국(OCR)은 침해를 발견한 이후 60일 이내에 영향을 받는 개인에게 통지하도록 의무화하고 있으며, 관련 기관에서 NIST 지침에 따라 감사 로그, 액세스 제어 및 암호화 표준을 유지하도록 요구합니다.

위험은 벌금으로만 그치지 않습니다. Health Information Technology for Economic and Clinical Health(HITECH) 법에 따라 조직은 민사 소송, 다기관 조사, 장기적인 규정 준수 모니터링에 직면할 수 있으며, 이로 인해 사이버 보안 제어를 현대화하기 위해 자본 지출을 가속화해야 하는 경우가 많습니다.

탐지, 대응 및 인텔리전스

이상 징후를 탐지하고, 환경 전반의 신호를 조사하며, 악성 활동이 목적을 달성하기 전에 차단할 수 있는 역량을 갖춘 준비 태세를 갖추는 것이 영향을 방지하기 위한 시작입니다.

가설 기반 위협 헌팅

효과적인 헌팅은 엔터프라이즈 텔레메트리에 대한 공격자 행동을 모델링하고 자동 탐지를 트리거하지 않는 활동의 증거를 찾습니다. 가설에 따르면 손상된 서비스 계정이 원격 관리 도구를 사용하여 측면 이동에 재사용되고 있다고 주장할 수 있습니다. 헌터는 시간 경과에 따른 인증 로그, PowerShell 기록, 자산 동작을 통해 이 이론을 테스트합니다. 그러면 검증된 헌팅에서 생성된 탐지 내용이 SOC 워크플로로 구현됩니다.

지표 피벗

알려진 지표에서 피벗하면 관련 침해를 더 빠르게 발견할 수 있습니다. 위협 헌터는 IoC를 수집하여 엔드포인트, 네트워크, 클라우드 텔레메트리 전반에서 상호 연관성을 파악합니다. 로더에 연결된 단일 해시는 여러 개의 감염된 호스트 또는 공유 C2 인프라를 노출시킬 수 있습니다.

공격자들은 캠페인 전반에 걸쳐 전술을 재사용하는 경우가 많습니다. 피벗을 통해 자주 사용되는 작전상의 지문을 찾아서 초기 손상 이상의 범위를 파악할 수 있습니다. VirusTotal, PassiveTotal 또는 GreyNoise와 같은 보완 소스와 함께 사용하면 피벗을 통해 영향을 알아차리기 전에 공격자의 행동을 격리할 수 있습니다.

인시던트 대응 준비

플레이북 개발

IR 플레이북은 조직이 압박에 대응하는 방법을 정의합니다. 자격 증명 유출이든 공급망 악용이든 공격 벡터에는 탐지 및 검증, 격리 단계, 에스컬레이션 트리거, 복구 워크플로 순서를 맞춤화해야 합니다. 플레이북을 사용하면 팀이 즉흥적으로 대응하는 데 시간을 낭비하지 않을 수 있습니다.

효과적인 플레이북에는 다음이 포함됩니다.

• 기록 시스템
• 역할 할당
• 법률 및 규제 접점
• 외부 커뮤니케이션을 트리거하기 위한 기준

실제 침입에서는 엄격한 스크립트가 실패하므로 플레이북을 테스트하고 버전을 관리하며 실제 텔레메트리 소스에 연결해야 합니다. 대응에 앞서 공격자 행동의 변화, 내부 종속성, 저하된 환경의 현실을 고려해야 합니다.

위기 커뮤니케이션 채널

위기 커뮤니케이션에는 사전 정의된 내부 및 외부 채널, 경영진 대변인, 법률 검토 주기, 명확한 메시지가 필요합니다. 잘못된 진술로 인해 SEC 공시 규정을 위반하거나 규제 기관의 조사를 받아야 할 수 있으므로 경영진은 법무, 운영 및 홍보 부서와 협력해야 합니다. 커뮤니케이션에서는 현재 포렌식 상태를 반영하여 확인된 사항, 검토 중인 사항, 업데이트 예정 시기를 알려야 합니다.

사이버 위협 인텔리전스

내부 텔레메트리, 상용 피드, ISAC 및 오픈 소스 채널에서 수집한 고충실도 위협 인텔리전스를 집계합니다. 인텔리전스에는 컨텍스트 세부 정보(예: 인프라 사용량, TTP, 타겟팅 로직, 어트리뷰션 신뢰도)가 포함되어야 합니다. 컨텍스트 없이 IP를 제공하는 피드는 신호를 저하시키고 SOC에 오탐지가 과도하게 발생할 수 있습니다.

효과적인 프로그램은 세 가지 유형의 지능을 구분합니다:

1. 전략적 인텔리전스는 장기적인 방위 계획에 정보를 제공합니다.
2. 전술 인텔리전스는 즉각적인 탐지 엔지니어링을 주도합니다.
3. 운영 인텔리전스는 침입을 캠페인, 인프라 중첩 또는 위협 행위자의 수법과 연결합니다.

융합 센터는 인텔리전스를 탐지, 조사 및 대응과 연계합니다. 엔드포인트, 클라우드, 네트워크, ID 및 타사 원격 분석의 도메인 간 통합이 없으면 조직은 상관관계를 놓치게 됩니다.

성숙한 팀은 수집 시 원격 분석을 강화하여 세션, 아티팩트 또는 흐름에 위험 점수 및 컨텍스트 레이블을 태그합니다. 분석가들은 시간을 낭비하지 않고 여러 계층을 피벗하여 DNS 쿼리에서 ID 동작, SaaS 관리 로그로 이동합니다.

신종 사이버 공격 동향

공격 표면은 대부분의 조직이 플레이북을 업데이트하는 속도보다 더 빠르게 변화합니다. 현재 상태의 위험을 위해 구축된 방어 전략은 미래 상태의 속도에 따라 실패하는 경우가 많습니다. 이제 위협 환경에는 컴퓨팅으로 확장하고, 모델을 사용하여 적응하며, 방어자가 표준을 읽기 전에 구조적 전환을 악용하는 공격자가 포함됩니다.

자동화된 소셜 엔지니어링 봇

이제 공격자들은 OSINT를 수집하고 실시간 대응에 적응하는 AI 에이전트를 배포합니다. 이러한 봇은 맞춤형 피싱 미끼를 생성하고 다국어 환경에서 경영진을 사칭하며 스크랩된 커뮤니케이션을 기반으로 구실 개발을 자동화하므로 과소평가해서는 안 됩니다. 또한, 실패할 때마다 타겟팅 로직을 개선합니다.

일부 봇은 여러 채널에서 작동합니다. 한 명의 상담원이 피싱 이메일을 보내고, 딥페이크 음성 통화로 후속 조치를 취하고, 수집된 세션 쿠키를 사용하여 Slack 또는 Teams 메시지로 피벗할 수 있습니다. 공격자는 역할별 프롬프트가 포함된 미세 조정된 대규모 언어 모델(LLM)을 사용하여 고객 지원 및 비밀번호 재설정 플로우를 조작합니다.

코드-젠 멀웨어

AI를 이용한 멀웨어 개발이 이론에서 실제 운영으로 옮겨가고 있습니다. 공격자는 모델을 미세 조정하여 정적 및 휴리스틱 탐지를 회피하는 난독화된 페이로드를 생성합니다. LLM에 탐지 규칙을 제공하고 생성된 코드가 YARA 히트 또는 EDR 서명을 피할 때까지 반복합니다.

코드 생성 도구는 클라우드 플랫폼의 엣지 케이스 또는 오용된 SDK를 대상으로 하는 다형성 드로퍼, 로더 스크립트 및 도메인별 익스플로잇을 생성하는 데도 도움이 됩니다. 자동화된 퍼징과 결합된 AI는 대규모로 발견과 무기화를 가속화하여 기존의 패치 모델을 깨뜨리고 있습니다.

관련 문서: 이제 나를 볼 수 있고, 이제 볼 수 없습니다: LLM을 사용하여 악성 자바스크립트 난독화하기

자가 학습 웜

더 이상 사전 프로그래밍된 로직에 얽매이지 않고 자율적인 자가 학습 웜은 이제 시스템 구성, 도메인 구조 또는 원격 측정 피드백에 따라 페이로드 모듈을 선택하는 단계까지 나아가 환경 변수를 관찰하고 조정할 수 있습니다. 예를 들어 탐지 가능성에 따라 작업 도중에 크리덴셜 수집에서 와이퍼 동작으로 전환할 수 있습니다. 또한 지속적으로 결과를 점수화하여 노드가 손상될 때마다 진화합니다.

클라우드 규모 영향 시나리오

클라우드 네이티브 자율 웜은 공유 제어 영역, IAM 역할의 측면 권한, 권한이 초과된 서비스 계정을 악용하여 테넌트 및 지역 간에 전파됩니다. 취약한 단일 마이크로서비스가 익스플로잇되면 오케스트레이션 API, 잘못 구성된 CI/CD 토큰 또는 노출된 코드형 인프라 비밀을 통해 복제하는 에이전트리스 전파자를 배포할 수 있습니다.

멀티클라우드 환경에서 이러한 웜은 표준 SDK를 사용하여 리소스를 열거하고, ID 계층 구조 내에서 에스컬레이션하며, 페이로드 실행 전에 통합 가시성 도구를 파괴합니다. 원격 측정, 중복성 및 복구 워크플로우에 영향을 미치면서 영향이 배가됩니다.

결론은? 차세대 위협은 무차별 대입에 의존하지 않습니다. 코드 실행 속도보다 컨텍스트 인식, 적응형 로직, 추론 속도에 의존하게 됩니다. 사이버 방어는 진화해야 합니다. 예측, 계측, 아키텍처 강화가 앞으로 나아갈 길을 정의합니다.

테스트 및 검증

실제 조건에서 테스트하지 않으면 어떤 컨트롤도 설계된 대로 작동하지 않습니다. 시뮬레이션, 레드팀, 검증 연습을 통해 가정을 노출할 수 있습니다. 성숙은 압박 속에서 검증된 준비 상태를 통해 이루어집니다.

레드팀 운영

목표 기반 참여

레드팀 연습은 정의된 목표, 기간, 작전 제약 조건으로 실제 적을 시뮬레이션합니다. 일반적인 모의 침투 테스트와 달리 레드팀은 알려진 위협 행위자와 연계된 전술을 사용하여 임무 목표를 추구합니다.

레드팀은 최소한의 정보로 시작하는 경우가 많습니다. 이들은 정찰을 수행하고, 탐지를 회피하고, 여러 도메인을 이동하며, 실제 잘못된 구성을 악용합니다. 성공 또는 실패를 통해 다음과 같은 주요 효과를 검증할 수 있습니다:

• 엔드포인트 텔레메트리
• 임계값 알림
• 분석가 워크플로
• 인시던트 에스컬레이션 경로

퍼플팀 협업

퍼플팀은 실시간으로 공격과 수비를 혼합합니다. 레드팀과 블루팀이 나란히 협력하여 특정 기술을 실행하고, 탐지 범위를 검증하고, 대응 프로세스를 조정하여 운영자와 방어자 간의 피드백 루프를 가속화합니다.

퍼플 팀은 침해 결과에 성공 점수를 매기는 대신 원격 측정 품질, 신호 대 잡음비, SOC 응답 시간을 측정합니다. 레드팀이 취하는 모든 조치는 블루팀이 탐지 규칙, 대응 플레이북 또는 에스컬레이션 경로를 만들거나 개선할 수 있는 학습 기회가 됩니다.

제대로 실행되면 퍼플 팀링은 근육 기억을 구축하고, 위협 모델링 가정을 강화하며, 탐지 엔지니어링, SOC, 사이버 위협 인텔리전스 전반에서 적의 조정을 개선합니다.

공격자 시뮬레이션

ATT&CK 에뮬레이션 플랜

조직은 MITRE ATT&CK 기술을 기반으로 한 시뮬레이션을 통해 알려진 행동 모델에 대해 제어 범위를 테스트할 수 있습니다. 시뮬레이션 도구는 전체 킬 체인을 실행하는 대신 개별 기술(예: 자격 증명 덤핑, 레지스트리 변조, 원격 파일 전송)을 실행하고 원격 측정, 알림 또는 자동화된 대응을 트리거하는지 여부를 측정합니다.

시뮬레이션은 규칙을 탐지하는 것 외에도 로그 파이프라인의 무결성과 알림 임계값을 테스트합니다. 테스트 결과를 ATT&CK 매트릭스에 매핑하면 보안 리더가 어떤 전술이 적용되고 방어 공백이 지속되는지 파악하는 데 도움이 됩니다.

침해 및 공격 플랫폼

자동화된 침해 및 공격 시뮬레이션(BAS) 플랫폼은 프로덕션 또는 스테이징 환경 전반에서 미리 정의된 공격 경로를 실행하여 지속적인 테스트를 제공합니다. SafeBreach, AttackIQ, Cymulate와 같은 도구는 네트워크, 엔드포인트, 클라우드 계층에서 페이로드를 실행하여 방어 준비 상태를 검증합니다.

BAS 플랫폼은 현실적인 제약 조건에서 자격 증명 도용 및 데이터 유출과 같은 이벤트를 시뮬레이션합니다. 일회성 테스트와 달리 반복적인 검증과 함께 제어 변경 후 회귀 테스트 및 팀 간 일관된 벤치마킹이 가능합니다.

메트릭 및 지속적인 개선

방어가 효과가 있는 곳, 실패하는 곳, 공격자가 다음에 공격할 곳을 알고 계신가요? 여기서 KPI가 인텔리전스가 됩니다. 성숙한 조직은 메트릭을 운영상의 레버리지로 취급합니다.

주요 위험 지표

공격 빈도율

공격 빈도는 위협 행위자가 사용자 환경을 표적으로 삼는 빈도를 측정합니다. 빈도에는 관찰된 스캐닝, 크리덴셜 스터핑, 피싱 시도, API 프로빙, 노출된 자산에 대한 익스플로잇 시도가 포함됩니다. 시간이 지남에 따라 이를 추적하면 패턴이 드러납니다.

고빈도 타겟팅이 항상 보안 위험을 의미하는 것은 아니지만, 관심을 끌 수 있다는 신호입니다. 스파이크는 침해 덤프에 등재되거나 유출된 인증정보가 재사용되거나 공격자 자동화 루프에 존재함을 나타낼 수 있습니다. 가시성이 낮은 이유는 엣지 원격 분석의 사각지대 또는 클라우드 환경의 단편화된 로깅 때문인 경우가 많습니다.

평균 타협 시간

평균 침해 시간(MTTC)은 초기 액세스와 공격자의 권한 상승 또는 측면 이동 사이의 평균 기간을 추적합니다. 탐지 지연뿐만 아니라 토큰 재사용이나 권한이 과도하게 부여된 계정과 같은 구조적 취약점도 발견할 수 있습니다.

MTTC를 측정하려면 레드팀 활동과 사고 발생 후 타임라인을 다시 재생해야 합니다. MTTC가 낮은 조직은 일반적으로 ID 또는 행동 신호의 상관 관계 없이 서명 기반 알림에 의존합니다. MTTC를 몇 분만 늘리면 공격자의 페이로드 성공률을 몇 시간 또는 완전히 줄일 수 있습니다.

프로그램 성숙도 모델

기능 진행 단계

성숙도 모델은 탐지, 예방, 대응, 복구 전반에 걸쳐 프로그램의 진화를 평가합니다. 사후 대응에서 사전 대응으로, 수동에서 자동화로, 사일로화에서 오케스트레이션으로 전환합니다. NIST의 사이버 보안 프레임워크는 MITRE의 사이버 보안 역량 모델(C2M2) 및 CIS 통제 구현 그룹과 마찬가지로 계층화된 벤치마크를 제공합니다.

진행 상황은 커버리지 깊이와 작동 속도 및 신호 무결성을 기준으로 측정됩니다. 조직이 세계적 수준의 툴을 보유하고 있어도 컨텍스트가 부족하거나 플레이북이 사용되지 않는다면 성숙도가 낮은 상태로 남을 수 있습니다.

역량 격차는 주로 측면 이동 가시성, 클라우드 역할 시행, SaaS 모니터링, 자동화된 대응 로직에 집중되어 있습니다. 팀이 검증을 통해 측정 가능한 방식으로 격차를 좁힐 때 성숙도가 높아집니다.

피어 벤치마킹

피어 벤치마킹은 산업, 규모, 지역 또는 위협 프로필에 따라 그룹화된 유사한 조직과 비교하여 성과를 평가합니다. 표준을 선도하거나 뒤처지는 부분, 또는 표준에 부합하는 부분을 보여줌으로써 전략적 투자에 대한 정보를 제공합니다.

벤치마킹은 공격 표면의 복잡성을 고려해야 합니다. (300개의 마이크로서비스, 5,000개의 IAM 역할, 12개의 타사 통합을 보유한 핀테크 회사가 지역 의료 서비스 제공업체와 동일하게 벤치마킹할 수는 없습니다.) 효과적인 비교는 메트릭을 정규화합니다.

보안 리더는 벤치마킹을 통해 엔드포인트 탐지에서 ID 거버넌스로 투자를 재할당하거나 퍼플팀 검증 주기를 가속화하는 등 프로그램 변경을 정당화합니다. 기준점이 없으면 개선은 주관적입니다.

사이버 공격 FAQ