Daou CDC Blog home

사이버 공격의 유형과 기법

Written by YS | 2023. 4. 28 오전 4:41:43

디지털 트랜스포메이션(DX)의 가속화에 따라 업무방식과 삶은 모습은 많은 변화가 나타나고 있습니다. 한국IDC가 발간한 ‘IDC 퓨쳐스케이프: 전 세계 디지털 트랜스포메이션 2022년 전망-한국 시장에 대한 시사점보고서는 DX 이니셔티브가 가속화됨에 따라 국내 DX에 대한 지출이 2024년까지 두 자릿수의 고성장세를 이어갈 것으로 전망했습니다.1 이처럼 주요 산업에서 디지털 역량 강화를 위한 투자가 확대되는 가운데, 동시에 네트워크 및 데이터 침해, 랜섬웨어 등 보안 문제도 증가하고 있습니다. 시장조사업체 포레스터 리서치가 진행한 조사에 따르면 2022년 기업의 74%가 최소 한 건 이상의 보안 침해를 입었다고 답했고, 이는 전년보다 11% 포인트 증가한 수치입니다. 또한, 시스코시스템즈의 조사 결과에 따르면 국내 기업 41%가 지난 2년간 기업에 영향을 미친 보안 사건을 겪은 적이 있었고 사고 유형은 디도스 공격(59%), 네트워크 및 데이터 침해(49.2%), 네트워크 및 시스템 중단(44.3%), 랜섬웨어(39.3%) 순으로 많았습니다.2 보안 사고가 불가피하게 늘어나는 상황에서 보안을 위협하며 기업의 기밀정보를 노리는 해킹의 유형과 기법, 해킹에 취약한 기업의 업무환경에 대해 알아보겠습니다.

사이버 공격이란?

 

사이버 공격은 기업 또는 개인의 데이터에 인증되지 않은 접근과 제어를 시도하는 것을 의미합니다. 해킹이 항상 악의적인 의도로 행해지는 것은 아니지만, 자신의 능력을 보여주거나 장난 수준의 시도를 넘어, 정교한 기법과 대범한 규모로 사이버 범죄에 이용되는 사례가 지속적으로 증가하고 있습니다. 사이버 공격은 다양한 형태로 나타나고 있으며 이를 인지하는 것은 또 하나의 중요한 문제입니다.

 

멀웨어 (Malware)

멀웨어는 디바이스를 감염시키도록 설계된 악성코드로, 이 악성코드는 일반적으로 이메일 첨부파일, 소프트웨어 다운로드, 운영체계의 취약부분을 통해 시스템에 유입됩니다. 사용자를 속여 악성 프로그램을 클릭 또는 설치하도록 하여 디바이스를 감염시키고 있습니다. 유입된 악성 코드는 파일, 프로그램 또는 전체 시스템에 대한 액세스를 차단하는 등 사용자가 의도하지 않은 작업을 수행해 컴퓨팅 시스템을 마비시킵니다. 이를 방지하기 위해서는 출처가 불확실한 링크를 클릭하거나 첨부파일을 다운로드 해서는 안 됩니다. 방화벽을 설치해 네트워크로 대용량 데이터 파일을 받는 것을 방지하거나 악성코드가 포함되어 있을 수 있는 첨부파일을 제거하는 것도 좋은 방법입니다. 더 나아가 악성코드 소프트웨어 프로그래머들은 취약점을 보완하기 위해 프로그램을 자주 업데이트하므로 운영체계와 백신을 항상 최신 상태로 유지하는 것도 중요합니다.

 

멀웨어 감염은 최근 한국에서도 흔하게 발생해 많은 피해 사례가 나타나고 있습니다. 실제로 마이크로소프트는 2022년 여러 국가의 위협 데이터를 분석한 결과를 통해 한국이 중국(38%), 미국(19%), 인도(10%)를 이어 외부로 중요 정보가 유출될 수 있는 IoT 멀웨어 감염 진원지 4번째(7%)로 큰 비중을 보였다고 발표했습니다.

 

피싱 (Phishing)

피싱은 개인정보(Private Data)와 낚시(Fishing)의 합성어로 해커가 신뢰할 수 있는 신분으로 위장해 발신자를 ‘미끼’로 사용하여 금지된 영역에 접근하기 위해 ‘낚시’하는 것을 뜻합니다. 주로 피싱은 유명기관 혹은 공기관을 사칭한 메일을 이메일 사용자에게 전송하고 위장된 홈페이지로 유인합니다. 이후 사용자를 속여 악성코드를 다운로드하도록 유도하거나 사용자의 개인 정보를 입력하도록 하여 해당 정보를 탈취합니다. 공격 대상은 컴퓨터 보안이 침해된 사실을 인식하지 못하는 경우가 많은데, 이러한 경우 해커는 공격 대상의 조직에 속해 있는 다른 사람들의 정보도 전혀 의심받지 않고 탈취할 수 있습니다.

 

최근 피싱 수법은 더욱 정교해지고 다양한 수단으로 발전하고 있으며, 금융 혹은 공기관의 사칭뿐만 아니라 사용자가 이용하는 플랫폼을 사칭해 개인정보를 탈취하고 있습니다. 피싱을 예방하기 위해서는 이메일 내 링크를 열어보기 전에 이메일 제목 및 첨부링크를 주의 깊게 보고 의심스러운 경우 절대 클릭하지 말아야 합니다. 이미 이메일을 열었을 경우에는 회신 주소의 파라미터를 확인하여 수신한 이메일에 표시된 도메인과 동일한지 비교해야 합니다.

 

랜섬웨어 (Ransomware)

랜섬웨어는 사용자의 시스템과 데이터를 암호화해 해커가 데이터를 인질로 사용자에게 돈을 요구하는 형태로 진행됩니다. 데이터의 값을 지불하고 나면 해커는 사용자에게 시스템에 대한 제어권을 다시 돌려줍니다. 랜섬웨어는 ‘몸값(Ransom)’과 멀웨어의 합성어로 사용자의 컴퓨터에 대한 몸값을 대가로 요구한다는 점에서 ‘랜섬웨어’라 칭합니다. 랜섬웨어는 업무 운영에 핵심이 되는 여러 대의 컴퓨터 또는 중앙 서버에 대한 액세스를 거부해 다수의 컴퓨터를 공격할 수도 있습니다. 특히 웹사이트의 소프트웨어 오류를 악용해 웹사이트만 방문해도 감염되는 드라이브 바이 다운로드3 기법도 성행하고 있습니다.

 

기존의 백신 프로그램을 회피하도록 설계된 랜섬웨어도 있기 때문에 사용자들은 자신이 방문하는 사이트 및 클릭하는 링크를 항상 경계해야 합니다. 랜섬웨어의 특성을 식별하는 인공지능(AI)을 이용해 데이터 패킷을 심층 검사하는 차세대 방화벽의 설치가 랜섬웨어 공격을 차단하는 데에 도움을 줄 수 있습니다.

 

[그림1. 국내외 주요 랜섬웨어 감염 사고]

 

랜섬웨어 공격 대상이 불특정 다수(개인)에서 기업·기관으로 옮겨가면서 랜섬웨어로 인한 피해 규모는 날이 갈수록 커지고 있습니다. 또, 서비스형 랜섬웨어(RaaS)의 등장으로 공격 횟수와 몸값은 늘어나고 있는 현실입니다. 글로벌 보안 그룹 트렌드마이크로가 랜섬웨어 그룹 69곳이 운영하는 사이트를 조사한 결과에 따르면, 새로운 피해자의 데이터가 평균 4일마다 한 번씩 유출되었고, 트렌드마이크로가 2022년 상반기 탐지한 RaaS 그룹은 67개로 1,200개 이상의 조직에게 피해를 입혔습니다. RaaS 그룹의 활동은 전년대비 5배 증가했으며, 상반기 6개월 동안 2배 증가했습니다.2

 

웨일피싱(Whale phishing)

웨일피싱은 일반적으로 조직의 최고 경영진과 같은 ‘고위직(whale)’을 공격하는 사이버 공격입니다. 고위 직급의 직원들은 비즈니스의 독점적 정보 등 해커들에게 가치 있는 정보를 보유하고 있을 가능성이 높기 때문에 주요 공격 대상이 됩니다.

 

공격 대상이 된 고위직이 랜섬웨어를 다운로드하는 경우, 이들은 공격에 당했다는 소식이 외부로 유출되어 조직 내에서 자신의 평판이 저해되는 것을 막기 위해 금전을 지불할 가능성이 더 높습니다. 웨일피싱 역시 메일이나 웹사이트에 수록된 첨부 파일 및 링크의 진위 여부를 면밀히 검토하고 의심스러운 수신처 또는 파라미터를 확인하는 것으로 공격을 방지할 수 있습니다.

 

스피어피싱(Spear phishing)

스피어피싱은 ‘창(spear)’과 피싱의 합성어로 공격은 특정 대상을 목표로 공격하는 것을 말합니다. 불특정 다수를 공격 대상으로 이뤄지는 다른 사이버 공격과 다르게 스피어피싱은 공격 대상에 대한 정보를 수집하고 분석하는 등 피싱 성공률을 높이는데 주력합니다.

 

스피어피싱은 이메일 발신자 부분을 위조해 실제와는 다른 발신자가 이메일을 보내는 것처럼 꾸미는 ‘스푸핑(spoofing)’을 사용하는 경우가 많습니다. 해커는 주로 사용자의 친구 또는 동료 등 공격 대상이 신뢰하는 사람으로 위장합니다. 피싱 공격과 마찬가지로 스피어피싱도 이메일의 모든 세부 항목을 세심히 검토하고 적법성 확인이 불가능한 출처의 링크를 클릭하지 않는 것으로 예방할 수 있습니다.

 

DoS 및 DDoS

서비스 거부를 뜻하는 ‘DoS(Denial of Service attack)’는 시스템에 과도한 트래픽을 유도해 해당 서버를 마비시키는 수법입니다. 분산 서비스거부를 뜻하는 ‘DDoS(Distributed Denial of Service)’는 시스템 자원을 고갈시키려 한다는 점에서 DoS와 유사합니다. DoS 와 DDoS 공격을 받은 사이트는 특정 서버에 악의적인 공격을 가해 서버가 감당할 수 없을 만큼의 리소스를 발생시켜 서버를 마비시킵니다. 반복적인 불법적 요청으로 서버는 과부하 상태가 되어 자원이 고갈되고, 결국 정상적인 서비스를 제공할 수 없게 되어 사이트가 완전히 정지되는 경우도 빈번합니다. KISA 자료에 따르면 지난 2017년 구글이 DDos 공격을 받았고, 2020년 세계 최대 클라우드서비스 제공사업자(CSP) 아마존웹서비스(AWS)가 공격을 받은 바 있습니다.5 뿐만 아니라, 가장 최근인 지난 해 마이크로소프트 클라우드 서비스 애저(Azure)는 3.47테라바이트(TB)에 달하는 대규모 공격을 받기도 했습니다.

 

직접 시스템 통제권을 얻는 다른 유형의 사이버 공격과 달리, DoS 및 DDoS 공격의 목적은 단순히 대상자의 서비스 효과를 방해하는 데에 있습니다. DoS 또는 DDoS 공격이 성공하면 시스템이 오프라인으로 전환되어 다른 공격 유형에 취약해집니다. 공격을 예방하기 위해 흔히 사용하는 방법 중 하나는 방화벽으로, 방화벽을 사용하면 방해 없이 정상 트래픽이 전송될 수 있도록 과도한 요청을 거절할 수 있습니다.

 

중간자(MITM-Man in the middle) 공격

중간자(MITM) 유형의 사이버 공격은 사용자, 네트워크 또는 컴퓨터 간에 주고받는 데이터를 훔치는 사이버 보안 침해입니다. 해커가 통신과정 중간에 위치해 사용자 양측의 상호 작용을 중간에서 염탐하는 형태라 이를 ‘중간자’ 공격이라고 불립니다.

 

MITM 공격이 진행되는 상황에서 통신을 주고받는 당사자는 도청을 당하는 것과 마찬가지이기 때문에 해킹 당하고 있다는 사실을 인지하기 어렵습니다. 메시지가 위조됐거나 탈취됐다는 사실을 모르기 때문입니다. 중간자 공격으로부터 자신과 조직을 보호하기 위해서는 액세스 지점에 강력한 암호화를 적용하거나 VPN을 사용하고, 가장 안전한 방법은 보안서버인 SSL보안 인증서를 설치하는 방법이 있습니다.

 

패스워드(Password)

데이터 유출 사고는 대부분 취약한 패스워드와 탈취된 계정에 의해 발생합니다. 안랩시큐리티대응센터(ASEC)가 발표한 자료에 따르면 ASEC가 2022년 상반기 탐지 및 대응한 해킹 사고 중 66.7%가 ‘인포스틸러(Infoste-aler)’를 활용한 사이버 공격이었습니다.2 ‘인포스틸러’는 사용자 웹 브라우저의 계정 정보와 이메일 및 VPN 클라이언트 정보 등 다양한 사용자 정보를 탈취하며, 다크웹 등에 판매하거나 내부자 계정을 이용해 개인과 기업 정보를 노리는 것으로, 우리나라 데이터 유출사고의 20%가 사용자 인증정보를 이용해 최초 침투한 것입니다.

 

비밀번호는 대다수가 선택하는 액세스 확인 툴이기 때문에 비밀번호를 알아내는 것은 해커들에게 매력적인 옵션입니다. 그래서 해커는 비밀번호를 탈취하기 위해 몇 가지 방법을 시도합니다. 첫째, 네트워크 상에서 암호화되지 않은 비밀번호를 탈취하기 위해 네트워크 전송을 가로챕니다. 소셜 엔지니어링을 사용해 공격 대상자에게 중요한 문제가 발생했다고 인식하게 하여 이를 해결하기 위해 비밀번호를 입력하도록 유도하는 것입니다. 둘째, 무차별 대입 방식을 통해 암호를 특정하기도 합니다. 무차별 대입 암호 해킹이란 개인 또는 직함에 대한 기본 정보를 사용하여 암호를 추정하는 것입니다. 사용자의 이름, 생년월일, 기념일 또는 제3자가 알기 쉬운 수준의 개인정보를 서로 조합해 비밀번호를 특정할 수 있으며, 사용자가 소셜 미디어에 게시하는 정보도 무차별 대입 암호 해킹에 악용될 수 있습니다. 사전에 수록된 흔한 단어 및 문구 등을 사용해 공격 대상자의 비밀번호를 유추하는 사전 공격(Dictionary Attack)을 시도하는 경우도 있습니다.

 

무차별 대입 방식 공격 및 사전 공격을 차단하는 효과적인 방법 중 하나는 감시정책을 수립하는 것입니다. 감시정책은 비밀번호 입력 실패 횟수가 한도를 초과했을 때 기기, 웹사이트 또는 애플리케이션 접근을 제한합니다. 감시정책이 시행 중인 상태에서 입력 횟수 한도 초과로 사용자의 계정 접근이 제한되었다면 비밀번호를 변경하는 것이 좋습니다.

 

멀웨어, 피싱, 랜섬웨어 등 대부분의 사이버 공격은 신뢰도 있는 발신자가 보낸 것으로 위장한 이메일, 웹사이트 등을 통해 공격 대상의 컴퓨터에 악성코드를 유포합니다. 공격 대상은 발신자를 신뢰할 수 있는 대상이라고 판단하기 때문에 컴퓨터나 네트워크의 보안이 위협 당해도 즉시 알아차리기 어렵습니다. 이 같은 공격은 불시에 어떤 형태로 다가올 지 모르기에 사이버 위협은 지속되는 비즈니스 리스크로 관리가 필요합니다. 실제로 가트너에 따르면 대기업 이사회 88%가 사이버 보안을 비즈니스 위협으로 인식하고 있고, 조직의 운영, 재정 및 평판을 하락시킨다는 것을 알고 있는 것으로 나타났습니다.2 IT 기술과 관련 산업이 빠르게 발전할수록 보안에 있어서 모두가 겪는 문제는 점점 더 심각하고 커지고 있습니다. 그럴수록 보안은 다양한 문제와 위협 상황에 신속하고 정확하게 대응해야 하고, 기업과 고객 모두를 보호할 수 있어야합니다. 기업은 이를 위해 데이터와 사용자 그리고 애플리케이션을 보호할 수 있는 시스템과 보안 정책을 갖추고 있어야 하며, 정기적인 취약점 점검 및 제거를 통해 사고를 예방해야 합니다. 하지만 이와 함께 중요한 것은 사용자 개인입니다. 작은 실수에서 시작되는 대형 사고를 막기 위해 습관적으로 하던 보안에 취약한 업무 습관이 있다면 바꾸고, 모든 조직원들이 정해진 보안 정책을 준수하는 기업 문화도 중요합니다. 

 

다음 포스팅에서는 사이버 공격별 최악의 보안사고에 대해 알아보도록 하겠습니다

 

 

세줄 요약

하나.   디지털 트랜스포메이션(DX)의 가속화에 따라 기업이 보안 사고 및 위협에 취약해지고 있는 상황

둘.       멀웨어, 피싱, 랜섬웨어 등 다양한 형태와 규모로 나타나고 있는 사이버 공격

셋.       높은 보안을 유지하기 위해서는 기업뿐만 아니라 개인 차원에서의 노력도 필요

 

 

 

해당 콘텐츠는 저작권법에 의해 보호받는 저작물로 다우기술에 저작권이 있습니다.
해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.

Featured images via gettyimages.

 

 

References

 

1.   해킹 정의, TTA 정보통신 용어사전