[기고] 사이버 공격의 시작(1) - 당신은 어떻게 그들의 타깃이 되는가?
파이오링크 사이버위협분석팀 백연주
[아이티데일리] 현대의 사이버 공격은 단편적·무계획적 행위가 아니라, 명확한 목표 아래 정교하게 설계된 다단계 프로세스이다. 특히 공격자들은 초기 침투(Initial Access)에 많은 공을 들인다. 초기 침투 한 번으로 내부 권한이나 민감 데이터에 접근할 수 있어 이 단계의 성공 여부가 전체 작전의 성패를 좌우할 수 있기 때문이다.
초기 침투를 준비하는 과정에서 APT(Advanced Persistent Threat, 지능형 지속적 위협)와 같은 장기적·전략적 공격자는 초기 접근을 치밀하게 준비하는 반면, 금전적 이득을 노리는 범죄 그룹은 자동화된 스캔과 대량 스팸으로 취약점을 빠르게 노린다.
여기에서는 공격자의 초기 침투를 중심으로 분석한다. 먼저 표적형과 기회형이라는 두 축으로 왜 특정 조직이나 개인이 표적이 되는지 살펴보고, 표적 선정 이후 공격자가 어떤 기준으로 침투 경로를 결정하는지 추적한다. 그리고 공격자가 선택하는 주요 침투 전술들을 공격자 관점에서 살펴본다.
1. 공격자의 의사결정
공격자는 작전 개시 전, 목표 가치와 성공 확률을 분석해 전략을 수립한다. 이 과정은 크게 사전 준비와 목표 선정의 두 단계로 나뉜다.
초기 침투의 성공은 사전 준비의 깊이에 비례한다. 공격자는 먼저 OSINT(Open Source Intelligence) 기법을 활용해 목표에 대한 정보를 수집한다. 웹사이트, 소셜미디어, 구인공고, 도메인 등록 정보 등을 통해 조직 구조와 기술 스택을 파악하고, ‘쇼단(Shodan)’과 같은 도구로 외부 노출 자산을 스캔해 1차 공격 지점을 물색한다.
동시에 공격 작전을 위한 인프라를 구축한다. 추적을 피하기 위해 임대한 도메인과 VPS(Virtual Private Server)로 명령 및 제어(Command & Control, C2) 서버를 구성하고, 피싱 공격에 사용할 위조 페이지나 악성 페이로드를 사전에 제작 및 검증한다. 이 단계에서 침투 작전의 기반을 마련한다.
1.1. 목표 및 침투 경로 선정
수집된 정보를 바탕으로 공격자는 가장 효율적인 침투 경로를 선택한다. 이 의사결정은 공격자의 동기, 가용 자원에 따라 달라지며 다음과 같은 핵심 요소를 중심으로 이루어진다.
동기와 우선순위
▷ APT 그룹: 장기적인 정보 수집과 전략적 목표 달성을 위해 은닉성과 지속성을 최우선으로 둔다. 따라서 시간과 비용을 더 투입하더라도 제로데이 취약점, 정교한 공급망 침해 등 은밀하고 성공 가능성이 높은 수단을 선호한다.
▷ 금전 목적의 범죄 조직: 투자 대비 수익(ROI)을 중시해, 비용이 낮고 빠르게 결과를 내는 수법을 선호한다.
선택 기준
▷ 공격 효율성 및 영향력(Leverage): 최소한의 노력으로 최대 효과를 낼 수 있는 경로를 우선 평가한다. 즉, 단일 관리자 계정 탈취가 다수의 일반 사용자 계정 탈취보다 훨씬 큰 가치를 가지는 경우가 많다. CI/CD 파이프라인이나 패키지 관리자처럼 한 번의 침투로 광범위한 시스템에 영향을 줄 수 있는 지점은 최우선 목표가 된다.
▷ 은닉성 및 탐지 우회 용이성(Evasion): 공격이 얼마나 오랜 기간 발각되지 않고 유지될 수 있는지를 평가한다. 보안 모니터링이 약한 빌드 서버의 임시 환경, 커널 수준 침투, 레거시 관리 콘솔 등은 공격자가 활동을 은닉하기에 유리하다. 신뢰된 채널을 악용하는 공급망 공격도 탐지 우회에 매우 유리하다.
▷ 자원 대비 공격 효율(Cost–Benefit): 공격에 투입되는 자원(시간·비용·기술 수준)과 성공 시 예상 보상을 비교한다. 값비싼 제로데이 활용이 항상 최선은 아니며, 때로는 잘 설계된 피싱 이메일 한 통이 더 높은 효율을 보일 수 있다.
|
구분 |
설명 |
|
CI/CD·공급망 |
빌드·배포 체인에 악성 코드를 주입해 정상 업데이트로 배포 → 다수 조직에 광범위 확산, 장기 은닉 |
|
인프라·커널 |
eBPF 같은 커널 확장점은 사용자 공간 기반 탐지로 포착하기 어렵고, 권한 상승이나 지속성 확보에 악용될 수 있음 |
|
딥페이크·사회공학 |
딥페이크나 고도화된 사회공학은 기술적 보안을 우회하게 해 고위험 행위를 유도 |
|
백업·아카이브 |
백업 솔루션의 취약점 또는 접근권한 악용을 통해 대량 데이터 유출·암호화 수행 |
2. 타기팅 메커니즘
공격자가 특정 대상을 목표로 삼는 과정은 크게 두 가지 경로로 나뉜다. 처음부터 명확한 의도를 가지고 특정 대상을 노리는 표적형 공격과, 그물에 걸려들 취약한 대상을 물색하는 기회형 공격이다.
1) 표적형 공격
표적형 공격은 공격자가 명확한 의도를 가지고 특정 개인이나 조직을 사전에 선정한 경우이다. 목표가 된 개인이나 조직이 보유한 자산, 혹은 접근 권한이 공격자에게 매우 높은 가치를 지니기 때문이다.
▷ 보유한 자산의 가치: 공격의 가장 주된 동기는 금전적 이득을 취할 수 있는 정보다. 고객의 개인식별정보(PII, Personally Identifiable Information)나 신용카드 정보, 신제품 설계도나 소스 코드와 같은 산업 기밀 및 지적 재산(IP, Intellectual Property), 인수합병이나 실적 발표와 같은 내부 금융 정보 등은 다크웹에서 거래되거나 경쟁사에 판매될 수 있는 고가치의 자산이다.
▷ 가진 접근 권한의 가치: 공격자는 특정 개인보다, 해당 가진 시스템 접근 권한에 더 관심이 많다. 내부 시스템을 총괄하는 시스템 관리자, 회사의 중요 의사결정 정보에 접근 가능한 C레벨 임원, 송금 및 결재 시스템을 다루는 재무팀 담당자 등은 최소한의 노력으로 최대의 효과를 얻을 수 있는 핵심 표적이 된다.
▷ 집단의 전략적 가치: 핵심 기반 시설(에너지, 통신, 교통)이나 방위 산업체, 정부 기관에 된 인원은, 국가적 목적을 가진 해킹 그룹의 표적이 될 수 있다.
2) 기회형 공격
기회형 공격은 특정인을 노리기보다, 자동화된 도구로 인터넷을 스캔하며 방어에 허점이 있는 자산을 표적으로 삼는다.
▷ 기술적 허점: 보안 업데이트가 중단된 오래된 소프트웨어를 사용하거나, 보안 패치가 적용되지 않은 웹 서버를 운영하는 것은 공격자에게 취약점을 노출하는 것과 같다. 또한, 클라우드 저장소를 전체 공개로 설정하거나 관리자 페이지 비밀번호를 쉬운 것으로 설정해 둔 경우 공격자의 자동화된 스캐너에 포착된다.
▷ 인적 허점: 사용자가 무심코 SNS에 공유한 회사 내부 정보나 기술 스택, 조직 구성에 대한 내용은 공격자에게 맞춤형 공격을 위한 기반을 제공한다. 특히, 여러 웹사이트에서 동일한 아이디와 비밀번호를 재사용하는 습관은 위험하다. 다른 사이트에서 특정 사용자의 계정 정보가 한번 유출되면, 공격자는 그 정보를 이용해 해당 사용자의 회사 계정, 이메일 등 다른 모든 서비스에 로그인을 시도한다.