사이버공격 유형 종합 분류

◎ 사이버공격 개념과 기본 분류
 - 사이버공격은 하나 이상의 컴퓨터에서 다른 컴퓨터, 여러 컴퓨터 또는 네트워크에 대해 수행하는 악의적 활동입니다. 기본적으로 두 가지 주요 목표로 분류됩니다:

  > 시스템 무력화: 대상 컴퓨터를 비활성화하거나 오프라인으로 만드는 공격

  > 권한 획득: 대상 컴퓨터의 데이터에 접근해 관리자 권한을 얻는 공격

◎ 주요 사이버공격 유형별 상세 분석 (기술적 공격 방법)
1. 악성코드 (Malware) 공격
 - 악성코드: 악성 소프트웨어(malicious software)의 줄임말로, 단일 컴퓨터, 서버 또는 네트워크에 손상을 입히도록 설계된 모든 종류의 악성 프로그램입니다. 복제하고 확산되는 방법에 따라 구별되며, 시스템을 운용 불가능하게 만들거나 공격자에게 루트 접근 권한을 제공할 수 있습니다.

 

  > 주요 하위 유형:

• 랜섬웨어: 피해자의 파일을 암호화하고 복호화 키를 대가로 몸값을 요구하는 악성코드. 복호화 비용은 수백 달러에서 수천 달러에 이르며, 일반적으로 가상화폐 지불을 요구합니다
• 트로이안: 합법적 소프트웨어로 위장하여 사용자를 속이는 악성코드
• 스파이웨어: 사용자 활동을 몰래 감시하고 정보를 수집하는 프로그램
• 키로거: 키스트로크를 기록하여 민감 정보를 수집하는 도구
• 파일리스 멀웨어: 시스템 내장 도구를 악용하여 탐지를 회피하는 고급 형태

 

2. 소셜 엔지니어링 공격
 - 피싱 (Phishing): 피싱은 사이버 범죄자가 이메일을 조작해 목표 대상을 속여 유해한 행동을 취하도록 하는 기술입니다. 많은 피싱 이메일은 조잡하게 제작되어 수천 명을 대상으로 발송되지만, 일부는 고가치 목표를 위해 특별히 제작됩니다.

 

  > 세부 유형:

• 스피어 피싱(Spear Phishing): 특정 개인을 대상으로 한 맞춤형 공격
• 웨일링 피싱 (Whaling Phishing) : 임원급 인사를 표적으로 하는 고가치 공격
• 비즈니스 이메일 침해 (Business Email Compromise, BEC): 사이버 범죄자가 합법적인 이메일 계정을 도용하거나 사칭하여 조직 내의 직원들을 속여 돈이나 민감한 정보를 탈취하는 사기 수법

 

3. 네트워크 기반 공격

 - 서비스 거부 공격 (DoS/DDoS): 온라인 서비스가 제대로 작동하지 않도록 하는 트래픽 공격 방법입니다. 공격자들은 웹사이트에 대량의 트래픽을 보내어 목표 시스템의 기능을 마비시켜 정상 사용자가 시스템을 사용할 수 없게 만듭니다.

 

  > DDoS의 주요 유형:

• 패킷 홍수 공격: SYN, UDP, ICMP 등 기본 네트워크 프로토콜을 악용
• 프로토콜 공격: 네트워크 프로토콜의 취약점을 이용
• 애플리케이션 계층 공격: 웹 애플리케이션의 특정 기능을 표적화
• 볼륨 기반 공격: 대량의 트래픽으로 대역폭을 포화

 

 - 중간자 공격 (Man-in-the-Middle, MITM): 공격자가 사용자와 그들이 접근하려는 웹서비스 사이에 몰래 끼어들어 수행하는 공격입니다. 예를 들어, 공격자는 호텔 네트워크를 모방한 Wi-Fi 네트워크를 설정하고, 사용자가 로그인하면 뱅킹 비밀번호를 포함한 모든 정보를 수집합니다.

 

  > 주요 기법:

• 패킷 스니핑: 전송되는 데이터 패킷 캡처
• 세션 하이재킹: 사용자의 세션 토큰을 훔쳐 인증된 세션에 무단 접근
• DNS 스푸핑: 합법적 웹사이트를 모방한 악성 사이트로 유도
• SSL 스트리핑: HTTPS 연결을 HTTP로 다운그레이드하여 암호화 우회

 

4. 리소스 탈취 공격
 - 크립토재킹 (Cryptojacking):  다른 사람의 컴퓨터가 공격자를 위해 가상통화를 생성(채굴)하도록 하는 전문화된 공격입니다. 공격자는 피해자의 컴퓨터에 악성코드를 설치하거나 브라우저에서 실행되는 자바스크립트를 통해 채굴 코드를 실행합니다. 2023년 크립토재킹 사건이 659% 증가했습니다.

 

주요 방식:

• 브라우저 기반: 웹사이트에 악성 코드를 삽입하여 브라우저에서 실행
• 호스트 기반: 멀웨어가 장치에 설치되어 지속적으로 채굴
• 메모리 기반: RAM에서만 작동하여 흔적을 남기지 않음

 

 - 봇넷 (Botnet): 멀웨어에 감염된 다수의 장치들로 구성된 네트워크로, 원격에서 제어됩니다. 

  > 주요 활용 목적:

• DDoS 공격: 대규모 트래픽으로 대상 시스템 마비
• 자격증명 도용: 로그인 정보 및 개인정보 탈취
• 스팸 및 피싱: 대량의 악성 이메일 발송
• 암호화폐 채굴: 감염된 장치의 컴퓨팅 파워 이용

 

5. 웹 애플리케이션 공격

 - SQL 인젝션: 공격자가 데이터베이스 취약점을 이용해 피해자의 데이터베이스를 제어할 수 있는 공격입니다. SQL 쿼리를 통해 데이터베이스 정보 탈취, 악성코드 삽입 등 악성 행위가 가능합니다. 공격자는 WHERE 절에 항상 참인 조건('1'='1')을 삽입하여 모든 데이터를 탈취할 수 있습니다.

 - 크로스 사이트 스크립팅 (XSS): 웹 애플리케이션에 악성 스크립트를 삽입하여 다른 사용자의 브라우저에서 실행시키는 공격입니다. 

  > 유형:

• 1차 XSS: 사용자 입력이 즉시 출력되는 경우
• 2차 XSS: 악성 스크립트가 데이터베이스에 저장되어 다른 사용자에게 전파

 

6. 취약점 기반 공격

 - 제로데이 익스플로잇 (Zero-day Exploits): 소프트웨어에서 아직 고쳐지지 않은 취약점을 악용한 공격으로, 이런 취약점을 이용하는 기법은 다크웹에서 거래되기도 합니다.

  > 공격 단계:

• 취약점 도입: 코드에 결함이 포함된 채 공개 배포
• 익스플로잇 출시: 공격자가 취약점을 발견하고 최초 악용
• 취약점 발견: 벤더가 취약점을 인지
• 공개 공시: 취약점 정보 공개
• 패치 배포: 보안 패치 출시
• 패치 적용: 환경 전반에 패치 완료

 

7. 인증 및 접근 제어 공격 (Authentication and Access Control Attacks)
 - 브루트포스 공격 (Brute Force Attack): 사이버 공격자가 사용자명과 패스워드 같은 디지털 자격증명을 체계적으로 추측하여 비공개 시스템에 접근하려는 공격 방법입니다. 공격자는 올바른 자격증명 조합을 찾을 때까지 시행착오를 통해 무단 접근을 시도합니다.

  > 공격 원리:

• 자동화된 도구 활용: 수천 또는 수백만 개의 로그인 시도를 자동으로 제출
• 컴퓨팅 파워 의존: 원시 컴퓨팅 능력과 자동화를 활용하여 인증 시스템을 압도
• 지속적 시도: "무차별적 힘(brute force)" 용어는 원하는 결과에 도달할 때까지 지속적인 시도나 과도한 "힘"을 사용하는 전술에서 유래

 

 - 전통적 브루트포스 공격 (Traditional Brute Force)
  > 사용자명 또는 사용자명 목록을 가지고 수동으로 또는 브루트포스 프로그램 스크립트를 실행하여 올바른 자격증명 조합을 찾을 때까지 패스워드를 추측하는 단순한 방법입니다.

 - 사전 공격 (Dictionary Attack)
  > 공격자가 대상에 대한 연구를 바탕으로 한 사전 제작된 문구 목록이나 일반적인 패스워드의 약간의 변형을 사용하여 특정 사용자명에 대해 실행하는 고급 방법입니다. 선택한 목록은 수정되거나 약간 변경된 단어나 문자 조합의 "사전"으로 간주됩니다.

 - 사전 공격 vs 브루트포스 공격 비교:

구분	브루트포스 공격	사전 공격
방법론	가능한 모든 문자 조합을 체계적으로 시도	미리 정의된 단어, 구문, 문자 조합 목록 사용
효율성	복잡하고 긴 패스워드에 대해 매우 느리고 리소스 집약적	패스워드가 사전에 있을 때 브루트포스보다 효율적
리소스	사용 상당한 시간, 처리 능력, 대역폭 필요	브루트포스 접근법에 비해 계산 리소스 적게 필요
성공률	짧거나 약한 패스워드에 대해 높은 성공률이지만 복잡한 패스워드는 오랜 시간 소요	사전의 품질과 패스워드 복잡성에 따라 성공률 결정

 

 - 하이브리드 공격 (Hybrid Attack)

  > 단순한 브루트포스 공격과 사전 공격을 결합하는 방법입니다. 공격자는 "사전"에서 가장 일반적인 문구와 단어를 가져와서 조합을 찾을 때까지 잠재적 패스워드의 수많은 변형을 시도합니다.

 - 역방향 브루트포스 공격 (Reverse Brute Force)
  > 공격자가 침해로부터 획득했거나 일반적으로 사용되는 알려진 패스워드로 시작하여 조합을 찾을 때까지 많은 사용자명을 검색하고 시도하는 방법입니다. 알려진 사용자명 대신 알려진 패스워드로 시작한다는 점에서 전통적인 브루트포스나 사전 공격과는 다릅니다.

 - 자격증명 스터핑 (Credential Stuffing)
  > 공격자가 한 시스템에 대한 알려진 사용자명과 패스워드 조합을 이미 가지고 있고, 동일한 자격증명을 사용하여 같은 사용자와 관련된 다른 계정, 프로필 또는 시스템에 접근하는 방법입니다. 사용자들이 자신의 계정에서 패스워드를 재사용하는 경우가 많기 때문에 이 공격이 효과적입니다.

 - 마스크 공격 (Mask Attack)
  > 브루트포스 공격이 모든 가능한 조합을 시도하는 반면, 패턴의 일부를 알고 있을 때 마스크 공격은 필요한 시간을 대폭 단축시킵니다. 예를 들어, 많은 사람들이 대문자로 시작하고 숫자나 특수 문자로 끝나는 8자 패스워드를 가지고 있다는 것을 알면, 룰 기반 변형과 결합하여 브루트포스 기법이 훨씬 더 효과적일 수 있습니다.

 

◎ 공격 특성 및 접근 방식별 분류 (고급/특수 공격 유형)

 - 고급 지속 위협 (APT): 고도로 정교하고 표적화된 장기간 사이버공격으로, 다음과 같은 특징을 가집니다:

  > 핵심 특성:

• 지속성: 수개월에서 수년간 네트워크에 은밀히 잠복
• 표적화: 정부기관, 금융기관, 방산업체 등 고가치 표적
• 정교함: 제로데이 취약점, 맞춤형 멀웨어, 복합 공격 체인 활용

 

 - 공급망 공격: 대상 조직에 직접 침투하는 대신 신뢰받는 제3자를 통해 공격하는 방식입니다. SolarWinds 해킹 사례에서는 18,000개 조직이 감염된 업데이트를 배포받았으며, 미국 연방정부기관과 대기업들이 주요 표적이 되었습니다.

 

 - 내부자 위협: 조직 내부에서 권한있는 접근을 악용하는 공격으로,

  > 다음과 같이 분류됩니다:

• 악의적 내부자: 금전적 이득이나 복수 목적
• 부주의한 내부자: 실수나 무지로 인한 피해 발생
• 침해된 내부자: 외부 공격자에 의해 조종당하는 경우

 

◎ 공격 동기별 분류
 - 사이버범죄

• 금전적 이득을 위한 직접적 도용
• 도난 신용카드 정보 활용
• 데이터 침해를 통한 정보 암시장 거래

 

 - 운영 방해

• IT 및 OT 인프라 공격을 통한 운영 중단
• 시스템 손상 또는 일시적 마비

 

 - 첩보 활동

• 국가 기관 지원 하의 전략적 정보 수집
• 외국 정부 대상 기밀 데이터 탈취

 

◎ 통합적 방어 전략

 - 기술적 대응

• 다중 인증 (MFA): 계정 해킹의 99.9% 차단 효과
• 제로 트러스트 아키텍처: 기본적으로 어떤 사용자나 장치도 신뢰하지 않는 접근 제어
• 행동 분석: 알려지지 않은 공격 패턴도 의심스러운 행동으로 탐지

 

 - 인적 보안

• 보안 인식 교육: 정기적인 피싱 및 소셜 엔지니어링 대응 훈련
• 내부자 위협 모니터링: 비정상적 접근 패턴 및 행동 감시

 

 - 조직적 대응

• 사고 대응 계획: NIST 사이버보안 프레임워크 2.0의 6개 기능과 완전 통합된 접근법
• 공급망 보안: 제3자 소프트웨어 및 서비스 보안 검증
• 위협 인텔리전스: 최신 공격 트렌드 및 IOC 정보 활용

 

◎ 결론
최근 사이버공격은 단순한 단일 벡터 공격에서 벗어나 복합적이고 지속적인 캠페인 형태로 진화하고 있습니다. 특히 공격자의 breakout 시간이 51초까지 단축되고, AI 기술을 활용한 더욱 정교한 공격이 등장하면서, 전통적인 방어 체계만으로는 한계가 있습니다.

효과적인 사이버보안 방어를 위해서는 다층 방어 전략이 필수적입니다. 이는 기술적 보안 솔루션, 인적 보안 교육, 그리고 조직적 대응 체계가 통합된 포괄적 접근 방식을 의미합니다. 사이버보안 전문가들은 이러한 다양한 공격 유형과 그 진화 양상을 지속적으로 모니터링하고, 새로운 위협에 대응할 수 있는 적응적 보안 전략을 수립해야 합니다.