사이버 공격이란?

이러한 악의적인 공격은 취약점을 악용하고 보안을 침해하기 위한 목적으로 웹 애플리케이션, 웹사이트, 웹 서비스를 대상으로 합니다. 앱 현대화를 통해 기존 웹 앱이 하이브리드 환경과 멀티 클라우드 환경에 걸친 API 기반 시스템으로 진화함에 따라 위협 표면이 크게 증가했습니다.

보안 팀은 웹 앱과 API에 대한 다음과 같은 다양한 위험을 고려해야 합니다.

• 취약점 악용 : 범죄자가악성 코드의 실행을 포함하여 보안을 침해할 수 있는 소프트웨어의 약점 또는 결함을 악용하는 것을 의미합니다. 보통 지원되지 않거나 패치가 적용되지 않은 소프트웨어, 소프트웨어 버그 또는 구성 오류로 인해 발생합니다.
• 자동화된 위협 : 사람이 아닌 봇, 스크립트 또는 해커 툴킷에 의해 수행되는 악의적인 공격을 의미합니다. 웹 애플리케이션 및 API의 고유한 취약점을 악용하여 보안 침해, 데이터 유출, 계정 탈취, 사기 등의 유해한 결과를 초래할 수 있습니다.
• 비즈니스 논리 남용 : 공격자가 악의적인 목적을 달성하기 위해 주로 자동화를 통해 웹 애플리케이션의 예상 동작을 조작하는 공격을 의미합니다. 여기에는 제한된 영역에 액세스하거나 무단 트랜잭션 수행 또는 민감한 데이터에 대한 액세스를 위해 애플리케이션의 워크플로우를 조작하는 것이 포함될 수 있습니다.
• 인증 및 권한 부여 제어 우회 : 액세스 제어 및 권한 부여의 불충분한 시행으로 인해 공격자가 무단으로 기능 또는 데이터에 액세스할 수 있는 경우 발생할 수 있는 공격입니다.
• 클라이언트 측 공격 : 웹 브라우저 또는 설치된 애플리케이션과 같은 사용자 장치의 소프트웨어 또는 구성 요소를 대상으로 하는 위협을 의미합니다. 클라이언트 측 공격의 일반적인 형태는 크로스 사이트 스크립팅(XSS)으로, 공격자는 다른 사용자가 보는 웹 페이지에 JavaScript와 같은 악의적인 클라이언트 측 스크립트를 주입합니다. 이로 인해 로그인 자격 증명, 개인정보, 세션 쿠키와 같은 민감한 정보가 유출될 수 있습니다. 모던 앱은 일반적으로 타사 통합, 라이브러리, 프레임워크 등 다양한 상호 의존성을 가지고 있습니다. 보안 팀이 클라이언트 측에서 실행하는 이러한 모든 구성 요소에 대한 가시성을 확보하지 못해 공격자가 악의적인 스크립트를 실행하고 웹 브라우저에서 직접 데이터를 추출할 수 있는 위협 벡터가 열릴 수 있습니다.
• 보안 구성 오류 : 공격자가 시스템에 무단으로 액세스하기 위해 패치가 적용되지 않은 결함, 공통 엔드포인트, 안전하지 않은 기본 구성으로 실행되는 서비스 또는 보호되지 않은 파일 및 디렉토리를 찾는 공격을 의미합니다. 아키텍처가 계속 분산되고 여러 멀티 클라우드 환경에 거쳐 분산됨에 따라 보안 구성 오류의 위험이 증가하고 있습니다.

사이버 공격은 공격을 실행하는 위협 행위자의 동기와 목적에 따라 다양한 목표를 가질 수 있습니다.

금전적 이득은 다크 웹에서 쉽게 수익을 창출할 수 있는 데이터 도용과 마찬가지로 랜섬웨어 공격 및 사기와 같은 사이버 공격의 일반적인 동기입니다. 판매할 수 있는 민감한 데이터로는 지적 재산권, 영업 비밀, 자격 증명, 금융 정보가 포함됩니다. 스파이 행위는 사이버 공격의 또 다른 동기로, 국가 행위자와 사이버 스파이 국가적 또는 정치적 이익을 위해 첩보와 민감한 정보를 수집하기 위해 활동합니다. 사이버 공격은 중요한 인프라의 정상적인 운영 흐름을 방해하거나 간섭하여 다운타임과 매출 손실을 초래하는 데도 사용될 수 있습니다.

사이버 범죄자는 모든 공격 벡터에 걸쳐 사이버 공격을 수행하기 위해 기술적 약점과 취약점을 탐지하고 표적화하는 데 매우 능숙합니다. 일반적인 취약점으로는 오래되거나 패치가 적용되지 않은 소프트웨어가 있으며, 공격자는 이를 악용하여 무단으로 액세스하거나, 데이터 보안을 침해하거나, 악성 코드를 실행할 수 있습니다. 또한 인증 메커니즘이 취약하면 권한이 없는 개인 또는 공격자가 시스템 및 민감한 정보에 액세스하거나 계정 보안을 침해할 수 있습니다. 애플리케이션 설계의 보안이 취약하면 보안 구성 오류, 세션 관리 결함 또는 안전하지 않게 설계된 API와 같이 공격자가 악용할 수 있는 취약점이 생겨 사이버 공격이 발생할 수도 있습니다.

공격자는 또한 네트워크 취약점을 표적으로 삼습니다. 여기에는 보호되지 않는 Wi-Fi 네트워크가 포함되며, 공격자는 이를 통해 두 당사자 간의 통신을 가로채거나 조작하여 민감한 정보를 훔치거나 악의적인 콘텐츠를 주입할 수 있습니다. 네트워크 구성이 취약한 경우에도 부적절한 방화벽 규칙, 액세스 제어 목록(ACL) 구성 오류, 취약하거나 오래된 암호화 프로토콜과 같이 공격자가 악용할 수 있는 보안 간극이 발생할 수 있습니다.

공급망 문제와 관련된 취약점도 공격자에 의해 악용될 수 있습니다. 타사 공급업체의 약점이나 벤더의 사이버 보안 관행은 공격자가 조직 네트워크 또는 리소스에 액세스하는 데 악용될 수 있습니다. 여기에는 부적절한 보안 조치, 패치가 적용되지 않은 소프트웨어, 보안이 취약한 하드웨어가 포함될 수 있습니다. 공급업체 및 파트너의 사이버 보안 관행을 평가하고 벤더 실사의 일환으로 보안 표준 및 모범 사례를 준수하도록 요구하는 것이 중요합니다.

인적 요인도 사이버 취약점의 원인이 될 수 있습니다. 범죄자가 개인을 조종하여 민감한 정보를 공개하도록 하는 소셜 엔지니어링 공격 외에도 직원이 약한 비밀번호를 사용하거나 보안 인식이 부족한 경우에도 사이버 공격이 발생할 수 있습니다. 의도하지 않았다 하더라도 실수로 맬웨어를 다운로드하거나 민감한 데이터를 잘못 처리하는 등의 내부자 과실로 인해 사이버 공격이 발생할 수 있습니다.

다른 많은 기술과 마찬가지로 AI는 합법적인 목적과 악의적인 목적 모두에 사용될 수 있으며 악의적인 행위자가 정교하고 큰 피해를 발생시키는 사이버 공격을 수행하는 데 점점 더 많이 활용되고 있습니다. AI를 사용하여 소프트웨어와 시스템에서 취약점을 스캔하고 잠재적 대상에 대한 데이터를 수집하고 분석할 수 있습니다. 그러다가 약점이 감지되면 공격을 시작하는 데 사용할 수 있습니다. 또한 AI는 머신러닝 알고리즘을 사용하여 비밀번호를 보다 효율적으로 추측함으로써 비밀번호 크래킹 프로세스를 가속화할 수 있습니다. AI로 생성된 딥페이크 비디오 및 오디오를 소셜 엔지니어링 공격에 사용하여 고위급 임원 등 조직 내 신뢰할 수 있는 인물을 사칭함으로써 직원이 보안을 저해하는 조치를 취하도록 할 수 있습니다. 또한 강력한 AI에 쉽게 액세스할 수 있는 경우 자동화된 사이버 공격을 수행하기 위한 진입 장벽이 낮아져 사이버 범죄를 확산시켜 더 많은 개인 또는 그룹이 사이버 범죄에 쉽게 노출될 수 있습니다.

공격자는 사이버 공격 기법을 지속적으로 진화시키고 새로운 공격 벡터가 정기적으로 등장합니다. 또한 지속 공격과 표적 공격은 보통 두 가지 이상의 방법론을 사용합니다. 가장 일반적인 공격 벡터의 예시는 다음과 같습니다.

• 중간자(MitM) 공격은 공격자가 두 당사자의 인지 또는 동의 없이 그들 간의 통신을 가로채서 공격자가 대화를 도청하거나 정보를 훔치거나 전송되는 데이터를 조작할 수 있는 경우에 발생합니다. MitM 공격은 여러 가지 방식으로 발생할 수 있는데, 공격자가 퍼블릭 Wi-Fi 네트워크 내의 무선 통신을 가로채거나 사용자를 가장하여 세션 쿠키 또는 토큰을 도용하여 웹 애플리케이션에 무단으로 액세스하는 세션 하이재킹 등이 있습니다.
• 인젝션 공격은 공격자가 신뢰할 수 없거나 적대적인 데이터를 명령 또는 쿼리 언어에 삽입하거나 사용자가 제공한 데이터가 애플리케이션에 의해 유효성 검증, 필터링 또는 검사되지 않아 악의적인 명령이 실행되는 경우를 의미합니다. 인젝션 공격에는 NoSQL, OS 명령, LDAP, SQL 인젝션 공격 공격자가 다른 사용자가 보는 웹 페이지에 JavaScript와 같은 악의적인 클라이언트 측 스크립트를 주입하는 크로스 사이트 스크립팅(XSS)이 포함됩니다. 이로 인해 로그인 자격 증명, 개인정보, 세션 쿠키와 같은 민감한 정보가 도용될 수 있습니다.
• 자격 증명 도용은 키로깅, 크리덴셜 스터핑, 암호 분사(여러 사용자 계정에 동일한 비밀번호 사용)와 같은 기법을 통해 사용자 이름과 비밀번호를 훔치는 공격을 의미합니다. 자격 증명의 보안이 침해되면 무단 계정 액세스, 데이터 유출, 네트워크 내 횡적 확산으로 이어질 수 있습니다. 공격자는 보통 취약하거나 재사용되는 비밀번호를 타겟팅하므로 강력한 인증 관행이 중요합니다. 크리덴셜 스터핑으로 인해 다양한 산업, 특히 전자 상거래 및 금융 서비스 분야에서 계정 탈취(ATO) 및 사기율이 크게 증가했습니다.
• 악성 웹사이트는 유해한 행위를 하거나, 방문자의 장치 보안을 침해하거나, 불법 행위를 하려는 의도로 고안되었습니다. 악성 웹사이트는 웹 브라우저, 플러그인 또는 운영 체제의 취약점을 악용하여 사용자의 동의나 인식 없이 은밀하게 장치에 맬웨어를 자동 다운로드하고 설치할 수 있으며, 이러한 공격을 흔히 드라이브 바이 다운로드(Drive-By Download)라고 합니다. 악성 웹사이트는 악성 코드나 링크가 포함된 클릭 가능한 광고를 호스팅할 수도 있습니다.
• 보안 침해 소프트웨어를 통해 공격자는 패치가 적용되지 않은 소프트웨어의 알려진 취약점을 악용하거나 소프트웨어 업데이트 또는 다운로드에 맬웨어를 주입하여 시스템에 무단으로 액세스할 수 있습니다.

이러한 유형의 취약점을 방지하려면 강력한 비밀번호와 같은 강력한 인증 및 액세스 제어를 구현하고 MFA를 통해 보안 레이어를 추가해야 합니다. 최소 권한 원칙을 적용하고 액세스 제어를 정기적으로 검토하고 업데이트하면 사용자에게 역할을 수행하는 데 필요한 권한만 부여됩니다. 또한 소프트웨어와 시스템에 최신 패치를 적용하고 최신 상태로 유지하며 취약점 평가 및 침투 테스트를 수행하여 약점을 식별하고 개선해야 합니다. 인적 요소는 사이버 공격의 위험에 큰 영향을 미칠 수 있으므로 모든 직원과 사용자를 대상으로 사이버 보안 인식 훈련 및 교육을 실시해야 합니다. 사이버 보안은 IT 전문가뿐 아니라 조직 내 모든 개인 공동의 책임입니다.

사이버 공격은 개인과 조직 모두에게 크고 광범위한 영향을 줄 수 있습니다. 사기이든, 개인 계정에 대한 무단 액세스이든, 가장 즉각적인 영향은 개인 재정적 손실, 또는 사이버 공격 이후 조직에 발생하는 매출 손실, 변호사 선임비, 규제 벌금일 수 있습니다. 또한 조직은 공격 후 평판이 손상되고 운영 중단을 겪을 수 있으며 지적 재산 도용으로 인해 경쟁력과 시장 입지를 잃을 수 있습니다. 랜섬웨어 공격의 경우, 조직은 암호화된 데이터를 복구하기 위해 몸값을 지불할지에 대해 어려운 결정을 내려야 할 수 있습니다. 특히 몸값을 지불한다고 해도 데이터 복구가 보장되는 것은 아니며 추가 공격을 부추길 수 있기 때문입니다.

다음 예에서 알 수 있듯이, 다양한 산업 및 비즈니스 유형에 걸쳐 사이버 공격의 위협이 존재합니다.

• 2022년 말, T-Mobile에서 공격자들이 API를 조작하고 3,700만 개의 사용자 계정을 침해하여 고객 이름, 청구지 주소, 이메일 주소, 전화번호, 계정 번호, 생년월일 정보를 확보했습니다. 공격자가 T-Mobile 시스템에 무단으로 액세스한 뒤 한 달이 넘은 후에야 이 보안 침해가 발견되었으며 공격자는 아직도 밝혀지지 않았습니다.
• 2023년 3월, 블라디미르 푸틴 대통령의 우크라이나 침공을 공개적으로 비난한 미국과 유럽의 정치인, 사업가, 유명 인사들을 대상으로 러시아 해커들이 소셜 엔지니어링 캠페인을 실행했습니다. 해커들은 피해자들이 전화 또는 화상 통화에 참여하도록 설득하여 친푸틴 또는 친러시아 성향을 보이는 음성을 얻기 위해 오해의 소지가 있는 프롬프트를 제공했습니다. 이들은 이 음성을 공개하여 피해자들이 이전에 밝힌 푸틴 대통령에 반대하는 진술의 신빙성을 떨어뜨렸습니다.
• 2023년 6월, DDoS 공격으로 인해 8시간 넘게 Outlook, Teams, OneDrive, 클라우드 컴퓨팅 플랫폼 Azure를 포함한 Microsoft 365 서비스가 중단되었습니다. Microsoft는 위협 행위자가 여러 클라우드 서비스에서 DDoS 공격을 실행하고 프록시 인프라를 열 수 있는 봇넷 및 도구 모음에 액세스할 수 있는 Storm-1359라는 그룹이 이 공격을 이끌었다고 밝혔습니다. 이 공격은 가장 자주 타겟팅되는 레이어 3 또는 4가 아닌 네트워크 스택의 애플리케이션 레이어(레이어 7)를 타겟팅했습니다.

사이버 보안 위협이 더욱 정교해지고 지속적으로 이루어지며 사이버 공격의 영향이 더욱 치명적으로 커져감에 따라, 조직은 파편화된 포인트 기반 보안 도구를 사용하는 대신 사이버 보안 대비에 대해 공격 표면 전체에 걸쳐 확장되는 포괄적인 통합 접근 방식을 취해야 합니다. 최신 아키텍처, 마이크로서비스 기반 에지 워크로드, 타사 통합을 활용하는 동적 멀티 클라우드 환경 전체에서 ID, 장치, 네트워크, 인프라, 데이터, 애플리케이션을 보호하려면 보안에 대한 새로운 접근 방식이 필요합니다. 

F5는 레거시 및 모던 앱 모두에 걸쳐 보호 효과를 극대화하고 위험을 줄이며 모든 환경에서 보안 정책을 자동화하는 통합 사이버 보안 솔루션 제품군을 제공합니다. AI 및 머신러닝(ML)에 기반한 F5 보안 솔루션은 위협 탐지를 강화하고, 사고 대응을 자동화하며, 방대한 데이터 세트를 분석하여 사이버 보안 침해를 나타내는 패턴과 이상을 식별하고 긴급 위협을 차단하기 위해 적응성이 뛰어나고 대응이 신속한 보안 조치를 제공합니다.

F5 보안 솔루션은 여러 환경에 걸친 앱 보안 관리의 간소화를 포함한 포괄적인 보안 제어와 일관된 정책 및 관찰 가능성을 통해 취약점과 사이버 위협의 위험을 최소화합니다. F5를 사용하면 조직은 멀티 클라우드 환경과 엣지 환경에서 쉽게 확장할 수 있는 단일 전용 플랫폼에서 웹 애플리케이션 방화벽(WAF), 분산 서비스 거부(DDoS) 위험 최소화, API 보안, 봇 방어를 포함한 포괄적인 보안을 활용할 수 있습니다. 전체적인 거버넌스 전략과 중앙 집중식 제어 패널을 통해 엔드-투-엔드 애플리케이션 트래픽 및 이벤트를 관찰하여 운영 복잡성을 줄이고 애플리케이션 성능을 최적화하며 투자의 보안 효과를 높입니다.