사이버 위협 행위자 또는 악의적인 행위자라고도 하는 위협 행위자는 디지털 디바이스나 시스템에 고의로 피해를 입히는 개인 또는 집단입니다. 위협 행위자는 컴퓨터 시스템, 네트워크 및 소프트웨어의 취약점을 악용하여 피싱, 랜섬웨어,멀웨어 공격 등 다양한 사이버 공격을 지속합니다.
오늘날에는 다양한 속성, 동기, 기술 수준 및 전술을 가진 다양한 유형의 위협 행위자가 있습니다. 가장 일반적인 유형의 위협 행위자에는 핵티비스트, 국가 행위자, 사이버 범죄자, 스릴 추구자, 내부 위협 행위자, 사이버 테러리스트 등이 있습니다.
사이버 범죄의 빈도와 심각성이 계속 증가함에 따라 개인과 조직의 사이버 보안을 개선하기 위해서는 이러한 다양한 유형의 위협 행위자를 이해하는 것이 점점 더 중요해지고 있습니다.
최신 데이터 유출 비용 보고서를 통해 데이터 유출 위험을 더 잘 관리할 수 있는 인사이트를 확보하세요.
X-Force Threat Intelligence 인덱스 등록하기
위협 행위자라는 용어는 광범위하고 상대적으로 모든 것을 포괄하며, 사이버 보안에 위협을 가하는 모든 사람이나 집단으로 확장됩니다. 위협 행위자는 동기와 정교함 수준에 따라 다양한 유형으로 분류되는 경우가 많습니다.
이러한 개인 또는 집단은 주로 금전적 이득을 목적으로 사이버 범죄를 저지릅니다. 사이버 범죄자들이 저지르는 일반적인 범죄에는 랜섬웨어 공격과 사람들을 속여 송금을 유도하거나 신용카드 정보, 로그인 자격 증명, 지적 재산 또는 기타 개인 정보나 민감한 정보를 유출하는 피싱 사기가 있습니다.
국가와 정부는 민감한 데이터를 훔치거나 기밀 정보를 수집하거나 다른 정부의 중요 인프라를 방해할 목적으로 위협 행위자에게 자금을 지원하는 경우가 많습니다. 이러한 악성 활동에는 스파이 활동이나 사이버 전쟁이 포함되는 경우가 많으며 막대한 자금이 투입되는 경향이 있어 위협이 복잡하고 탐지하기가 어렵습니다.
이러한 위협 행위자는 해킹 기술을 사용하여 언론의 자유를 확산하거나 인권 침해를 폭로하는 등 정치적 또는 사회적 의제를 홍보합니다. 핵티비스트들은 핵티비스트들이 긍정적인 사회 변화에 영향을 미치고 있다고 생각하며 개인, 조직 또는 정부 기관을 표적으로 삼아 기밀이나 기타 민감한 정보를 폭로하는 것이 정당하다고 생각합니다. 잘 알려진 핵티비스트 단체의 예로는 인터넷에서 언론의 자유를 옹호한다고 주장하는 국제 해킹 집단인 Anonymous가 있습니다.
스릴 추구자는 말 그대로 재미를 위해 컴퓨터와 정보 시스템을 공격합니다. 어떤 사람들은 민감한 정보나 데이터를 얼마나 많이 훔칠 수 있는지 확인하고 싶어 하고, 어떤 사람들은 해킹을 통해 네트워크와 컴퓨터 시스템이 어떻게 작동하는지 더 잘 이해하고자 합니다. 스크립트 키드라고 불리는 한 부류의 스릴 추구자들은 고급 기술력은 부족하지만 주로 재미나 개인적인 만족을 위해 기존의 툴과 기법을 사용하여 취약한 시스템을 공격합니다. 스릴 추구자는 항상 해를 입히려는 목적을 가지고 있는 것은 아니지만, 네트워크의 사이버 보안을 방해하고 향후 사이버 공격의 문을 열어 의도하지 않은 피해를 입힐 수 있습니다.
대부분의 다른 행위자 유형과 달리 내부 위협 행위자는 항상 악의적인 의도를 가지고 있는 것은 아닙니다. 일부는 무심코 멀웨어를 설치하거나 네트워크에 액세스하는 용도로 회사에서 발급한 디바이스를 분실하고 사이버 범죄자가 획득하는 등의 인적 오류로 인해 회사에 피해를 입히기도 합니다. 하지만 악의적인 내부자도 존재합니다. 예를 들어, 금전적 이득을 위해 액세스 권한을 남용하거나 승진을 위해 넘어간 것에 대한 보복으로 데이터 또는 애플리케이션에 손상을 입히는 불만을 품은 직원이 있을 수 있습니다.
사이버 테러리스트는 위협하거나 폭력을 초래하는 정치적 또는 이념적 동기로 사이버 공격을 시작합니다. 일부 사이버 테러리스트는 국가 행위자입니다. 또 어떤 사람들은 스스로 또는 비정부 단체를 대신하여 행동합니다.
위협 행위자들은 종종 대기업을 표적으로 삼습니다. 대기업은 더 많은 자금과 더 많은 민감한 데이터를 보유하고 있기 때문에 가장 큰 잠재적 보상을 제공합니다.
그러나 최근에는 상대적으로 취약한 보안 시스템으로 인해 중소기업(SMB)도 위협 행위자의 표적이 되는 경우가 많습니다. 실제로 FBI는 최근 중소기업을 대상으로 한 사이버 범죄의 증가율에 대한 우려를 언급하며, 2021년에만 중소기업이 사이버 공격으로 인해 전년 대비 64% 증가한 69억 달러의 손실을 입었다고 밝혔습니다(ibm.com 외부 링크).
마찬가지로, 위협 행위자들은 점점 더 적은 금액을 위해 개인과 가정을 표적으로 삼고 있습니다. 예를 들어 홈 네트워크와 컴퓨터 시스템에 침입하여 개인 ID 정보, 암호 및 잠재적으로 중요하고 민감한 데이터를 훔칠 수 있습니다. 실제로 현재 추정치에 따르면 컴퓨터를 사용하는 미국 가정 3곳 중 1곳이 멀웨어에 감염된 것으로 나타났습니다(ibm.com 외부 링크).
위협 행위자는 차별을 두지 않습니다. 공격자들은 가장 보람 있고 의미 있는 표적을 노리는 경향이 있지만, 어디서든 사이버 보안의 취약점을 찾아내어 이를 이용하기 때문에 위협 환경은 점점 더 비용이 많이 들고 복잡해지고 있습니다.
위협 행위자는 사이버 공격을 실행할 때 주요 동기, 리소스 및 의도된 표적에 따라 일부 전술에 더 많이 의존하는 혼합 전술을 사용합니다.
멀웨어는 컴퓨터를 손상시키거나 사용 중지시키는 악성 소프트웨어입니다. 멀웨어는 이메일 첨부 파일, 감염된 웹사이트 또는 손상된 소프트웨어를 통해 확산되는 경우가 많으며 위협 행위자가 데이터를 훔치고, 컴퓨터 시스템을 장악하고, 다른 컴퓨터를 공격하는 데 도움을 줄 수 있습니다. 멀웨어 유형에는 바이러스, 웜 및 트로이 목마 바이러스가 포함되며 합법적인 프로그램으로 위장한 컴퓨터에 다운로드됩니다.
랜섬웨어는 피해자의 데이터 또는 디바이스를 잠그고 피해자가 공격자에게 몸값을 지불하지 않으면 잠금을 풀어주지 않거나 더 나쁜 상태로 만들겠다고 위협하는 멀웨어의 일종입니다. 오늘날 대부분의 랜섬웨어 공격은 피해자의 데이터를 훔쳐 판매하거나 온라인으로 유출하겠다고 위협하는 이중 갈취 공격입니다. IBM Security X-Force Threat Intelligence Index 2023에 따르면 랜섬웨어 공격은 2022년 전체 사이버 공격의 17%를 차지했습니다 .
빅 게임 헌팅(BGH) 공격은 정부, 대기업, 중요 인프라 제공업체 등 운영 중단으로 인해 잃을 것이 많고 거액의 몸값을 지불할 가능성이 높은 대규모 조직을 대상으로 하는 대규모의 조직적인 랜섬웨어 캠페인입니다.
피싱 공격은 이메일, 문자 메시지, 음성 메시지 또는 가짜 웹사이트를 사용하여 사용자를 속여 민감한 데이터를 공유하거나 멀웨어를 다운로드하거나 사이버 범죄에 노출되도록 유도합니다. 피싱의 유형은 다음과 같습니다.
- 스피어 피싱: 표적과 관계가 있는 합법적인 발신자가 보낸 것처럼 보이는 메시지를 사용하여 특정 개인 또는 집단을 표적으로 삼는 피싱 공격
- 비즈니스 이메일 침해: 동료나 관계자의 명의를 도용하거나 탈취한 이메일 계정에서 피해자에게 사기성 이메일을 보내는 스피어 피싱 공격
- 웨일 피싱: 고위 임원이나 기업 임원만을 겨냥한 스피어 피싱 공격
피싱은 사회공학의 한 형태로, 공포감이나 긴박감을 악용하여 사람들이 개인 또는 조직의 자산이나 보안을 침해하는 다른 실수를 저지르도록 유도하는 공격 및 전술의 일종입니다. 소셜 엔지니어링은 멀웨어에 감염된 USB 드라이브를 누군가 발견할 수 있는 곳에 두는 것처럼 간단할 수도 있고, 피해자와 몇 달에 걸쳐 장거리 연애 관계를 형성하면서 '만날 수 있다'는 희망을 주며 비행기 요금을 갈취하는 것처럼 복잡할 수도 있습니다.
소셜 엔지니어링은 기술적 취약점보다는 인간의 약점을 악용하기 때문에 "휴먼 해킹"이라고도 합니다.
이러한 유형의 사이버 공격은 네트워크나 서버에 트래픽을 폭주시켜 사용자가 사용할 수 없도록 하는 방식으로 작동합니다. 분산 서비스 거부(DDoS) 공격은 분산된 컴퓨터 네트워크를 마샬링하여 악성 트래픽을 전송함으로써 공격 대상을 더 빠르게 압도하고 탐지, 예방 또는 완화하기가 더 어려운 공격을 만들어 냅니다.
지능형 지속 위협(APT)은 몇 시간이나 며칠이 아닌 몇 달 또는 몇 년에 걸쳐 진행되는 정교한 사이버 공격입니다. APT는 위협 행위자가 피해자의 네트워크에서 탐지되지 않고 활동할 수 있도록 하여 컴퓨터 시스템에 침투하고 스파이 활동과 정찰을 수행하고, 권한과 승인 범위를 확장시키며(수평 이동이라고 함), 민감한 데이터를 훔칩니다. APT는 탐지하기가 매우 어렵고 실행 비용이 상대적으로 많이 들기 때문에 일반적으로 국가 행위자나 자금력이 풍부한 기타 위협 행위자가 시작합니다.
백도어 공격은 조직의 사이버 보안 조치로 보호되지 않는 운영 체제, 애플리케이션 또는 컴퓨터 시스템의 틈을 이용합니다. 소프트웨어 개발자나 하드웨어 제조업체가 업그레이드, 버그 수정 또는 (아이러니하게도) 보안 패치를 위해 백도어를 만드는 경우도 있지만, 위협 행위자가 멀웨어를 사용하거나 시스템을 해킹하여 자체적으로 백도어를 만드는 경우도 있습니다. 백도어는 위협 행위자가 탐지되지 않고 컴퓨터 시스템에 드나들 수 있게 해줍니다.
위협 행위자, 해커, 사이버 범죄자라는 용어는 특히 할리우드와 대중문화에서 자주 혼용되어 사용됩니다. 그러나 각각의 의미와 서로의 관계에는 미묘한 차이가 있습니다.
모든 위협 행위자나 사이버 범죄자가 해커는 아닙니다. 정의에 따르면 해커는 네트워크나 컴퓨터 시스템을 손상시킬 수 있는 기술적 능력을 갖춘 사람입니다. 하지만 일부 위협 행위자나 사이버 범죄자는 다른 사람이 찾아서 사용할 수 있도록 감염된 USB 드라이브를 남겨두거나 멀웨어가 첨부된 이메일을 보내는 것 이상의 기술적 조치를 취하지 않습니다.
모든 해커가 위협 행위자나 사이버 범죄자는 아닙니다. 예를 들어 윤리적 해커라고 하는 일부 해커는 본질적으로 사이버 범죄자로 가장하여 조직과 정부 기관이 컴퓨터 시스템에서 사이버 위협에 대한 취약성을 테스트하도록 도와줍니다.
특정 유형의 위협 행위자는 정의나 의도만 본다면 사이버 범죄자가 아니지만 실제로는 사이버 범죄자입니다. 예를 들어, 몇 분 동안 마을의 전력망을 중단시켜 '그냥 재미로' 스릴을 즐기는 사람이나 고귀한 대의라는 명분으로 정부 기밀 정보를 유출하여 게시하는 핵티비스트도 의도했든 의도하지 않았든 사이버 범죄를 저지르고 있는 것일 수 있습니다.
기술이 더욱 정교해짐에 따라 사이버 위협 환경도 더욱 정교해지고 있습니다. 위협 행위자보다 앞서 나가기 위해 조직은 사이버 보안 조치를 지속적으로 발전시키고 위협 인텔리전스를 더욱 스마트하게 활용하고 있습니다. 위협 행위자를 완전히 막지는 못하지만 위협 행위자의 영향을 완화하기 위해 조직이 취하는 몇 가지 조치는 다음과 같습니다.
보안 인식 교육. 위협 행위자는 사람의 실수를 탐색하는 경우가 많기 때문에 직원 교육은 중요한 방어선입니다. 보안 인식 교육은 회사에서 승인한 디바이스를 사용하지 않는 것부터 비밀번호를 올바르게 보관하는 방법, 피싱 이메일을 인식하고 대처하는 기술까지 모든 것을 다룰 수 있습니다.
다단계 및 적응형 인증. 다단계 인증(사용자 이름과 비밀번호 외에 하나 이상의 자격 증명 필요) 및/또는 적응형 인증(사용자가 다른 기기나 위치에서 로그인할 때 추가 자격 증명 필요)을 구현하면 해커가 사용자의 이메일 비밀번호를 탈취하더라도 사용자의 이메일 계정에 액세스하는 것을 방지할 수 있습니다.
- 엔드포인트 보안 솔루션. 여기에는 알려진 멀웨어와 바이러스를 탐지하고 차단하는 안티바이러스 소프트웨어부터 보안 팀이 기존 엔드포인트 보안 소프트웨어를 우회하는 위협을 탐지하고 조치를 취하는 데 도움이 될 수 있도록 인공지능(AI) 및 분석을 사용하는 엔드포인트 탐지 및 대응(EDR) 솔루션과 같은 툴이 포함됩니다.
- 네트워크 보안 기술. 기본적인 네트워크 보안 기술은 방화벽으로, 의심스러운 트래픽이 네트워크에 들어오거나 나가는 것을 차단하고 합법적인 트래픽은 통과시킵니다. 다른 기술로는 네트워크에서 잠재적인 위협을 모니터링하고 이를 차단하는 침입 방지 시스템(IPS)과 AI, 머신 러닝 및 행동 분석을 사용하여 보안 전문가가 사이버 위협을 탐지하고 대응을 자동화하는 데 도움을 주는 네트워크 탐지 및 대응(NDR)이 있습니다.
엔터프라이즈 보안 소프트웨어. 이러한 솔루션은 보안팀과 보안 운영 센터(SOC)가 엔드포인트, 이메일, 애플리케이션, 네트워크, 클라우드 워크로드 등 모든 IT 인프라 도메인에서 비정상적이거나 악의적인 활동을 탐지하고 차단하는 데 도움을 줄 수 있습니다. 여기에는 보안 오케스트레이션, 자동화 및 대응(SOAR), 보안 인시던트 및 이벤트 관리(SIEM), 확장 탐지 및 대응(XDR)이 포함됩니다(이에 국한되지 않음).
조직은 정기적인 보안 평가를 수행하여 시스템 취약성을 식별할 수도 있습니다. 일반적으로 내부 IT 직원이 이러한 감사를 수행할 수 있지만, 일부 기업에서는 전문가 또는 외부 서비스 제공업체에 감사를 아웃소싱합니다. 정기적인 소프트웨어 업데이트를 실행하면 기업과 개인이 컴퓨터 및 정보 시스템의 잠재적인 취약점을 발견하고 보완하는 데 도움이 됩니다.
다른 사람들이 놓칠 수 있는 지능형 위협을 탐지합니다. QRadar SIEM은 분석 및 AI를 활용하여 위협 인텔리전스, 네트워크 및 사용자 이상 행동 징후를 모니터링함으로써 즉각적인 주의와 복원이 필요한 곳에 우선순위를 부여합니다.
사전 예방적 위협 사냥, 지속적인 모니터링 및 위협에 대한 심층 조사는 이미 바쁜 IT 부서가 직면한 우선 순위 중 일부에 불과합니다. 신뢰할 수 있는 인시던트 대응 팀이 대기하고 있으면 대응 시간을 줄이고 사이버 공격의 영향을 최소화하며 더 빠르게 복구하는 데 도움이 됩니다.
IBM은 최신 랜섬웨어 위협을 방지하고 퇴치하기 위해 800TB의 위협 활동 데이터, 1천7백만 건 이상의 스팸 및 피싱 공격 정보, 2억 7천만 건의 엔드포인트로 구성된 네트워크에서 수집한 약 1백만 개의 악성 IP 주소에 대한 데이터를 활용합니다.