기업 보안 리더를 위한 사이버보안에서의 HUMINT

HUMINT란 무엇인가?

공격자는 합법적인 자격 증명을 사용하여 전체 보안 스택을 우회합니다. FBI/CISA의 Scattered Spider 위협 그룹 권고에 따르면, 이들은 IT 헬프데스크 직원을 조작하여 자격 증명을 넘기도록 만드는 고도화된 인간 정보(HUMINT) 기법을 보여줍니다. 이로 인해 방화벽, EDR, 네트워크 분할이 무의미해집니다.

사이버 보안에서의 인간 정보(HUMINT)는 조직 보안을 침해하기 위해 인간 행동, 신뢰 관계, 사회적 역학을 체계적으로 악용하는 것을 의미합니다. 이 용어는 군사 및 정보 분야에서 유래했으나, 현재는 인간 요소를 겨냥한 공격을 설명하는 데 사용됩니다. CISA 지침에 따르면, 사회공학 공격은 "인간 상호작용(사회적 기술)을 이용해 조직 또는 컴퓨터 시스템에 대한 정보를 획득하거나 손상시키는 것"입니다.

HUMINT 기반 공격은 배포된 모든 기술적 통제를 우회하기 때문에 성공합니다. 공격자가 사람을 조작해 자발적으로 접근 권한을 부여하도록 만들면, 방화벽, 엔드포인트 보호, 네트워크 분할은 무의미해집니다. 이들은 소프트웨어 취약점을 악용하지 않습니다. 신뢰, 권위, 긴급성, 그리고 도움을 주고자 하는 본능을 악용합니다.

 Verizon 2024 DBIR에 따르면, 도난된 자격 증명은 여전히 가장 일반적인 초기 접근 방법으로, 전체 침해의 22%에서 사용됩니다. 이러한 인간을 겨냥한 공격 방법, 즉  사회공학, 시스템 침입, 기본 웹 애플리케이션 공격이 다양한 산업 분야에서 침해의 대다수를 차지합니다.

HUMINT가 기술적 공격과는 다른 방어가 필요한 이유를 이해하려면, 보안팀은 먼저 이를 다른 정보 분야와 구분해야 합니다.

HUMINT와 기타 정보 유형 비교

보안팀은 다양한 공격 벡터를 겨냥하는 여러 정보 분야를 접하게 됩니다. HUMINT가 어디에 위치하는지 이해하면, 왜 별도의 방어 접근이 필요한지 명확해집니다.

• OSINT(공개 소스 정보)는 소셜 미디어, 기업 웹사이트, 채용 공고, 공공 기록 등에서 공개적으로 이용 가능한 정보를 수집합니다. 공격자는 OSINT를 활용해 HUMINT 작전을 시작하기 전 대상을 조사합니다. OSINT 수집은 수동적으로 이루어지지만, HUMINT는 적극적인 인간 개입이 필요합니다.
• SIGINT(신호 정보)는 전자 통신 및 네트워크 트래픽을 가로챕니다. 암호화 및 네트워크 모니터링과 같은 기술적 통제가 SIGINT를 방어합니다. HUMINT는 인간을 조작해 자발적으로 접근 권한을 제공하도록 만들어 이러한 통제를 완전히 우회합니다.
• TECHINT(기술 정보)는 악성코드, 익스플로잇, 기술적 침해 지표를 분석합니다. 보안 도구는 시그니처 및 행위 패턴을 통해 TECHINT 기반 공격을 탐지하는 데 뛰어납니다. 합법적인 자격 증명을 사용하는 HUMINT 공격은 악성 기술 지표를 생성하지 않습니다.

핵심 차이점: SIGINT와 TECHINT는 시스템과 데이터 흐름을 겨냥합니다. HUMINT는 사람을 겨냥합니다. 공격자가 사회공학을 통해 자격 증명을 획득하면, 합법적 사용자로 인증됩니다. SIEM은 정상 로그인 활동으로 인식합니다. EDR은 허가된 프로세스로 봅니다. 방화벽은 허용된 트래픽으로 처리합니다. 기술적 공격이 발생하지 않았기 때문에 공격은 기술적 탐지에서 보이지 않게 됩니다.

이러한 비가시성 때문에 기존 사이버 보안 프로그램은 HUMINT 위협에 취약합니다.

HUMINT와 사이버 보안의 관계

사이버 보안 프로그램은 일반적으로 기술적 취약점, 즉 미패치 시스템, 잘못 구성된 방화벽, 악성코드 시그니처, 네트워크 이상에 집중합니다. HUMINT는 이 모델을 뒤집습니다. 코드를 악용하는 대신 심리를 악용합니다. CVE 번호를 찾는 대신 LinkedIn에서 조직도를 찾습니다. 포트를 스캔하는 대신 특정 개인을 겨냥한 사전 시나리오를 만듭니다.

HUMINT는 엔터프라이즈 환경에서 세 가지 주요 공격 범주를 통해 조직을 겨냥합니다:

• 사회공학 공격은 심리적 조작을 통해 직원이 자격 증명을 노출하거나, 사기성 거래를 승인하거나, 악의적 행동을 실행하도록 만듭니다.
• 내부자 위협은 현직 또는 전직 직원, 계약자, 비즈니스 파트너가 의도적 또는 비의도적으로 보안을 침해할 때 권한 있는 접근을 악용합니다.
• 정찰 및 타깃팅 작전은 지능형 지속 위협(APT) 그룹이 체계적으로 정보를 수집해 최적의 타깃을 식별하고, 신뢰 관계를 파악하며, 맞춤형 공격 시나리오를 개발하는 것을 포함합니다.

 Ponemon Institute 2025 연구에 따르면, 전체 데이터 침해의 45%가 내부자 위협에 의해 발생하며, 사고당 평균 비용은 270만 달러에 달합니다. 동일한 연구는 조직의 60%가 내부자 위협을 효과적으로 탐지하지 못한다고 밝혀, APT 그룹과 금전적 동기를 가진 공격자가 체계적으로 악용하는 격차를 만듭니다.

공격자는 이러한 격차를 악용하는 특정 기법을 사용하며, 보안팀은 이를 인지해야 합니다.

HUMINT 기법 및 방법

HUMINT 공격은 정찰, 심리적 조작, 기술적 악용을 결합한 체계적 방법론을 따릅니다. CISA의 기본 지침에 따르면, 이러한 공격은 "인간 상호작용(사회적 기술)을 이용해 조직 또는 컴퓨터 시스템에 대한 정보를 획득하거나 손상시키는 것"을 포함합니다. 이러한 구성 요소를 이해하면,  행위 분석, 보안 인식, 내부자 위협 역량 등에서 방어 격차가 어디에 존재하는지 파악할 수 있습니다.

• 공개 소스 정보(OSINT) 수집이 기반을 형성합니다. 공격자는 LinkedIn에서 직원 이름과 역할, 회사 웹사이트에서 조직 구조, 채용 공고에서 기술 스택, 보도자료에서 비즈니스 관계 등 공개 정보를 통해 조직을 프로파일링합니다.
• 유도 기법은 겉보기에 무해한 대화를 통해 정보를 추출합니다. 숙련된 사회공학자는 대상과 일상적인 대화를 나누며, 점진적으로 정보 조각을 수집해 완전한 접근 경로를 만듭니다.
• 내부자 모집 및 악용은 권한 있는 접근을 가진 직원을 겨냥합니다. CISA 지침은 내부자 위협을 "내부자가 자신의 권한 있는 접근을 의도적 또는 비의도적으로 부서의 임무, 자원, 인력, 시설, 정보, 장비, 네트워크 또는 시스템에 해를 끼치는 데 사용하는 상황"으로 정의합니다.
• 신뢰 관계 악용은 비즈니스 파트너십 및 공급망 연결을 표적 사회공학 및 사전 시나리오를 통해 악용합니다. 공격자는 신뢰받는 공급업체, 파트너, 계약자를  스피어 피싱 및 표적  자격 증명 탈취로 침해해 간접적으로 접근합니다.

이러한 기법은 예측 가능한 단계를 따르는 구조화된 공격 시퀀스로 결합됩니다.

HUMINT의 위험과 한계

HUMINT 공격이 항상 성공하는 것은 아닙니다. 그 한계를 이해하면 보안팀이 방어 우선순위를 정하고, 공격이 실패하거나 중단될 때를 인지할 수 있습니다.

• 인간의 예측 불가능성이 공격자에게 운영 위험을 만듭니다. 취약한 시스템에 일관되게 작동하는 소프트웨어 익스플로잇과 달리, HUMINT의 성공은 개별 인간의 반응에 달려 있습니다. 직원이 의심을 품거나, 이상 요청을 신고하거나, 단순히 협조를 거부할 수 있습니다. 한 명의 경계심 있는 직원이 전체 작전을 노출시킬 수 있습니다.
• HUMINT 공격은 상당한 시간 투자가 필요합니다. 효과적인 사회공학은 광범위한 정찰, 관계 구축, 사전 시나리오 개발이 필요합니다. 즉각적으로 확장되는 자동화 공격과 달리, HUMINT 작전은 단일 대상을 상대로도 수주 또는 수개월이 소요될 수 있습니다. 이 시간 투자는 공격자가 동시에 겨냥할 수 있는 조직 수를 제한합니다.
• 귀속 및 노출 위험이 일부 위협 행위자를 억제합니다. HUMINT 작전은 직접적인 인간 접촉을 수반해 식별 기회를 만듭니다. 전화 통화는 녹음될 수 있고, 이메일은 메타데이터를 남기며, 대면 접근은 신체적 식별 위험이 있습니다. 국가 지원 그룹과 고도화된 범죄자는 이러한 위험을 감수하지만, 역량이 낮은 공격자는 순수 기술적 방법을 선호해 HUMINT를 기피하는 경우가 많습니다.
• 조직의 보안 문화가 성공률에 직접 영향을 미칩니다. 강력한 보안 인식 프로그램, 명확한 에스컬레이션 절차, 의심스러운 활동 신고를 장려하는 문화가 있는 기업은 HUMINT 성공률을 크게 낮춥니다. 직원이 보복에 대한 두려움 없이 이상 요청을 질문할 수 있도록 권한을 부여받으면, 사회공학은 훨씬 어려워집니다.
• 실패한 시도는 방어자에게 경고를 줍니다. 수동적 정찰이나 자동 스캔과 달리, 실패한 HUMINT 시도는 흔적을 남깁니다. 신고된 피싱 이메일, 표시된 전화, 의심스러운 출입증 요청 등은 보안팀이 진행 중인 캠페인을 식별하고 방어를 강화하는 데 활용할 수 있는 정보를 제공합니다.

이러한 한계에도 불구하고, HUMINT 기법은 준비되지 않은 조직에 여전히 매우 효과적이기 때문에 공격자는 지속적으로 투자합니다.

HUMINT 공격의 작동 방식

HUMINT 공격은 예측 가능한 운영 워크플로우를 따르며, 실행의 정교함은 공격자 역량과 대상 가치에 따라 달라집니다.

1. 대상 선정 및 정찰은 침해 수주 또는 수개월 전에 시작됩니다. APT 그룹은 가치 있는 지적 재산, 금융 시스템, 전략 정보를 보유한 조직을 체계적으로 식별하고, 공개 정보를 분석해 조직 구조와 주요 인물을 파악합니다.
2. 접근 경로 식별은 최적의 진입점을 찾기 위해 인간 지형을 매핑합니다. 공격자는 필요한 접근 권한을 가진 직원, 보안 인식이 낮은 직원, 예측 가능한 행동 패턴, 개인적 취약 상황을 가진 직원을 식별합니다.
3. 사전 시나리오 개발 및 테스트는 특정 대상을 겨냥한 신빙성 있는 시나리오를 만듭니다. SANS Institute 연구에 따르면, 위협 행위자는 권위, 긴급성, 두려움, 도움을 악용하는 시나리오를 만듭니다.
4. 초기 접촉 및 조작은 수집된 정찰 정보를 활용한 스피어 피싱 이메일, 전화, 물리적 접근 시도, 신뢰받는 출처로 보이는 SMS 메시지 등을 통해 사회공학 공격을 실행합니다.
5. 자격 증명 획득 및 검증은 인증 정보를 수집하고 접근 권한을 확인합니다. 공격자는 탈취한 자격 증명이 예상 접근 권한을 제공하는지 검증하고 내부 시스템 매핑을 시작합니다.
6. 지속성 확보 및 수평 이동은 지속적인 접근을 확립하고 통제 범위를 확장합니다. 합법적 자격 증명을 사용해 네트워크에 진입하면, 대부분의 보안 도구에는 허가된 사용자로 보이며, 백업 접근 방법을 만들고 권한을 상승시킵니다.

이러한 운영 패턴은 전 세계 엔터프라이즈를 겨냥한 문서화된 사고에서 일관되게 나타납니다.

실제 HUMINT 공격 사례

주요 침해 사례는 HUMINT 기법이 기술적 보안 투자를 어떻게 우회하는지 보여줍니다.

• MGM Resorts(2023): Scattered Spider는 MGM의 IT 헬프데스크에 전화를 걸어 LinkedIn에서 찾은 직원을 사칭하고, 운영자를 설득해 자격 증명을 재설정하도록 했습니다. 이 한 통의 전화로 랜섬웨어 배포, 라스베이거스 전역 시스템 중단, 1억 달러 이상의 추정 손실이 발생했습니다. 공격자는 OSINT로 대상을 조사하고, 신빙성 있는 사전 시나리오를 개발하며, 헬프데스크의 도움 의지를 악용했습니다.
• Twitter(2020): 공격자는 전화 기반 사회공학으로 직원 자격 증명을 탈취한 후, 내부 도구에 접근해 Elon Musk, Barack Obama, Apple 등 유명 계정을 탈취했습니다. 공격자는 사기성 게시물로 10만 달러 이상의 비트코인을 획득했습니다. 기술적 통제는 조작을 통해 획득한 합법적 직원 접근 때문에 실패했습니다.
• Ubiquiti Networks(2015): 공격자는 임원 및 외부 변호사를 사칭한 이메일로 재무 직원을 설득해 4,670만 달러를 해외 계좌로 송금하도록 했습니다. 이 비즈니스 이메일 침해(BEC) 공격에는 악성코드, 네트워크 침입, 기술적 악용이 전혀 필요하지 않았습니다.

각 사고는 공통 요소를 공유합니다: 광범위한 정찰, 신빙성 있는 사전 시나리오, 신뢰와 권위의 악용, 기술적 통제가 정상 운영과 구분할 수 없는 합법적 접근 경로 사용. 이러한 패턴이 지속적으로 성공하는 이유를 이해하면 기존 보안 접근의 근본적 격차가 드러납니다.

HUMINT 공격이 성공하는 이유

HUMINT 기반 공격은 엔터프라이즈 보안의 근본적 구조적 가정을 악용하면서 방어자의 사각지대에서 작동하기 때문에 위협 환경을 지배합니다. Verizon 2024 DBIR에 따르면, 대다수 침해는 사회공학, 시스템 침입, 기본 웹 애플리케이션 공격과 관련이 있습니다. 보안 도구는 심리적 조작이 아닌 기술적 이상을 탐지하도록 설계되어 있습니다.

 SANS 2025 보고서에 따르면, 조직의 80%가 사회공학을 가장 큰 인간 관련 위험으로 꼽지만, Ponemon 연구는 많은 조직이 내부자 위협을 효과적으로 탐지하는 데 어려움을 겪고 있음을 보여줍니다.

• 합법적 자격 증명은 기술적 통제를 우회합니다. 공격자가 피싱, 사회공학, 내부자 탈취를 통해 합법적으로 획득한 자격 증명을 사용하면, 허가된 사용자로 보입니다. 경계 보안, 침입 방지 시스템, 엔드포인트 보호는 침해 이후 지표가 나타나기 전까지 합법적 자격 증명 사용과 공격자를 구분할 수 없습니다.
• 인간 심리는 지속적으로 악용 가능합니다. 기술적 취약점은 패치됩니다. 권위, 긴급성, 두려움, 신뢰, 호혜성 등 인간 심리적 경향은 모든 조직 환경에서 지속됩니다. SANS 2025 보고서에 따르면, AI가 이러한 공격의 정교함과 규모를 "초월적으로" 강화하고 있습니다.
• 정찰은 방어 가시성 밖에서 이루어집니다. APT 그룹은 전적으로 공개 정보를 통해 정보를 수집하며, 탐지되기 전 수주 또는 수개월간 권한 있는 접근을 악용합니다.
• AI는 대규모 맞춤화를 가능하게 합니다. Verizon 2024 DBIR에 따르면, 생성형 AI는 공격자가 매우 신빙성 있는 피싱 메시지를 대규모로 생성할 수 있게 해 탐지가 훨씬 어려워졌습니다.
• 머신 아이덴티티 확장은 거대한 공격 표면을 만듭니다.  SANS Institute 연구에 따르면, 머신 아이덴티티가 인간 아이덴티티를 크게 초과하며, 2025년까지 AI가 새로운 특권 아이덴티티의 최대 생성자가 될 것으로 예상됩니다.

이러한 성공 요인은 보안팀이 반드시 해결해야 할 특정 방어 과제를 만듭니다.

HUMINT 방어의 과제

인간을 겨냥한 공격을 방어하려면 기술적 보안 프로그램과는 다른 접근이 필요합니다.

• 권한 있는 접근은 설계상 신뢰됩니다. 보안 아키텍처는 인증된 사용자가 신뢰할 수 있다고 가정합니다. 자격 증명 기반 공격은 공격자가 정상 활동을 수행하는 허가된 사용자로 보이기 때문에 보안 통제에서 보이지 않습니다.
• 내부자 위협 프로그램에는 부서 간 협력이 필수적입니다.  CISA 지침에 따르면, 효과적인 내부자 위협 프로그램은 보안, 인사, 법무, 경영이 통합된 부서 간 팀이 필요합니다. 대부분의 기업은 이러한 협력 구조를 구축하지 못해 위협 정보가 사일로화되고, 이상 행동에 대한 대응이 지연됩니다.
• 정상 비즈니스 프로세스 악용은 합법적 활동과 구분이 불가합니다. HUMINT 공격은 정상 워크플로우를 악용해 성공합니다. 공격자는 이메일을 피싱에, 파일 공유를 데이터 유출에, VPN 접근을 탈취 자격 증명에, 특권 계정을 내부자 악용에 사용합니다. 이러한 활동은 합법적 운영과 동일해 기술적 탐지를 회피합니다.

이러한 내재적 과제 외에도, 조직은 종종 피할 수 있는 실수로 문제를 악화시킵니다.

HUMINT 방어 시 흔한 실수

기업은 인간 계층 보안에 악용 가능한 격차를 만드는 예측 가능한 실수를 반복합니다.

1. 인간 중심 방어 없이 기술에만 의존. 조직은 고급 EDR, SIEM,  제로 트러스트 아키텍처, 방화벽을 배포하지만, 보안 인식 프로그램, 행위 분석, 전담 내부자 위협 역량에는 투자하지 않습니다. SANS 2025 보고서에서 조직의 80%가 사회공학을 가장 큰 인간 관련 위험으로 꼽는 현실과 방어 투자 간의 괴리가 명확해집니다.
2. 행동 변화 측정 없는 보안 인식 형식주의. 연례 보안 교육은 실제 행동 변화가 아닌 이수율만 측정합니다. 직원은 준수 영상을 시청하고, 모듈을 클릭하며, 즉시 내용을 잊어버립니다.
3. 내부자 위협 범주 구분 실패. 모든 직원에게 일률적 모니터링을 적용하거나, 프라이버시 우려로 내부자 위협 프로그램을 아예 회피하면 사각지대가 생깁니다. Verizon DBIR에 따르면, 고의로 접근을 악용하는 악의적 내부자, 실수로 보안을 침해하는 부주의한 행위자, 이념적 이유로 행동하는 양심적 반대자 등 차별화된 접근이 필요합니다.
4. 머신 아이덴티티 공격 표면 무시. IAM 프로그램이 인간 아이덴티티에만 집중하면, 서비스 계정, API 키, 컨테이너 자격 증명, 자동화 프로세스 아이덴티티가 관리 없이 확산됩니다. SANS 연구는 공격자가 체계적으로 악용하는 거대한 사각지대를 보여줍니다.

이러한 실수를 피하려면 검증된 방어 프레임워크를 구현해야 합니다.

HUMINT 방어를 위한 모범 사례

인간을 겨냥한 공격에 효과적으로 대응하려면, CISA의 4단계 프레임워크(정의, 탐지 및 식별, 평가, 관리)를 따르는 통합 프로그램이 필요합니다. 이는 내부자 위협 탐지를 위한 행위 분석, 측정 가능한 결과가 있는 보안 인식 교육, 보안·인사·법무·경영을 아우르는 부서 간 협업을 결합합니다.

• CISA의 4단계 프레임워크에 따라 내부자 위협 프로그램을 구현하십시오. 조직별 맥락에 맞는 내부자 위협을 정의하고, 내부자를 조직 자원에 대한 권한 있는 접근 또는 지식을 가진 모든 사람으로 인식하십시오. 기술 지표와 행위 신호를 통합한 모니터링 역량을 배포하십시오.
• 기준선을 설정하고 이상을 식별하는 행위 분석을 배포하십시오. 사용자 및 엔터티 행위 분석(UEBA) 플랫폼을 도입해 인증 패턴, 접근 행동, 활동 시퀀스를 분석하여 기준선에서 벗어난 이상을 식별하십시오. 예를 들어, 사용자 계정이 새벽 2시에 이례적인 지리적 위치에서 파일 공유에 접근하면, 행위 분석이 이를 감지해 자격 증명 탈취 가능성을 경고합니다.
• 행동 테스트가 포함된 측정 가능한 보안 인식 프로그램을 구축하십시오. 준수 중심 교육을 넘어, 맞춤형 시나리오의 현실적 피싱 시뮬레이션을 통해 실제 행동 변화를 측정하는 프로그램을 운영하십시오.
• 지속적 검증이 포함된 제로 트러스트 아키텍처를 구현하십시오. ISC2의 제로 트러스트 아키텍처 프레임워크에 따르면, 최소 권한 접근, 역할 기반 접근 제어,  다중 인증, 특권 접근 관리, 로깅이 포함된 지속적 모니터링이 필요합니다.
• 인간 및 머신 아이덴티티를 모두 겨냥한 아이덴티티 기반 공격을 방어하십시오.  아이덴티티 거버넌스 프로그램을 도입해, 인간 중심 보안 인식, 행위 분석, 부서 간 내부자 위협 프로그램, 인간 및 머신 아이덴티티 사용의 지속적 모니터링을 결합하십시오.
• 보안, 인사, 법무, 경영이 통합된 부서 간 내부자 위협 팀을 구성하십시오. CISA 지침에 따라, 명확한 역할, 책임, 정보 공유 프로토콜이 정의된 공식 협업 구조를 구축하십시오.

이러한 모범 사례를 구현하려면, 엔터프라이즈 전반의 행위 이상을 탐지할 수 있는 기술이 필요합니다.

핵심 요약

HUMINT 기반 공격은 기술적 취약점이 아닌 인간 심리와 합법적 자격 증명을 악용하기 때문에 현대 위협 환경을 지배합니다. 2024 Verizon DBIR에 따르면, 도난된 자격 증명은 여전히 가장 일반적인 초기 접근 방법이며, 2025 Ponemon Institute 연구는 많은 조직이 내부자 위협을 효과적으로 탐지하는 데 어려움을 겪고 있음을 확인합니다. 이러한 공격을 방어하려면, 행위 분석, 측정 가능한 결과가 있는 보안 인식, 내부자 위협 프레임워크, 제로 트러스트 아키텍처, 부서 간 협업을 결합한 통합 프로그램이 필요합니다. 

Scattered Spider와 같은 공격자가 헬프데스크 직원을 조작해 자격 증명을 넘기도록 만들 때, 방어의 성공은 기술적 통제가 볼 수 없는 인간을 겨냥한 공격을 탐지하는 통합 프로그램 구현에 달려 있습니다.