사이버보안에서의 4가지 공격 표면 유형

도난된 자격 증명부터 보안이 취약한 클라우드 엔드포인트까지, IT 환경 내의 모든 자원은 공격자에게 진입점이 될 수 있습니다. 2023 회계연도에 미국 정부는 6,198건의 피싱 공격과 12,000건이 넘는 합법적 사용자에 의한 오용 사례의 표적이 되었습니다. 이러한 사례를 통해 매우 신뢰받는 기관조차도 침입으로부터 안전하지 않다는 결론을 내릴 수 있습니다. 또한, 공격 표면의 유형에 대해 전혀 알지 못하거나 제한적으로만 알고 있는 조직도 다수 존재합니다. 이로 인해 이들은 공격 표면을 인지하지 못하고, 중요한 자원을 보호하지 못하며 사이버 위협을 최소화하지 못하게 됩니다.

조직이 더 잘 이해할 수 있도록, 본 기사에서는 공격 표면의 정의와 이를 줄여야 하는 이유를 설명합니다. 다음 섹션에서는 디지털, 물리적, 인간, 사회공학의 네 가지 영역을 설명하고, 발생할 수 있는 일반적인 문제에 대한 인사이트를 제공합니다. 또한, 대규모 데이터 유출 및 새롭게 등장하는 위협을 포함한 실제 공격 표면 사례도 제공합니다.

공격 표면이란?

사이버 보안에서 공격 표면은 공격자가 시스템을 침해하거나 무단 접근, 데이터 탈취를 시도할 수 있는 다양한 벡터로 설명할 수 있습니다. 이는 서버와 코드 저장소뿐만 아니라, 직원의 엔드포인트, 클라우드 컨테이너, 그림자 IT까지 포함될 수 있습니다. 2023년에 실시된 설문조사에서 응답자의 절반 이상이 데이터 보안을 사이버 보안의 최우선 과제로 꼽았으며, 이에 따라 모든 취약점을 식별해야 할 필요성이 강조되었습니다.

연결이 빈번하고 빠른 세상에서, 일부 경로라도 간과하면 자격 증명 탈취부터 마이크로서비스 아키텍처 내의 수평 이동까지 치명적인 위협으로 이어질 수 있습니다. 따라서 하드웨어 계층부터 사용자 수준까지 모든 것을 포괄하는 전체 공격 표면을 식별하는 것이 보안의 필수 출발점입니다. 이러한 잠재적 침입 지점을 나열함으로써 보안팀은 이를 차단하거나 격리하여 잠재적 위협을 줄일 수 있습니다.

공격 표면의 유형

조직은 보안 취약점을 하나의 범주로 묶을 수 있지만, 공격 벡터의 유형은 매우 다양합니다. 디지털, 물리적, 인간, 사회공학의 네 가지 범주 각각은 고유한 침투 벡터를 가지고 있으며, 각각에 맞는 보호 조치가 필요합니다.

이렇게 세분화하면 팀이 어떤 방어책을 구현해야 하는지 더 쉽게 이해할 수 있습니다. 여기서는 각 영역과 그 구성 요소, 전파 방식, 방지 전략을 식별합니다.

1. 디지털 공격 표면

API, 컨테이너화된 워크로드, 다중 클라우드 확장 시대에 디지털 요소는 공격 표면의 중요한 부분입니다. 관리되지 않는 웹 서비스, 취약한 프레임워크, 남아 있는 개발 엔드포인트는 애플리케이션에 대한 직접적인 접근점을 만들 수 있습니다. 네트워크 경계의 지속적 식별 및 상세한 표현 작성, 위협에 대한 지속적 스캔을 통해 보안팀은 점점 복잡해지는 디지털 환경에 대응할 수 있습니다.

구성 요소

이는 디지털 요소의 다양한 소프트웨어 및 네트워크 진입점입니다. 연결된 서비스와 클라우드 기능이 많을수록 디지털 표면 영역이 커집니다. 각 자산(도메인, 서브도메인, API, 마이크로서비스 등)을 나열하면 공격자가 노릴 수 있는 사각지대를 피할 수 있습니다.

1. 웹 애플리케이션: 웹 애플리케이션은 사용자 상호작용을 포함하며 인증 및 데이터베이스까지 포함할 수 있습니다. 따라서 SQL 인젝션이나 크로스사이트 스크립팅과 같은 취약점은 악의적 사용자가 데이터를 수정하거나 무단 전송할 수 있게 합니다. 이러한 침투 지점은 정기적 스캔과 보안 SDLC 통합으로 완화할 수 있습니다.
2. API: 마이크로서비스는 서로 및 외부 애플리케이션과 통신하기 위해 API를 사용합니다. 엔드포인트가 인증되지 않았거나 사용 중인 토큰이 오래된 경우, 공격자는 쉽게 이동할 수 있습니다. 이를 방지하기 위해 토큰 기반 보안, 속도 제한, 버전 관리를 사용할 수 있습니다.
3. 클라우드 서비스 및 IoT: 클라우드 플랫폼의 부적절한 스토리지 버킷이나 펌웨어 업데이트가 없는 보안이 취약한 IoT 기기는 새로운 공격 벡터를 도입합니다. 사이버 범죄자는 오픈 포트나 암호화되지 않은 데이터 전송을 악용합니다. 이는 정기적인 구성 점검, TLS 적용, 펌웨어 업데이트로 최소화할 수 있습니다.

일반적인 공격 벡터

일부 공격자는 취약한 웹 프레임워크, 오픈 테스트용 서브도메인, 보안이 취약한 API를 찾아 웹사이트를 노립니다. 코드 인젝션은 여전히 흔한 공격 방식으로, 범죄자가 데이터베이스 쿼리나 서버 명령을 수정할 수 있게 합니다. IoT의 경우, 약한 암호화로 인해 기기 탈취나 데이터 가로채기가 발생할 수 있습니다. 반면, 클라우드 구성 오류는 권한 설정이 충분히 제한되지 않으면 데이터 노출로 이어집니다.

완화 전략

코드 스캔, 보안 코딩 가이드라인 사용, 취약점 업데이트는 일반적인 소프트웨어 결함 관리에 도움이 됩니다. 제로 트러스트 아키텍처는 마이크로서비스를 격리하고 모든 요청을 검증하여 수평 이동을 제한합니다. 클라우드 컴퓨팅에서 보안은 매우 중요하며, 이를 위해 IAM 역할 강화와 전송 중 데이터 암호화가 필수적입니다. 또한, 정기적인 환경 스캔은 임시 IoT나 개발 환경이 누락되는 것을 방지합니다.

2. 물리적 공격 표면

디지털 요소가 언론의 주목을 더 많이 받지만, 물리적 하드웨어와 현장 기기도 여전히 중요한 공유 진입점입니다. 분실 또는 도난된 장비는 데이터나 네트워크 로그인 정보를 유출시킬 수 있으며, 이는 가장 정교한 방화벽도 우회할 수 있습니다. 물리적 환경을 파악하는 것은 컴퓨터 보안을 무시하는 '백도어' 접근으로부터 자신을 보호하는 데 매우 중요합니다.

구성 요소

이는 PC, 서버, 휴대폰 등 물리적 자산과 이를 수용하는 구조물을 의미합니다. 물리적 보안 조치는 데이터 센터, 사무실, 민감 정보가 포함된 하드웨어에 대한 접근을 제한합니다. 각 기기나 장소를 나열함으로써 현장 기기 변조 가능성을 최소화할 수 있습니다.

1. 엔드포인트: 노트북, 데스크톱, 기타 모바일 기기에 비밀번호나 쿠키가 저장될 수 있습니다. 엔드포인트에 디스크 암호화가 없거나 약한 비밀번호를 사용할 경우, 도난은 곧바로 데이터 유출로 이어질 수 있습니다. 암호화 및 기기 잠금 강제 적용은 물리적 침투를 방지하는 기본 전략입니다.
2. 서버: 온프레미스 랙이나 코로케이션 서버에는 중요한 정보와 핵심 서비스가 포함되어 있습니다. 카메라 로그 누락이나 오픈 액세스는 침입자가 키로거를 설치하거나 드라이브를 제거할 수 있게 합니다. 물리적 보안 조치에는 적절한 잠금장치, ID 카드 접근, 24시간 감시가 포함됩니다.
3. 분실/도난 기기: 분실된 하드웨어는 기업 이메일이 저장된 개인 휴대폰이나 백업이 담긴 USB 드라이브 등 중요한 침투 경로입니다. 이들은 로컬 파일을 읽거나 로그인에 사용되는 토큰을 탈취할 수 있습니다. 원격 삭제 기능과 각 기기에 강력한 암호를 적용하면 이 부분의 공격 표면을 최소화할 수 있습니다.

일반적인 공격 벡터

기업 하드웨어는 모든 조직의 필수 요소이며, 범죄자는 강제 침입이나 절도를 통해 기업 하드웨어를 탈취합니다. 이들은 쓰레기통에서 폐기된 드라이브나 문서를 찾기도 합니다. 일부 직원은 케이블을 분리하거나 악성 하드웨어를 설치해 랙을 고의로 고장내기도 합니다. 노트북을 차량이나 카페에 잠그지 않고 두는 것도 물리적 위협 영역을 증가시킵니다.

완화 전략

비밀번호 보호, 전체 디스크 암호화, BIOS/UEFI 비밀번호, 기기 잠금은 도난 기기에서 정보 추출을 어렵게 만듭니다. 불필요한 포트나 USB 기능을 비활성화하여 주변기기 사용을 최소화할 수도 있습니다. 데이터 센터 접근 시 ID 스캔이나 생체 인식 잠금 등 적절한 물리적 보안 조치는 사보타주를 최소화합니다. 추가적으로, 정기적인 자산 재고 확인과 추적을 통해 분실 또는 도난된 항목을 신속히 비활성화할 수 있습니다.

3. 인간 공격 표면

기술이 회사 방어의 중심이지만, 가장 큰 데이터 유출의 대부분은 인간의 실수로 인해 발생합니다. 피싱 링크에 속는 순진한 직원이나 악의적으로 회사 정보를 유출하는 내부자 등, 인간 역시 공격 표면의 일부입니다. 누구도 실수로 공격자에게 기회를 제공하지 않도록, 직원, 계약자, 파트너에게 어떻게 발생할 수 있는지 이해하는 것이 필수적입니다.

구성 요소

인간 위험은 사용자 행동, 정보 부족, 동기 부여로 정의할 수 있습니다. 비밀번호 관리 미흡, 교육 부족, 내부자 공격은 가장 견고한 보안 시스템도 위협할 수 있습니다. 조직은 각 사용자가 방어를 지원하거나 위협할 수 있는 능력을 평가해야 합니다.

1. 내부자 위협: 직원은 자격 증명 유출이나 백도어 설치 등으로 회사를 고의로 훼손할 수 있습니다. 선의의 직원조차 그림자 IT 시스템을 구축하거나 정보를 안전하지 않게 저장할 수 있습니다. 권한 축소와 로그 감사를 통해 내부자 남용을 조기에 방지하거나 식별할 수 있습니다.
2. 피싱: 사이버 범죄자는 공식 기관에서 온 것처럼 보이는 이메일이나 메시지를 보내 로그인 자격 증명 제공이나 악성코드 다운로드를 유도합니다. 직원의 빈번한 교육을 통해 이러한 성공률을 최소화할 수 있습니다. 스팸 필터와 링크의 지속적 스캔을 병행하면 침투 가능성을 크게 줄일 수 있습니다.
3. 약한 비밀번호: 짧거나 쉽게 추측 가능한 비밀번호는 여전히 인기 있는 진입점입니다. 직원이 여러 시스템에서 동일한 비밀번호를 사용할 경우, 하나만 해킹당해도 모든 시스템에 접근할 수 있습니다. 비밀번호 관리 도구 사용 권장, 복잡한 비밀번호 설정, 정기적 비밀번호 변경을 통해 무차별 대입 공격 위협을 최소화해야 합니다.

일반적인 공격 벡터

범죄자는 스피어 피싱 이메일을 직무에 따라 직원에게 보냅니다. 이전 공격에서 탈취된 자격 증명을 재사용하는 경우도 있습니다. 외부 위협은 조직 외부에서 발생하며, 내부 위협은 직접 접근이나 모니터링되지 않은 권한을 이용해 데이터 복사 등 무단 행위를 합니다. 사용자 행동 분석이나 다중 인증이 없으면 이러한 인간 중심 공격 벡터에 노출됩니다.

완화 전략

정기적인 모의 피싱 등 보안 인식 테스트는 직원의 인식 수준을 측정하고 교육 필요성을 파악하는 데 도움이 됩니다. 다중 인증 사용은 비밀번호 유출의 영향을 크게 줄입니다. 대량 데이터 전송이나 로그인 시간 모니터링 등은 사용자의 의심스러운 활동을 식별하는 방법입니다. 최소 권한 원칙을 적용하면 직원이 필요한 권한만 갖도록 할 수 있습니다.

4. 사회공학 공격 표면

인간의 약점과 밀접하게 연관된 사회공학 계층은 프리텍스팅이나 미끼 등 심리적 조작을 통해 사람을 노립니다. 이 영역은 심리적 전략과 기법이 엄격한 기술적 대응책을 우회할 수 있음을 보여줍니다. 신뢰나 긴급성 등 조작을 통해 범죄자는 직원이 무단 접근이나 정보를 제공하도록 유도합니다.

구성 요소

사회공학 구성 요소는 감정적 또는 인지적 취약점을 노리는 심리적 조작 요소를 포함합니다. 사기꾼은 직원이나 프로세스에 대한 배경 정보를 선별적으로 수집해 그럴듯한 이야기를 만듭니다. 따라서 가장 정교한 네트워크 스캔도 인간의 잘 속는 특성에는 효과적이지 않습니다.

1. 조작: 사기꾼은 신뢰성이나 긴급성을 조성하는 데 시간을 들입니다. 예를 들어, 인사팀을 사칭해 비밀번호 변경을 요청하는 경우가 있습니다. 직원이 진위를 의심하지 않고 행동하도록 유도하는 프롬프트를 사용합니다. 신원 도용을 방지하려면 직원에게 의심하는 태도를 장려해 이러한 속임수를 쉽게 식별할 수 있도록 해야 합니다.
2. 프리텍스팅: 프리텍스팅에서는 범죄자가 파트너 개발자를 사칭해 데이터베이스 자격 증명을 요구하는 등 다양한 거짓 이야기를 만듭니다. LinkedIn 프로필 등 공개 정보를 활용해 신뢰성을 높이기도 합니다. 강력한 검증 프로토콜, 예를 들어 내부에 등록된 번호로 전화할 수 있는 절차가 있으면 효과적으로 대응할 수 있습니다.
3. 미끼: 미끼의 한 예로, "Bonus_Reports"라고 적힌 감염된 USB 드라이브를 사무실 복도에 두는 경우가 있습니다. 이는 호기심을 자극해 직원이 이를 연결하도록 유도합니다. 알 수 없는 기기 연결을 금지하는 공식 규정이 있으면 이러한 시도를 크게 제한할 수 있습니다.

일반적인 공격 벡터

피싱 이메일에 악성 코드가 포함된 링크를 첨부하거나, IT 지원을 사칭한 전화가 여전히 흔하게 발생합니다. 사이버 범죄자는 직원에게 계정 정보를 재입력하라는 메시지를 보내기도 합니다. 이후 범죄자는 피해자의 네트워크를 완전히 장악합니다. 택배 기사로 위장하는 등 속임수를 통해 보안 조치를 우회하고 건물에 접근하는 경우도 있습니다.

완화 전략

지속적인 직원 교육과 정책 재교육은 외부 전화 등 잠재적 문제에 대비하도록 직원의 경각심을 유지시킵니다. 모든 긴급 요청은 공식 채널을 통해 확인하는 것이 중요함을 직원에게 설명해야 합니다. 물리적 접근의 경우, 신원 확인이나 엄격한 방문자 등록부를 사용합니다. 반복적인 훈련, 익숙한 에스컬레이션 절차, 보안 중심 사고방식의 결합이 사회공학 침입을 완화합니다.

실제 공격 표면 사례

강력한 프레임워크를 갖춘 조직도 노출된 엔드포인트나 도난된 자격 증명 등 공격에서 자유롭지 않습니다. 다음 다섯 가지 사례는 한 부분에 대한 부주의가 대규모 데이터 유출로 이어질 수 있음을 보여줍니다:

각 사례는 익숙한 위협이 항상 진화하고 있으며, 조직의 규모와 관계없이 모니터링이 필요함을 강조합니다.

1. 엘살바도르 Chivo Wallet (2024): 엘살바도르의 국가 암호화폐 지갑 Chivo는 전년도 4월 해킹을 당해 144GB의 개인정보가 탈취되고 소스 코드가 유출되었습니다. 이는 보안이 취약한 디지털 엔드포인트나 오픈 코드 저장소가 조직의 진입점이 될 수 있음을 보여줍니다. 엄격한 접근 제어 미적용, 정기적 침투 테스트 미실시 등 느슨한 보안 조치는 위험을 줄이기는커녕 오히려 정부를 더 큰 위험에 노출시켰습니다. 향후 예방책으로는 DevSecOps의 엄격한 적용, 토큰 기반 환경 분리, 다중 코드 리뷰가 포함됩니다.
2. PlayDapp (2024): 지난해 블록체인 게임 기업 PlayDapp은 환경이 침해되어 해커가 17억 9천만 PLA 토큰(2억 9천만 달러 상당)을 생성하는 공격의 피해를 입었습니다. 암호화 키 관리 부실이 공격자 침입의 원인이었습니다. 다중 서명 프레임워크나 하드웨어 기반 키 저장소가 반복적인 토큰 위조를 어떻게 막을 수 있었는지는 불분명합니다. 이 공격 벡터 사례는 단일 암호화 요소가 침해될 경우 전체 플랫폼이 무너질 수 있음을 시사합니다.
3. 미국 회계감사원(GAO) (2024): 전년도 GAO와 연결된 6,600명이 계약업체 환경의 Atlassian Confluence를 표적으로 한 침해의 영향을 받았습니다. 이 침투 경로는 써드파티 소프트웨어 취약점이 기관이 직접 통제할 수 없는 전체 공격 표면을 어떻게 증가시키는지 보여줍니다. 신속한 패치 적용과 써드파티 평가의 중요성도 강조됩니다. 수평 이동을 방지하려면 연방 기관도 파트너 소프트웨어 설정에 대한 상세 기록을 유지해야 합니다.
4. FortiManager 원격 코드 실행 취약점 (2024): FortiManager의 원격 코드 실행 취약점(CVE-2024-47575) 및 Palo Alto Networks 방화벽의 여러 취약점이 전 세계 조직에 영향을 미쳤습니다. 공격자는 패치가 제공되기 전 또는 널리 알려지기 전에 이 취약점을 악용했으며, 이는 일시적 위협이 전체 경계 보안 솔루션을 무력화할 수 있음을 입증합니다. 신속한 패치 적용 또는 디지털 엔드포인트 간 연계된 정교한 탐지 메커니즘이 항상 중요합니다. 실시간 알림과 민첩한 DevSecOps의 시너지는 침투 가능 시간을 최소화합니다.
5. Snowflake (2024): Snowflake는 대표적인 클라우드 기반 데이터 처리 서비스로, AT&T, Ticketmaster 등 약 165개 대형 고객이 연루된 침해를 겪었습니다. 위협 행위자 그룹은 도난된 직원 자격 증명을 사용해 공격을 시작했고, 이를 사이버 범죄 포럼에 판매했습니다. 다중 인증의 효과적 사용이 최초 수평 확산을 방지할 수 있었음을 보여줍니다. 이 공격 표면 사례는 대규모 채택된 클라우드 솔루션조차 기본적인 신원 관리 실패에 취약할 수 있음을 시사합니다.

공격 표면을 줄이고 보호하는 방법

네 가지 주요 공격 표면 각각이 침해 발생의 다양한 기회를 제공함이 명확해졌습니다. 그러나 이러한 위험 관리 접근법은 전체 위험 노출 또는 공격자가 악용할 수 있는 표면을 크게 줄일 수 있습니다.

다음 섹션에서는 효과적인 보호를 위한 스캔, 정책, 지속적 감독이 통합된 다섯 가지 접근법을 제시합니다:

1. 맵상의 각 자산을 관리하고 지속적으로 모니터링: 환경에 조금이라도 연결된 모든 서브도메인, 클라우드 인스턴스, 기기를 나열하는 것부터 시작합니다. 일일 또는 주간 추적 도구는 매일 또는 주간 단위로 새로 나타나는 임시 엔드포인트를 식별할 수 있습니다. 자산 인텔리전스를 SIEM 또는 EDR 솔루션 및 SentinelOne Singularity와 통합하면 새로운 확장이나 새로 발견된 취약점을 파악할 수 있습니다. 인벤토리를 최신 상태로 유지하면 숨겨지거나 구식 시스템에서 발생하는 공격 경로를 제거할 수 있습니다.
2. 제로 트러스트 마이크로 세분화 도입: 공격자가 전체 서브넷을 장악하지 못하도록, 마이크로서비스나 사용자를 격리해 침해 시에도 자유롭게 이동하지 못하게 합니다. 내부 트래픽도 재인증, 토큰 확인, 이동 제한 등으로 수평 이동을 방지해야 합니다. 온프레미스에 호스팅된 컨테이너, 함수, 서버에는 강력한 역할 기반 접근 제어를 적용합니다. 이 통합은 한 부분의 침해가 전체 구조로 확산되는 것을 방지합니다.
3. 엄격한 접근 제어 및 자격 증명 관리: 관리자 권한이 있는 모든 계정에 다중 인증을 적용하고, 세션 쿠키는 짧은 수명을 갖도록 합니다. 비밀번호 재사용을 금지하고, 로그인 시도를 기록해 보안 위협을 탐지합니다. 써드파티 통합에는 별도의 자격 증명 또는 API 키를 사용해 사용 내역을 모니터링합니다. 각 요소를 강력한 인증으로 보호하면 자격 증명을 획득하거나 추측한 공격자의 진입점을 크게 줄일 수 있습니다.
4. 보안 감사 및 패치 주기: 최소한 정적 코드 분석과 동적 침투 테스트를 분기별 또는 월별로 수행하는 것이 권장됩니다. 패치 관리 도구를 내부 정책과 통합해, 관련 패치는 즉시 적용하도록 합니다. 이 시너지는 알려진 취약점을 즉시 해결합니다. 패치 적용 지연은 범죄자가 시스템에 침투할 수 있는 가장 큰 원인 중 하나입니다.
5. 보안 문화 조성 및 지속적 교육: 피싱, 사회공학, 기기 사용 등 온라인 교육을 통해 직원에게 침투가 어떻게 발생할 수 있는지 지속적으로 상기시킵니다. 의심스러운 이메일을 받거나 기기 정책을 우회하려는 경우, "먼저 보고" 문화를 장려합니다. 이 접근법은 각 사용자가 취약점이 아닌 추가 보호 계층이 되도록 합니다. 장기적으로는 조작적 해킹 전략의 성공 가능성을 최소화하는 경계심 높은 인력을 양성할 수 있습니다.

결론

디지털 엔드포인트, 물리적 하드웨어, 사용자 실수 등 다양한 공격 벡터를 제거하는 것이 그 어느 때보다 중요해졌습니다. 도난된 정부 지갑, 제로데이 공격 등 실제 사례는 약한 고리가 대규모 데이터 유출이나 랜섬웨어로 이어질 수 있음을 보여줍니다. 이러한 공격을 방지하려면, 조직은 모든 엔드포인트 식별, 알려진 취약점에 대한 신속한 조치, 사회공학에 대한 직원 교육 등 계층적 접근이 필요합니다.

이러한 모범 사례가 고수준 보안 조치와 결합될 때, 조직은 우수한 보안 수준을 갖춘 구조를 갖추게 됩니다. 지속적 스캔, 마이크로 세분화, 사용자 경계심이 각 공격 표면 유형별 침투 경로를 줄이는 데 함께 작동합니다.