사이버 공격

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.

1. 개요

사이버 공격은 하나 이상의 컴퓨터 시스템을 사용하여 정보를 훔치거나, 노출하거나, 변경하거나, 비활성화하거나, 제거하거나, 컴퓨터 시스템, 네트워크 및 인프라를 침해하려는 시도를 의미한다. 2017년 상반기에만 20억 건의 데이터가 사이버 공격으로 도난당하거나 피해를 입었으며, 2020년에는 코로나19 팬데믹으로 인한 원격 근무 증가로 해킹 및 데이터 유출이 급증했다. 사이버 공격은 시스템의 취약점을 이용하며, 소프트웨어 버그, 하드웨어 버그, 제로데이 공격 등이 악용될 수 있다. 공격 유형으로는 정찰, 무기화, 전달, 익스플로잇 등이 있으며, 공격 주체는 사이버 범죄자, 내부자, 국가 지원 해커 등 다양하다. 사이버 공격은 개인, 기업, 정부를 대상으로 하며, 신체적, 디지털, 경제적 손실, 평판 손상, 사회적 외부 효과 등 다양한 피해를 야기한다. 대응 방법으로는 신속한 대응, 사고 대응 계획 수립, 기술적 조사, 복구, 책임 추적 등이 있으며, 법적 측면에서는 국제법, 사이버 범죄 관련 법률 등이 적용된다.

더 읽어볼만한 페이지

사이버 공격 - 서비스 거부 공격
서비스 거부 공격(DoS)은 시스템의 가용성을 저해하는 사이버 공격으로, 서비스 충돌 또는 범람을 유발하며, 분산 서비스 거부 공격(DDoS)과 다양한 공격 기술, DoSaaS 등장 등 여러 형태로 발전해 왔고, 업스트림 필터링, 방화벽 등 방어 기술을 통해 대응하며, 관련 법률 위반 시 처벌받을 수 있다.
사이버 공격 - 사이버스토킹
사이버스토킹은 인터넷 등 전자적 매체를 이용해 개인이나 단체를 스토킹하거나 괴롭히는 행위로, 허위 비난, 명예 훼손, 감시, 신원 도용, 협박 등의 형태로 나타나 심각한 피해를 야기하며, 이를 해결하기 위해 사회적 노력이 필요하다.
사이버 범죄 - 사이버 폭력
사이버 폭력은 정보통신망을 통해 특정 개인이나 집단을 대상으로 정신적, 심리적, 신체적 피해를 유발하는 행위이며, 익명성, 빠른 전파력 등의 특징을 가지며 다양한 유형으로 나타나고 예방을 위한 노력이 이루어지고 있다.
사이버 범죄 - 일베저장소
일베저장소는 디시인사이드 코미디 프로그램 갤러리에서 시작된 온라인 커뮤니티로, 혐오 표현과 극우 성향의 정치적 입장을 특징으로 하며 사회적 갈등과 윤리적 문제점을 야기한다는 비판을 받는다.

사이버 공격
개요
정의	컴퓨터 정보 시스템, 인프라, 컴퓨터 네트워크, 개인 장치에 대한 공격적인 기동으로, 정보, 컴퓨팅 시스템, 네트워크, 물리적 위치를 손상, 무력화, 파괴하거나 불법적으로 통제하기 위해 수행됨
목표	정보 절도 시스템 손상 서비스 거부 정치적 이득 사업 방해
공격 주체	국가 지원 해커 해커 그룹 내부자 사이버 범죄자
유형
멀웨어	바이러스 웜 트로이 목마 랜섬웨어 스파이웨어 애드웨어
피싱	스피어 피싱 웨일링 파밍
서비스 거부 공격 (DoS)	분산 서비스 거부 공격 SYN 플러드 UDP 플러드
중간자 공격 (MITM)	ARP 스푸핑 DNS 스푸핑 SSL 스트리핑
SQL 인젝션	웹 애플리케이션의 데이터베이스를 공격하여 데이터 유출, 변조, 삭제를 수행
크로스 사이트 스크립팅 (XSS)	악성 스크립트를 웹사이트에 삽입하여 사용자 정보를 탈취하거나 웹사이트를 변조
제로데이 공격	소프트웨어의 취약점이 발견되기 전에 이를 악용하는 공격
루트킷	시스템 관리자 권한을 획득하여 시스템을 완전히 장악하는 악성 프로그램
사회 공학 (보안)	사람의 심리를 이용하여 정보를 탈취하거나 시스템에 접근하는 공격
동기
사이버 범죄	금전적 이득을 위한 공격
사이버 간첩	정치적, 군사적, 산업적 정보를 획득하기 위한 공격
사이버 전쟁	국가 간의 사이버 공간에서의 전쟁 행위
핵티비즘	정치적 목적을 달성하기 위한 해킹 행위
복수	개인적인 원한이나 불만을 해소하기 위한 공격
대상
정부 기관	국방부 정보 기관 외교부
기업	금융 기관 통신사 제조업체
개인	정치인 언론인 활동가 일반 사용자
방어
기술적 방어	방화벽 침입 탐지 시스템 침입 방지 시스템 백신 소프트웨어 보안 패치 데이터 암호화 다중 인증
조직적 방어	보안 정책 수립 보안 교육 사이버 보안 훈련 사이버 보안 사고 대응 계획
법적 방어	사이버 범죄 처벌 법규 국제 협력
영향
경제적 영향	금전적 손실 생산성 저하 기업 이미지 손상
사회적 영향	개인 정보 유출 사이버 범죄 증가 사회 불안 증가
정치적 영향	국가 안보 위협 국제 관계 악화
관련 용어
용어	정보 보안 네트워크 보안 애플리케이션 보안 클라우드 보안 사이버 보안 위협 취약점 악성코드 해킹 보안 사고
참고 자료
참고 자료	CSRC\|url=https://csrc.nist.gov/glossary/term/cyber_attack\|access-date=2021-09-05\|website=csrc.nist.gov\|language=EN-US}}

2. 정의

사이버 공격은 개인이나 조직이 하나 이상의 컴퓨터와 컴퓨터 시스템을 사용하여 정보를 훔치거나, 노출시키거나, 변경하거나, 비활성화하거나, 제거하는 등 컴퓨터 정보 시스템, 컴퓨터 네트워크 및 컴퓨터 인프라를 침해하려는 모든 시도를 말한다.^[1] 시스템이 예상치 못한 응답을 생성하거나 부상 또는 재산 피해를 야기하는 등 손상 유형에 따라 정의가 달라진다.^[2] 비국가 행위자에 의한 공격을 제외하거나, 표적이 국가여야 한다는 정의도 있다.^[3] 시스템 보안은 기밀성(무단 접근 금지), 무결성(무단 수정 금지), 가용성(CIA 삼각형)을 유지해야 한다.^[4] 일부 웹 기반 서비스에서는 가용성이 덜 중요하지만, 산업 시스템에서는 가장 중요한 측면일 수 있다.^[5]

3. 발생 빈도

2017년 상반기에만 20억 건의 데이터 기록이 사이버 공격으로 인해 도난당하거나 피해를 입었으며, 랜섬웨어 지불액은 20억달러에 달해 2016년의 두 배에 이르렀다.^[1] 2020년에는 코로나19 팬데믹의 영향으로 원격 근무가 증가하면서 사이버 보안 통계는 해킹 및 데이터 유출이 급증했음을 보여준다.^[2] 전 세계 정보 보안 시장은 2022년에 1704억달러에 이를 것으로 예상된다.^[3]

4. 취약성

시간이 지남에 따라 컴퓨터 시스템은 일상생활에서 점점 더 큰 부분을 차지하게 되었다. 시스템의 복잡성과 연결성이 증가하면서 컴퓨터 기술의 효율성, 성능, 편의성이 향상되었지만, 동시에 시스템이 공격에 더 취약해지고 공격이 발생할 경우 그 결과가 더 심각해졌다.^[1]

개발자의 목표는 의도한 대로 완벽하게 작동하는 제품을 제공하는 것이지만, 사실상 모든 소프트웨어와 하드웨어에는 버그가 포함되어 있다.^[2] 버그가 보안 위험을 초래하는 경우 이를 취약성이라고 한다.^[3]^[5]^[6] 패치는 종종 식별된 취약성을 해결하기 위해 배포되지만, 알려지지 않은 취약성(제로데이)과 패치되지 않은 취약성은 여전히 악용될 가능성이 있다.^[7]

공격자가 공급업체보다 먼저 발견한 소프트웨어 취약성의 타임라인(제로데이)

소프트웨어 공급업체는 취약성이 공격에 사용된 경우 그 비용에 대해 법적 책임을 지지 않으므로, 더 저렴하지만 보안이 취약한 소프트웨어를 만드는 유인이 발생한다.^[8] 취약성은 악의적인 행위자가 악용할 수 있는 정도가 다르다. 가장 중요한 취약성은 사용자가 인식하지 못하는 상태에서 공격자가 자신의 코드(멀웨어)를 주입하고 실행할 수 있도록 허용한다.^[9] 접근 권한을 부여하는 취약성이 없다면 공격자는 시스템에 접근할 수 없다.^[10]

취약성 모델(VM)은 공격 패턴, 위협 및 중요 자산(물리적 또는 무형적)을 식별한다. 이 모델은 비즈니스, 애플리케이션 또는 인프라 컨텍스트 내에서 기밀성, 무결성, 가용성 및 책임과 같은 보안 문제를 해결한다.^[4]

5. 방어

시스템 아키텍처와 설계 결정은 시스템 안전성을 결정하는 데 중요한 역할을 한다.^[1] 기존의 보안 강화 방식은 공격에 취약한 시스템을 탐지하고 강화하여 공격을 어렵게 만들지만, 부분적으로만 효과적이다.^[2] 매우 복잡하고 상호 연결된 시스템 손상에 대한 공식적인 위험 평가는 비현실적이며,^[2] 보안 비용 지출에 대한 관련 질문은 답하기 어렵다.^[1] 끊임없이 변화하고 불확실한 사이버 위협의 특성 때문에 위험 평가는 완화 비용이 과도하거나 감당할 수 없는 시나리오를 생성할 수 있다.^[2]

대부분의 공격은 모든 소프트웨어가 완전히 패치되었는지 확인하여 예방할 수 있지만, 완전히 패치된 시스템조차도 제로데이 취약점을 이용한 악용에 취약하다.^[4] 공격자가 패치가 개발 및 배포되는 것보다 빠르게 악용 프로그램을 만들 수 있기 때문에 취약성이 공개되거나 패치가 릴리스된 직후에 공격 위험이 가장 높다.^[5]

소프트웨어 솔루션은 무단 액세스를 방지하고 악성 소프트웨어 침입을 감지하는 것을 목표로 한다.^[6]

다양한 사이버 공격 예방 조치의 효과와 비용 효과에 대한 증거는 거의 없다.^[6] 보안에 대한 주의는 공격 위험을 줄일 수 있지만, 복잡한 시스템에 대한 완벽한 보안은 불가능하며, 많은 보안 조치는 수용할 수 없는 비용이나 사용성 단점을 수반한다.^[1] 예를 들어, 시스템 복잡성과 기능을 줄이면 공격 표면을 줄이는 데 효과적이다.^[1] 인터넷에서 시스템을 분리하는 것은 효과적인 조치 중 하나이지만, 현실적으로 실행하기 어렵다.^[2] 일부 관할 구역에서는 공격으로부터 보호하기 위한 법적 요구 사항이 있다.^[1]

5. 1. 사이버 복원력

사이버 복원력 방식은 위반이 발생할 것이라고 가정하고, 마이크로 세분화, 제로 트러스트, 업무 연속성 계획과 같은 접근 방식을 사용하여 일부가 손상되더라도 필수 기능을 보호하는 데 중점을 둔다.^[1]

5. 2. 사용자 교육

사용자 교육은 (예를 들어, 의심스러운 링크나 이메일 첨부 파일을 클릭하지 않는 것과 같이) 특히 사용자 오류에 의존하는 사이버 공격을 피할 수 있도록 한다.^[1] 그러나 규칙이 너무 많으면 직원들이 무시하게 되어 보안 개선 효과가 없어질 수 있다. 일부 내부자 공격은 규칙과 절차를 사용하여 예방할 수도 있다.^[2] 모든 중요한 데이터를 암호화하고, 직원이 안전하지 않은 암호를 사용하지 못하게 하고, 바이러스 백신 소프트웨어를 설치하여 악성 코드를 방지하며, 모든 장치가 최신 상태로 유지되도록 강력한 패치 시스템을 구현하는 것과 같이 기술적 솔루션을 통해 공격자에게 데이터가 취약하게 되는 인적 오류의 많은 원인을 방지할 수 있다.^[3]

6. 공격 유형 및 과정

사이버 공격 단계(Cyber kill chain)는 공격자가 사이버 공격을 수행하는 과정이다.

# '''정찰:''' 잠재적인 공격자는 표적 시스템에 대한 정보를 얻기 위해 공개 정보를 찾거나 사회 공학 공격을 수행한다.

# '''무기화:''' 취약점을 발견한 후, 공격자는 익스플로잇과 악성코드를 만든다.

# '''전달:''' 악성코드는 피싱, 드라이브 바이 다운로드, 내부자, 관련 회사, 하드웨어 접근(뇌물, 협박) 등 다양한 경로로 표적에 전달된다.

# '''익스플로잇:''' 공격자의 소프트웨어가 표적 시스템에서 실행되며, 백도어를 생성하여 원격 제어를 가능하게 한다.

#* 많은 공격자는 즉시 공격을 시작하지 않고, 시스템 중단 후에도 지속되며 탐지를 회피하고 권한을 상승시키며, 여러 통신 채널을 확보하려 한다. 또한 원격 제어를 통해 데이터를 유출하기도 한다.

6. 1. 활동

악성코드가 설치된 후, 그 활동은 공격자의 목표에 따라 크게 달라진다. 많은 공격자들은 시스템에 영향을 미치지 않고 시스템을 도청하려고 한다. 이러한 유형의 악성코드는 예상치 못한 부작용을 초래할 수 있지만, 종종 탐지하기가 매우 어렵다.^[1] 봇넷은 손상된 장치들의 네트워크로, 스팸을 보내거나^[2] 서비스 거부 공격(DDoS)—시스템이 한 번에 처리할 수 있는 것보다 많은 요청으로 시스템을 압도하여 사용할 수 없게 만드는 공격—을 수행하는 데 사용될 수 있다.^[3] 공격자는 또한 자신의 이익을 위해 암호화폐, 예를 들어 비트코인을 채굴하는 데 컴퓨터를 사용할 수도 있다.^[4]

랜섬웨어는 데이터를 암호화하거나 파괴하는 데 사용되는 소프트웨어이다. 공격자는 표적 시스템의 복구를 위해 대가를 요구한다. 익명 거래를 가능하게 하는 암호화폐의 출현은 랜섬웨어 요구의 급격한 증가로 이어졌다.^[5]

7. 공격 주체 및 동기

일반적으로 해커는 개인적으로 활동한다고 알려져 있지만, 실제로는 많은 사이버 위협이 자금력이 풍부한 전문가 집단에 의해 발생한다.^[1] 사이버 범죄로 인한 수입 증가는 더 많은 공격으로 이어져 공격자들의 전문성과 고도화가 심화되고 있다.^[2] 사이버 범죄는 다른 범죄와 달리 원격으로 수행될 수 있으며, 공격 규모도 커지는 경향이 있다.^[2] 많은 사이버 공격은 내부자, 특히 업무 효율을 높이기 위해 보안 절차를 우회하는 직원에 의해 발생하거나 가능해진다.^[9] 공격자의 기술, 정교함, 특정 목표 공격 의지는 매우 다양하며, 기회주의적으로 공격하기 쉬운 목표를 선택하는 것과는 대조적이다.^[9] 공격자의 기술 수준은 그들이 감행할 준비가 된 공격 유형을 결정하며,가장 정교한 공격자는 강화된 시스템에서 장시간 탐지되지 않고 지속될 수 있다.^[9]

공격 동기와 목표 또한 다양하며, 예상되는 위협이 수동적인 첩보 활동, 데이터 조작, 적극적인 탈취 중 무엇인지에 따라 다른 완화 방법이 필요할 수 있다.^[11]

소프트웨어 공급업체와 정부는 주로 알려지지 않은 취약점(제로데이 공격)에 관심이 있는 반면, 조직 범죄 집단은 알려진 취약점을 기반으로 하는 익스플로잇 키트에 더 관심이 있는데, 이는 훨씬 저렴하기 때문이다. 시장의 투명성 부족은 구매자가 제로데이 취약점이 다른 당사자에게 판매되지 않았다는 것을 보장할 수 없는 문제를 야기한다. 구매자와 판매자는 다크 웹에서 광고하고, 추적 불가능한 거래를 위해 암호화폐를 사용한다. 범죄자들은 다양한 시스템을 공격할 수 있는 소프트웨어를 작성하고 유지 관리하는 어려움 때문에 직접 사용하는 것보다 익스플로잇을 임대하여 더 많은 돈을 벌 수 있다는 것을 알게 되었다.

7. 1. 서비스형 사이버 범죄

해커라고 하면 흔히 혼자 일하는 사람을 떠올리지만, 실제로는 많은 사이버 위협이 자금력이 풍부한 전문가 집단에 의해 발생한다.^[1] 사이버 범죄로 인한 수입이 늘면서 더 많은 공격이 발생하고, 공격자들의 전문성과 고도화가 심화되고 있다.^[2] 다른 범죄와 달리 사이버 범죄는 원격으로 수행할 수 있으며, 공격 규모도 커지는 경향이 있다.^[2]

사이버 공격에 사용될 수 있는 소프트웨어를 해커가 미리 만들어 판매하는 것을 서비스형 사이버 범죄라고 한다. 이는 기존 해킹보다 위험은 낮고 수익은 높아 인기를 얻고 있다.^[3] 이러한 서비스의 주요 형태는 손상된 장치들로 봇넷을 만들어 다른 사이버 범죄자에게 임대하거나 판매하는 것이다.^[4] 서로 다른 봇넷은 DDoS 공격이나 암호 해독과 같이 서로 다른 작업에 특화되어 있다.^[4] 봇넷을 만드는 데 사용되는 소프트웨어나^[5] 구매자의 악성 코드를 봇넷 장치에 로드하는 봇을 구매하는 것도 가능하다.^[6] 판매자가 제어하는 봇넷을 이용한 DDoS 서비스도 흔하며, 서비스형 사이버 범죄의 첫 번째 상품일 수 있다. SMS 홍수 공격으로 휴대폰 네트워크에서 발생할 수도 있다.^[7] 서비스형 악성 코드와 랜섬웨어는 기술이 부족한 사람도 사이버 공격을 할 수 있게 만들었다.^[8]

8. 공격 대상 및 피해

사이버 공격의 표적은 개인, 기업, 정부 기관 등 매우 다양하다. 많은 사이버 공격이 실패하거나 무산되지만, 성공할 경우에는 심각한 피해를 초래할 수 있다.

사이버 공격으로 인한 피해는 여러 영역으로 분류할 수 있다.

신체적 피해: 부상, 사망, 재산 피해를 포함한다.
디지털 피해: 데이터 파괴, 악성 프로그램 유입 등이 있다.
경제적 손실: 운영 중단, 조사 비용, 규제 위반 벌금 등으로 인한 손실을 의미한다.
정신적 피해: 데이터 유출에 대한 사용자의 불안감 등이 이에 해당한다.
평판 손상: 공격으로 인한 평판 손실
사회 전체에 대한 부정적 외부 효과: 공격으로 인해 중요한 서비스에 대한 소비자 접근이 제한되는 경우 등이 있다.

8. 1. 소비자 데이터

매일 수천 건의 데이터 기록이 개인으로부터 도난당하고 있다.^[1] 2020년 추산에 따르면 데이터 유출의 55%는 조직 범죄에 의해, 10%는 시스템 관리자에 의해, 10%는 고객이나 직원과 같은 최종 사용자에 의해, 그리고 10%는 국가 또는 국가 지원 행위자에 의해 발생했다.^[2] 기회주의적 범죄자들은—종종 악성코드 또는 사회 공학 공격을 사용하여—데이터 유출을 일으킬 수 있지만, 보안 수준이 평균 이상이면 일반적으로 다른 곳으로 옮겨간다. 더 조직적인 범죄자들은 더 많은 자원을 가지고 있으며 특정 데이터의 표적 공격에 더 집중한다.^[3] 이들은 모두 금전적 이득을 위해 얻은 정보를 판매한다.^[4] 데이터 유출의 또 다른 원인은 예를 들어 익명(Anonymous)과 같은 정치적으로 동기가 부여된 해커로, 특정 목표를 표적으로 한다.^[5] 국가 지원 해커는 정치적 탄압 및 스파이 활동과 같은 목적으로 자국민이나 외국 기관을 표적으로 한다.^[6]

데이터 유출 후 범죄자들은 사용자 이름, 암호, 소셜 미디어 또는 고객 로열티 계정 정보, 직불 카드 및 신용 카드 번호,^[7] 개인 건강 정보(의료 데이터 유출 참조) 등의 데이터를 판매하여 돈을 벌고 있다.^[8] 이 정보는 스팸 메일 발송, 피해자의 로열티 또는 결제 정보를 사용한 제품 획득, 처방약 사기, 보험 사기,^[9] 특히 신원 도용과 같은 다양한 목적으로 사용될 수 있다.^[10] 유출로 인한 소비자 손실은 일반적으로 기업에 대한 부정적인 외부 효과이다.^[11]

8. 2. 핵심 인프라

사이버물리시스템에 의존하여 기능하는 의료, 수자원 공급, 교통 및 금융 서비스와 같이 가장 필수적인 것으로 간주되는 핵심 인프라는 네트워크 접근에 점점 더 의존하고 있다.^[1] 2023년 기준으로, 수년 동안 작가들은 실현되지 않은 사이버 공격의 엄청난 결과에 대해 경고해 왔다.^[2] 이러한 극단적인 시나리오는 여전히 발생할 수 있지만, 많은 전문가들은 물리적 피해를 입히거나 공포를 확산하는 데 어려움을 극복하기는 어려울 것이라고 생각한다.^[2] 필수 서비스 중단으로 이어지는 경우도 있는 소규모 사이버 공격이 정기적으로 발생한다.^[3]

콜로니얼 파이프라인 사이버 공격 이후 벌어진 폭발적 매점매석으로 인해 가동이 중단된 버지니아주 오크힐의 주유소

8. 3. 기업 및 조직

경제적 피해(예: 평판 손상)에 대한 경험적 증거는 법적, 기술적, 홍보적 복구 노력과 같은 직접 비용^[1]을 제외하고는 거의 없다.^[2] 사이버 공격과 단기적인 주가 하락을 연관시키려는 연구는 상반된 결과를 보였는데, 어떤 연구는 미미한 손실을 발견한 반면, 다른 연구는 아무런 영향도 발견하지 못했고, 일부 연구자들은 이러한 연구의 방법론적 측면을 비판했다. 주가에 대한 영향은 공격의 유형에 따라 다를 수 있다.^[3] 일부 전문가들은 증거가 보여주는 바에 따르면, 위반으로 인한 직접 비용이나 평판 손상이 예방을 위한 충분한 유인이 되지 못한다고 주장했다.^[1]^[4]

8. 4. 정부

2022년 코스타리카 정부 웹사이트는 랜섬웨어 공격으로 인해 마비되었다.

정부 웹사이트와 서비스는 사이버 공격의 피해 대상 중 하나이다. 일부 전문가들은 사이버 공격이 사회적 신뢰 또는 정부에 대한 신뢰를 약화시킨다고 추측하지만, 2023년 기준으로 이러한 개념은 제한적인 증거만 가지고 있다.

9. 대응

사이버 공격에 신속하게 대응하면 피해를 줄일 수 있다. 대응에는 기술 조사, 법률 및 홍보 등 다양한 기술이 필요하다.^[1] 사이버 공격이 자주 발생하기 때문에 일부 기업은 공격이 감지되기 전에 사고 대응 계획을 세우고, 사고 처리를 위해 컴퓨터 긴급 대응팀을 지정하기도 한다.^[2]^[1]

9. 1. 탐지

많은 공격은 감지되지 않는다. 감지된 공격의 경우, 평균 발견 시간은 197일이다.^[1] 백신 소프트웨어, 방화벽, 침입 탐지 시스템과 같은 기술을 사용하여 일부 시스템은 공격을 나타낼 수 있는 이상 현상을 감지하고 플래그를 지정할 수 있다. 의심스러운 활동이 의심되면 조사관은 공격 지표와 침해 지표를 찾는다.^[2] 공격이 데이터 무결성(데이터 수정)이나 기밀성(데이터 변경 없이 복사)이 아닌 정보 가용성(예: 서비스 거부 공격)을 목표로 하는 경우 발견이 더 빠르고 가능성이 높다.^[3] 국가 행위자는 공격을 비밀로 유지할 가능성이 더 높다. 가치 있는 악용 사례를 사용하는 정교한 공격은 가해자가 악용 사례의 유용성을 보호하려고 하기 때문에 감지되거나 발표될 가능성이 더 낮다.^[3]

증거 수집은 즉시 이루어지며, 빠르게 지워질 가능성이 있는 휘발성 메모리 증거를 우선시한다.^[4] 침해에 대한 데이터 수집은 이후 소송이나 형사 기소를 용이하게 할 수 있지만,^[5] 데이터가 법적 기준에 따라 수집되고 증거 보관 체계가 유지되는 경우에만 가능하다.^[6]^[4]

9. 2. 복구

사이버 공격 이후에는 영향받은 시스템을 격리하는 것이 최우선 순위가 되는 경우가 많다. 시스템 종료, 격리, 샌드박스 시스템을 사용하여 상대방에 대한 추가 정보를 얻는 방법 등이 사용될 수 있다. 또한 패치를 통해 취약점을 해결하고 재구축하는 방법도 사용된다.^[1] 시스템이 손상된 방식을 정확히 파악하고 나면, 일반적으로 위반을 봉쇄하고 재발을 방지하기 위해 해결해야 할 기술적 취약성은 한두 가지에 불과하다.^[2] 그런 다음 침투 테스트를 통해 수정 사항이 예상대로 작동하는지 확인할 수 있다.^[3]

악성코드가 포함된 경우, 조직은 모든 침입 및 유출 경로를 조사하고 폐쇄해야 하며, 시스템에서 모든 악성코드를 찾아 제거해야 한다.^[4] 격리는 조사를 방해할 수 있으며, 서버 종료와 같은 일부 전술은 회사의 계약상 의무를 위반할 수 있다.^[5] 위반이 완전히 봉쇄된 후에는 회사는 모든 시스템을 운영 상태로 복원하는 작업을 진행할 수 있다.^[6] 백업을 유지하고 테스트된 사고 대응 절차를 갖추는 것은 복구를 개선하는 데 사용된다.^[7]

9. 3. 책임 추적

사이버 공격의 배후를 밝히는 것은 어렵고, 사이버 공격의 표적이 된 기업들에게는 제한적인 관심사이다. 반대로, 정보기관은 국가가 공격 배후에 있는지 여부를 알아내는 데 강한 관심을 갖는 경우가 많다.^[1] 대면 공격과 달리, 사이버 공격 배후의 주체를 밝히는 것은 어렵다.^[2] 사이버 공격의 배후를 밝히는 데 있어 또 다른 어려움은 실제 가해자가 다른 누군가가 공격을 저지른 것처럼 보이도록 하는 가짜 깃발 작전의 가능성이다.^[1] 공격의 모든 단계는 로그 파일 항목과 같은 디지털 증거를 남길 수 있으며, 이를 통해 공격자의 목표와 신원을 파악하는 데 도움이 될 수 있다.^[1]^[3] 공격 이후 조사관들은 종종 발견할 수 있는 모든 증거를 저장하는 것으로 시작하며,^[4] 그런 다음 공격자를 파악하려고 한다.^[5] 법 집행 기관은 사이버 사건을 조사할 수 있지만,^[6] 책임 있는 해커들이 잡히는 경우는 드물다.^[7]

10. 법적 측면

대부분의 국가는 사이버 공격이 국제법상 무력 사용에 관한 법률에 따라 규제된다는 데 동의하며,^[5] 따라서 전쟁의 한 형태로서의 사이버 공격은 침략 금지 위반에 해당할 가능성이 높다. 따라서 이는 침략죄로 기소될 수 있다. 또한 사이버 공격이 국제 인도주의법에 따라 규율되며,^[5] 민간 기반 시설을 표적으로 하는 경우 전쟁 범죄, 반인도적 범죄, 또는 집단 학살 행위로 기소될 수 있다는 데에도 동의가 있다. 국제 사법 재판소는 공격의 명확한 귀속 없이는 이러한 법률을 집행할 수 없으며, 귀속이 불명확할 경우 국가의 대응 조치 또한 불법이다.

많은 국가에서는 사이버 공격을 사이버 범죄를 목표로 하는 다양한 법률에 따라 기소할 수 있다.^[6] 피고에게 합리적 의심 없이 공격의 귀속을 입증하는 것 또한 형사 소송에서 주요 과제이다. 2021년, 유엔 회원국은 사이버범죄 조약 초안에 대한 협상을 시작했다.^[7]

많은 관할 구역에서는 사이버 공격으로 개인 정보가 유출된 경우 조직이 해당 개인에게 통보하도록 요구하는 데이터 유출 알림 법률을 가지고 있다.

참조

_[1] 뉴스 Will Artificial Intelligence Save Us From the Next Cyber Attack? https://www.ozy.com/[...] 2018-10-30
_[2] 웹사이트 134 Cybersecurity Statistics and Trends for 2021 https://www.varonis.[...] Varonis 2021-02-27
_[3] 웹사이트 Forecast Analysis: Information Security, Worldwide, 2Q18 Update https://www.gartner.[...] 2022-02-27
_[4] 저널 Security Attack Behavioural Pattern Analysis for Critical Service Providers https://doi.org/10.3[...] 2024-01-10
_[5] 뉴스 Cyberattacks as war crimes https://www.ibanet.o[...] International Bar Association 2024-01-10
_[6] 뉴스 Key Issues: Offences against the confidentiality, integrity and availability of computer data and systems https://www.unodc.or[...] United Nations Office on Drugs and Crime 2024-04-08
_[7] 뉴스 What is the UN cybercrime treaty and why does it matter? https://www.chathamh[...] 2023-08-02
_[8] 웹인용 Cyber Attack - Glossary {{!}} CSRC https://csrc.nist.go[...] 2021-09-05
_[9] 웹인용 ISTQB Standard glossary of terms used in Software Testing http://glossar.germa[...] 2021-12-20
_[10] 저널 Financial Weapons of War https://ssrn.com/abs[...] 2016-04-14
_[11] 논문 Stuxnet Worm Impact on Industrial Cyber-Physical System Security http://papers.duckdn[...] 37th Annual Conference of the IEEE Industrial Electronics Society (IECON 2011) 2014-04-20