최근의 사이버 공격은 단순히 파일을 암호화하는 수준을 넘어, 조직의 핵심 인프라 자체를 장악하는 고도화된 형태로 진화했습니다. 공격자들이 어떻게 초기 침투부터 최종 데이터 유출 및 암호화에 이르기까지 전 과정을 수행하는지 이해하는 것은, 방어 전략을 수립하는 가장 중요한 첫걸음입니다. 본 글에서는 공격자가 목표 시스템에 침투하여 권한을 획득하고, 데이터를 탈취하며, 최종적으로 시스템을 마비시키는 전 과정을 단계별로 분석합니다.
1단계: 초기 침투 (Initial Access)
공격의 시작점은 가장 취약한 지점입니다. 공격자는 가장 적은 노력으로 가장 큰 효과를 볼 수 있는 경로를 찾습니다.
- 피싱 이메일 (Phishing Emails): 가장 흔하고 효과적인 방법입니다. 직원들이 첨부된 악성 문서(매크로 포함)나 악성 링크를 클릭하게 유도하여 초기 악성 코드를 시스템에 심습니다.
- 원격 데스크톱 프로토콜 (RDP) 취약점: 패치되지 않은 RDP 포트를 외부로 개방해두거나, 기본 비밀번호를 사용하는 계정을 노립니다. 이는 가장 직접적이고 강력한 침투 경로가 됩니다.
- 공급망 공격 (Supply Chain Attack): 신뢰하는 제3의 소프트웨어 공급망에 악성 코드를 심어, 해당 소프트웨어를 사용하는 모든 고객사에게 동시다발적으로 공격을 가합니다.
2단계: 권한 상승 및 정찰 (Privilege Escalation & Reconnaissance)
초기 침투에 성공했다고 해서 공격이 끝난 것은 아닙니다. 공격자는 시스템 내에서 자신의 권한을 높이고, 다음 목표를 물색하는 정찰 작업을 수행합니다.
- 권한 상승 (Privilege Escalation): 초기 침투 시 획득한 계정은 보통 일반 사용자 권한입니다. 공격자는 운영체제(OS)의 취약점(예: 커널 취약점)을 이용하거나, 잘못 설정된 권한 설정을 악용하여 관리자 권한(Administrator) 또는 도메인 관리자 권한(Domain Admin)을 획득하는 것을 목표로 합니다.
- 네트워크 정찰 (Network Reconnaissance): 공격자는
ping,net view,nltest등의 기본 명령어를 사용하여 네트워크 구조를 파악합니다. 어떤 서버가 핵심 데이터베이스를 가지고 있는지, 어떤 사용자 계정이 관리자 권한을 가지고 있는지 등을 매핑합니다. - 크리덴셜 탈취 (Credential Harvesting): 메모리 덤프(Memory Dump)를 획득하거나,
Mimikatz와 같은 도구를 사용하여 메모리에 남아있는 사용자 계정의 암호 해시(Hash)를 탈취합니다. 이 해시를 이용해 다른 시스템에 로그인할 수 있는 ‘열쇠’를 확보합니다.
3단계: 측면 이동 및 지속성 확보 (Lateral Movement & Persistence)
권한을 확보한 공격자는 목표 시스템에 직접 접근하는 대신, 네트워크를 따라 옆으로 이동하며 더 많은 자원을 확보합니다.
- 측면 이동 (Lateral Movement): 탈취한 자격 증명(Credentials)을 이용해 네트워크 내의 다른 서버나 워크스테이션으로 원격 접속합니다. 마치 거미줄을 타듯, 가장 가치 있는 데이터가 있는 중앙 서버(Domain Controller 등)를 목표로 이동합니다.
- 지속성 확보 (Persistence): 공격자는 자신의 접근 경로가 차단되더라도 재진입할 수 있는 백도어(Backdoor)를 심어둡니다. 이는 시스템의 예약된 작업(Scheduled Task)이나 레지스트리 키를 조작하는 방식으로 이루어지며, 보안팀의 탐지를 회피하는 것이 핵심입니다.
4단계: 데이터 유출 및 암호화 (Exfiltration & Encryption)
이 단계가 공격의 최종 목적지입니다.
- 데이터 유출 (Exfiltration): 공격자는 민감한 데이터(고객 정보, 지적 재산권, 재무 기록 등)를 압축하고, 외부의 통제된 서버(C2 Server)로 몰래 빼돌립니다. 데이터가 유출되는 과정 자체가 중요한 증거가 됩니다.
- 암호화 (Encryption): 데이터를 유출한 후, 공격자는 랜섬웨어를 실행하여 시스템의 모든 중요 파일(문서, 이미지, 데이터베이스 등)을 암호화합니다. 이 과정에서 파일 확장자가 변경되고, 암호화 키를 복구할 수 없게 만듭니다.
- 협박 메시지: 마지막으로, 시스템에 접근할 수 없게 된 사용자에게 암호화된 파일을 열 수 있는 ‘대가를 지불하라’는 협박 메시지를 띄우며 공격을 마무리합니다.
🛡️ 방어의 핵심: 다층 방어 전략 (Defense Pillars)
공격의 전 과정을 이해하는 것은 방어의 취약점을 찾아내는 것과 같습니다. 방어는 단 하나의 솔루션에 의존할 수 없으며, 여러 층위의 방어벽을 구축해야 합니다.
| 공격 단계 | 방어 목표 | 핵심 방어 기술 |
| :— | :— | :— |
| 초기 침투 | 경계 방어 강화 | 패치 관리: OS 및 애플리케이션의 취약점 즉시 패치. 이메일 게이트웨이: 첨부파일 및 링크에 대한 강력한 필터링. NAC (Network Access Control): 인가되지 않은 장비의 네트워크 접속 차단. |
| 권한 상승/정찰 | 권한 제한 및 감시 | 최소 권한 원칙 (PoLP): 사용자 및 서비스 계정에는 업무 수행에 필요한 최소한의 권한만 부여. MFA (Multi-Factor Authentication): 모든 중요 계정에 다중 인증 의무화. EDR (Endpoint Detection and Response): 비정상적인 프로세스 실행(Mimikatz 등) 탐지 및 차단. |
| 측면 이동 | 네트워크 분할 및 가시성 확보 | 네트워크 세분화 (Network Segmentation): 중요 서버 그룹을 물리적/논리적으로 분리하여, 한 곳이 뚫려도 전체로 확산되는 것을 방지. 비인가 트래픽 모니터링: 비정상적인 내부 통신 패턴 감지. |
| 데이터 유출/암호화 | 데이터 보호 및 복구 능력 확보 | 백업 전략: 3-2-1 규칙 준수 (3개의 복사본, 2가지 매체, 1개는 오프라인). |
결론적으로, 사이버 보안은 단일 솔루션에 의존하기보다, 인간의 실수, 기술적 취약점, 프로세스의 미비까지 다각도로 점검하는 ‘방어 심도(Defense in Depth)’ 전략을 구축하는 것이 가장 중요합니다.