공격 벡터는 공격자가 시스템에 침투하기 위해 사용하는 경로와 방법을 의미하며, 크게 기술적 취약점을 이용하는 방식과 인간의 심리를 이용하는 방식으로 나눌 수 있습니다.
1. 사회 공학 (Social Engineering)
기술이 아닌 사람의 심리나 실수를 이용해 정보를 탈취하거나 악성 행위를 유도하는 공격입니다.
피싱 (Phishing): 이메일, 문자(스미싱), 메신저 등을 통해 금융 기관이나 유명 기업으로 위장하여 계정 정보나 비밀번호 입력을 유도합니다.
스피어 피싱 (Spear Phishing): 특정 개인이나 조직을 목표로 맞춤형 정보를 담아 보내는 정교한 피싱 공격입니다.
비싱 (Vishing): 음성(Voice) 통화를 이용한 피싱으로, 콜센터 직원 등을 사칭하여 정보를 빼냅니다.
미끼 (Baiting): 악성코드가 담긴 USB나 QR코드를 호기심을 자극하는 방식으로 노출시켜 사용자가 직접 실행하게 만듭니다.
2. 악성 소프트웨어 (Malware)
사용자 동의 없이 시스템에 설치되어 정보를 유출하거나 시스템을 파괴하는 모든 종류의 악의적 코드입니다.
랜섬웨어 (Ransomware): 파일을 암호화한 뒤 이를 풀어주는 대가로 금전을 요구하는 가장 위협적인 공격 중 하나입니다.
스파이웨어 (Spyware): 사용자 활동을 몰래 감시하고 키보드 입력, 개인 정보 등을 수집하여 공격자에게 전송합니다.
트로이 목마 (Trojan Horse): 정상적인 프로그램으로 위장하여 시스템에 침투한 뒤, 숨겨진 악성 기능을 수행합니다.
애드웨어 (Adware): 원치 않는 광고를 지속적으로 노출시키고, 때로는 스파이웨어 기능을 포함하기도 합니다.
3. 취약점 공격 (Exploits)
소프트웨어나 하드웨어에 존재하는 설계상의 허점(취약점)을 직접 공략하는 기술적인 공격입니다.
제로 데이 공격 (Zero-day Attack): 개발사가 아직 인지하지 못하거나 패치를 발표하지 않은 취약점을 악용하는 공격입니다.
패치 미적용 시스템 공격: 이미 보안 패치가 공개되었음에도 사용자가 업데이트를 적용하지 않은 시스템의 취약점을 노립니다.
웹 애플리케이션 공격: SQL 인젝션, 크로스 사이트 스크립팅(XSS) 등 웹사이트의 취약점을 이용해 데이터베이스를 공격하거나 사용자 세션을 탈취합니다.
4. 자격 증명 탈취 및 도용 (Credential Theft)
사용자의 인증 정보(ID, 비밀번호, 인증서 등)를 훔쳐 정상 사용자인 것처럼 시스템에 접근하는 방식입니다.
무차별 대입 공격 (Brute-force Attack): 가능한 모든 비밀번호 조합을 자동으로 시도하여 계정을 탈취합니다.
패스워드 스프레잉 (Password Spraying): 하나의 흔한 비밀번호를 가지고 여러 사용자 계정에 로그인을 시도하는 공격입니다.
크리덴셜 스터핑 (Credential Stuffing): 다른 곳에서 유출된 사용자 계정 정보를 다른 사이트에서 그대로 대입하여 로그인을 시도합니다.
5. 공급망 공격 (Supply Chain Attack)
보안이 비교적 취약한 협력업체나 소프트웨어 공급망을 먼저 해킹한 뒤, 이를 교두보 삼아 최종 목표인 대상을 공격하는 방식입니다. 신뢰 관계를 이용하기 때문에 방어가 매우 까다롭습니다.
6. 내부자 위협 (Insider Threats)
전·현직 직원이나 협력업체 직원 등 합법적인 접근 권한을 가진 내부자에 의해 의도적 또는 비의도적으로 정보 유출이나 시스템 파괴가 발생하는 경우입니다.
이러한 공격 벡터들은 단독으로 사용되기도 하지만, 여러 방식이 결합된 복합적인 형태로 나타나는 경우가 많아 다층적인 보안 전략이 필수적입니다.
댓글
댓글 쓰기