"우리 방어, 이 정도면 충분할까요?"라는 질문은 사실 잘못 던져진 질문입니다. 충분한지 아닌지는 "누구를 막을 것인가"가 정해져야 비로소 답할 수 있습니다. 자동화 봇을 쫓아내는 담장과, 시간·자금·인내심을 무기로 삼는 국가급 조직을 상대하는 요새는 애초에 설계도가 다릅니다.
웹 서버를 인터넷에 올리는 순간 누군가는 그것을 발견하고, 발견된 자산은 곧 두드려집니다. 여기까지는 누구나 압니다. 문제는 그다음입니다. "공격이 들어온다"는 사실만으로는 방어를 설계할 수 없습니다. 모든 공격을 똑같이 무겁게 취급하면 한정된 시간과 예산은 순식간에 바닥나고, 정작 막아야 할 위협에는 손도 못 댄 채 끝납니다.
그래서 보안에서 가장 먼저 해야 할 일은 방화벽 설정도, 패치 적용도 아닙니다. "나는 누구로부터 무엇을 지키는가"를 종이에 적어 보는 것, 즉 위협 모델을 그리는 일입니다. 이 글에서는 2026년 현재 웹과 서버를 노리는 공격자들을 동기와 역량이라는 잣대로 줄 세워 보고, 각 유형이 왜 서로 다른 대비를 요구하는지, 그리고 수많은 조직이 빠지는 "우리는 표적이 아니다"라는 함정이 왜 치명적인지를 짚어 보겠습니다.
위협 모델이 없으면 방어는 미신이 된다
자전거 한 대를 지키는 일과 은행 금고를 지키는 일은 완전히 다른 문제입니다. 자전거에는 튼튼한 자물쇠 하나면 족하지만, 은행에는 금고와 경비원과 CCTV와 경보 체계가 겹겹이 필요합니다. 거꾸로, 동네에 세워 둔 자전거에 은행 수준의 보안을 들이부으면 그건 그냥 돈 낭비입니다.
여기까지는 당연합니다. 진짜 위험은 다른 데 있습니다. 스스로를 자전거라고 믿었는데 알고 보니 은행이었던 경우입니다. 그리고 현장에서 보면, 자기 조직의 가치를 실제보다 낮게 평가하는 곳이 압도적으로 많습니다. 고객 데이터베이스 하나가, 결제 연동 키 하나가, 또는 단지 더 큰 회사로 들어가는 통로라는 위치 하나가 당신을 "은행"으로 만들 수 있습니다.
위협 모델링(threat modeling)이란 거창한 방법론이 아닙니다. 나를 노릴 만한 자가 누구이고, 그가 어떤 동기와 역량과 끈기를 지녔는지를 먼저 그려 보는 것입니다. 이 그림이 있어야 비로소 "그에 비례하는" 방어를 설계할 수 있습니다. 그림이 없으면, 들리는 보안 조언을 닥치는 대로 따라 하면서도 정작 핵심 자산은 무방비로 노출하는 일이 벌어집니다.
공격자를 읽는 두 개의 좌표축
복잡해 보이는 공격자 생태계도, 두 개의 축 위에 올려놓으면 의외로 또렷하게 정리됩니다.
축 1 — 무차별인가, 표적인가
무차별 공격(opportunistic attack)은 피해자를 미리 정하지 않습니다. 인터넷 전체에 그물을 던져 놓고, 걸려드는 취약한 대상이면 무엇이든 잡아 올립니다. 이들에게 당신은 회사 이름이 아니라 하나의 IP 주소일 뿐입니다. 당신이 미워서가 아니라, 그저 문이 열려 있어서 들어옵니다. 그래서 방어 논리도 단순합니다.
곰을 만났을 때 곰보다 빨리 달릴 필요는 없습니다. 옆 사람보다 한 발짝만 빠르면 됩니다. 무차별 공격 앞에서 이 농담은 농담이 아니라 정확한 전략입니다. 당신을 "바로 다음 대상보다 조금만 더 귀찮은 표적"으로 만들면, 공격자는 미련 없이 더 쉬운 쪽으로 발길을 돌립니다.
표적 공격(targeted attack)은 정반대 세계입니다. 공격자가 콕 집어 당신을 골랐고, 당신에게 맞춰 공격을 직접 설계합니다. 직원들의 SNS를 뒤지고, 사용하는 기술 스택을 분석하고, 당신 회사만을 겨냥한 피싱 메일을 쓰고, 한 경로가 막히면 다른 경로를 팝니다. 여기서는 "옆 사람보다 빠르면 된다"가 통하지 않습니다. 옆 사람이 아니라 당신이 목표이기 때문입니다. 그래서 단일 방어선을 단단히 하는 것만으로는 부족하고, 뚫렸을 때 피해를 가두고 빠르게 알아채는 심층 방어가 반드시 필요해집니다.
축 2 — 역량의 사다리
공격자의 실력은 넓은 스펙트럼을 이룹니다. 한쪽 끝에는 남이 만든 도구를 받아 그저 실행할 뿐인 초심자가 있고, 반대쪽 끝에는 세상에 알려지지 않은 취약점(0-day)을 직접 발굴하고 맞춤형 악성코드를 찍어내는 국가급 조직이 있습니다. 사다리를 올라갈수록 공격은 더 정교해지고, 더 은밀해지고, 더 집요해집니다.
이 두 축을 교차시키면 네 개의 사분면이 생깁니다. 정리하면 이렇습니다.
| 사분면 | 전형적 공격자 | 빈도 | 방어 난이도 | 핵심 대응 |
|---|---|---|---|---|
| 무차별 × 저역량 | 스크립트 키디, 자동화 봇 | 매우 높음 | 낮음 | 기본기(패치·인증·노출 차단) |
| 무차별 × 고역량 | 산업화된 랜섬웨어(RaaS) | 높음 | 중간 | 기본기 + 백업·격리 |
| 표적 × 저역량 | 핵티비스트, 부주의한 내부자 | 낮음 | 중간 | 가용성 방어 + 권한 통제 |
| 표적 × 고역량 | APT(국가급) | 매우 낮음 | 매우 높음 | 침해 가정·탐지·복원력 |
대부분의 공격은 좌상단, 즉 "무차별 × 저역량"에 몰려 있습니다. 가장 흔하기 때문입니다. 그러나 가장 두려운 곳은 우하단, "표적 × 고역량"입니다. 빈도는 낮아도 일단 그 표적이 되면 막아내기가 극도로 어렵습니다. 이제 이 지형을 한 칸씩 밟아 가며 살펴보겠습니다.
스크립트 키디와 봇 — 인터넷의 끊임없는 배경 소음
가장 낮은 사다리, 가장 무차별적인 구석에서 출발합니다.
스크립트 키디(script kiddie)는 보안 업계에서 다소 비꼬는 투로 쓰는 말입니다. 공격의 원리는 잘 모르면서, 남이 만들어 둔 도구와 익스플로잇을 내려받아 설명을 따라 버튼만 누르는 부류를 가리킵니다. 직접 취약점을 찾거나 익스플로잇을 짜지는 못합니다.
그렇다고 이들을 가볍게 봐선 안 됩니다. 두 가지 이유가 있습니다.
- 머릿수가 압도적입니다. 진입 장벽이 거의 없다 보니, 호기심이나 과시욕으로 키보드를 두드리는 사람이 전 세계에 셀 수 없이 많습니다. 당신 서버 로그에 끊임없이 찍히는 정체불명의 접속 시도, 그 상당수가 이들과 그들이 돌리는 도구에서 나옵니다.
- 도구가 무섭게 좋아졌습니다. 실력은 낮아도 손에 쥔 무기는 전문가가 만든 것입니다. 운전을 못 하는 사람도 슈퍼카의 가속 페달은 밟을 수 있습니다. 자동화 스캐너와 익스플로잇 프레임워크는 해마다 더 쓰기 쉬워지고 더 강력해집니다.
그런데 사실 더 큰 비중을 차지하는 건 사람도 아닙니다. 봇입니다. 봇넷(botnet)은 이미 감염되어 공격자의 원격 명령을 받는 컴퓨터와 IoT 장치들의 거대한 네트워크입니다. 이 봇들은 사람의 개입 없이 24시간 인터넷을 훑으며 취약한 대상을 찾고, 익스플로잇을 던지고, 성공하면 그 장치를 새 식구로 삼아 봇넷을 불립니다. 지금 당신의 서버를 두드리는 것은 십중팔구 사람이 아니라, 이미 점령당한 누군가의 서버이거나 어딘가의 공유기입니다. 피로를 모르고, 휴일도 없고, 표적의 크고 작음을 따지지 않습니다.
이들이 노리는 곳은 늘 똑같이 뻔합니다. 밖에서 그대로 읽히는 설정 파일, 노출된 .git 디렉터리, 기본값으로 방치된 CMS·관리 패널, SSH 비밀번호 무차별 대입, 그리고 공개된 지 얼마 안 된 알려진 취약점입니다. 정교한 맞춤 공격은 없습니다. 가장 흔하고 가장 쉬운 문만 골라 두드립니다.
지금 이 순간 "실제로 인터넷에서 악용되고 있는" 취약점이 무엇인지 궁금하다면, 미국 CISA가 운영하는 실제 악용 취약점 목록(Known Exploited Vulnerabilities, KEV)을 보면 됩니다. 이론상 위험한 것이 아니라 실제 공격에 쓰인다고 확인된 취약점만 추려 둔 목록입니다. 자동화 봇이 다음에 어디를 칠지 알려주는 일기 예보판이라고 보면 됩니다. 이 목록에 당신이 쓰는 소프트웨어가 올라 있다면, 그 패치는 "나중에"가 아니라 "오늘"입니다.
방어가 명확한 것도 그 때문입니다. 기본기만 갖춰도 이 사분면의 공격은 대부분 빗나갑니다. 복붙해서 점검할 수 있도록 체크리스트로 정리하면 이렇습니다.
[ ] SSH 비밀번호 로그인 비활성화 → 공개키 인증만 허용 (무차별 대입 자체를 무력화)
[ ] .env, config 등 설정 파일과 .git 디렉터리 외부 접근 차단
[ ] 사용 중인 모든 소프트웨어·라이브러리 최신 패치 유지
[ ] 관리 패널을 Zero Trust 게이트웨이/VPN 뒤로 이동 (공개 인터넷에서 제거)
[ ] CISA KEV 목록과 자사 사용 스택 정기 대조
참고로 SSH 비밀번호 인증을 막는 건 설정 한 줄입니다.
# /etc/ssh/sshd_config
PasswordAuthentication no
PubkeyAuthentication yes
ChallengeResponseAuthentication no
요컨대 스크립트 키디와 봇은 "옆 사람보다 한 발짝만 빠르면 되는" 전형적인 상대입니다. 기본기를 갖추는 것만으로 당신은 이들의 그물에서 빠져나와, 더 쉬운 다음 표적에게 그들을 넘겨 줄 수 있습니다.
돈을 노리는 범죄 조직 — 사이버 범죄를 산업으로 만든 자들
사다리의 다음 칸에는 분명한 목적, 즉 돈을 위해 움직이는 조직화된 범죄 집단이 있습니다. 이들은 스크립트 키디와 차원이 다릅니다. 역할이 나뉘어 있고, 분업이 이뤄지고, 하나의 사업처럼 굴러갑니다.
랜섬웨어와 서비스형 범죄(RaaS)
오늘날 금전 동기 범죄의 한복판에는 랜섬웨어(ransomware)가 있습니다. 피해자의 데이터를 암호화해 못 쓰게 만든 뒤 복호화 키를 빌미로 몸값을 뜯어내는 악성코드입니다. 요즘은 여기서 한 걸음 더 나아가, 암호화에 앞서 데이터를 미리 빼돌린 다음 "돈 안 내면 이걸 다 공개하겠다"고 협박하는 이중 갈취(double extortion)가 표준이 되었습니다. 백업으로 복구해 버려도 유출 협박은 그대로 남는다는 점에서 훨씬 악질적입니다.
더 우려스러운 건 이 시장이 서비스형(RaaS, Ransomware-as-a-Service)으로 산업화됐다는 사실입니다. 랜섬웨어를 직접 개발할 능력이 없는 범죄자도, 전문 조직이 만들어 둔 랜섬웨어를 "빌려서" 공격할 수 있게 됐다는 뜻입니다. 개발 조직은 도구를 만들어 공급하고, 실행자(affiliate, 도구를 빌려 실제 공격을 수행하는 가맹점 격의 범죄자)는 그걸로 침투해 수익을 나눕니다. 이 분업 구조가 공격의 규모와 빈도를 폭발적으로 끌어올렸습니다. 앞서 말한 "도구가 무섭게 좋아졌다"의 극단적 형태입니다. 진입 장벽은 내려가고, 부족한 전문성은 분업으로 메워집니다.
한 건의 취약점이 이 산업화 모델과 만났을 때 얼마나 큰 재앙이 되는지를 보여 준 교과서적 사례가 2023년 MOVEit Transfer 사건입니다. MOVEit은 기업들이 대용량 파일을 안전하게 주고받는 데 쓰던 파일 전송 소프트웨어였습니다. 여기서 SQL 인젝션 취약점 CVE-2023-34362가 드러나자 Cl0p 랜섬웨어 조직이 이를 대량으로 악용했고, 이 소프트웨어를 쓰던 전 세계 수많은 기관의 데이터가 한꺼번에 털렸습니다. 핵심은 이겁니다. 공격자가 피해 기관을 하나하나 정교하게 공략한 게 아니라, 그 취약한 소프트웨어를 쓰는 곳을 자동으로 쓸어 담았다는 점입니다. 당신이 뭘 특별히 잘못해서가 아니라, 단지 그 소프트웨어를 패치하지 않은 채 쓰고 있었다는 이유 하나로 피해자 명단에 오를 수 있습니다. 이 취약점 역시 발견 즉시 CISA KEV 목록에 등재됐습니다.
두 축의 경계에 걸쳐 있는 존재
흥미로운 점은, 금전 동기 조직이 무차별과 표적 두 축에 걸쳐 있다는 것입니다.
들어올 때는 무차별입니다. 자동화 스캔으로 취약한 대상을 광범위하게 긁어모읍니다. 그런데 일단 들어갈 만한 곳을 찾으면, 그 순간부터 표적 공격으로 모드를 바꿉니다. 피해자의 규모와 지불 능력을 가늠하고, 어떤 데이터가 가장 아픈 곳인지 파악하고, 원본을 암호화하기 전에 먼저 백업을 파괴하고, 몸값을 협상합니다. 이 후반부는 사람이 직접 키보드를 잡는 정교한 작전인 경우가 많습니다.
그래서 방어도 두 겹입니다. 침투 자체를 막는 기본기가 1차 방어선이고, 뚫렸을 때 피해를 최소화하는 심층 방어가 2차 방어선입니다. 특히 랜섬웨어에 대한 가장 강력한 방어는, 역설적이게도 침투를 막는 게 아니라 백업입니다. 데이터가 암호화돼도 깨끗한 백업에서 되살릴 수 있다면, 몸값을 줄 이유가 사라집니다.
다만 현장에서 거듭 확인하는 함정이 하나 있습니다. 백업이 서버에 그대로 연결돼 있으면, 정교한 공격자는 원본을 암호화하기 전에 그 백업부터 찾아 지웁니다. 그래서 백업은 "있다"가 아니라 "공격자 손이 닿지 않는 곳에 있고, 실제로 복구까지 되더라"가 확인돼야 비로소 백업입니다. 자동 백업이 매일 도는 것과, 그 백업이 진짜 되돌려지는지는 전혀 다른 문제입니다. 주기적으로 직접 복원 테스트를 돌려 보기 전까지는 백업이 있다고 말하지 마십시오. 흔히 권장되는 3-2-1 규칙(사본 3개, 저장 매체 2종, 오프사이트 1개)이 랜섬웨어 시대의 핵심 생존 전략인 이유가 여기 있습니다.
"우리는 작아서 표적이 아니다"라는 착각
여기서 이 글의 가장 중요한 주제 하나를 정면으로 짚겠습니다. 많은 중소 조직이 "랜섬웨어는 대기업이나 당하는 것"이라고 믿습니다. 위험한 오해입니다. 오히려 진실은 정반대에 가깝습니다.
RaaS로 공격 단가가 뚝 떨어지자, 범죄자들은 깨달았습니다. 보안이 허술한 중소 조직을 자동화로 대량 터는 쪽이 훨씬 안정적인 사업 모델이라는 것을요. 대기업은 막대한 예산과 전담 팀으로 무장하고 있지만, 중소 조직은 그렇지 못합니다. 큰 한 건을 노리다 실패하느니, 약한 작은 건 여러 개를 자동으로 쓸어 담는 편이 수익이 일정합니다. 해마다 침해 사고를 통계로 정리하는 Verizon 데이터 침해 조사 보고서(DBIR) 같은 자료를 펼쳐 보면, 중소 조직이 결코 사고에서 비켜나 있지 않다는 사실이 매년 똑같이 확인됩니다.
침투 경로 대부분이 거창한 0-day가 아니라는 점도 반드시 기억해야 합니다. 이미 패치가 나와 있는데도 적용하지 않고 방치한 취약점이 가장 흔한 입구입니다. Citrix 장비의 Citrix Bleed(CVE-2023-4966)가 대표적입니다. 패치가 이미 배포돼 있었는데도, 그걸 적용하지 않은 조직들이 랜섬웨어 조직에 줄줄이 뚫렸습니다. 다시 말해 당신이 작아서 안전한 게 아니라, 패치를 미뤄서 위험한 것입니다.
게다가 몸값의 타격은 작은 조직에 상대적으로 더 치명적입니다. 대기업은 사고를 흡수할 체력이 있지만, 작은 조직은 단 한 번의 랜섬웨어로 문을 닫을 수도 있습니다. 협박이 더 잘 먹힌다는 뜻이고, 그건 곧 더 매력적인 표적이라는 뜻입니다. 당신이 작다는 사실은 안전의 근거가 아니라, 오히려 위험의 근거일 수 있습니다.
핵티비스트와 내부자 — 동기가 다른 위협
돈이 아닌 다른 동기로 움직이는 공격자도 있습니다. 빈도는 낮지만 동기가 다른 만큼 표적 선정과 행동 양식도 달라서, 별도로 위협 모델에 넣어 둘 가치가 있습니다.
핵티비스트
핵티비스트(hacktivist)는 정치적·사회적·이념적 목적을 위해 해킹하는 개인이나 집단입니다. 이들이 원하는 건 돈이 아니라 메시지의 확산, 항의의 표시, 적대 세력에 대한 타격입니다. 그래서 공격도 종종 "보여 주기"를 노립니다.
- 디페이스먼트 — 웹사이트를 변조해 정치 구호를 띄웁니다.
- DDoS — 대규모 트래픽으로 서비스를 마비시켜 운영을 방해합니다.
- 폭로 — 내부 문서를 탈취해 공개합니다.
표적은 그들의 명분과 대립하는 정부·기업·단체가 됩니다. 따라서 당신의 조직이 정치적·사회적으로 민감한 영역에 있거나 논쟁적 사안과 얽혀 있다면, 핵티비스트의 표적이 될 가능성을 위협 모델에 넣어야 합니다. 이들에 대한 방어는 기본기에 더해 가용성을 지키는 DDoS 대응과 웹 변조를 빠르게 탐지·복구하는 체계가 중요합니다.
내부자 위협
가장 막기 어려운 위협 중 하나는 밖이 아니라 안에서 옵니다. 내부자(insider)는 이미 합법적인 접근 권한을 쥔 사람입니다. 직원, 계약자, 협력사 직원 등이 모두 해당합니다. 내부자 위협은 둘로 나뉩니다.
| 유형 | 동기 | 대표 행위 |
|---|---|---|
| 악의적 내부자 | 불만, 금전 유혹, 외부의 포섭 | 데이터 탈취, 시스템 파괴, 외부 공격자에게 접근 제공 |
| 부주의한 내부자 | 악의 없음(실수) | 피싱에 속아 자격 증명 유출, 민감 데이터 오업로드, 보안 절차 무시 |
내부자가 특히 까다로운 이유는, 외부 침입을 막는 방어 대부분이 그들에게는 무력하기 때문입니다. 방화벽도 Zero Trust 게이트웨이도, 상대가 이미 안에 들어와 있다면 소용이 없습니다. 그래서 내부자 위협에 대한 대응은 기술이 아니라 구조에 있습니다.
- 최소 권한 원칙 — 누구도 필요 이상의 권한을 갖지 않습니다.
- 직무 분리 — 한 사람이 모든 권한을 독점하지 않도록 나눕니다.
- 모든 행위의 기록과 감사 — 누가 무엇을 했는지 추적 가능하게 남깁니다.
- 접근 권한의 주기적 검토 — 더 이상 필요 없는 권한을 정기적으로 회수합니다.
APT — 시간과 자금과 인내심을 무기로 삼는 자
이제 위협 지형의 정점, 가장 정교하고 가장 위험한 공격자에 도달했습니다.
APT(Advanced Persistent Threat, 지능형 지속 위협)는 이름 그대로 세 가지 특징을 가진 위협입니다.
- 지능형(Advanced) — 높은 기술 역량과 자원을 보유합니다. 알려지지 않은 0-day를 직접 발굴하거나 사들이고, 맞춤형 악성코드를 제작하며, 여러 기법을 엮은 정교한 작전을 수행합니다.
- 지속(Persistent) — 한 번의 시도로 끝나지 않습니다. 목표를 이룰 때까지 몇 달, 길게는 몇 년에 걸쳐 집요하게 침투를 시도하고, 일단 들어가면 들키지 않고 오래 머뭅니다.
- 위협(Threat) — 명확한 목표와 의도를 가진 조직화된 집단입니다.
APT는 대부분 국가의 지원을 받거나 국가 그 자체입니다. 첩보, 지식재산 탈취, 핵심 기반 시설 교란, 정치적 영향력 행사 등이 그들의 목적입니다. 일부는 국가의 비호 아래 제재 회피용 외화벌이를 노리는 범죄 조직이기도 합니다.
APT는 이렇게 움직인다
APT의 작전은 앞서 본 어떤 공격자와도 다른 결을 가집니다. 대략 다음 단계로 전개됩니다.
- 장기 정찰 — OSINT(공개 출처 정보)를 총동원해 표적을 샅샅이 조사합니다. 조직도, 핵심 인물, 기술 스택, 협력사 관계까지 파악합니다.
- 정밀 초기 침투 — 무차별과 달리 표적에 맞춘 정확한 경로를 택합니다. 특정 임원을 겨냥한 맞춤 피싱(스피어 피싱), 0-day를 이용한 직접 침투, 또는 더 약한 협력사를 먼저 뚫고 그곳을 발판 삼아 본 표적으로 들어오는 공급망 우회 등입니다.
- 은밀한 거점 확보와 측면 이동 — 들키지 않게 조용히 권한을 키우고, 내부 네트워크를 가로질러 이동합니다(lateral movement, 처음 뚫은 한 대에서 옆 시스템으로 차근차근 옮겨 가는 것). 이때 정상적인 관리 도구를 악용해 흔적을 평범한 운영 활동처럼 위장합니다.
- 목표 달성과 잔류 — 데이터를 빼내거나 시스템을 장악한 뒤에도 종종 백도어를 남겨 두고, 무엇보다 들키지 않은 채 최대한 오래 머뭅니다. 많은 APT 침해가 수개월에서 수년간 탐지되지 않은 채 진행됩니다.
공격자들이 실제로 어떤 단계와 기법을 밟는지는 MITRE ATT&CK라는 공개 지식 베이스에 체계적으로 정리돼 있습니다. 방어자가 "어디를 지켜봐야 하는지"를 가늠하는 지도로 쓰입니다.
은행도, 대기업도, 정부도 뚫렸다
이 글이 전하고 싶은 가장 무거운 진실이 여기에 있습니다. APT 앞에서는 그 누구도 절대적으로 안전하지 않습니다.
막대한 보안 예산과 전담 팀을 갖춘 글로벌 기업, 엄격한 규제 아래 놓인 금융 기관, 국가 기밀을 다루는 정부 부처 — 이들조차 APT에 침해당한 사례가 반복적으로 나왔습니다. 이유는 단순합니다. 방어자는 모든 문을 다 지켜야 하지만, 공격자는 단 하나의 열린 문만 찾으면 됩니다. 이 비대칭은 충분한 시간·자금·인내심을 가진 상대 앞에서 방어자를 근본적으로 불리하게 만듭니다. 완벽한 방어란 존재하지 않습니다.
그래서 필요한 사고방식이 "침해를 가정하라(Assume Breach)"입니다. APT를 상대로 "절대 안 뚫리겠다"는 목표는 비현실적입니다. 현실적인 목표는 따로 있습니다. 침투를 최대한 어렵게 만들고, 뚫렸을 때 빠르게 탐지하고, 피해를 좁은 범위에 가두고, 신속하게 복구하는 것. 즉 완벽한 예방이 아니라 회복력(resilience)이 핵심입니다.
그럼 작은 조직은 APT를 무시해도 될까
"우리는 국가가 노릴 만한 곳이 아닌데"라는 생각, 부분적으로는 맞습니다. 평범한 중소기업이 APT의 직접적인 1차 표적이 될 확률은 높지 않습니다. 그러나 두 가지를 반드시 기억해야 합니다.
첫째, 공급망의 약한 고리로서 표적이 될 수 있습니다. APT는 강력한 본 표적을 정면으로 치기 어려울 때, 그 표적과 연결된 약한 고리를 먼저 노립니다. 당신의 조직이 더 큰 회사의 협력사·공급사·서비스 제공자라면, 당신은 그 큰 회사로 들어가는 통로로서 가치가 있습니다. 작다는 사실이 오히려 약한 고리로 선택받는 이유가 됩니다.
둘째, APT의 기법은 시간이 지나면 아래로 흘러내립니다. 오늘 APT만 쓰던 정교한 기법이, 내일은 일반 범죄 조직의 도구가 되고, 모레는 스크립트 키디의 자동화 스캐너에 기본 탑재됩니다. 0-day가 패치되어 n-day(패치는 나왔지만 아직 적용 안 한 곳이 남은 알려진 취약점)가 되면, 그것을 노리는 자동화 공격이 인터넷 전역으로 번집니다. 2021년 Log4Shell(CVE-2021-44228)이 이 흐름의 교과서입니다. 자바 로깅 라이브러리 Log4j의 이 치명적 취약점은 패치가 나온 뒤에도 수년간 미적용 서버를 노린 자동화 공격에 시달렸습니다. 즉, APT의 최첨단 기법을 직접 마주할 일은 없어도, 그 기법의 후예들은 결국 무차별 공격의 형태로 당신에게 도달합니다.
그러므로 작은 조직이 APT 수준의 방어를 전부 갖출 필요는 없지만, APT를 위협 지형에서 완전히 지울 수도 없습니다. 기본기를 단단히 하고 심층 방어의 사고방식을 들이는 것이, 위에서 흘러내리는 위협에 대한 최선의 대비입니다.
잊혀진 공격면 — 물리적 접근
지금까지 다룬 위협은 모두 네트워크를 통한 것이었습니다. 하지만 공격면은 케이블 끝에서 끝나지 않습니다.
물리적 접근은 거의 모든 논리적 방어를 우회합니다. 공격자가 서버나 직원의 노트북에 직접 손을 댈 수 있다면, 방화벽도 암호화도 상당 부분 무력해집니다. 잠기지 않은 서버실, 분실·도난당한 노트북, 버려진 저장 장치, 사무실에 슬쩍 꽂힌 USB 장치, 어깨너머로 비밀번호를 훔쳐보는 행위(shoulder surfing) — 이 모두가 물리적 공격면입니다.
특히 위험한 건 물리적 접근이 종종 사회 공학(social engineering)과 결합한다는 점입니다. 택배 기사나 시설 관리자로 위장해 건물에 들어오거나, 직원을 속여 출입문을 통과하는 일이 실제로 벌어집니다. 가장 정교한 디지털 방어를 갖춘 조직도, 친절한 직원 한 명이 모르는 사람을 위해 보안문을 잡아 주는 순간 무너질 수 있습니다.
물리적 보안은 IT 보안 논의에서 자주 잊히지만, 절대 빠뜨려선 안 되는 한 겹입니다. 저장 장치 암호화, 시건 장치와 출입 통제, 분실 장치 원격 잠금, 그리고 직원 교육이 기본 방어입니다.
실전: 당신만의 위협 모델 그리기
여기까지의 내용을 실무에 옮기는 가장 좋은 방법은, 직접 위협 모델을 그려 보는 것입니다. 완벽할 필요는 전혀 없습니다. 다음 네 질문에 답해 보는 것만으로도 방어의 초점이 또렷해집니다. 팀과 함께 표를 채워 보길 권합니다.
| 질문 | 점검 내용 |
|---|---|
| 무엇을 지키는가 (자산) | 가장 중요한 것은 무엇인가 — 고객 개인정보, 지식재산, 서비스 가용성, 자금? 잃었을 때 가장 치명적인 것부터 우선순위를 매긴다. |
| 누가 노리는가 (공격자) | 그 자산에 관심 가질 공격자는 어느 사분면에 있는가. 개인정보는 금전 동기 조직, 정치적 민감성은 핵티비스트, 가치 있는 기술이나 협력사 위치는 APT. 그리고 자동화 봇은 누구에게나 항상 기본값으로 존재한다. |
| 어떻게 들어오는가 (경로) | 식별한 공격자가 자산에 닿을 수 있는 통로 — 외부 노출 자산, 직원, 협력사, 물리적 접근 등을 모두 나열한다. |
| 무엇이 막고 있는가 (통제) | 각 경로마다 지금 어떤 방어가 작동하는지, 어디에 구멍이 있는지 점검한다. |
이 네 질문은 한 번 던지고 끝낼 게 아닙니다. 자산이 바뀌고, 위협이 진화하고, 시스템이 변하면 위협 모델도 따라서 갱신돼야 합니다. 위협 모델링은 일회성 행사가 아니라 보안이라는 과정의 일부입니다.
마지막으로, 손에 쥐고 바로 실행할 수 있는 항목들로 정리합니다.
[ ] 위협 모델을 글로 써 본다 (자산·공격자·경로·통제 네 질문에 답하기)
[ ] 우리가 어느 공급망의 일부인지 점검한다 (더 큰 조직의 협력사면 약한 고리)
[ ] 랜섬웨어 대비 백업 상태를 확인한다 (오프사이트 + 실제 복원 테스트)
[ ] 내부 접근 권한을 검토한다 (누가 무엇에 접근하는지, 모두 필요한 권한인지)
[ ] 물리적 접근면을 점검한다 (저장 장치 암호화·출입 통제·분실 장치 대응)
[ ] "우리는 표적이 아니다"라는 가정을 의심한다
핵심 요약
이 글에서 확인한 것을 압축하면 이렇습니다.
- 위협 모델 없는 보안은 초점이 없다. "누구로부터 무엇을 지킬까"를 먼저 물어야 비례하는 방어를 설계할 수 있다.
- 공격자는 두 축으로 읽힌다. 무차별이냐 표적이냐, 그리고 역량의 높낮이. 대부분은 무차별·저역량에 몰려 있고, 가장 위험한 건 표적·고역량(APT)이다.
- 무차별 공격은 기본기로 막힌다. 봇에게 당신은 IP일 뿐, 옆 사람보다 조금만 어려운 표적이 되면 그들은 떠난다.
- 금전 동기 조직은 산업화됐고, 오히려 작은 조직을 선호한다. "작아서 표적이 아니다"는 착각이며, 보안이 약한 중소 조직은 자동화 랜섬웨어의 효율적인 먹잇감이다.
- APT 앞에서는 누구도 절대 안전하지 않다. 그래서 "침해를 가정하라"가 필요하다. 작은 조직도 공급망의 약한 고리로, 흘러내린 기법의 대상으로 무관하지 않다.
- 위협은 네트워크에만 있지 않다. 내부자와 물리적 접근은 외부 방어를 우회하며, 종종 가장 약한 고리다.
자주 묻는 질문 (FAQ)
Q. 우리는 작은 회사인데 정말 공격 대상이 되나요? 네, 오히려 더 매력적인 대상일 수 있습니다. 자동화 봇과 RaaS 기반 랜섬웨어는 피해자를 가리지 않고 취약한 IP를 무차별로 훑습니다. 규모가 작아 보안 투자가 적은 조직일수록 "약한 고리"로서 효율적인 먹잇감이 됩니다. 게다가 더 큰 회사의 협력사라면 그 회사로 들어가는 통로로서 표적 가치까지 생깁니다. 작다는 것은 안전의 근거가 아니라 위험의 근거일 수 있습니다.
Q. 랜섬웨어를 막는 가장 효과적인 방법은 무엇인가요? 침투를 막는 기본기도 중요하지만, 가장 강력한 방패는 역설적이게도 백업입니다. 데이터가 암호화돼도 깨끗한 백업에서 복구할 수 있다면 몸값을 줄 이유가 없어집니다. 단, 백업이 서버에 그대로 연결돼 있으면 공격자가 먼저 찾아 지웁니다. 사본 3개·매체 2종·오프사이트 1개의 3-2-1 규칙을 지키고, 무엇보다 실제로 복원이 되는지 주기적으로 직접 테스트해야 합니다. 다만 데이터를 미리 빼돌리는 이중 갈취에는 백업만으로 부족하므로, 애초에 침투를 막는 기본기를 함께 갖춰야 합니다.
Q. 우리 회사가 쓰는 소프트웨어가 지금 공격받고 있는지 어떻게 알 수 있나요? 미국 CISA의 KEV(Known Exploited Vulnerabilities) 목록을 확인하세요. 실제 공격에 쓰인다고 확인된 취약점만 추려 둔 목록이라, 자동화 봇이 다음에 무엇을 칠지 알려주는 예보판 역할을 합니다. 사용 중인 소프트웨어와 라이브러리 목록을 이 KEV 목록과 정기적으로 대조하고, 일치하는 항목이 있으면 패치를 "나중에"가 아니라 "오늘" 적용하세요. MOVEit·Citrix Bleed·Log4Shell 사례 모두, 패치가 나와 있었는데 미루다가 당한 경우였습니다.
Q. APT는 국가급 조직만 노린다는데, 우리도 신경 써야 하나요? 직접적인 1차 표적이 될 확률은 낮지만, 두 가지 경로로 영향을 받습니다. 첫째, 더 큰 조직의 협력사라면 그 조직으로 가는 약한 고리로서 표적이 될 수 있습니다. 둘째, APT가 쓰던 정교한 기법은 시간이 지나면 일반 범죄 조직과 자동화 도구로 흘러내립니다. 0-day가 n-day가 되어 인터넷 전역의 무차별 공격으로 번지는 것입니다. 그래서 APT 수준의 방어를 전부 갖출 필요는 없어도, 기본기와 심층 방어의 사고방식은 반드시 필요합니다.
Q. 위협 모델링은 어떻게 시작하면 되나요? 거창한 도구나 방법론은 필요 없습니다. 네 가지 질문에 답해 보는 것으로 충분합니다. (1) 무엇을 지키는가(자산), (2) 누가 그것을 노릴 수 있는가(공격자), (3) 그들은 어떻게 들어오는가(경로), (4) 무엇이 그 경로를 막고 있는가(통제). 팀과 함께 표를 채워 보면 방어의 우선순위가 자연스럽게 드러납니다. 자산·위협·시스템이 변할 때마다 주기적으로 다시 갱신하는 것이 핵심입니다.
원문 출처 및 더 알아보기
이 글은 (주)뎁팀 웹 보안팀이 운영하는 보안 가이드 사이트 SGAEPS(시그앱스)의 가이드를 바탕으로 재구성했습니다. 더 깊은 원문은 SGAEPS 가이드 원문에서 확인하실 수 있습니다.