사이버 공격 유형별 대응 방법 — 실전 가이드
들어가며
오늘날 사이버 공격은 종류가 다양하고 빠르게 진화합니다. 공격 유형을 알고, 각 유형별 초기 대응(Containment)과 복구(Recovery), 그리고 사전 예방(Prevention)을 준비해 두면 피해를 크게 줄일 수 있습니다. 아래는 자주 접하는 공격 유형을 중심으로 실무에 바로 쓰는 대응 절차를 정리한 글입니다.
1. 피싱(Phishing) / 스피어 피싱
특징: 이메일·메시지로 계정 정보, 링크 클릭, 악성 첨부파일 실행 유도.
징후: 의심스러운 발신자, 맞춤법 오류, 긴급성 강조, 의심스러운 링크/첨부.
즉각 대응
- 해당 이메일/메시지 삭제 및 사용자에게 전파(모르면 클릭 금지 경고).
- 의심 계정의 비밀번호 즉시 변경(2단계 인증 활성화 권장).
- 이메일 서버·스팸 필터 설정 강화, 의심 메일 원본 보관(포렌식용).
예방
- 2단계 인증(OTP, FIDO2) 전사 도입.
- 정기적인 보안 교육(피싱 모의훈련).
- SPF/DKIM/DMARC 설정으로 이메일 위조 방지.
2. 랜섬웨어(Ransomware)
특징: 파일 암호화 후 복호화 대가 요구. 백업 없이는 복구 불가 위험 큼.
징후: 파일 확장자 변경, 파일 접근 불가, 비정상 CPU·디스크 활동.
즉각 대응
- 네트워크 즉시 분리(감염 노드 격리).
- 백업에서 복원 가능 여부 확인(오염된 백업은 사용 금지).
- 감염 포인트 로그·이미지 보존 후 보안전문가 또는 CSIRT에 신고.
예방
- 정기적 오프라인·오프사이트 백업(3-2-1 원칙).
- 최소 권한 원칙 적용, 파일 공유 권한 제한.
- 엔드포인트 탐지·대응(EDR) 및 시그니처/행위 기반 탐지 도입.
3. DDoS(분산 서비스 거부)
특징: 트래픽 과부하로 서비스 불가.
징후: 트래픽 급증, 정상 요청 지연/응답 없음.
즉각 대응
- 트래픽 소스 차단(네트워크 레벨 ACL, 방화벽 규칙 적용).
- CDN/클라우드 DDoS 보호 서비스 활성화(예: 트래픽 흡수).
- 네트워크 장비 및 로그 저장.
예방
- 대역폭 오버프로비저닝과 DDoS 완화 서비스 계약.
- 애플리케이션 레벨 캐싱 및 레이트 리밋 설정.
4. 웹 취약점 공격 (SQL 인젝션, XSS 등)
특징: 입력 검증 실패를 이용해 데이터 유출·조작.
징후: 비정상 DB 쿼리, 웹 응답 에러, 예기치 않은 데이터 변경.
즉각 대응
- 취약 서비스 임시 차단 또는 웹 방화벽(WAF) 규칙으로 차단.
- 의심 트랜잭션 로그·파라미터 보존.
- 패치 및 소스코드 긴급 점검.
예방
- 입력값 검증·파라미터화된 쿼리 적용.
- 정기적인 보안 점검(OWASP Top 10 기준).
- WAF 및 자동 스캐너 도입.
5. 중간자 공격(MITM)
특징: 통신을 가로채거나 변조. SSL/TLS 미적용 구간 취약.
징후: 인증서 경고, 비정상 네트워크 세션, 데이터 변조 흔적.
즉각 대응
- 네트워크 분리 및 트래픽 캡처(패킷 보존).
- 인증서 및 TLS 설정 점검·교체.
- 관련 시스템 재인증(토큰·세션 무효화).
예방
- HTTPS/TLS 강제화(모든 서비스).
- 공개 Wi-Fi 사용 시 VPN 권장.
- 인증서 핀닝 및 최신 암호화 알고리즘 사용.
6. 자격증명 도용 / 브루트포스 / 크리덴셜 스터핑
특징: 유출된 계정정보를 이용해 자동 로그인 시도.
징후: 반복 로그인 실패 또는 갑작스런 정상 로그인(이상한 위치).
즉각 대응
- 해당 계정 강제 로그아웃 및 비밀번호 초기화.
- 로그인 시도 IP 차단 및 로그인 로그 보존.
- 의심 계정에 대한 추가 모니터링과 권한 검토.
예방
- 비밀번호 정책 강화(길이·복잡도) + 2단계 인증.
- 계정 잠금 정책·이상 로그인 탐지 도입.
- 패스워드 매니저 사용 권장.
7. 공급망 공격(Supply Chain)
특징: 소프트웨어/서비스 공급자 취약점을 통해 침투.
징후: 정상 업데이트 후 이상행동, 타겟이 아닌 업체의 침해 경고.
즉각 대응
- 영향 받는 소프트웨어의 사용 중지·격리.
- 공급사와의 공조 및 패치 적용.
- 영향 범위 조사 및 로그 보존.
예방
- 서드파티 리스크 평가·관리.
- 서명 검증 및 무결성 체크(해시 검증).
- 최소 권한 및 격리된 환경에서 외부 코드 실행.
8. 내부자 위협(Insider Threat)
특징: 권한 보유자가 실수 또는 악의로 데이터 유출/파괴.
징후: 비정상적 데이터 접근·대량 다운로드·근무시간 외 접근.
즉각 대응
- 해당 계정 권한 즉시 제한 및 활동 로그 확보.
- 관련 디바이스 격리 및 포렌식 이미지 생성.
- 인사·법무 부서와 협업하여 조사.
예방
- 최소 권한 원칙과 역할 기반 접근 제어(RBAC).
- 데이터 접근 감사 및 이상행동 탐지(UEBA).
- 퇴사·권한 변경 프로세스 철저화.
사건 대응 체크리스트 (간단)
- 식별: 이벤트 감지 → 정상/비정상 판단
- 격리: 영향 시스템 네트워크 분리
- 증거 보존: 로그, 메모리 덤프, 이미지 저장
- 근본 원인 분석: 공격 경로 및 취약점 확인
- 복구: 패치·백업 복원·계정 재설정
- 보고·사후조치: 당국/고객 통지, 개선 조치 실행
빠른 대응용 템플릿 (사례: 랜섬웨어)
- 발견일시: YYYY-MM-DD HH:MM
- 발견자: (이름/부서)
- 감염 범위: (서버/PC 수)
- 즉시조치: 네트워크 분리 / 백업 확인 / 포렌식 이미지 생성
- 복구계획: (백업복원 일정, 테스트)
- 재발방지: (패치/EDR 도입/권한정책 변경)
마무리 — 우선순위 요약
- 백업과 인증은 모든 조직의 1순위 방어입니다.
- 로그 보존과 증거 수집은 사고 발생 시 피해 복구 및 원인 규명에 결정적입니다.
- 보안은 사람·프로세스·기술의 조합입니다 — 기술만으로는 완벽하지 않습니다.
사고 발생 시 내부 대응팀(CIRT) 또는 외부 보안 전문가와 즉시 협력하세요.
📌 다른 블로그 바로가기
💼 직업 정보의 모든 것: http://jobsinfo.nanjobstory.com
💻 IT 정보의 모든 것: http://itinfo.nanjobstory.com
🍜 음식 정보의 모든 것: http://foodinfo.nanjobstory.com
🌏 여행 정보의 모든 것: http://travelinfo.nanjobstory.com
이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다.