5. 주요 네트워크 공격 기법 정리

네트워크 보안

주요 네트워크 공격 기법 정리 — ‘공격 흐름’과 ‘로그 징후’로 빠르게 이해하기

공격 이름을 외우기보다, 어떤 단계에서 어떤 로그가 변하는지 연결해 보시면 대응 속도가 빨라집니다.

핵심 공격 흐름관점 증거/로그연계 NDR·EDR운영 기준선

이 글의 목표
‘공격 이름’을 외우는 것보다, 공격이 진행되는 흐름과 관측 가능한 징후(로그)를 연결해 보겠습니다. 초보 운영자 기준으로 방화벽/IPS/WAF/NDR/EDR에서 무엇을 보면 되는지에 초점을 맞춥니다.

1) 공격은 보통 ‘단계별’로 진행됩니다

현실의 공격은 한 번에 끝나지 않고, 여러 단계가 이어지는 경우가 많습니다.

그래서 어느 단계에서 빨리 발견하느냐가 피해 규모를 좌우합니다.

공격 흐름(정찰→스캔→침투→횡적이동→유출/파괴)과 방어 관점 포인트

2) 초보 운영자가 자주 만나게 되는 ‘공격 유형’ 묶음

• 계정 탈취: 피싱/자격증명 유출/약한 비밀번호 → 내부 시스템 로그인 시도
• 스캔/탐색: 포트/취약점 탐색, 비정상 세션/차단 급증
• 웹 공격: SQLi/XSS/업로드 등 — WAF에서 탐지·차단이 자주 발생
• 악성코드/랜섬웨어: 초기 침투 후 내부 확산(횡적이동), 백업/공유 폴더 타격
• 데이터 유출: 대용량 업로드, 신규 목적지(C2)로 장시간 연결, DNS 터널링 등
• DDoS: 서비스 가용성 공격(특정 서비스/링크 대역폭/세션 고갈)

3) ‘징후 → 어디서 보나’ 빠른 매칭 표

징후(증상)	우선 보는 장비/로그	초보 대응 방향
차단 로그 급증(특정 포트/다수 목적지)	방화벽 Deny Top, IPS 이벤트	스캔/오탐/장애 여부 구분 → 소스/정책/시간대 확인
웹 공격 차단 증가(특정 URI/파라미터)	WAF 룰/URI/차단 사유	탐지 모드로 재현 → 예외 최소화, 앱 취약점 수정 병행
내부 동서 트래픽 이상(원격관리 포트, SMB/RDP 등)	NDR/스위치 미러/서버 로그, EDR	격리(네트워크/단말) + 영향 범위 파악 + 계정/패치 점검
평소 없던 외부 목적지로 장시간 연결/대용량 전송	NDR/프록시/DNS 로그	유출 가능성 가정 → 우선순위 높게 조사(업무 트래픽 여부 확인)
서비스 응답 지연/세션 고갈	방화벽/로드밸런서/서버 지표, DDoS 장비	레이트 리밋/차단 정책 + 상위 회선/스크러빙 연계 검토

4) NDR이 ‘빛나는’ 구간은 어디인가요?

NDR은 네트워크 레벨 증거를 기반으로 내부 동서(East-West) 트래픽과 유출/명령제어(C2) 같은 흐름을 보강하는 데 강점이 있습니다.

• 단말/서버에 에이전트를 깔기 어려운 구간에서 행위 기반 이상징후를 찾을 때
• ‘정상 포트(443)’로 숨어드는 통신에서 목적지/패턴 변화를 찾을 때
• 탐지 후 방화벽/EDR과 연동해 격리/차단까지 자동화할 때

초보자 포인트
사고 대응은 ‘추측’이 아니라 증거(로그/패킷/행위)로 진행됩니다. 그래서 평소에 로그 수집/보관/검색 체계를 먼저 안정화해 두시는 것이 가장 큰 투자입니다.

마무리 체크리스트

• 방화벽/IPS/WAF/NDR/EDR 로그가 한 곳(SIEM 등)에 모이고 검색 가능하신가요?
• 정상 트래픽 기준선(Baseline)이 있나요? (업무 시간/대역폭/주요 목적지)
• 의심 이벤트 발생 시 ‘격리(차단) 기준’이 문서화되어 있나요?
• 랜섬웨어 시나리오에서 백업/복구(RTO/RPO) 리허설을 해보셨나요?
• 최소 권한(계정), 패치, 자산 관리(무엇이 어디에 있는지)가 기본으로 유지되나요?

참고 레퍼런스

• MITRE ATT&CK — Tactics/Techniques Matrix
• CISA — StopRansomware (랜섬웨어 대응 리소스)
• CISA — Phishing Guidance
• CISA — DDoS Resources
• NIST SP 800-61 Rev.2 — Incident Handling Guide (PDF)
• OWASP Top 10 (최신 버전 확인 페이지)