1. 경계 보안의 붕괴와 내부 가시성 확보의 중요성
배경: 클라우드 도입, 재택근무 확산, IoT 기기 증가로 인해 기업의 IT 인프라 경계가 모호해지며 공격자가 침투할 수 있는 지점이 급격히 증가함.
핵심 과제: 공격자가 침투하는 '경로'를 식별하고, 침투 후 내부에서 세력을 확장하는 '이동'을 탐지하여 피해 범위를 최소화해야 함.
2. 가. 공격표면(Attack Surface)과 공격 벡터(Attack Vector)
공격표면은 '어디를' 공격할 수 있는가의 문제이며, 공격 벡터는 '어떻게' 들어오는가의 수단입니다.
| 구분 | 공격표면 (Attack Surface) | 공격 벡터 (Attack Vector) |
| 정의 | 공격자가 시스템에 접근하거나 데이터를 유출하기 위해 시도할 수 있는 모든 노출 지점의 총합 | 공격자가 시스템에 침투하거나 악성코드를 전달하기 위해 사용하는 구체적인 통로 및 수단 |
| 유형 | 1. 물리적: 하드웨어, USB 포트, 폐기 문서 2. 디지털: OS, 앱, API, 클라우드 설정 3. 인적: 직원, 협력사, 소셜 엔지니어링 | 1. 기술적: SQL Injection, 취약점(Exploit) 2. 비기술적: 피싱 이메일, 스미싱 3. 인프라: 공급망(Supply Chain) 공격 |
| 관리 전략 | 공격표면 축소 (ASR): 불필요한 포트 폐쇄, 자산 식별, 섀도우 IT 통제 | 취약점 관리 (VPM): 패치 관리, 이메일 필터링, EDR/NDR 도입 |
3. 나. 측면이동(Lateral Movement)의 단계별 메커니즘과 주요 기법
측면이동은 초기 침투(Initial Access) 성공 후, 공격자가 네트워크 내부에서 권한을 상승시키고 핵심 자산(DB, 관리자 서버 등)에 접근하는 핵심 과정입니다.
1) 측면이동의 단계별 메커니즘
내부 정찰 (Reconnaissance): 침투한 호스트에서 주변 네트워크 구조, 연결된 서버, 사용 중인 서비스를 탐색.
권한 상승 및 자격증명 탈취 (Credential Theft): 메모리나 설정 파일에서 관리자 ID/PW, 세션 토큰, 해시값을 탈취.
대상 전이 (Pivoting): 탈취한 계정을 이용해 다른 서버나 워크스테이션으로 원격 접속 및 세력 확장.
목표 달성: 최종 목표인 데이터베이스(DB)나 제어 시스템에 도달하여 데이터 유출 또는 랜섬웨어 실행.
2) 측면이동의 주요 기법 (MITRE ATT&CK 기반)
| 주요 기법 | 상세 내용 및 특징 |
| Pass-the-Hash | 패스워드 평문 대신 해시값을 가로채 인증을 우회하여 원격 시스템에 접속하는 기법 |
| Pass-the-Ticket | Kerberos 인증 환경에서 TGT(Ticket Granting Ticket)를 탈취해 권한을 획득하는 기법 |
| RDP / SSH 활용 | 정상적인 원격 관리 도구를 악용하여 네트워크 내 타 호스트로 이동 (Living off the Land) |
| WMI / PowerShell | 윈도우 관리 도구 및 스크립트 엔진을 이용해 원격으로 명령어를 실행하고 확산 |
4. 기술사적 제언: 제로 트러스트(Zero Trust) 기반의 방어 전략
마이크로 세분화 (Micro-segmentation): 네트워크를 최소 단위로 분할하여 측면이동 시 발생하는 횡적 통신(East-West Traffic)을 원천 차단하거나 엄격히 통제해야 함.
가시성 확보 (EDR/NDR): 단순 경계 보안을 넘어 엔드포인트와 네트워크 내부 로그를 실시간 분석하여 비정상적인 계정 사용 및 원격 접속 패턴을 탐지해야 함.
결언: 공격자는 한 번의 침투로 끝나지 않고 끊임없이 이동함. 기술사는 공격표면을 최소화하는 동시에 내부 이동을 즉각 탐지할 수 있는 '심층 방어(Defense in Depth)' 체계를 설계해야 함.
댓글 없음:
댓글 쓰기