측면 이동(Lateral Movement)에 대해 알아보기

소개: 측면 이동(Lateral Movement)이란 무엇인가요?

사이버 보안은 끊임없이 진화하는 분야이며, 지난 몇 년간 각광을 받아온 전술 중 하나는 '측면 이동'입니다. 사이버 공격자들은 끊임없이 여러 가지 방법을 생각하면서 네트워크에 침투하여 민감한 데이터에 접근하기 위한 복잡한 전략을 계획하고 있습니다. 측면 이동은 공격자가 초기 액세스 권한을 얻은 후 네트워크 내에서 특정 자산이나 데이터를 찾기 위해 옆으로 또는 측면으로 이동하여 탐지되지 않는 경우가 많은 전략 중 하나입니다. 이 전략에 사용되는 정교한 기법에는 인프라 취약점 악용, 탈취한 인증정보 활용, 심지어 접근 권한을 얻은 후 공격할 적절한 순간을 몇 달 동안 기다리는 것까지 포함됩니다.

 

측면 이동 작동 방법
측면 이동이 어떻게 작동하는지 완전히 이해하려면 복잡한 단계를 이해해야 합니다. 마이터어택(MITRE ATT&CK) 프레임워크에 정의된 프로세스는 정찰(Reconnaissance)부터 시작됩니다. 초기 단계는 공격자가 환경을 조사하고, 네트워크의 복잡한 레이아웃과 취약점을 파악하고, 중요한 노드나 관심 지점을 파악하는 단계입니다. 정찰에는 기업에 대한 간단한 인터넷 검색부터 네트워크 포트를 스캔하여 취약점을 탐지하는 것과 같은 보다 복잡한 방법까지 다양한 방법이 사용될 수 있습니다. 공격자는 또한 직원을 속여 중요한 정보를 공개하도록 유도하거나 시스템이 어떻게 반응하는지 확인하기 위해 미리 멀웨어를 배포하는 등 소셜 엔지니어링 수법을 사용할 수도 있습니다. 이러한 모든 노력의 목표는 한 가지, 즉 취약점이 어디에 있고 어떻게 가장 잘 악용될 수 있는지에 대한 종합적인 그림을 구축하는 것입니다.
이후 공격자는 자격 증명 덤핑(credential dumping) 및 권한 상승(Privilege Escalation)을 진행합니다. 이 단계는 네트워크에 침입한 공격자가 더 우수한 인증정보를 획득하는 데 있어 매우 중요한 단계입니다. 이렇게 강화된 접속 권한은 네트워크에 대한 더 깊고 침입적인 공격을 가능하게 하는 열쇠 역할을 합니다. 자격 증명 덤핑 시스템 메모리에서 암호, 토큰 또는 해시(hash)를 추출할 수 있습니다. 이 단계에서 널리 사용되는 툴은 공격자가 당장 눈에 보이지 않더라도 인증 정보를 수집할 수 있는 기능을 제공합니다. 하지만 인증정보만 가지고 있는 것만으로는 충분하지 않습니다. 네트워크 내에서 자유롭게 이동하거나, 제한된 구역에 액세스하거나, 추가 멀웨어를 설치하려면 공격자는 상승된 권한이 필요한 경우가 많습니다. 이때 권한 상승이 필요합니다. 공격자는 소프트웨어의 취약점을 악용하거나 이전에 덤프된 자격 증명을 사용하여 더 높은 수준의 권한을 획득함으로써 네트워크에 대한 더 큰 자유와 통제권을 얻으려고 합니다. 본질적으로 공격자는 외부 침입자에서 상당한 권한을 가진 내부자로 변모합니다.

마지막 단계는 초기 침투(Initial Access) 권한을 획득하는 것입니다. 고급 권한과 자격 증명으로 무장한 공격자는 보다 자유롭게 탐색하여 가치가 높은 데이터 대상을 정확히 찾아내어 액세스할 수 있으며, 동시에 탐지 위험을 최소화하기 위한 전략을 세울 수 있습니다. 데이터 도난, 랜섬웨어 배포, 단순한 업무 중단 등 공격자의 최종 목표에 따라 공격자는 내부 네트워크를 탐색하며 은밀성을 유지하기 위해 고안된 도구와 기술을 활용하기도 합니다. 공격자는 원격 시스템에서 프로세스를 실행하는 도구를 사용하여 한 시스템에서 다른 시스템으로 이동하거나, 경보 없이 네트워크의 다른 부분을 인증하고 액세스하기 위해 PTT(패스더티켓, Pass-the-Ticket) 과 같은 기술을 사용할 수 있습니다. 이 단계의 핵심은 지속성입니다. 공격자는 시스템에 접속하는 것뿐만 아니라 초기 진입 지점이 발견되어 차단되더라도 시간이 지나도 접속을 유지할 수 있도록 하는 것이 목표입니다. 공격자는 이를 위해 백도어를 설치하거나, 새로운 사용자 계정을 만들거나, 심지어 시스템 로그를 변경하여 자신의 활동을 숨길 수도 있습니다.

측면 이동을 방어하려면 측면 이동에 대한 이해가 필요합니다. 정찰의 예비 정찰부터 초기 침투의 최종 침투에 이르기까지 각 단계의 메커니즘을 파악함으로써 조직들은 방어를 더 잘 준비하고, 강력한 탐지 메커니즘을 구현하며, 침입자의 징후를 감지하면 신속하게 대응할 수 있습니다. 사이버 보안의 영역에서 인식과 대비는 여전히 가장 강력한 무기입니다.

 

측면 이동을 사용하는 공격 유형

측면 이동은 다양한 공격 유형에서 중요한 역할을 합니다. 공격자는 초기 침투 권한을 얻은 후 네트워크를 탐색하며 활동 영역을 확장하고 주요 목표에 도달하기 위해 노력합니다. 이는 많은 사이버 공격에서 사용되는 전술이지만, 일부 유형의 위협은 효과적인 측면 이동에 크게 의존합니다. 네 가지 구체적인 공격 유형이 있으며, 공격자들이 악의적인 목적을 달성하기 위해 측면 이동을 사용하는 방법과 이유를 이해하면 이를 방지하는 데 큰 도움이 됩니다.

파괴력으로 악명 높은 랜섬웨어 공격은 종종 측면 이동을 통해 그 영향을 극대화합니다. 네트워크에 침투한 랜섬웨어는 단순히 하나의 시스템을 잠그는 것만으로는 충분하지 않습니다. 공격자는 가능한 한 많은 시스템을 암호화하는 것을 노립니다. 네트워크를 탐색하고 중요한 서버나 데이터 저장소를 식별하여 최대한의 피해를 입히고 더 나아가 더 높은 랜섬을 요구할 수 있습니다. 이러한 탐색은 측면 이동을 통해 가능합니다. 랜섬웨어는 취약점을 악용하거나, 탈취한 자격 증명을 사용하거나, 네트워크 통과를 위해 설계된 도구를 사용하여 네트워크를 통해 빠르게 확산되어 기업을 무너뜨릴 수 있습니다.

데이터 유출(data exfiltration) 은 손상된 네트워크에서 민감한 데이터를 추출하는 것을 말합니다. 공격자에게는 초기 침투 권한을 얻는 것뿐만 아니라 민감한 정보가 있는 곳에 도달하는 것이 중요합니다. 여기에는 고객 데이터베이스, 지적 재산, 재무 기록 또는 기타 중요한 데이터가 포함됩니다. 측면 이동은 공격자가 탐지되지 않고 조용히 네트워크를 가로지르며 데이터를 찾아 빼낼 수 있게 해주기 때문에 매우 중요합니다. 탐지되지 않고 오래 이동할수록 더 많은 정보를 훔칠 수 있기 때문에 이 기법은 많은 유명 침해 사고의 초석이 됩니다.

또 다른 유형의 공격은 경보를 울리지 않고 정보를 수집하는 스파이 활동입니다. 국가가 후원하는 행위자든 기업의 경쟁자이든 스파이 활동은 기밀 또는 독점 정보를 가져오기 위해 표적의 내부 시스템을 깊이 파고들어야 합니다. 일단 네트워크에 침투한 공격자는 측면 이동을 통해 탐색을 진행하며, 주로 원하는 정보를 보유한 특정 부서, 개인 또는 시스템을 표적으로 삼습니다. 이러한 사이버 스파이들은 낮은 프로필을 유지하고 정교한 도구를 사용하여 수개월 또는 수년 동안 네트워크에 존재감을 유지하면서 지속적으로 정보를 추출하여 담당자에게 다시 전송할 수 있습니다.

중앙 기관에 의해 제어되는 손상된 컴퓨터의 네트워크인 봇넷(botnet)은 사이버 범죄자의 무기고에 있는 강력한 도구입니다. 그렇다면 개별 시스템은 어떻게 봇넷의 일부가 될까요? 측면 이동이 중요한 역할을 합니다. 공격자가 네트워크 내의 단일 시스템을 손상시킨 후에는 이를 다른 시스템을 감염시키기 위한 발판으로 사용할 수 있습니다. 이러한 확산 기법을 통해 봇넷 운영자는 '좀비' 컴퓨터 네트워크를 빠르게 확장할 수 있습니다. 이러한 봇넷이 디도스(DDoS) 공격, 추가 멀웨어 배포 또는 기타 악의적인 활동에 사용되든, 핵심은 측면 이동을 통한 빠른 확산에 있습니다.

 

측면 이동 감지하기

측면 이동에 효과적으로 대응하려면 먼저 측면 이동을 감지하는 데 능숙해야 합니다.

공격 표면을 이해하는 것은 측면 이동을 탐지하기 위한 기본 단계입니다. 기본적으로 공격 표면은 공격자가 네트워크에 침투하거나 데이터를 탈취하기 위해 노릴 수 있는 모든 잠재적 취약점으로 구성됩니다. 즉, 모든 디바이스, 모든 소프트웨어 애플리케이션, 모든 잠재적 허점을 의미합니다. 조직들은 주 서버든 겉보기에는 무해한 IoT 기기든 네트워크에 연결된 모든 기기를 정기적으로 인벤토리하는 것이 중요합니다. 소프트웨어 애플리케이션, 특히 인터넷에 액세스하거나 민감한 데이터를 관리할 수 있는 애플리케이션을 목록화하는 것도 마찬가지로 중요합니다. 마지막으로, 취약점을 스캔하고 평가하면 위협이 진화함에 따라 잠재적인 진입 지점에 대한 인식도 높아집니다.

측면 이동의 중요한 측면은 권한과 신원을 조작하는 것과 관련이 있습니다. 공격자가 시스템에 침입하면 일반적으로 권한을 상승시키거나 신뢰할 수 있는 사용자로 가장하여 더 깊이 침투하는 것을 목표로 합니다. 따라서 사용자 행동 모니터링은 이러한 위협에 대응하기 위한 필수적인 도구가 됩니다. 사용자의 일반적인 행동 기준을 설정하고 이해하면 이상 징후를 신속하게 감지할 수 있습니다. 예를 들어, 평소 특정 부서 내에서 데이터에 액세스하던 직원이 갑자기 다른 곳에서 민감한 파일을 가져오기 시작한다면 이는 위험 신호입니다. 이와 함께 조직들은 사용자 권한을 자주 감사해야 합니다. 원칙은 간단합니다. 사용자의 역할에 따라 필요한 최소한의 액세스 권한만 제공해야 합니다. 이렇게 하면 잠재적인 침해 지점을 제한할 수 있습니다. 다중 인증(MFA, Multi Factor Authentication)과 같은 보안 조치를 구현하는 것도 보안의 한 층을 더하는 것입니다. 사이버 범죄자가 자격 증명을 탈취하는 데 성공하더라도 MFA를 사용하면 범죄의 진행을 중단시킬 수 있으며, 잠재적으로 범죄의 정체를 드러낼 수도 있습니다.

탐지 영역에서는 예상치 못한 편차를 정확히 찾아내는 것이 중요합니다. 따라서 이상 징후를 측정하고 탐지 정확도를 보장하는 것이 중요합니다. East-West 네트워크 트래픽 모니터링을 통해 비정상적인 데이터 전송, 특히 이상한 시간대, 관련 없는 서버나 시스템 간에 발생하거나 예상치 못한 포트를 사용하는 데이터 전송을 찾아낼 수 있습니다. 이와 동시에 시스템 및 애플리케이션 로그를 철저히 분석하면 잠재적인 침해에 대한 인사이트를 얻을 수 있습니다. 공격자가 로그를 변경하거나 삭제하려고 시도하더라도 불일치하거나 누락된 부분이 있으면 공격자의 악의적인 활동을 밝혀낼 수 있습니다. 어떤 탐지 메커니즘도 완벽하다고 주장할 수는 없지만, 기업은 경보의 정확성을 높이기 위해 지속적으로 노력해야 합니다. 오탐을 줄이기 위해 매개변수를 조정하든, 진짜 위협을 간과하지 않기 위해 프로세스를 개선하든, 탐지 시스템을 반복적으로 미세 조정하는 것은 지속적인 여정입니다.

측면 이동은 사이버 공격자의 레퍼토리에서 강력한 도구이기는 하지만, 극복할 수 없는 것은 아닙니다. 네트워크를 이해하고 이상 징후 탐지에 집중함으로써 조직은 측면 이동 위협에 효과적으로 대응할 수 있습니다.

 

측면 이동을 탐지하고 데이터 침해를 막는 방법

네트워크 보호는 지속적인 작업이며, 측면 이동의 경우 예방이 치료보다 낫다는 것은 의심의 여지가 없습니다:

사각지대 없애세요: 위협 행위자는 가상 머신과 컨테이너를 비롯한 암호화된 통신을 활용하여 자신의 활동을 숨깁니다. 이러한 사각지대를 제거하고 암호화된 채널을 통한 측면 이동을 탐지할 수 있는 네트워크 탐지 및 대응(NDR) 솔루션과 같은 솔루션이 있는지 확인해야 합니다.

지능형 위협을 선제적으로 추적하세요: 위협이 스스로 드러날 때까지 기다리지 마십시오. 위협을 찾아내는 데 도움이 되는 사전 예방적 위협 헌팅 프레임워크를 구축하세요.

올바른 IT 환경 유지하세요: 잘 정리되고 유지 관리되는 IT 환경은 취약점이 발생할 가능성이 적습니다.

소프트웨어를 정기적으로 업데이트하세요: 소프트웨어를 패치하면 알려진 취약점을 해결할 수 있습니다.

강력한 암호 정책 관리 유지: 엄격한 암호 정책을 구현하고 시행하세요. SSO(Single Sign-On) 솔루션을 사용하면 사용자가 여러 애플리케이션과 웹사이트에 쉽게 로그인할 수 있고 비밀번호 공유를 방지할 수 있습니다.