2024년 6월 17일
수평 이동은 모든 사이버 공격의 특징은 아니지만 가장 큰 피해를 주는 사이버 보안 위협 중 하나가 될 수 있습니다. 이는 수평 이동이 사용자 자격 증명을 도용해 침해된 네트워크 내부의 점점 더 깊숙한 곳에 도달하기 때문입니다. 이러한 유형의 침해에는 보안팀의 보다 복잡한 인시던트 대응이 필요하며 일반적으로 다른 감염 벡터보다 대응 수명 주기가 더 깁니다.
보안 인텔리전스 강화
매주 Think 뉴스레터에서 보안, AI 등에 대한 뉴스와 인사이트를 확인하고 위협에 한발 앞서 대처하세요.
정찰
공격자는 거점을 확보한 후 네트워크를 매핑하고 목표로 가는 경로를 계획합니다. 네트워크 계층 구조, 운영 체제, 사용자 계정, 디바이스, 데이터베이스 및 앱에 대한 정보를 찾아 이러한 자산이 어떻게 연결되어 있는지 이해합니다. 또한 네트워크 보안 제어 범위를 파악한 다음, 학습한 내용을 사용하여 보안 팀을 피할 수도 있습니다.
권한 상승
해커가 네트워크 레이아웃을 이해하면 다양한 수평 이동 기술을 사용하여 더 많은 디바이스와 계정에 접근할 수 있습니다. 더 많은 리소스에 침투함으로써 해커는 목표에 더 가까이 다가갈 수 있을 뿐만 아니라 제거하기도 더 어려워집니다. 보안 작업이 하나 또는 두 개의 시스템에서 제거되더라도 해커는 다른 자산에 계속 액세스할 수 있습니다.
해커는 수평으로 이동하면서 점점 더 높은 권한을 가진 자산과 계정을 캡처하려고 합니다. 이러한 행위를 "권한 상승"이라고 합니다. 공격자가 더 많은 권한을 가질수록 네트워크 내에서 더 많은 일을 할 수 있습니다. 궁극적으로 해커는 거의 모든 곳으로 이동하여 거의 모든 작업을 수행할 수 있는 관리자 권한을 얻는 것을 목표로 합니다.
목표 달성
해커는 목표에 도달할 때까지 필요에 따라 수평 이동 기술을 결합하고 반복합니다. 외부 서버로 데이터를 유출하기 위해 수집, 암호화, 압축할 민감한 정보를 찾는 경우가 많습니다. 또는 데이터를 삭제하거나 중요한 시스템을 멀웨어로 감염시켜 네트워크를 방해하려고 할 수 있습니다. 해커는 궁극적인 목표에 따라 피해를 극대화하기 위해 가능한 한 오랫동안 백도어와 원격 액세스 포인트를 유지할 수 있습니다.
자격 증명 덤핑: 해커는 합법적인 사용자의 사용자 이름과 비밀번호를 훔친 다음, 이러한 자격 증명을 자신의 컴퓨터에 '덤핑'합니다. 또한 최근에 디바이스에 로그인한 관리자의 자격 증명을 훔칠 수도 있습니다.
해시 공격 전달: 일부 시스템은 암호를 전송 및 저장하기 전에 읽을 수 없는 데이터로 변환하거나 '해싱'합니다. 해커는 이러한 암호 해시를 훔쳐 인증 프로토콜을 속여 보호된 시스템 및 서비스에 대한 권한을 부여하도록 할 수 있습니다.
티켓 전달: 해커는 도난당한 Kerberos 티켓을 사용하여 네트워크의 디바이스 및 서비스에 대한 액세스 권한을 얻습니다. (Kerberos는 Microsoft Active Directory에서 사용되는 기본 인증 프로토콜입니다.)
무차별 대입 공격: 해커는 스크립트나 봇을 사용하여 계정에 침입하여 잠재적인 암호를 생성하고 작동할 때까지 테스트합니다.
소셜 엔지니어링: 해커는 손상된 직원 이메일 계정을 사용하여 권한 있는 계정의 로그인 자격 증명을 수집하도록 설계된 피싱 공격을 시작할 수 있습니다.
공유 리소스 하이재킹: 해커는 공유 리소스, 데이터베이스, 파일 시스템을 통해 멀웨어를 퍼뜨릴 수 있습니다. 예를 들어, macOS와 Linux 운영 체제의 시스템을 연결하는 Secure Shell(SSH) 기능을 하이재킹할 수도 있습니다.
PowerShell 공격: 해커는 Windows 명령줄 인터페이스(CLI)와 스크립팅 도구인 PowerShell을 사용하여 구성을 변경하거나 비밀번호를 훔치거나 악성 스크립트를 실행할 수 있습니다.
자급자족: 해커는 수평 이동의 후반 단계에서 외부 멀웨어 대신 손상된 내부 자산에 의존할 수 있습니다. 이 접근 방식은 그들의 활동을 합법적으로 보이게 하고 감지하기 더 어렵게 만듭니다.
지능형 지속 위협(APT): 수평 이동은 APT 공격 그룹의 기본 전략으로, 장기간 동안 네트워크를 통해 침투, 탐색 및 액세스를 확장하는 것이 목표입니다. 이는 종종 몇 달 또는 몇 년 동안 여러 사이버 공격을 수행하는 동안 탐지되지 않기 위해 수평 이동을 사용합니다.
사이버 스파이 활동: 사이버 스파이 활동의 본질은 민감한 데이터나 프로세스를 찾아 모니터링하는 것이기 때문에 수평 이동은 사이버 스파이의 핵심 역량입니다. 국가는 대상 네트워크 내에서 자유롭게 이동하고 탐지되지 않고 보호된 자산에 대한 정찰을 수행할 수 있는 능력 때문에 정교한 사이버 범죄자를 고용하는 경우가 많습니다.
랜섬웨어: 랜섬웨어 공격자는 수평 이동을 통해 다양한 시스템, 도메인, 애플리케이션, 디바이스에 액세스하고 제어권을 확보합니다. 더 많은 자산을 확보할 수 있고 이러한 자산이 조직 운영에 더 중요할수록 수익에 대한 대가를 요구할 때 더 큰 영향력을 행사할 수 있습니다.
봇넷 감염: 수평 이동이 진행됨에 따라 해커는 침해된 네트워크에서 점점 더 많은 디바이스를 제어할 수 있습니다. 이러한 디바이스를 연결하여 로봇 네트워크 또는 봇넷을 만들 수 있습니다. 성공적인 봇넷 감염은 다른 사이버 공격을 시작하거나, 스팸 이메일을 배포하거나, 광범위한 대상 사용자 그룹을 사취하는 데 사용될 수 있습니다.
수평 이동은 네트워크 전반에서 빠르게 에스컬레이션될 수 있기 때문에 손상과 손실을 완화하기 위해서는 조기 감지가 중요합니다. 보안 전문가는 정상적인 네트워크 프로세스와 의심스러운 활동을 구별하는 데 도움이 되는 다음과 같은 조치를 취할 것을 권장합니다.
사용자 행동 분석: 비정상적으로 많은 양의 사용자 로그온, 늦은 밤에 발생하는 로그온, 예상치 못한 디바이스나 애플리케이션에 액세스하는 사용자, 로그온 실패의 급증 등은 모두 수평 이동의 징후일 수 있습니다. 머신 러닝을 활용한 행동 분석을 통해 비정상적인 사용자 행동을 식별하고 보안 팀에 경고할 수 있습니다.
엔드포인트 보호: 개인 워크스테이션, 스마트폰, 태블릿, 서버와 같이 네트워크에 연결된 취약한 디바이스는 사이버 위협의 주요 표적이 됩니다. 엔드포인트 탐지 및 대응(EDR) 및 웹 애플리케이션 방화벽과 같은 보안 솔루션은 엔드포인트를 모니터링하고 네트워크 침해를 실시간으로 방지하는 데 매우 중요합니다.
네트워크 파티션 만들기: 네트워크 세그멘테이션은 수평 이동을 막는 데 도움이 될 수 있습니다. 네트워크의 서로 다른 영역에 대해 별도의 액세스 프로토콜을 요구하면 해커의 확장 능력이 제한됩니다. 또한 비정상적인 네트워크 트래픽을 더 쉽게 감지할 수 있습니다.
데이터 전송 모니터링: 데이터베이스 작업이 갑자기 가속화되거나 비정상적인 위치로 대량으로 데이터가 전송되면 수평 이동이 진행 중이라는 신호일 수 있습니다. 보안 정보 및 이벤트 관리(SIEM) 또는 네트워크 탐지 및 대응(NDR)과 같은 데이터 소스의 이벤트 로그를 모니터링하고 분석하는 도구는 의심스러운 데이터 전송 패턴을 식별하는 데 도움이 될 수 있습니다.
다단계 인증(MFA)사용: 해커가 사용자 자격 증명을 훔치는 데 성공한 경우 다단계 인증은 또 다른 보안 계층을 추가하여 침해를 방지하는 데 도움이 될 수 있습니다. MFA를 사용하면 도난당한 비밀번호만으로는 보호된 시스템에 액세스할 수 없습니다.
잠재적 위협 조사: 자동화된 보안 시스템은 이전에 알려지지 않았거나 수정되지 않은 사이버 위협을 놓치면서 오탐을 제공할 수 있습니다. 최신 위협 인텔리전스를 기반으로 하는 수동 위협 헌팅은 조직이 잠재적 위협에 대한 효과적인 인시던트 대응을 조사하고 준비하는 데 도움이 될 수 있습니다.
사전 대응: 소프트웨어 패치 및 업데이트, 최소 권한 시스템 액세스 적용, 보안 조치에 대한 직원 교육, 침투 테스트는 수평 이동을 방지하는 데 도움이 될 수 있습니다. 해커에게 기회를 제공하는 취약점을 지속적으로 해결하는 것이 중요합니다.