2025년 3월 17일
권한 상승은 위협 행위자가 낮은 권한의 기본 사용자 계정에서 높은 수준의 관리자 계정으로 이동하는 등 대상 시스템에서 자신의 권한을 변경하거나 높이는 사이버 공격 기법입니다.
계정 탈취는 해커가 대상 시스템에 무단으로 액세스하는 가장 일반적인 방법 중 하나입니다. IBM X-Force Threat Intelligence Index에 따르면 사이버 공격의 30%가 도난당한 계정을 사용하여 시스템에 침입한다고 합니다. 공격자는 일반적으로 낮은 수준의 계정을 노리는데, 이는 잘 보호된 관리자 계정보다 탈취하기 쉽기 때문입니다.
공격자는 초기 진입에 성공한 후 시스템의 취약점을 악용하고 소셜 엔지니어링과 같은 기술을 사용하여 권한을 높일 수 있습니다. 더 높은 권한으로 무장한 공격자는 민감한 데이터를 훔치거나 랜섬웨어를 설치하거나 시스템을 방해하는 등의 악의적인 활동을 더 쉽게 수행할 수 있습니다.
보안 인텔리전스 강화
매주 Think 뉴스레터에서 보안, AI 등에 대한 뉴스와 인사이트를 확인하고 위협에 한발 앞서 대처하세요.
권한 상승 공격을 수행하는 해커는 먼저 낮은 수준의 사용자 또는 게스트 계정에 액세스하는 것으로 시작합니다. 시스템 내부에 있을 때 그들은 사이버 보안 방어의 취약성과 허점을 악용하여 권한을 높입니다.
위협 행위자는 더 낮은 수준의 계정으로 시작하는데, 그 이유는 계정이 탈취하기 쉽기 때문입니다. 권한이 있는 사용자 계정보다 낮은 수준의 계정이 더 많기 때문에 전체적인 공격 표면이 더 넓습니다. 또한 낮은 수준의 계정은 보안 제어 기능이 더 적은 경향이 있습니다. 해커는 자격 증명 도용 및 피싱과 같은 기술을 통해 이러한 낮은 수준의 계정을 장악합니다.
낮은 수준의 계정은 해커에게 문에 발을 들여놓을 수 있는 기회를 제공하지만, 들어가도 많은 일을 할 수 없습니다. 조직에서는 이러한 계정의 권한을 의도적으로 제한하여 중요한 데이터에 액세스하거나 중요한 자산과 상호 작용할 수 없도록 합니다.
따라서 공격자는 시스템 내부에서 권한 있는 액세스 권한을 얻을 수 있는 방법을 찾습니다.
크게 두 가지 방법이 있습니다. 도용한 계정의 권한을 높이거나 시스템 관리자와 같은 더 높은 권한이 있는 사용자의 계정을 탈취하는 것입니다. 공격자는 권한 있는 액세스를 통해 민감한 정보가 포함되어 있을 수 있는 애플리케이션, 데이터베이스 및 기타 리소스에 액세스할 수 있습니다.
해커는 정찰을 수행하고 권한을 확대할 기회를 찾기 위해 오랫동안 시스템에 숨어 있을 수 있습니다. 이 기간 동안 백도어를 설치하여 탐지될 경우 네트워크에 재진입할 수 있도록 할 수 있습니다.
해커는 네트워크를 탐색할 때 수평 또는 수직으로 이동할 수 있습니다.
수평적 권한 상승
수평 이동이라고도 하는 수평 권한 상승은 공격자가 비슷한 수준의 권한을 가진 계정에 액세스하는 것을 말합니다. 새로운 권한을 얻지는 못하지만 수평으로 이동하면 해커가 도달 범위를 확장하여 더 많은 정보를 수집하고 더 많은 피해를 입힐 수 있습니다.
예를 들어, 해커는 뱅킹 웹 애플리케이션에서 여러 사용자 계정의 제어권을 장악할 수 있습니다. 이러한 계정은 시스템에서 공격자의 권한을 높이지는 않지만 공격자가 여러 사용자의 은행 계좌에 액세스할 수 있게 해줍니다.
수직적 권한 상승
권한 상승이라고도 하는 수직 권한 상승은 낮은 권한에서 높은 권한으로 이동하는 것으로, 주로 기본 사용자 계정에서 관리자 권한이 있는 계정으로 이동하는 방식으로 이루어집니다.
해커는 이미 가지고 있는 계정의 권한을 높이기 위해 시스템 버그 및 잘못된 구성을 악용하여 수직 권한 상승을 실행할 수도 있습니다.
많은 공격자의 경우 수직적 권한 상승의 목표는 루트 권한을 얻는 것입니다. 루트 계정은 시스템의 모든 프로그램, 파일 및 리소스에 사실상 무제한으로 액세스할 수 있습니다. 해커는 이러한 권한을 사용하여 시스템 설정을 변경하고, 명령을 실행하고, 맬웨어를 설치하고 네트워크 자산을 완전히 제어할 수 있습니다.
일반적인 권한 상승 공격 벡터는 다음과 같습니다.
- 유출된 자격 증명
- 취약점 악용
- 구성 오류
- 멀웨어
- 소셜 엔지니어링
- 운영 체제 악용
유출된 자격 증명
취약점 악용
해커는 패치되지 않은 결함이나 코딩 오류와 같은 소프트웨어 취약점을 이용해 계정 권한을 상승시키는 경우가 많습니다.
일반적인 기술 중 하나는 버퍼 오버플로 공격입니다. 여기에서 공격자는 프로그램이 처리할 수 있는 것보다 더 많은 데이터를 메모리 블록으로 보냅니다. 프로그램은 인접한 메모리 블록을 덮어써서 응답하며, 이로 인해 프로그램의 작동 방식이 변경될 수 있습니다. 해커는 이를 악용하여 프로그램에 악성 코드를 주입할 수 있습니다.
권한 상승을 위해 공격자는 버퍼 오버플로 공격을 사용하여 공격을 받는 애플리케이션만큼 많은 권한을 부여하는 원격 셸을 열 수 있습니다.
구성 오류
권한, 서비스 또는 운영 체제 설정을 잘못 구성하면 해커가 보안 조치를 우회할 수 있는 많은 기회를 얻을 수 있습니다.
예를 들어 잘못 구성된 ID 및 액세스 관리(IAM) 솔루션은 사용자에게 계정에 필요한 것보다 더 많은 권한을 부여할 수 있습니다. 민감한 데이터베이스가 실수로 공개 웹에 노출되면 해커가 바로 침입할 수 있습니다.
맬웨어
해커는 초기 시스템 액세스를 사용하여 백도어를 설치하고, 키 입력을 기록하고, 다른 사용자를 염탐하는 악성 페이로드를 드롭할 수 있습니다. 해커는 맬웨어를 이용해 자격 증명을 수집하고 관리 계정에 접근합니다.
소셜 엔지니어링
해커는 소셜 엔지니어링을 사용하여 사람들이 공유해서는 안 되는 정보를 공유하거나 맬웨어를 다운로드하거나 악성 웹사이트를 방문하도록 유도합니다.
소셜 엔지니어링은 권한 상승 공격에서 흔히 사용되는 기법입니다. 공격자는 종종 소셜 엔지니어링을 사용하여 낮은 수준의 계정 자격 증명을 탈취하여 초기 액세스를 얻습니다. 네트워크 내부에서 해커는 소셜 엔지니어링을 사용하여 다른 사용자를 속여 자격 증명을 공유하거나 민감한 자산에 대한 액세스 권한을 부여합니다.
예를 들어 공격자는 탈취한 직원 계정을 사용하여 다른 직원에게 피싱 이메일을 보낼 수 있습니다. 피싱 이메일은 정상적인 이메일 계정에서 발송되기 때문에 표적은 피싱 이메일에 속아 넘어갈 가능성이 높습니다.
운영 체제 악용
권한 상승 공격자는 특정 운영 체제의 취약성을 악용하는 경우가 많습니다. Microsoft Windows와 Linux는 광범위한 사용과 복잡한 권한 구조로 인해 주로 공격 대상이 됩니다.
Linux 권한 상승
공격자는 권한 상승 공격을 수행할 방법을 찾기 위해 Linux의 오픈 소스 코드를 연구하는 경우가 많습니다.
관리자가 기본 사용자에게 일시적으로 관리 권한을 부여하는 데 사용하는 Linux 프로그램 Sudo가 일반적인 대상 중 하나입니다. 공격자가 Sudo 액세스 권한이 있는 기본 사용자 계정을 해킹하면 해당 권한도 얻게 됩니다. 그런 다음 상승된 보안 권한을 악용하여 악성 명령을 실행할 수 있습니다.
또 다른 기술은 열거를 사용하여 Linux 사용자 이름에 액세스하는 것입니다. 공격자는 일반적으로 잘못 구성된 FTP 서버를 통해 Linux 시스템의 셸에 먼저 액세스할 수 있습니다. 그런 다음 시스템의 모든 사용자를 나열하거나 '열거'하는 명령을 실행합니다. 사용자 이름 목록을 통해 공격자는 무차별 대입 또는 기타 방법을 사용하여 각 계정을 제어할 수 있습니다.
Windows 권한 에스컬레이션
Windows는 기업에서 널리 사용되기 때문에 권한 상승의 주요 대상입니다.
한 가지 일반적인 접근 방식은 Windows 사용자 계정 제어(UAC)를 우회하는 것입니다. UAC는 사용자에게 표준 또는 관리자 권한에 대한 액세스 권한이 있는지 여부를 확인합니다. UAC에 높은 수준의 보호가 없는 경우 공격자는 UAC를 우회하기 위해 특정 명령을 실행할 수 있습니다. 그런 다음 공격자는 루트 권한에 액세스할 수 있습니다.
동적 링크 라이브러리(DLL) 하이재킹은 또 다른 Windows 공격 벡터입니다. DLL은 여러 시스템 리소스에서 동시에 사용하는 코드를 포함하는 파일입니다.
공격자는 먼저 감염된 파일을 합법적인 DLL과 동일한 디렉터리에 배치합니다. 프로그램이 실제 DLL을 검색할 때 공격자의 파일을 대신 호출합니다. 감염된 파일은 공격자의 권한 상승을 돕는 악성 코드를 실행합니다.
모든 사용자를 잠재적인 사이버 위협으로 가정하는 제로 트러스트 태세는 권한 상승의 위험을 완화하는 데 도움이 될 수 있습니다. 권한 상승을 방지하고 감지하기 위한 다른 일반적인 보안 제어에는 다음이 포함됩니다.
- 강력한 비밀번호
- 패치 관리
- 최소 권한의 원칙
- 다단계 인증(MFA)
- 엔드포인트 보호
- 사용자 행동 분석
강력한 비밀번호를 사용하면 해커가 무차별 대입이나 이와 유사한 방법을 사용하여 계정 비밀번호를 추측하거나 해독하기 어렵습니다.
패치 관리는 공급업체가 발행한 업데이트를 적용하여 보안 취약점을 해결하고 소프트웨어와 디바이스의 성능을 최적화하는 프로세스입니다.
적시에 패치를 적용하여 공격자가 취약점을 악용하기 전에 취약점을 차단하면 권한 상승의 많은 사례를 쉽게 방지할 수 있습니다.
최소 권한의 원칙은 사용자에게 역할에 필요한 최소한의 액세스 권한만 제공해야 한다는 것을 의미합니다. 이러한 접근 방식은 조직이 ID 기반 공격으로부터 권한 있는 계정을 보호하는 데 도움이 됩니다. 또한 액세스 제어를 강화하여 권한 있는 사용자와 계정의 수를 줄여 해커가 침입할 수 있는 기회를 줄입니다.
다중 인증(MFA)은 사용자가 신원을 증명하기 위해 최소 두 가지 증거를 제공해야 하는 신원 확인 방법입니다.
해커가 자격 증명을 훔치는 데 성공하더라도 다른 보안 계층을 추가하여 권한 상승을 방지하는 데 도움이 될 수 있습니다. MFA를 사용하면 비밀번호를 훔친 것만으로는 보호된 계정에 액세스할 수 없습니다.
엔드포인트 탐지 및 대응(EDR) 솔루션과 같은 엔드포인트 보안 툴은 권한 상승 공격의 초기 징후를 식별하는 데 도움이 될 수 있습니다. 공격자가 사용자 계정을 제어하면 실제 사용자와 다르게 행동하는 경향이 있습니다. EDR 및 이와 유사한 툴은 엔드포인트에서 비정상적인 활동을 감지하여 플래그를 지정하거나 직접 개입할 수 있습니다.
사용자 및 개체 행동 분석(UEBA)과 같은 툴을 사용하여 사용자 활동을 분석하면 조직에서 권한 상승 시도를 나타낼 수 있는 비정상적인 행동을 식별하는 데 도움이 될 수 있습니다. 비정상적으로 많은 양의 사용자 로그온, 늦은 밤에 발생하는 로그온, 예상치 못한 디바이스나 애플리케이션에 액세스하는 사용자, 또는 로그온 실패의 급증은 모두 권한 상승의 징후일 수 있습니다.
리소스
IBM Verify Privilege를 사용하여 엔드포인트와 하이브리드 멀티클라우드 환경에서 권한 있는 계정을 검색, 제어, 관리 및 보호하세요.
IBM 글로벌 해커 팀이 제공하는 공격자 중심의 보안 테스트인 X-Force Red 침투 테스트 서비스에 대해 알아보세요.
데이터 보안, 엔드포인트 관리, ID 및 액세스 관리(IAM) 솔루션 등 어떤 솔루션이 필요하든 IBM의 전문가들이 협력하여 엄격한 보안 태세를 갖추도록 도와드립니다.