사이버 보안 분야에서 공격자가 사용하는 전술과 기술을 이해하는 것은 효과적인 방어 전략을 개발하는 데 매우 중요합니다. 사이버 범죄자들이 사용하는 가장 교활한 방법 중 하나는 측면 이동입니다. 이 용어는 공격자가 초기 접근을 얻은 후 네트워크를 통해 이동하는 기술을 나타내며, 이를 통해 그들의 영향력을 확장하고 권한을 상승시킬 수 있습니다. 이 블로그에서는 측면 이동의 원리에 대해 깊이 탐구하고, Windows와 Linux 환경에서 사용되는 특정 기술을 살펴보며, 조직이 네트워크를 보호하기 위해 구현할 수 있는 예방 조치에 대해 논의하겠습니다.
측면 이동의 원리
측면 이동은 일반적으로 공격자가 네트워크 시스템의 경계 방어를 성공적으로 침해하고 호스트에 초기 접근을 얻은 후 조용히 시작됩니다. 핵심 운영 원리는 목표 네트워크 내의 호스트 간 신뢰 관계, 보안 취약점 및 잘못된 구성 요소를 탐색하고 악용하는 것입니다. 이러한 권한의 점진적 확장과 지속적인 공격 범위의 확산은 상당한 데이터 유출과 시스템 손상을 초래할 수 있습니다.
측면 이동의 개념을 완전히 이해하려면 더 넓은 공격 생애 주기를 이해하는 것이 필수적입니다. 이 생애 주기는 일반적으로 여러 단계로 구성됩니다:
- 정보 수집: 공격자는 목표 네트워크에 대한 정보를 수집하여 잠재적인 취약점과 진입점을 식별합니다.
- 초기 접근: 이 단계는 종종 피싱, 취약점 악용 또는 도난당한 자격 증명을 사용하여 네트워크 경계를 침해하는 것과 관련이 있습니다.
- 실행: 내부에 들어가면 공격자는 네트워크 내에 발판을 마련하기 위해 악성 코드를 실행합니다.
- 지속성: 공격자는 백도어나 다른 수단을 만들어 손상된 시스템에 대한 접근을 유지합니다.
- 측면 이동: 여기서 공격자는 네트워크를 탐색하기 시작하며, 시스템 간 이동하여 제어를 확장합니다.
- 데이터 유출: 마지막으로 공격자는 민감한 데이터를 훔치거나 랜섬웨어를 배포하여 조직을 갈취할 수 있습니다.
이 생애 주기를 이해함으로써 조직은 측면 이동 공격에 대비하고 방어할 수 있습니다.
Windows 환경에서의 측면 이동
Windows 환경에서의 측면 이동 원리는 주로 네트워크 아키텍처, 신뢰 관계 및 Windows 운영 체제의 보안 메커니즘을 기반으로 합니다. 다음은 Windows 환경에서 사용되는 측면 이동 기술의 몇 가지 구체적인 예입니다:
Windows 도메인 환경 기반 공격
1. Kerberos 티켓 전달 공격: Windows 도메인 환경에서 Kerberos는 주요 인증 프로토콜입니다. 사용자가 도메인에 로그인하면 도메인 컨트롤러(DC)로부터 티켓 부여 티켓(TGT)을 받습니다. 공격자가 손상된 호스트에서 사용자의 TGT를 얻으면 Mimikatz와 같은 도구를 사용하여 티켓 전달 공격을 수행할 수 있습니다. 이를 통해 공격자는 도메인 내 다른 서버에서 서비스 티켓을 요청하여 합법적인 사용자처럼 자원에 접근할 수 있습니다.
2. 도메인 신뢰 관계 악용: Windows 도메인 간의 신뢰 관계는 여러 도메인에 걸쳐 자원에 대한 사용자 접근을 촉진합니다. 한 도메인 내의 호스트를 제어하는 공격자는 이 신뢰를 악용하여 다른 신뢰된 도메인의 자원에 접근할 수 있습니다. 예를 들어, 공격자가 주요 도메인에서 호스트를 손상시키면 얻은 자격 증명을 사용하여 하위 도메인의 호스트에 접근할 수 있어 측면 이동을 달성할 수 있습니다.
3. Windows 네트워크 공유 취약점 악용:
- SMB 프로토콜 취약점 악용: 서버 메시지 블록(SMB) 프로토콜은 파일 공유 및 기타 네트워크 서비스에 사용됩니다. SMB의 취약점은 측면 이동에 악용될 수 있습니다. 예를 들어, EternalBlue 취약점(CVE-2017-0144)은 공격자가 대상 호스트에서 임의의 코드를 실행하여 열린 SMB 서비스가 있는 다른 Windows 호스트를 스캔하고 공격할 수 있게 합니다.
- 공유 폴더 권한 오용: 잘못 구성된 공유 폴더 권한은 공격자에게 악용될 수 있습니다. 만약 공유 폴더가 "모두"에게 전체 제어를 허용하는 경우, 공격자는 민감한 파일에 접근하거나 폴더에 악성 소프트웨어를 배치하여 이를 접근하는 다른 사용자를 감염시킬 수 있습니다.
Windows 원격 관리 도구의 취약점 악용
1. 원격 데스크톱 프로토콜(RDP) 취약점 악용: RDP는 Windows 데스크톱에 원격으로 연결하는 데 사용됩니다. RDP의 취약점은 대상 호스트에 침투하는 데 악용될 수 있습니다. 공격자는 RDP 로그인 비밀번호를 크랙하기 위해 무차별 대입 공격을 사용하거나 코드 실행 결함을 악용하여 원격 세션을 얻을 수 있습니다.
2. Windows 관리 도구(WMI) 취약점 악용: WMI는 시스템 모니터링을 위한 관리 도구입니다. 공격자는 WMI의 취약점을 악용하여 동일 네트워크 내의 다른 Windows 호스트에서 서비스를 쿼리하거나 제어하는 등의 원격 작업을 수행할 수 있습니다.
Linux 환경에서의 측면 이동
Linux 환경에서 측면 이동은 공격자가 Linux 호스트에서 특정 권한을 얻은 후 공격 범위를 확장하기 위해 다양한 기술을 사용하는 것을 포함합니다. 다음은 일반적인 예입니다:
SSH 기반의 측면 이동
1. SSH 무차별 대입: 공격자는 Hydra와 같은 도구를 사용하여 SSH 로그인에 대한 무차별 대입 공격을 수행하며, 많은 사용자 이름과 비밀번호 조합을 시도합니다. 일단 접근을 얻으면 네트워크 내에서 측면 이동할 수 있습니다.
2. SSH 개인 키 도난: 공격자가 손상된 Linux 호스트의 사용자로부터 SSH 개인 키 파일을 얻으면 해당 공개 키를 사용하여 해당 키로 인증을 허용하는 다른 서버에 로그인할 수 있습니다.
악용을 통한 측면 이동
1. 시스템 취약점 악용: 공격자는 Linux 시스템의 패치되지 않은 취약점을 악용하여 측면 이동할 수 있습니다. 예를 들어, Dirty COW 취약점(CVE-2016-5195)은 공격자가 권한을 상승시키고 네트워크 상에서 더 높은 위치로 이동할 수 있게 합니다.
2. 웹 애플리케이션 취약점 악용: Linux 서버에서 실행되는 웹 애플리케이션에 취약점이 있는 경우, 공격자는 이를 악용하여 서버를 장악하고 다른 서버에 접근하기 위한 민감한 정보를 검색할 수 있습니다.
내부 네트워크 서비스 활용을 통한 측면 이동
1. Samba 서비스 취약점 악용: Linux 시스템에 잘못 구성되거나 취약한 Samba 서비스가 있는 경우, 공격자는 이러한 문제를 악용하여 시스템 권한을 얻거나 공유 자원에 접근할 수 있습니다.
2. NFS 서비스 취약점 악용: 공격자는 NFS 구성의 취약점을 악용하여 원격 NFS 공유 디렉토리를 마운트하고 민감한 정보에 접근하여 측면 이동을 용이하게 할 수 있습니다.
악성코드나 스크립트를 통한 측면 이동
1.트로이목마 또는 백도어 심기: Linux 호스트에 침투한 후, 공격자는 외부 서버와의 연결을 설정하는 트로이목마 또는 백도어를 심어 네트워크 내의 다른 취약한 호스트를 검색할 수 있습니다.
2. 자동화된 스캐닝 및 공격을 위한 스크립트 사용: 공격자는 동일 네트워크 세그먼트 내의 다른 호스트를 스캔하여 취약점이나 약한 비밀번호를 찾기 위한 스크립트를 작성할 수 있습니다.
측면 이동의 수단
측면 이동은 다양한 수단을 통해 발생할 수 있습니다:
- 취약점 악용: 공격자는 운영 체제, 애플리케이션 및 네트워크 장치에서 보안 취약점을 적극적으로 찾습니다. 특수한 악성 코드나 스크립트를 제작하여 이러한 취약점을 악용하여 목표 호스트에 접근할 수 있습니다.
- 자격 증명 도난: 정당한 사용자 자격 증명을 획득하는 것은 측면 이동에 필수적입니다. 공격자는 키로거, 네트워크 스니퍼 또는 메모리 읽기 도구를 사용하여 비밀번호를 얻어내어 합법적인 사용자처럼 네트워크를 이동할 수 있습니다.
- 네트워크 공유 및 연결 남용: 부주의하게 구성된 네트워크 공유 폴더는 측면 이동의 통로가 될 수 있습니다. 공격자는 공유 폴더에 악성 프로그램을 업로드하여 이를 접근하는 다른 사용자들을 감염시킬 수 있습니다.
- 악성코드 전파: 트로이목마, 웜 및 기타 유형의 악성코드는 측면 이동을 용이하게 할 수 있습니다. 일단 호스트가 감염되면, 악성코드는 네트워크 내의 다른 목표를 적극적으로 검색하며 자신을 복제하고 감염을 확산시킬 수 있습니다.
측면 이동에 대한 예방 조치
측면 이동과 관련된 위험을 줄이기 위해 조직은 일련의 예방 조치를 시행해야 합니다:
- 취약점 관리: 포괄적인 취약점 스캐닝 메커니즘을 구축하는 것이 필수적입니다. 조직은 모든 호스트, 서버 및 네트워크 장치에 대한 정기적인 스캔을 수행하기 위해 전문 취약점 스캐닝 도구를 배포해야 합니다. 취약점이 발견되면 즉각적인 수정 프로세스를 시작해야 하며, 기존 시스템과의 호환성을 보장하기 위해 패치에 대한 철저한 테스트를 수행해야 합니다.
- 접근 제어: 최소 권한 원칙을 준수하는 것이 권한 관리를 위해 중요합니다. 사용자는 직무 역할에 따라 필요한 최소한의 권한만 부여받아야 합니다. 특권 계정에 대한 다단계 인증을 구현하면 보안을 강화할 수 있으며, 계정 작업에 대한 자세한 로깅은 비정상적인 행동을 탐지하는 데 도움이 될 수 있습니다.
- 자격 증명 보호: 강력한 비밀번호 정책을 수립하는 것은 자격 증명을 보호하기 위한 기본입니다. 비밀번호는 복잡해야 하며 정기적으로 변경되어야 합니다. 네트워크 로그인을 위한 표준으로 다단계 인증을 홍보하고, 자격 증명을 저장할 때 고강도 암호화 알고리즘을 사용해야 합니다.
- 네트워크 분할 및 접근 제한: 네트워크를 서로 다른 보안 구역으로 나누면 측면 이동을 억제하는 데 도움이 됩니다. 방화벽을 배포하고 이러한 구역 간의 접근을 제한하는 접근 제어 목록(ACL)을 설정해야 합니다. 또한, 침입 탐지 시스템(IDS) 및 침입 방지 시스템(IPS)을 구현하여 실시간으로 네트워크 트래픽을 모니터링하고 분석해야 합니다.
- 포괄적인 보안 서비스: 조직은 DDoS 공격 및 기타 위협으로부터 보호를 제공하는 보안 서비스를 활용하는 것을 고려해야 합니다. EdgeOne과 같은 서비스는 특정 비즈니스 요구에 기반한 맞춤형 DDoS 보호 전략을 제공할 수 있습니다.
결론
사이버 보안에서 측면 이동은 기업 및 개인 네트워크 자산에 심각한 위협을 가하는 복잡하고 은밀한 형태의 공격을 나타냅니다. 네트워크 신뢰 관계와 취약점을 악용하여 공격자는 자신의 영향을 확장하고 권한을 상승시켜 상당한 데이터 유출로 이어질 수 있습니다. 측면 이동의 원리와 기술을 이해하는 것은 효과적인 방어 전략을 개발하는 데 필수적입니다. 조직은 경계를 늦추지 않고 사이버 보안 동향을 지속적으로 모니터링하며, 변화하는 위협 환경 속에서 네트워크를 안전하게 운영하기 위해 보호 조치를 조정해야 합니다. 포괄적이고 다층적인 보안 전략을 구현함으로써 조직은 측면 이동과 관련된 위험으로부터 자신을 더 잘 보호하고 네트워크 정보 시스템의 안전한 운영을 보장할 수 있습니다.
EdgeOne는 모든 규모의 비즈니스를 위한 네트워크 보안을 강화하고 성능을 최적화하도록 설계된 최첨단 플랫폼입니다. 그 주요 기능은 맬웨어, 피싱 및 DDoS 공격을 포함한 광범위한 사이버 위협으로부터 보호하는 포괄적인 보안 기능을 제공하는 것입니다.
또한, EdgeOne는 기존 보안 인프라와의 원활한 통합을 제공하여 조직이 현재 시스템을 전면적으로 재구성하지 않고도 방어력을 강화할 수 있도록 합니다. 사용자 친화적인 인터페이스와 고급 분석 기능은 보안 팀에 실질적인 통찰력을 제공하여 정보에 기반한 의사 결정을 가능하게 하고 신속한 사건 대응을 지원합니다.
오늘 저희와 함께 하여 EdgeOne이 진화하는 사이버 위협으로부터 귀 조직을 어떻게 보호하고 네트워크 성능을 최적화할 수 있는지 알아보십시오. 보안 태세를 높일 기회를 놓치지 마십시오 — 지금 가입하세요!