로그인 이후의 진짜 공격: 권한 상승이 사이버 공격을 증폭시키는 방식

핵심 트렌드

사이버 공격의 진정한 위협은 초기 침투가 아닌, 시스템 내부에서의 권한 상승 및 측면 이동을 통해 발생하며, 이는 기존의 탐지 방식으로는 놓치기 쉽습니다.

주요 변화 및 영향

• 초기 접근의 함정: 피싱, 유출된 자격 증명 등을 통한 초기 접근은 공격 성공의 전부가 아니며, 공격의 성공 여부는 이후의 권한 상승 단계에 달려 있습니다.
• 권한 상승 경로: 패치되지 않은 취약점, 잘못 구성된 관리자 권한, LSASS 메모리 또는 레지스트리에 저장된 자격 증명, 재사용된 비밀번호 등이 주요 경로로 활용됩니다.
• 측면 이동의 중요성: 공격자는 시스템 내부 구조를 파악하기 위해 net view, net user /domain, WMI, PowerShell 리모팅, RDP 호핑, 파일 공유 악용 등 다양한 기법을 사용하며, 이는 방어 시스템의 탐지를 회피하는 경우가 많습니다.
• 탐지의 어려움: 이러한 공격 활동은 종종 시스템 내장 도구를 사용하므로, 행위 기반 탐지가 활성화되어 있지 않으면 탐지가 어렵습니다.

트렌드 임팩트

이 콘텐츠는 초기 침투에만 집중하는 보안 접근 방식의 한계를 지적하며, 공격자가 시스템 내부에서 어떻게 영향력을 확장하는지에 대한 심층적인 이해를 제공합니다. 이는 보안 관점의 변화와 함께 실질적인 방어 전략 수립의 중요성을 강조합니다.

업계 반응 및 전망

업계에서는 기존의 시그니처 기반 탐지에서 벗어나, 보다 능동적인 위협 헌팅 및 행위 기반 분석의 중요성이 더욱 강조되고 있으며, 공격자의 관점을 이해하는 것이 방어 전략의 핵심이 될 것으로 전망됩니다.