지난 몇 년간 랜섬웨어 공격 빈도는 두 배로 증가하여 전체 침해 사고의 10%를 차지합니다. 2022 버라이즌 데이터 침해 조사 보고서에 따르면, '인적 요소'는 이 침해 사고의 82%에서 초기 접근의 주요 수단이며, 사회공학 및 도난된 자격 증명이 주요 위협 행위자의 TTP(기술·기법·절차)로 작용합니다. 공격자들은 지속적으로 유효한 자격 증명에 접근하여 이를 이용해 탐지되지 않은 채 기업 네트워크 전반으로 이동하려 시도합니다. 이러한 도전 과제들로 인해 CISO들은 신원 보안을 최우선 과제로 삼고 있습니다.
기존 신원 기반 솔루션은 여전히 공격 가능성을 남긴다
가장 많이 사용되는 기존 신원 보안 솔루션으로는 신원 및 접근 관리(IAM), 특권 접근 관리(PAM), 신원 거버넌스 및 관리(IGA) 등이 있습니다. 이러한 도구는 적절한 사용자에게 적절한 접근 권한을 부여하고 지속적인 검증을 통해 제로 트러스트 보안 모델의 핵심 원칙을 구현합니다.
그러나 신원 및 접근 관리(IAM)는 신원 접근의 프로비저닝, 연결 및 제어에만 초점을 맞추기 때문에 신원 보안의 시작점일 뿐입니다. 초기 인증 및 접근 제어에서 더 나아가 자격 증명, 권한, 권한 부여 및 이를 관리하는 시스템과 같은 다른 신원 측면으로 범위를 확장해야 합니다. 여기에는 가시성부터 노출, 공격 탐지까지 포함됩니다.
공격 벡터 관점에서 Active Directory(AD)는 명백한 자산입니다. AD는 신원 및 그 핵심 요소가 자연스럽게 존재하는 곳이기 때문에, 공격자의 표적 및 최우선 보안 관심사입니다. 또한 클라우드 마이그레이션 이 빠르게 진행됨에 따라 IT 팀이 환경 전반에 걸쳐 신속하게 프로비저닝을 진행하면서 추가적인 보안 문제가 발생합니다.
AD 취약점이 클라우드 환경의 잘못된 구성 경향과 결합될 때, 프로비저닝 및 접근 관리 이상의 추가적인 보호 계층의 필요성이 훨씬 더 명확해집니다.
새로운 차원의 아이덴티티 보안
현대적이고 혁신적인 아이덴티티 보안 솔루션은 엔드포인트에 저장된 자격 증명, Active Directory(AD) 오구성, 클라우드 권한 확산에 대한 필수적인 가시성을 제공합니다. ID ASM(Identity Attack Surface Management) 및 IDDR(Identity Threat Detection and Response)(ITDR)은 신원 및 이를 관리하는 시스템을 보호하기 위해 설계된 새로운 보안 범주입니다.
이러한 솔루션은 엔드포인트 탐지 및 대응(EDR), 확장 탐지 및 대응(XDR), 네트워크 탐지 및 대응(NDR) 및 기타 유사 솔루션과 상호 보완하며 함께 작동합니다.
ID ASM은 공격자가 악용할 수 있는 노출을 제한하기 위해 신원 공격 표면을 줄이는 것을 목표로 합니다. 노출이 적을수록 신원 공격 표면은 작아집니다. 대부분의 기업에게 이는 온프레미스 또는 Azure 환경의 Active Directory를 의미합니다.
EDR가 엔드포인트 공격을 탐지하고 분석 데이터를 수집하는 강력한 솔루션인 반면, ITDR 솔루션은 신원을 표적으로 삼는 공격을 탐지합니다. ITDR 솔루션은 공격을 탐지하면 공격자를 진짜처럼 보이는 미끼로 리디렉션하는 가짜 데이터를 제공하여 방어 계층을 추가하고, 쿼리를 수행하는 침해된 시스템을 자동으로 격리합니다.
ITDR 솔루션은 또한 포렌식 데이터를 수집하고 공격 중에 사용된 프로세스에 대한 원격 측정 데이터를 수집하여 사고 대응을 지원합니다. EDR과 ITDR의 상호 보완적 특성은 공격자의 시도를 저지한다는 공통 목표를 달성하기 위해 완벽하게 조화를 이룹니다.
ID ASM 및 ITDR 솔루션은 공격자가 네트워크 내에서 악용하거나 수행하는 자격 증명 오용, 권한 상승 및 기타 전술을 탐지합니다. 이들은 ID 접근 관리와 엔드포인트 보안 솔루션 사이의 중요한 격차를 해소하여, 취약한 자격 증명을 악용해 네트워크를 탐지되지 않고 이동하려는 사이버 범죄자의 시도를 차단합니다.
신원 위협 보안 솔루션
센티넬원은 권한 상승 및 측면 이동 탐지 분야의 풍부한 경험을 바탕으로 최고 수준의 솔루션
신원 보안 제품:
- Singularity Identity Posture Management - 공격 징후가 될 수 있는 Active Directory 노출 및 활동에 대한 지속적인 평가
- 싱귤러리티 아이덴티티 Active Directory에 대한 무단 활동 및 공격 탐지, 자격 증명 도용
새로운 신원 보안 접근 방식이 필요한 시점
신원을 기반으로 한 공격이 증가함에 따라, 오늘날의 기업들은 공격자가 기업 신원을 악용, 오용 또는 도용할 때 이를 탐지할 수 있는 능력이 필요합니다. 조직들이 퍼블릭 클라우드 도입을 서두르고 인간 및 비인간 신원이 기하급수적으로 증가함에 따라 이러한 필요성은 더욱 절실합니다.
공격자들이 자격 증명을 악용하고, Active Directory(AD)를 활용하며, 클라우드 권한을 통해 신원을 표적으로 삼는 경향을 고려할 때, 현대적인 ID ASM 및 ITDR 솔루션으로 신원 기반 활동을 탐지하는 것이 중요합니다.
SentinelOne의 Singularity Identity Posture Management 및 Singularity Identity 솔루션에 대해 자세히 알아보세요.
"신원 기반 공격 FAQ
신원 공격은 공격자가 사용자 이름, 비밀번호 또는 인증 토큰과 같은 사용자 자격 증명을 표적으로 삼아 시스템에 불법적으로 접근하려는 정보 보안 사고입니다. 공격자는 기술적 취약점 공격보다는 신원 관련 데이터를 훔치거나 조작하거나 악용하는 데 관심이 있습니다.
이는 신원 및 접근 관리 취약점을 이용해 합법적인 사용자를 사칭하거나 네트워크 내에서 지속적으로 측면 이동하는 공격입니다. 공격자는 합법적인 자격 증명을 획득하면 합법적인 사용자로 보이기 때문에 기존 보안을 쉽게 우회할 수 있으며, 이로 인해 사실상 탐지하기 어렵습니다.
"일반적인 예로는 사용자를 속여 로그인 자격 증명을 유출하게 하는 피싱 이메일, 여러 사이트에서 도난당한 비밀번호를 사용하는 자격 증명 스터핑 공격, 다수의 계정에 대해 흔한 비밀번호를 시도하는 비밀번호 스프레이 공격 등이 있습니다. 사회공학적 기법은 직원을 속여 기밀 정보를 누설하게 하는 반면, 중간자 공격은 통신을 가로채 데이터를 훔칩니다.
무차별 대입 공격은 자동화된 도구를 사용하여 암호를 추측하고, 골든 티켓 공격은 도메인 접근을 위해 Active Directory의 취약점을 악용합니다.
"신원 기반 접근법은 '누구로 변신할 것인가'에 초점을 맞추는 반면, 결과 기반 접근법은 '무엇을 달성할 것인가'를 목표로 합니다. 보안 환경에서 신원 기반 공격은 무단 접근을 위해 개인의 디지털 신원 및 인증 정보를 노리는 반면, 결과 기반 공격은 데이터 도난이나 시스템 중단과 같은 특정 결과 달성에 집중합니다.
신원 기반 방법은 개인의 정체성과 일치하기 때문에 지속적인 행동 변화를 이끌어내는 반면, 결과 기반 방법은 목표가 달성되면 효과가 떨어질 수 있습니다. 조직은 신원 중심 보안 통제와 결과 중심 사고 대응 절차라는 두 가지 접근 방식이 모두 필요합니다.
다중 인증을 구현하여 이러한 공격을 방지할 수 있습니다. 다중 인증은 비밀번호 이상의 추가 인증을 요구합니다. 복잡한 비밀번호 대신 패스프레이즈를 사용하는 강력한 비밀번호 정책은 시스템 침투를 어렵게 만듭니다. 직원 교육은 피싱 시도와 사회공학적 기법을 피해자가 되기 전에 식별하는 데 도움이 됩니다.
정기적인 보안 감사는 취약점을 식별하며, 싱글 사인온(SSO) 솔루션은 공격자가 노릴 수 있는 인증 정보의 수를 줄입니다. 비정상적인 활동을 감지하기 위해 사용자 행동을 모니터링하고, 모든 접근 요청을 검증하는 제로 트러스트 보안 모델을 구현하십시오.
"주요 신원 공격 유형에는 여러 사이트에서 도난당한 로그인 정보를 재사용하는 크리덴셜 스터핑, 다수 계정에 대해 흔한 비밀번호를 무차별 대입하는 패스워드 스프레이링, 그리고 자격 증명을 훔치기 위해 설계된 피싱 이메일이 포함됩니다. 사회공학적 기법은 피해자를 조종하여 정보를 유출하게 하는 반면, 무차별 대입 공격은 자동화 도구를 사용하여 암호를 추측합니다.
중간자 공격은 통신을 가로채고, Kerberoasting은 서비스 계정 암호를 노리며, 골든 티켓 공격은 Active Directory의 취약점을 악용합니다. 세션 하이재킹은 활성 사용자 세션을 탈취하고, 특권 계정 침해는 접근 권한이 높은 관리 자격 증명을 노립니다.
"MFA는 비밀번호가 유출되더라도 무단 접근을 차단하는 추가 보안 계층을 도입합니다. 접근을 허용하기 전에 비밀번호, 모바일 인증 코드, 생체 인식 데이터 등 하나 이상의 인증 방법을 요구합니다. 해커가 피싱이나 데이터 유출을 통해 비밀번호를 획득하더라도, 접근을 위해서는 두 번째 인증 방법이 필요합니다.
MFA는 해커가 하나의 비밀번호 대신 여러 개의 독립적인 인증 정보를 뚫어야 하므로 침해 위험을 크게 감소시킵니다. MFA를 도입한 조직은 해커가 쉽게 뚫을 수 없는 추가적인 장벽을 도입함으로써 신원 기반 공격 성공에 대한 취약성이 현저히 낮아집니다.
"