원격 모니터링 및 관리(RMM) 보안이란?

RMM이란 무엇인가?

원격 모니터링 및 관리(RMM) 소프트웨어는 IT 팀과 관리형 서비스 제공업체가 분산된 엔드포인트를 원격으로 모니터링, 유지 관리 및 관리할 수 있도록 지원합니다. 주요 기능에는 원격 액세스, 시스템 모니터링, 자동 패치, 권한이 부여된 스크립트 실행이 포함됩니다. CISA의 원격 액세스 가이드에 따르면, RMM 도구는 "관리형 서비스 제공업체(MSP), 소프트웨어-서비스(SaaS) 제공업체, IT 헬프데스크, 기타 네트워크 관리자가 원격으로 여러 기능을 수행할 수 있게 하는 소프트웨어"로 작동합니다.

다음과 같은 시나리오를 고려해 보십시오. 귀사의 IT 팀이 오전 9시에 ConnectWise ScreenConnect를 합법적인 시스템 유지 관리를 위해 배포합니다. 오전 9시 15분, BlackSuit 랜섬웨어 운영자가 동일한 도구를 사용해 전체 네트워크를 암호화합니다. 이 시나리오는 2024~2025년 동안 실제로 발생했으며, FBI와 CISA는 Play 랜섬웨어 캠페인만으로도 2025년 5월까지 900개 이상의 피해자를 기록했습니다.

RMM과 사이버 보안의 관계

RMM 도구는 필수 IT 관리 플랫폼에서 사이버 범죄자부터 국가 지원 APT에 이르기까지 위협 행위자가 악용하는 공격 표면으로 진화했습니다. 이러한 변화는 RMM 소프트웨어가 공격자에게 필요한 권한 있는 시스템 접근, 명령 및 제어 인프라, 전통적인 보안 통제를 우회하는 합법적으로 보이는 네트워크 트래픽을 제공하기 때문에 발생했습니다.

 CISA 권고 AA23-061A의 BlackSuit 랜섬웨어 관련 내용에 따르면, "FBI는 BlackSuit 행위자가 합법적인 원격 모니터링 및 관리(RMM) 소프트웨어를 사용해 피해자 네트워크에서 지속성을 유지하는 것을 관찰했다"고 밝혔습니다. MITRE ATT&CK T1219.002는 근본적인 보안 과제를 다음과 같이 지적합니다. RMM 도구는 "일반적으로 합법적인 기술 지원 소프트웨어로 사용되며, 대상 환경 내에서 애플리케이션 제어에 의해 허용될 수 있다."

RMM 플랫폼이 왜 심각한 보안 노출을 야기하는지 이해하려면, 조직은 이러한 도구가 강력하면서도 위험한 이유가 되는 아키텍처 구성 요소를 먼저 살펴봐야 합니다.

RMM의 핵심 구성 요소

RMM 플랫폼은 대규모 원격 관리를 가능하게 하는 상호 연결된 아키텍처 구성 요소로 이루어져 있습니다. 이러한 구성 요소를 이해하면 위협 행위자가 RMM 인프라를 노리는 이유와 환경 전반에 악용이 어떻게 확산되는지 알 수 있습니다.

• 중앙 관리 콘솔은 IT 팀이 정책을 구성하고, 에이전트를 배포하며, 엔드포인트 상태를 모니터링하는 관리 제어판 역할을 합니다. 위협 행위자가 이 콘솔을 탈취하면, 모든 관리 대상 엔드포인트에 대한 관리 권한을 동시에 획득하게 됩니다.
• 에이전트 소프트웨어는 관리 대상 엔드포인트에 설치되어 명령을 실행하고, 시스템 데이터를 수집하며, 관리 인프라와 지속적으로 연결을 유지합니다. 이 에이전트는 관리 작업을 수행하기 위해 SYSTEM 또는 루트 권한으로 실행됩니다.  CISA의 원격 액세스 가이드에 따르면, 이러한 권한 실행 환경은 위협 행위자가 랜섬웨어 배포, 자격 증명 탈취, 권한 상승 경고 없이 수평 이동을 가능하게 합니다.
• 통신 인프라는 관리 대상 엔드포인트에서 RMM 서버로의 아웃바운드 연결을 설정하여 명령 수신 및 데이터 전송을 담당합니다. 위협 행위자는 이러한 사전 승인된 통신 채널을 명령 및 제어에 악용하며, 악성 트래픽을 합법적인 관리 세션과 혼합합니다.
• 자동화 스크립팅 엔진은 IT 팀이 PowerShell, Bash 또는 독점 스크립트 언어를 통해 수천 개의 엔드포인트에 패치를 배포하고, 시스템을 구성하며, 대응 작업을 실행할 수 있게 합니다.  CISA 권고 AA25-071A의 Medusa 랜섬웨어 사례에 따르면, 위협 행위자는 RMM 플랫폼을 통해 base64로 난독화된 PowerShell 스크립트를 배포하여 Veeam 백업 자격 증명을 수집하고, 네트워크 인프라를 열거한 후 랜섬웨어를 배포합니다.
• 원격 액세스 인터페이스는 대화형 데스크톱 제어, 파일 전송, 원격 셸 접근을 제공하여 문제 해결 및 관리를 지원합니다. Scattered Spider와 같은 그룹은 TeamViewer, AnyDesk 등 여러 RMM 도구를 배포하며, Storm-1811은 ScreenConnect와 NetSupport Manager를 악용해 지속적인 대화형 접근을 확보합니다.

이러한 보안 우려에도 불구하고, RMM 도구는 현대 IT 운영에 필수적입니다. 이들의 합법적인 가치를 이해하면 조직이 계속해서 RMM을 배포하는 이유와 위협 행위자가 이를 노리는 이유를 알 수 있습니다.

RMM의 주요 이점

RMM 플랫폼은 대규모 분산 인프라를 관리하는 IT 팀에 측정 가능한 운영 효율성을 제공합니다. 이러한 합법적인 이점은 조직이 RMM 도구를 배포하는 이유이자, 위협 행위자가 체계적으로 이를 악용하는 이유를 설명합니다.

• 대규모 중앙 집중식 관리는 단일 관리자가 통합 콘솔을 통해 지리적으로 분산된 수천 개의 엔드포인트를 관리할 수 있게 합니다. 그러나 CISA와 FBI 문서에 따르면, 이러한 중앙화는 RMM 플랫폼이 침해될 경우 심각한 보안 위험을 초래하며, 이는 실제 랜섬웨어 캠페인에서 확인되었습니다.
• 사전 예방적 시스템 모니터링은 RMM 활동의 지속적인 로깅 및 모니터링을 통해 무단 접근 및 의심스러운 수평 이동 패턴을 탐지할 수 있게 합니다. 이상 RMM 행위에 대한 자동 경보는 침입 지속 시간을 줄이고 신속한 사고 대응을 가능하게 합니다.
• 자동화된 패치 관리는 수동 개입 없이 보안 업데이트, 애플리케이션 패치, 구성 변경을 배포합니다. RMM 플랫폼은 관리 대상 엔드포인트 전반에 걸쳐 배포, 설치, 검증을 처리하여 수동 프로세스보다 취약성 노출 기간을 단축합니다.
• 현장 지원 요구 감소는 대부분의 문제 해결 및 유지 관리 작업에 물리적 접근이 필요 없게 합니다. 지원팀은 원격 세션을 통해 헬프데스크 티켓을 해결할 수 있어 지원 비용을 절감하고 해결 시간을 단축합니다.

IT 팀에 RMM이 필수적인 이유인 권한 있는 접근, 원격 명령 실행, 지속적 연결성은 네트워크 제어를 노리는 공격자에게도 동일하게 매력적입니다.

위협 행위자의 RMM 도구 악용 방법

위협 행위자는 조직이 원격 관리 인프라에 부여하는 신뢰를 이용해 네 가지 주요 공격 벡터를 통해 RMM 도구를 악용합니다.

• 자격 증명 탈취 및 계정 탈취가 가장 일반적인 악용 방법입니다. CISA 권고 AA23-025A에 따르면, 위협 행위자는 피싱 캠페인, 이전 침해에서 유출된 비밀번호 목록을 이용한 크리덴셜 스터핑 공격, 다크웹 마켓플레이스에서 초기 접근 브로커로부터 도난 자격 증명을 구매하는 방식으로 "합법적이지만 탈취된 자격 증명"을 노립니다. 공격자가 유효한 RMM 자격 증명을 획득하면, 모든 관리 대상 엔드포인트에 대한 전체 관리 권한을 경보 없이 상속받게 됩니다. 자격 증명 탈취는 공격자가 합법적인 관리 활동과 완벽하게 섞여 탐지가 매우 어렵게 만듭니다. 위협 행위자는 또한 비밀번호 정책이 약하거나 MFA가 적용되지 않은 서비스 계정 및 API 키도 노립니다.
• 취약점 악용은 알려진 보안 결함이 있는 패치되지 않은 RMM 플랫폼을 표적으로 합니다. ConnectWise ScreenConnect의 CVE-2024-1709는 인증 우회로 인증되지 않은 원격 코드 실행이 가능해 CVSS 10.0의 심각도를 기록했습니다. 공개 후 며칠 만에 위협 행위자는 이 취약점을 무기화하여 수천 개 조직에 대규모 랜섬웨어를 배포했습니다.  CISA 권고 AA25-163A에 따르면, SimpleHelp RMM의 실제 악용은 "서비스 중단 및 이중 갈취 사건"을 유발해 한 유틸리티 청구 소프트웨어 제공업체와 그 하위 고객에게 영향을 미쳤습니다.
• 악성 RMM 배포는 위협 행위자가 기존 보안 통제와 무관하게 무단 원격 액세스 도구를 침해된 시스템에 설치해 지속적 접근을 확보하는 방식입니다. 공격자는 AnyDesk, TeamViewer 등 합법적인 RMM 소프트웨어를 비즈니스 문서로 위장해 피싱 이메일로 배포합니다. CISA 권고 AA23-025A에 따르면, 공격자는 헬프데스크 테마의 피싱 캠페인을 통해 사용자가 원격 액세스를 허용하거나 설치 권한이 필요 없는 휴대용 RMM 실행 파일을 설치하도록 유도합니다. 이러한 휴대용 버전은 애플리케이션 화이트리스트 통제를 우회하며, 관리자 자격 증명 없이 즉시 원격 접근을 제공합니다.

• 공급망 침해 는 여러 고객의 RMM 인프라를 관리하는 MSP 및 IT 서비스 제공업체를 표적으로 합니다. 단일 MSP 침해는 신뢰받는 관리 채널을 통해 모든 하위 고객에게 확산됩니다. 2021년 Kaseya VSA 공격은 REvil 랜섬웨어가 MSP 관계를 통해 수 시간 내 1,500개 이상의 하위 조직을 암호화하는 증폭 효과를 보여주었습니다. 공격자는 한 MSP만 침해해도 수십, 수백 개 고객 환경에 접근할 수 있기 때문에 MSP를 집중적으로 노립니다.

이러한 악용 방법을 고려할 때, 보안팀은 악성 RMM 활동과 합법적 관리를 구분할 수 있는 신뢰할 수 있는 지표가 필요합니다.

RMM 기반 공격 탐지 방법

RMM 기반 공격을 탐지하려면 합법적 관리와 구별되는 행위 이상 징후를 모니터링해야 합니다. RMM 도구는 합법적인 소프트웨어로 정상 기능을 수행하므로 전통적인 시그니처 기반 탐지는 효과가 없습니다.

• 무단 RMM 도구 설치: 변경 관리 승인 없이 엔드포인트에 새 원격 액세스 소프트웨어가 설치되는지 모니터링합니다. IT 정책에 의해 승인되지 않은 TeamViewer, AnyDesk, ScreenConnect, Atera, Splashtop, LogMeIn, RemotePC, NetSupport Manager 등의 도구를 주시해야 합니다. MITRE ATT&CK 문서에 따르면, 위협 행위자는 중복 접근 채널 확보를 위해 여러 RMM 도구를 동시에 배포하는 경우가 많습니다.
• 비정상 세션 시간 및 지속 시간: 근무 외 시간대의 접근 패턴을 조사 대상으로 지정합니다. 관리자 위치와 일치하지 않는 지리적 위치에서 오전 2시에 시작된 RMM 세션은 즉각적인 검토가 필요합니다. 원격 관리가 거의 필요 없는 시스템에서 비정상적으로 긴 세션이 감지되면 주의해야 합니다.
• 의심스러운 명령 실행: base64로 인코딩된 PowerShell 명령, LSASS 메모리 또는 Veeam 백업 데이터베이스를 노리는 자격 증명 수집 도구, nltest, net group, dsquery, systeminfo 등 네트워크 열거 명령이 RMM 채널을 통해 실행되는 경우 경보를 발생시켜야 합니다. CISA 권고 AA25-071A에 따르면, 위협 행위자는 RMM 플랫폼을 통해 cmd.exe와 PowerShell을 사용해 파일 시스템 열거 및 자격 증명 수집 후 랜섬웨어를 배포합니다.
• 수평 이동 지표: 관리자가 일반적으로 관리하는 엔드포인트를 추적하고, RMM 세션이 변경 요청 없이 도메인 컨트롤러, 백업 서버, 금융 시스템, 임원 워크스테이션을 대상으로 할 때 경보를 발생시킵니다. 이전에 비활성화된 RMM 연결에서 고가치 자산에 갑작스러운 접근이 발생하면 잠재적 침해 신호입니다.
• 동시 다중 RMM 설치: 공격자는 보안팀이 주요 접근을 차단할 경우를 대비해 백업 RMM 도구를 설치해 지속성을 유지합니다. 엔드포인트에 둘 이상의 활성 RMM 에이전트가 있거나 보안 사고 직후 새 RMM 도구가 나타나면 경보를 발생시켜야 합니다. 승인된 RMM 도구의 화이트리스트를 유지하고, 모든 이탈을 잠재적 침해 지표로 간주해야 합니다.
• 파일 전송 활동: 외부 목적지로의 대용량 파일 전송, 특히 근무 외 시간대에 전송되는 압축 아카이브 또는 데이터베이스 내보내기를 모니터링합니다. 위협 행위자는 랜섬웨어 배포 전 민감 데이터 유출을 위해 RMM 파일 전송 기능을 자주 사용합니다.

RMM 로그를 SIEM 플랫폼에 중앙화해 이러한 지표를 환경 전반에서 상관 분석하고, 신속한 위협 대응을 가능하게 해야 합니다.

견고한 탐지 기능을 갖추더라도, 조직은 RMM 아키텍처에 내재된 근본적인 보안 과제로 인해 방어에 어려움을 겪습니다.

RMM 보안 과제 및 한계

RMM 플랫폼은 전통적인 접근 방식으로 해결할 수 없는 근본적인 보안 과제를 내포하고 있습니다. 이러한 과제는 관리 기능을 보안 통제보다 우선시하는 아키텍처 설계 결정에서 비롯됩니다.

• 설계상 애플리케이션 제어 우회는 RMM 도구가 합법적이고 사전 승인된 소프트웨어로 정상적인 관리 기능을 수행하기 때문에 발생합니다. MITRE ATT&CK T1219.002에 따르면, RMM 도구는 "일반적으로 합법적인 기술 지원 소프트웨어로 사용되며, 대상 환경 내에서 애플리케이션 제어에 의해 허용될 수 있다"고 명시되어 있습니다. 엔드포인트 보호는 승인된 소프트웨어로 인식해 실행을 허용합니다.
• 권한 있는 접근 요구사항으로 인해 RMM 에이전트는 관리 작업을 수행하기 위해 SYSTEM 또는 루트 권한으로 실행되어야 합니다. 위협 행위자가 RMM 세션을 탈취하면, 합법적인 관리 활동으로 위장한 채 이러한 권한을 상속받게 됩니다.
• 합법적 트래픽 패턴은 RMM 통신이 승인된 관리 세션과 동일하게 보여 네트워크 기반 식별을 비효율적으로 만듭니다. CISA의 원격 액세스 가이드에 따르면, 위협 행위자는 합법적인 RMM 인프라를 사용해 "여러 침해를 동시에 관리"하며, 승인된 채널을 통해 여러 침해된 네트워크를 제어합니다.
• 취약성 노출 윈도우는 RMM 플랫폼에 인증 우회 또는 원격 코드 실행 취약점이 발생할 때 긴급 패치가 필요함을 의미합니다. 이러한 취약점은 위협 행위자가 인터넷에 노출된 RMM 인프라를 스캔해 신속히 무기화합니다.
• 다중 벤더 도구 확산은 조직이 부서, 인수된 자회사, 프로젝트별 요구에 따라 여러 RMM 솔루션을 배포할 때 가시성 격차를 초래합니다. IT 부서는 ScreenConnect를 승인하지만, 개발팀은 TeamViewer를 설치하고, 헬프데스크는 Splashtop을 배포하는 등 중앙 집중적 관리가 이루어지지 않습니다.

이러한 아키텍처적 과제는 일반적인 운영상의 실수와 결합될 때 치명적인 취약점이 됩니다.

일반적인 RMM 보안 실수

조직은 RMM 인프라를 악용에 노출시키는 예방 가능한 오류를 자주 범합니다:

• 섀도우 IT 및 무단 RMM 배포는 조직이 환경 내에 배포된 모든 원격 액세스 도구를 인벤토리하지 않을 때 발생합니다. CISA 권고 AA23-025A에 따르면, 위협 행위자는 보안팀이 인지하지 못하는 섀도우 IT 설치를 악용합니다.
• 약하거나 기본값인 RMM 플랫폼 자격 증명은 자격 증명 남용을 통한 직접적인 관리 접근을 제공합니다. CISA 권고 AA23-025A는 약한 자격 증명 또는 이전 침해로 유출된 자격 증명 사용을 치명적 취약점으로 지적합니다.
• 불충분한 네트워크 분리는 RMM이 최초 침해 후 전체 환경으로 수평 이동을 가능하게 합니다. 위협 행위자는 RMM을 이용해 최초 접근에서 전체 네트워크 침해로 이동합니다.
• 불충분한 로깅 및 모니터링은 위협 행위자가 합법적인 관리 세션으로 위장해 악성 작업을 수행할 수 있게 합니다. RMM 세션 로그를 모니터링하지 않으면 데이터 유출 및 악성코드 배포가 탐지되지 않은 채 진행될 수 있습니다.
• 패치되지 않은 RMM 소프트웨어는 공개된 익스플로잇 코드로 알려진 악용 경로를 제공합니다. ConnectWise ScreenConnect CVE-2024-1709는 23.9.7 버전 이하에 영향을 미치며 CVSS 점수 10.0을 기록했습니다.

이러한 실수를 해결하려면 운영 요구와 위험 감소의 균형을 맞춘 보안 통제의 체계적 구현이 필요합니다.

RMM 보안 모범 사례

CISA, NSA, CIS Controls 지침에 기반한 보안 모범 사례를 구현하면 운영 기능을 유지하면서 RMM 악용 위험을 줄일 수 있습니다.

• RMM 소프트웨어 인벤토리 및 감사 의무화: 환경 전반에 배포된 모든 원격 액세스 도구에 대한 가시성을 확보합니다. 엔드포인트 식별 도구와 네트워크 트래픽 분석을 활용해 분기별로 RMM 소프트웨어를 감사합니다. CIS Control 2에 맞춰 애플리케이션 제어 정책을 통해 무단 원격 액세스 소프트웨어 실행을 차단합니다.
• 강력한 인증 및 MFA 적용: 모든 RMM 관리 접근에 다중 인증(MFA)을 필수화합니다. 세션 토큰 탈취를 통한 우회를 방지하는 피싱 저항 MFA 방식을 도입합니다.
• 지속적 취약점 관리 및 우선순위 패치: CISA의 Known Exploited Vulnerabilities 카탈로그에서 RMM 관련 CVE를 모니터링합니다. 인터넷에 노출된 RMM 인프라에 대해 표준 패치 주기와 별도의 긴급 패치 절차를 마련합니다.
• 네트워크 분리 및 접근 제한: RMM 인프라를 엄격한 방화벽 규칙이 적용된 격리 네트워크 세그먼트에 배치합니다. 관리 필요에 따라 특정 엔드포인트 그룹에만 RMM 접근을 제한합니다.
• 피싱 저항 및 사용자 인식 교육: 사용자에게 RMM 관련 피싱 캠페인을 인식하도록 교육합니다. 세금 문서나 인보이스로 위장한 실행 파일 첨부를 차단하는 이메일 보안 통제를 적용합니다.
• RMM 침해 대응 계획 수립: 긴급 RMM 접근 권한 회수 절차를 문서화합니다. 잠재적으로 침해된 RMM 플랫폼에 의존하지 않는 백업 관리 접근 방식을 유지합니다.
• 패턴 인식을 위한 행위 기반 AI 도입: 의심스러운 원격 액세스 도구 행위를 모니터링하는 행위 기반 AI 기능이 포함된 엔드포인트 보호 플랫폼을 배포합니다. 보안 플랫폼은 여러 RMM 도구의 동시 배포, 근무 외 시간대의 예상치 못한 관리 작업, 비정상 지리적 위치에서 시작된 RMM 세션에 대해 경보를 발생시켜야 합니다.

행위 기반 AI 탐지를 구현하려면 합법적 관리 작업을 허용하면서 이상 RMM 활동을 식별하도록 설계된 보안 플랫폼이 필요합니다.

SentinelOne으로 RMM 기반 공격 차단

SentinelOne Singularity Platform은 행위 기반 AI를 활용해 지속적인 엔드포인트 행위 모니터링을 통해 RMM 기반 공격을 탐지하고 자동으로 차단합니다. 이 플랫폼은 독립적인 MITRE ATT&CK 평가에서 높은 위협 가시성과 지연 없는 강력한 성능을 제공합니다. SentinelOne은 엔드포인트 보호 플랫폼 부문에서 Gartner 매직 쿼드런트 리더로 인정받고 있습니다.

위협 행위자가 비즈니스 문서로 위장한 RMM 클라이언트를 배포할 때, Singularity Endpoint는 행위 기반 AI를 사용해 프로세스 인젝션, 권한 상승, 무단 RMM 인프라로의 네트워크 연결 등 실행 체인을 탐지합니다. 보안팀은 Storyline 기술을 통해 전체 포렌식 맥락이 포함된 상관 경보를 받아, 전체 공격 내러티브를 자동으로 재구성하고 이를 MITRE ATT&CK TTP에 매핑할 수 있습니다.

Purple AI는 자연어 쿼리와 AI 기반 분석을 통해 RMM 위협 조사를 가속화합니다. 팀이 오전 2시에 의심스러운 ScreenConnect 활동을 조사할 때, Purple AI는 어떤 시스템에 접근했는지, 특정 행위가 왜 악의적 의도를 시사하는지에 대한 대화형 인사이트를 제공합니다. 초기 도입 기업은 Purple AI의 자연어 인터페이스로 위협 헌팅 속도가 최대 80% 빨라졌다고 보고합니다.

위협 행위자가 침해된 RMM 세션을 통해 랜섬웨어 페이로드를 실행할 때, Singularity Platform의 행위 기반 AI는 의심스러운 행위 패턴을 식별하고 프로세스 종료, 네트워크 격리 등 자동 대응 조치를 트리거합니다. 원클릭 롤백으로 공격 전 상태로 시스템을 복구해 피해를 최소화하고 몸값 지불을 방지합니다. SentinelOne MITRE 평가 결과에 따르면, 이 플랫폼은 경쟁 솔루션 대비 88% 적은 경보를 생성해 경보 피로도를 줄이면서도 완전한 위협 가시성을 제공합니다.

SentinelOne 데모 요청을 통해 행위 기반 AI가 RMM 기반 공격을 어떻게 자동 차단하는지 확인해 보십시오.

핵심 요약

RMM 도구는 필수 IT 플랫폼에서 BlackSuit, Medusa, LockBit, Play, RansomHub, Akira, Phobos, Rhysida 등 랜섬웨어 패밀리가 악용하는 공격 표면으로 진화했습니다. FBI와 CISA는 Play 랜섬웨어 캠페인만으로도 2025년 5월까지 900개 이상의 조직이 영향을 받았음을 기록했습니다. 위협 행위자는 자격 증명 탈취, 취약점 악용, 악성 도구 배포, MSP를 겨냥한 공급망 침해를 통해 RMM 도구를 악용합니다.

CISA, FBI, NSA의 정부 권고는 RMM 악용을 성숙하고 널리 채택된 전술로 규정하며, 필수 방어 통제를 요구합니다. 조직은 소프트웨어 감사, MFA 적용, 네트워크 분리, 철저한 로깅 및 모니터링을 통해 RMM 보안 위험을 줄여야 합니다. 탐지 전략은 근무 외 시간대 접근, 무단 도구 설치, RMM 스크립팅 엔진을 통한 의심스러운 명령 실행 등 행위 이상 징후에 집중해야 합니다.

행위 기반 AI 접근법은 시그니처 기반 도구가 놓치는 이상 사용 패턴을 지속적인 엔드포인트 행위 모니터링을 통해 탐지합니다. SentinelOne Singularity Platform은 경쟁 솔루션 대비 88% 적은 경보로 강력한 MITRE ATT&CK 평가 성능을 제공하며, RMM 기반 위협에 대한 자동 보호를 실현합니다.