신원 및 접근 제어에 집중하지 않는다면, 언젠가는 특권 상승 공격의 피해자가 되는 것은 피할 수 없습니다. 악의적인 행위자들은 요즘 매우 다양한 방식으로 활동합니다. 기존 보안 솔루션은 그들에게 통하지 않으며, 그들은 전통적인 보안 조치를 쉽게 우회할 수 있습니다. 강력한 데이터 보호 전략을 수립하고 이를 기반으로 외부로 확장해 나가는 것이 특권 상승 공격을 방지하는 방법을 배우는 첫걸음입니다. 비인적 신원은 서비스 원칙, 역할, 액세스 키, 기능 등을 취할 수 있습니다. 공격자가 기반을 마련하면 신원, 데이터 및 권한을 활용할 수 있습니다.
위협 행위자는 여러분의 환경 내에서 며칠, 몇 주, 몇 달을 보낼 수 있으며, 여러분은 그들을 눈치채지 못할 것입니다. 그들은 귀사의 민감한 데이터를 노출하거나 유출할 수 있으며, 데이터 유출 사고가 발생한 후에도 제3자 서비스 제공업체가 알려주기 전까지는 이미 너무 늦은 상태입니다.
이 가이드에서는 특권 상승 공격을 방지하는 방법과 대응 방안을 알아보실 수 있습니다.
권한 상승 공격이란 무엇인가요?
가장 간단하게 말해서, 권한 상승 공격은 공격자가 계정 권한을 상승시키는 것을 의미합니다.
이는 위협 행위자가 시스템 및 네트워크에 대한 승인된 접근 권한과 관리자 권한을 획득할 때 발생합니다. 공격자는 보안 취약점을 악용하거나, 신원 권한을 수정하고, 자신에게 더 높은 권한과 기능을 부여할 수 있습니다. 공격자는 네트워크를 가로질러 이동하며 계정, 자산 및 기타 리소스를 크게 변경할 수 있습니다.
결국 공격자는 제한된 권한에서 완전한 통제권을 확보하는 단계로 이동합니다. 기본 사용자를 넘어 추가 권한을 가진 고급 사용자로 계정을 전환할 수 있습니다. 성공적인 권한 상승 공격은 권한 수준을 높여 통제력을 확대합니다. 이는 새로운 공격 경로를 열어 네트워크 내 모든 사용자를 표적으로 삼고, 악성코드 감염에서 대규모 데이터 유출 및 네트워크 침입에 이르는 공격을 진화시킬 수 있습니다.
권한 상승 공격은 어떻게 이루어지나요?
권한 상승 공격은 낮은 수준의 신원을 채택하고 권한을 악용함으로써 발생할 수 있습니다. 공격자는 환경 내에서 측면 이동을 수행하며 추가 권한을 획득하여 복구 불가능한 피해를 입힐 수 있습니다. 많은 조직이 클라우드 보안의 기본을 소홀히 하여, 자신도 모르는 사이에 보안 공백을 남기고 있습니다. 기업들은 복잡한 클라우드 환경에서 내부 사용자, 신원 및 권한에 대한 가시성을 확보하는 데 어려움을 겪고 있습니다.
권한 상승 공격은 사용자의 계정과 기존 권한을 탈취하려는 시도로 이루어집니다. 이는 로컬 로그인에만 제한된 게스트 권한부터 관리자 권한, 원격 세션을 위한 루트 권한 획득에 이르기까지 다양합니다. 권한 상승 공격은 사용자 인증 정보 악용, 시스템 취약점 이용, 잘못된 구성, 악성코드 설치, 심지어 사회공학까지 활용합니다. 공격자는 환경 내 진입 후 누락된 보안 패치를 탐색하고, 기본적인 패스워드 스터핑이나 생성형 AI 같은 기법을 활용해 조직의 취약점을 찾아냅니다. 침투 경로를 확보하면 장기간 감시를 수행합니다.
적절한 기회가 생기면 대규모 공격을 개시합니다. 탐지되지 않을 경우 활동 흔적을 지울 수도 있습니다. 사용자 인증 정보를 기반으로 로그를 삭제하고, 소스 IP 주소를 마스킹하며, 침해 지표의 존재를 나타낼 수 있는 모든 증거를 제거하는 등의 방법을 사용합니다.
권한 상승 공격에 사용되는 표준 방법
권한 상승 공격에는 여러 유형이 있습니다. 다음과 같습니다.
1. 수평적 권한 상승
이는 공격자가 다른 계정을 제어하고 원래의 권한을 오용하여 자신의 권한을 발전시킬 수 있는 경우입니다. 공격자는 이전 사용자에게 부여된 모든 권한을 인수하고 거기에서부터 진행할 수 있습니다. 수평적 권한 상승은 공격자가 다른 사용자와 동일한 권한 수준에서 접근할 수 있지만 다른 사용자 ID를 사용할 때도 발생합니다. 직원의 도난된 자격 증명을 사용하는 공격자는 수평적 권한 상승자로 분류될 수 있습니다.
이 공격의 목표는 루트 권한을 획득하는 것이 아니라 동일하거나 유사한 권한 수준을 가진 다른 사용자의 민감한 데이터에 접근하는 것입니다. 수평적 권한 상승 공격은 유사한 권한 또는 허용 수준에서 취약한 보안 관행을 악용합니다.
2. 수직적 권한 상승
이는 공격자가 표준 사용자 계정에서 접근 권한을 획득한 후 이를 업그레이드하려는 보다 진보된 형태의 권한 상승입니다. 기본 사용자로부터 슈퍼 유저나 관리자와 같은 상위 권한으로 표준 권한을 확장합니다. 이를 통해 네트워크와 시스템에 대한 무제한 통제권을 획득하게 됩니다. 시간이 지남에 따라 시스템에 대한 완전한 접근 권한을 얻어 구성 변경, 소프트웨어 설치, 새 계정 생성, 타인 차단 또는 차단 목록 등록이 가능해집니다. 심지어 조직의 데이터를 삭제할 수도 있습니다.
권한 상승 시도를 감지하는 방법?
권한 상승 공격은 다음과 같은 방법으로 감지할 수 있습니다:
- 직원들이 일상적으로 서로 상호작용하는 방식을 관찰하세요. 의심스러운 일이 벌어지고 있으며 갑자기 부정적인 태도를 보인다면, 이는 권한 상승 공격이 진행 중이라는 신호입니다. 모든 권한 상승 공격이 동일하지는 않으므로, 여기서는 사회공학적 기법을 활용한 공격을 논의합니다. 원한을 품은 직원은 승인된 접근 권한을 이용해 전체 인프라에서 불법 활동을 수행할 수 있습니다.
- 비정상적인 로그인 활동을 확인하고, 낮은 권한 계정으로 처음으로 접근된 파일이나 애플리케이션이 있는지 살펴보세요. 접근 토큰이 조작된 흔적이 보인다면 경계해야 합니다.
- SID 역사 주입 및 프로세스 주입 공격을 탐지하세요. DC 동기화 시작 및 섀도 공격 역시 권한 상승 공격을 시사합니다.
- 관리자 권한으로만 실행이 허용된 서비스에 대한 무단 변경은 권한 상승 공격의 표준 지표입니다.
- 갑작스러운 애플리케이션 충돌이나 시스템 종료, 애플리케이션 오작동, 커널 및 OS를 조작하는 위협 행위자 등 기타 시스템 이벤트도 결국 권한 상승 공격으로 이어집니다.
권한 상승 공격 방지 모범 사례
권한 상승 공격을 방지하기 위해 사용할 수 있는 모범 사례는 다음과 같습니다:
- 권한 상승 공격을 방지하는 가장 좋은 방법 중 하나는 최소 권한 접근 원칙을 이해하고 적용하는 것입니다. 이 사이버 보안 개념은 모든 사용자에게 제한된 접근 권한을 부여합니다. 즉, 사용자는 업무에 필요한 최소한의 권한만 부여받습니다.
- 최소 권한 원칙은 일상적인 운영에 영향을 주거나 속도를 저하시키지 않습니다. 또한 다양한 위협으로부터 시스템 자원을 보호합니다. 접근 제어 사용, 보안 정책 구현, IT 팀이 로컬 관리자 권한을 부여하지 않고도 로컬 관리자로 실행할 애플리케이션을 통제하도록 보장할 수 있습니다.
- 특권 접근 공격을 방지하는 두 번째 단계는 소프트웨어를 최신 상태로 유지하는 것입니다. 결함을 발견하면 운영 체제 전반에 걸쳐 취약점을 즉시 패치하십시오. 해커가 악용하기 전에 정기적인 취약점 스캔을 수행하고 공격 경로를 식별하십시오.
- 시스템 활동을 모니터링하여 악의적인 행위자가 네트워크에 숨어 있지 않은지 확인하십시오. 보안 명령 수행 중 의심스러운 이상 징후나 행동이 감지된다면 이는 경고 신호입니다.
- 링 펜싱은 조직이 앱이 다른 앱, 파일, 데이터 또는 사용자와 상호 작용할 수 있는 범위를 제한하기 위해 사용하는 널리 퍼진 기술입니다. 이는 애플리케이션이 조직의 경계를 벗어나지 못하도록 막는 장벽입니다.
- 또한 직원들에게 보안 인식의 중요성에 대해 교육하십시오. 사회공학적 악성코드와 피싱의 징후를 식별할 수 있도록 하십시오. 인식은 권한 상승 공격을 방지하는 최상의 전략 중 하나입니다. 해커와의 싸움에서 가장 효과적입니다.
- 제로 트러스트 네트워크 보안 아키텍처를 구축하여 사이버 보안에 제로 트러스트 접근 방식을 적용하십시오. 아무도 신뢰하지 마십시오. 항상 검증하십시오.
- AI 위협 탐지 기술을 활용하여 아무도 주의를 기울이지 않을 때 백그라운드에서 스캔을 실행하십시오. 인간이 보안 결함을 놓치더라도 자동화 도구가 이를 포착할 것입니다.
위협 인텔리전스 강화권한 상승 공격의 실제 사례
최근 권한 상승 공격에 마이크로소프트 서명 드라이버가 사용되었습니다. 위협 행위자들은 취약한 드라이버를 직접 가져오는 프로그램(BYOV)을 위해 Paragon 파티션 관리자의 결함을 악용했습니다. 이 제로데이 취약점은 랜섬웨어 공격에 연루되어 공격자가 시스템을 손상시키고 탐지를 회피할 수 있게 했습니다. CVE-2025-0289는 권한 상승에 사용된 비보안 커널 리소스 접근 취약점이었습니다.
이 취약점은 표적 장치에 서비스 거부(DoS) 공격을 실행했습니다. CERT 조정 센터는 파라곤 파티션 관리자가 설치되지 않은 Windows 장치에서도 이 취약점이 악용될 수 있다고 경고했습니다.
해당 랜섬웨어 변종은 공개되지 않았으며, 마이크로소프트는 이 활동에 대해 논평하거나 추가적인 악용 정보를 제공하지 않았습니다. 그들은 어떠한 답변도 거부했습니다. 랜섬웨어 조직이 취약한 드라이버를 악용하고 엔드포인트 탐지 및 대응 메커니즘을 우회하는 것은 흔한 일입니다.
Kubernetes 권한 공격은 클러스터 전반에서 발생하는 또 다른 유형의 권한 상승 공격입니다. 이들은 컨테이너를 표적으로 삼고 공격 체인 내에서 시스템 포트를 악용합니다.
공격자가 상위 권한에 접근하면 취약점, 잘못된 구성, 그리고 허용 범위가 지나치게 넓은 역할 기반 접근 제어 정책을 악용할 수 있습니다. 그들은 중요한 서비스를 방해하고, 악성 워크로드를 배포하며, 전체 쿠버네티스 클러스터에 대한 완전한 통제권을 획득할 수 있습니다.
결론
권한 상승 공격을 방지하려면 엄격한 접근 제어를 시행하고 정기적인 보안 감사를 수행하는 등 필요한 보안 조치를 취하는 것부터 시작해야 합니다. 조직 내에서 무슨 일이 일어나고 있는지 알지 못하면 측면 이동이 발생하는 시점을 정확히 파악하기 어려울 수 있습니다. 최고의 보안 인식 및 교육 프로그램을 도입하고 직원들이 반드시 참석하도록 하십시오.
기본을 소홀히 하지 마십시오. 기본이 권한 상승 공격을 방지하는 방법을 배우는 열쇠이기 때문입니다. 추가 지원이 필요하면 SentinelOne와 같은 보안 전문가에게 문의하십시오.
FAQs
권한 상승 공격은 사용자가 기존 권한보다 더 많은 접근 권한을 획득하여 시스템이나 네트워크의 더 많은 부분을 제어할 수 있게 되는 공격입니다. 마치 들어갈 수 없는 장소의 열쇠를 받은 후 그 열쇠로 더 많은 문을 여는 것과 같습니다.
공격자는 시스템 취약점이나 유출된 인증 정보를 악용하여 더 높은 권한을 획득합니다. 소프트웨어의 취약점을 발견하거나 누군가를 속여 접근 권한을 얻어낼 수 있습니다. 그런 다음, 보통은 눈치채지 못한 채로 돌아다니며 더 많은 권한을 획득할 수 있습니다.
사용자가 수행할 수 있는 작업을 제한함으로써 권한 상승 공격을 방지할 수 있습니다. 즉, 업무 수행에 필요한 최소한의 접근 권한만 부여하는 것입니다.
소프트웨어를 최신 상태로 유지하고 직원들에게 보안 교육을 실시하는 것도 좋은 방법입니다. 의심스러운 행동을 모니터링하는 것도 활용할 수 있는 방법입니다.
엔드포인트 보안은 컴퓨터나 스마트폰과 같은 개별 장치를 보호하여 권한 상승을 차단합니다. 공격이 확산되기 전에 이를 식별하고 차단할 수 있습니다. 공격자들은 일반적으로 더 광범위한 네트워크에 접근하기 위해 단일 엔드포인트를 표적으로 삼기 시작하기 때문에 이는 중요합니다.
권한 상승 공격의 경우 조직은 즉각 대응해야 합니다. 감염된 영역을 격리하고, 악성코드를 제거하며, 비밀번호를 변경해야 합니다. 재발 방지를 위해 사건 경위를 반드시 검토해야 합니다. 보안 도구를 활용할 수 있습니다.
권한 상승 공격은 크게 수평적 공격과 수직적 공격 두 가지 유형으로 나뉩니다. 수평적 공격은 동등한 수준의 사용자 권한을 획득하는 것을 의미합니다. 수직적 공격은 일반 사용자로부터 네트워크 및 시스템에 대한 접근 권한이 더 큰 슈퍼 유저 또는 관리자로 이동하는 것을 포함합니다.