측면 이동(Lateral Movement)은 공격자가 초기 침투 후 네트워크를 탐색하는 데 사용하는 기법을 의미합니다. 본 가이드는 측면 이동의 작동 방식, 보안에 미치는 영향, 탐지 및 방어 전략을 살펴봅니다.
측면 이동을 저지하는 데 있어 네트워크 분할 및 모니터링의 중요성을 알아보세요. 측면 이동을 이해하는 것은 조직이 사이버 보안 방어 체계를 강화하는 데 필수적입니다.
횡방향 이동 공격은 사이버 공격이 침투 지점에서 발생하는 경우가 드물기 때문에 가능합니다. 침투 지점은 해커가 접근 권한을 획득하는 지점에 불과합니다. 사이버 범죄자들은 가장 민감한 정보에 접근하기 위해 종종 시스템을 횡방향으로 이동합니다. 안타깝게도 너무 많은 사용자와 기업이 이러한 공격을 막기 위해 사이버 보안 관행을 어떻게 업그레이드해야 하는지 모릅니다.
최근 데이터 보고서에 따르면 많은 조직이 취약한 사이버 보안 관행을 가지고 있어 데이터 유출, 악성코드 감염 및 기타 보안 위협에 취약한 것으로 나타났습니다. 변화하는 사이버 보안 환경에 대응하기 위해서는 측면 이동 공격을 비롯한 사이버 공격의 모든 측면을 이해하는 것이 필수적입니다.
본 글에서는 측면 이동 공격의 작동 방식부터 시스템 침투 탐지 및 방어 방법까지, 이 공격에 대해 알아야 할 모든 것을 학습하게 될 것입니다.
측면 이동이란 무엇인가?
사이버 보안에서 측면 이동(lateral movement) 은 공격자가 피해자의 네트워크 내에서 이동하는 것을 의미합니다. 측면 이동은 일반적으로 공격 범위를 확장하고 침해 가능한 새로운 시스템이나 데이터를 찾기 위해 수행됩니다. 측면 이동은 공격의 모든 단계에서 발생할 수 있지만, 침해 후 단계에서 가장 흔히 관찰됩니다.
측면 이동 공격은 일반적으로 특정 패턴을 따릅니다:
- 공격자는 피싱이나 악성코드(파일리스 악성코드 포함)와 같은 취약점 악용을 통해 시스템에 초기 접근 권한을 획득합니다.
- 공격자는 해당 시스템을 이용해 네트워크 내에서 측면 이동을 수행하며, 일반적으로 취약점을 악용하거나 탈취한 자격 증명을 사용합니다.
- 공격자는 침해된 시스템을 통해 민감한 데이터나 시스템에 접근합니다.
공격자가 사용할 수 있는 다양한 측면 이동 기법이 존재하지만, 일반적인 기법은 다음과 같습니다:
- 패스-더-해시(Pass-the-hash): 이 기법에서 공격자는 시스템에서 암호 해시(password hash)를 탈취한 후, 해당 해시를 이용해 네트워크 내 다른 시스템에 인증합니다.
- 패스-더-티켓: 공격자는 시스템에서 Kerberos 티켓을 훔친 후, 액티브 디렉터리와 같은 네트워크상의 다른 시스템에 인증하는 데 해당 티켓을 사용합니다. 골든 티켓 공격이나 실버 티켓 공격과 같은 패스-더-티켓 공격은 공격자가 침투 후 측면 이동 및 권한 상승을 위해 사용하는 강력한 기법입니다. 이러한 기법을 통해 공격자는 네트워크 또는 서비스 내 모든 엔드포인트에 무제한 접근 권한을 획득할 수 있으며, 이는 치명적인 결과를 초래할 수 있습니다.
- 취약점 악용: 공격자는 시스템의 취약점을 악용하여 접근 권한을 획득한 후, 해당 권한을 이용해 네트워크 내에서 측면 이동을 수행합니다.
- 도난된 자격 증명 사용: 공격자는 시스템에서 유효한 자격 증명을 훔친 후 이를 이용해 네트워크 내 다른 시스템에 인증합니다.
측면 이동 기법은 성공 가능성을 높이기 위해 종종 서로 조합하여 사용됩니다. 예를 들어, 공격자는 해시 전달(pass-the-hash) 을 통해 시스템에 초기 접근 권한을 획득한 후, 해당 자격 증명을 사용하여 네트워크 내 다른 시스템에 인증할 수 있습니다.
영국의 국가 사이버 보안 센터(NCSC)는 사이버 범죄자들이 네트워크에 초기 진입점을 확보한 후, 가치 있는 정보나 시스템에 대한 추가 통제권을 획득하면서 그 진입점을 확장하고 공고히 하려 한다는 점을 지적합니다. 바로 이 점이 측면 이동을 매우 위험하게 만드는 이유입니다.
측면 이동의 작동 방식: 공격의 단계
사이버 공격에 대해 알아야 할 한 가지는, 공격이 명확히 정의된 과정, 즉 “킬 체인(kill chain).&” 사이버 킬 체인은 사이버 범죄자들이 사이버 공격을 실행하기 위해 사용하는 방법론입니다. 이는 공격자가 표적을 식별하는 단계부터 데이터를 성공적으로 유출하는 단계까지의 과정을 설명하는 선형 모델입니다.
측면 이동 공격의 경우, 공격자가 사용하는 킬 체인에는 여러 단계가 있습니다:
정찰
측면 이동 공격의 첫 번째 단계이자 가장 중요한 단계로, 이후 공격의 기반을 마련합니다. 이 단계에서 공격자는 대상에 대한 최대한의 정보를 수집합니다.
여기에는 네트워크 인프라, 사용자, 시스템에 대한 데이터 수집이 포함됩니다. 공격자들은 Google dorks, 소셜 미디어 및 기타 오픈소스 정보(OSINT) 기법 등을 활용해 대상에 대한 데이터를 수집합니다.
정찰 단계에는 또한 다음이 포함됩니다:
- 잠재적 대상 식별.
- 취약점 발견.
- 관련된 제3자 연결망 파악 (및 접근 가능한 유용한 정보 확인).
- 기존 침투 경로 탐색 (및 신규 경로 발굴).
또한 정찰은 온라인과 오프라인에서 모두 발생할 수 있습니다.
인증 정보 탈취
흔히 “Credential dumping라고 불리는 이 단계는 정찰 을 통해 사이버 범죄자들이 잠재적 표적에 대한 모든 필수 정보를 발견할 수 있게 된 후 발생합니다. 여기서 공격자는 자신의 존재를 공고히 하고, 지속적인 위협을 유지하며, 사기 수단을 통해 자격 증명 정보를 획득하고, 추가 호스트를 침해하여 권한을 상승시킵니다.
궁극적으로 공격자는 대상(도메인 컨트롤러, 중요 시스템 또는 민감한 데이터 등)에 대한 통제권을 획득합니다. 그들은 더 많은 호스트 명명 규칙과 서버에 대한 합법적인 접근 권한을 가진 것처럼 보이는 자격 증명을 훔칩니다. 이러한 목표를 달성한 후 데이터는 유출될 수 있으며, 기기들은 파괴됩니다.
횡방향 이동 접근
이 단계에서 공격자는 이전 단계에서 획득한 자격 증명을 사용하여 시스템 간 측면 이동을 수행하고 네트워크 내 발판을 확장합니다. 이를 위해 원격 데스크톱 프로토콜(RDP)>, Windows 관리 계측(WMI), 서버 메시지 블록(SMB).
이러한 도구들은 공격자가 재인증 없이 네트워크상의 장치와 시스템 간에 측면 이동을 가능하게 하며, 민감한 데이터와 시스템에 대한 무제한 접근 권한을 부여합니다.
탐지 및 차단
이것은 측면 이동 킬 체인의 최종 단계이며– 귀하 또는 고객의 데이터를 보호하는 데 가장 중요한 단계입니다. 사이버 공격자가 시스템에 접근한 후 이를 탐지하고 차단하는 것은 거의 불가능할 수 있습니다.
SentinelOne 는 위협 라이프사이클의 모든 단계에서 AI와 자동화를 통해 네트워크를 보호함으로써 모든 측면 이동 공격을 차단할 수 있습니다. ATT&CK Deception Evaluation에 참여하고 주도한 최초이자 유일한 XDR 벤더로서, 그들의 Singularity XDR 플랫폼은 가장 강력하고 자율적인 XDR 플랫폼으로, 기업이 직면한 공격 표면 인간, 장치, 클라우드 공격 표면 전반에 걸쳐.
Singularity XDR은 네트워크 내 교두보를 구축하거나, 신원 데이터를 탈취하여 측면 이동, 권한 상승, 목표 획득을 시도하는 공격자를 조기에 차단하기 위해 예방, 보호, 탐지 및 기만 기능을 효과적으로 결합합니다. SentinelOne 데모 신청하기.
위협 인텔리전스 강화공격자가 측면 이동 기법을 사용하는 이유
측면 이동은 주로 두 가지 원인으로 발생합니다: 네트워크를 직접 이동하는 공격자, 또는 웜과 같이 자동 확산 기능을 가진 악성 코드입니다. 측면 이동을 수행하는 기술에는 EternalBlue SMB 익스플로잇과 같은 취약점 악용, 원격 데스크톱 프로토콜, Powershell 및 WMI와 같은 도구/인터페이스로 수집한 자격 증명 활용, 원격 머신에서 코드 실행 등이 포함될 수 있습니다.
위 기술 대부분이 파일리스 방식인 만큼, 기존 보안 통제 수단으로는 네트워크 내 이동 중인 공격자나 코드를 식별하기 어렵습니다. 이러한 공격의 은밀한 특성은 공격자에게 높은 효율성과 수익성을 제공하며 대규모 감염을 가능하게 합니다. 측면 이동 공격을 방지하려면 공격자가 이 기술을 활용하는 이유를 이해하는 것이 핵심입니다.
탐지 회피 용이성
평균적으로 피싱 공격은 탐지까지 213일, 차단까지 80일이 소요됩니다. 213일은 측면 이동 공격에 있어서는 영원이나 다름없어, 공격자가 측면으로 이동하고, 지속성을 확보하며, 정찰을 수행하고, 자격 증명을 획득할 충분한 시간을 제공합니다.
또한 합법적인 사용자가 네트워크나 클라우드 내에서 측면 이동을 하는 것처럼 보이기 때문에, 보안 및 네트워크 모니터링 도구는 공격을 탐지하지 못할 것입니다.
이는 최초 감염된 장치가 확인되더라도 공격자가 이미 네트워크 전역으로 이동해 목표 내부에서 장기간 은폐 상태를 유지하며 공격 확대의 최적 시점을 탐색할 수 있음을 의미합니다. 이는 다음으로 이어집니다:
취약점 학습 시간
공격자는 측면 이동을 통해 각 시스템의 작동 방식을 관찰하며 다양한 시스템의 취약점을 파악할 수 있습니다. 그리고 최종 공격을 수행하기 전까지 몇 주 또는 몇 달 동안 이 작업을 수행할 수 있습니다.
권한 상승 기회
공격자가 측면 이동 기법을 사용하는 또 다른 이유는 외부에서 네트워크를 침해하려 시도하기보다 네트워크 내에서 상승된 권한을 획득하기 위함입니다. 합법적인 자격 증명을 사용하면 공격자가 네트워크에서 신속하게 권한을 상승시켜 민감한 데이터와 시스템을 제어할 수 있습니다.&
측면 이동을 활용한 보안 위협 탐지 및 방지 방법
측면 이동 공격은 합법적인 자격 증명과 도구를 사용해 사이버 범죄자들이 오랫동안 탐지되지 않도록 하기 때문에 탐지 및 방지가 어렵습니다. 그러나 측면 이동 공격의 위험을 줄이기 위해 따를 수 있는 몇 가지 모범적인 사이버 보안 관행을 따름으로써 측면 이동 공격의 위험을 줄일 수 있습니다. 여기에는 다음이 포함됩니다:
공격 표면 인식 평가
가장 먼저 해야 할 일은 네트워크에 어떤 시스템과 장치가 있는지 파악하는 것입니다. 이를 통해 보호해야 할 대상 주변에 벽을 쌓을 수 있습니다. 여기에서 사이버 보안의 초점은 경계 보호에서 네트워크 내부 탐지로 전환되어야 합니다.
이를 위해서는 노출된 인증 정보/정보, 잘못된 구성, 잠재적 공격 경로 및 기타 취약점 등에 대해 알아야 합니다. 엔드포인트 탐지 및 대응(EDR) 및 확장 탐지 및 대응(XDR) 도구를 활용하여 엔드포인트 공격에 대한 가시성을 확보하고 해당 기능을 확장하는 것이 중요합니다.
SentinelOne의 Singularity™ 플랫폼 는 보안 전문가들이 현대적 위협을 기계 속도로 선제적으로 해결할 수 있도록 지원합니다. 싱귤러리티는 사용자 엔드포인트, 하이브리드 클라우드 워크로드, IoT 등을 아우르는 SOC의 위험 관리를 더욱 효과적으로 지원함으로써 자율적 AI 기반 사이버 보안이라는 미래 비전을 현실로 만듭니다.
권한 및 신원 조사
두 번째 실천 사항은 네트워크상의 권한 및 신원을 조사하고 이해하는 것입니다. 이를 통해 합법적인 사용자가 수행해야 하는 작업과 수행해서는 안 되는 작업을 판단하는 데 도움이 됩니다.
이상 징후 및 탐지 정확도 측정
이 단계에서는 보안 도구의 탐지 정확도를 측정하고 예상대로 작동하는지 확인해야 합니다. 예를 들어, 일반적으로 한 위치에서 파일에 접근하던 사용자가 이제 다른 위치에서 접근하는 경우, 이는 사용자의 자격 증명이 유출되었고 누군가가 이를 이용해 네트워크 내에서 측면 이동을 시도하고 있다는 신호일 수 있습니다.
AI/ML 기능을 갖춘 탐지 기술을 활용하면 측면 이동 공격을 탐지하고 방지하는 데 도움이 됩니다. 이러한 기술은 사용자 행동을 모니터링하고 측면 이동의 징후가 될 수 있는 이상 징후를 식별하는 데 사용될 수 있습니다.
측면 이동 및 기타 사이버 위협 문제를 식별하는 가장 좋은 방법은 모든 조직 구성원에게 이점을 제공하는 신뢰할 수 있는 사이버 보안 프로세스를 도입하는 것입니다. SentinelOne의 측면 이동 탐지 엔진은 플랫폼의 저수준 모니터링을 활용하여 상기 스크립트 언어 및 프로토콜을 포함한 모든 머신 운영에 대한 가시성을 확보합니다.
실시간으로 실행 컨텍스트를 구축하고 행동 기반 AI를 적용하여 네트워크 내 이동을 위한 다양한 기법의 사용 이상 징후를 식별함으로써 측면 이동 공격을 실시간으로 탐지 및 완화합니다. 이를 통해 악성코드 확산이나 '로밍' 공격자의 이동을 방지합니다. 작동 방식은 여기서 확인하실 수 있습니다:
효과적인 자동화 및 오케스트레이션 활용
마지막으로, 측면 이동 공격에 대한 대응을 자동화하고 오케스트레이션해야 합니다. 이는 대응 시간을 단축하고 공격 성공 가능성을 줄이는 데 도움이 됩니다.
이를 위해 보안 오케스트레이션, 자동화 및 대응(SOAR) 플랫폼을 활용할 수 있습니다. 이러한 자동화 플랫폼은 탐지된 위협을 처리하고 네트워크를 통해 확산되는 것을 차단함으로써 사고 대응을 가속화하고 간소화합니다.
SentinelOne의 MITRE Engenuity ATT&CK® 평가에서의 성공 사례를 여기서 확인하세요.
SentinelOne을 통한 측면 이동 공격 방어
사이버 범죄자들의 수법이 점점 정교해지면서 측면 이동 공격은 여전히 심각한 문제로 남아 있습니다. 단순한 익스플로잇의 시대는 지났습니다. 대규모 조직들은 이제 세심하게 계획된 고급 지속적 위협(APT) 공격을 비롯한 측면 이동 공격 등 다양한 위협을 우려하고 있습니다.
SentinelOne 측면 이동 탐지 기능이 제공하는 탐지 및 가시성은 다른 모든 EDR 도구보다 훨씬 뛰어나며, 별도의 설정 없이도 자동화된 운영을 위해 2.0 플랫폼에 통합적으로 통합되어 있습니다.
SentinelOne은 세계 최고의 차세대 엔드포인트 보안 플랫폼입니다. 이 플랫폼은 공격 라이프사이클의 모든 단계에서 위협을 차단하기 위해 특별히 설계되었습니다. 단일 에이전트/콘솔 아키텍처로 포괄적인 가시성, 보호 및 대응 기능을 제공합니다. 측면 이동 공격으로부터 비즈니스를 선제적으로 보호합니다. 오늘 데모 예약하기를 통해 직접 확인해 보세요.
측면 이동 FAQ
측면 이동은 공격자가 네트워크에 초기 접근 권한을 획득한 후, 민감한 데이터를 찾거나 권한을 상승시키기 위해 다양한 시스템이나 계정을 통해 이동하는 것을 말합니다. 목표는 탐지되지 않은 상태로 가치 있는 자산이나 목표물에 도달하는 것입니다.
공격자는 훔친 자격 증명을 사용하고, 신뢰 관계를 악용하며, 내부 도구를 남용하여 네트워크를 탐색하다가 훔치거나 손상시킬 가치가 있는 것을 발견할 때까지 이동합니다.
공격자는 피싱 이메일을 통해 사용자의 비밀번호를 획득한 후 로그인하여 해당 접근 권한을 이용해 파일 서버나 데이터베이스 시스템에 연결합니다. 그런 다음 PsExec나 Windows 원격 데스크톱 같은 도구를 사용해 여러 컴퓨터를 넘나들며 관리자 자격 증명이나 암호화, 유출 또는 파괴할 수 있는 파일을 찾습니다.
공격자는 먼저 자격 증명이나 토큰을 수집합니다. 다음으로, 공개 공유 폴더, 잘못된 구성 또는 네트워크 연결 장치를 스캔합니다. 그런 다음, 훔친 정보를 사용하여 해당 시스템에 접근을 시도합니다. 성공하면, 더 높은 권한 계정이나 더 가치 있는 대상을 찾기 위해 이 과정을 반복하며, 합법적인 관리자 도구를 사용하여 탐지를 피하려고 합니다.
비정상적인 인증 시도, 관리자 도구의 새롭거나 특이한 사용, 민감한 리소스에 대한 갑작스러운 접근을 확인하십시오. 예상치 못한 위치나 이상한 시간대에 로그인하는 계정을 모니터링하십시오. 비정상적인 SMB 트래픽, 반복된 로그인 실패, 정상 업무 시간 외에 중요 시스템에 대한 접근에 대한 경보를 설정하십시오.
측면 이동은 환경 내 취약한 비밀번호, 불충분한 세분화, 잘못 구성된 권한이 존재할 때 발생합니다. 공격자는 시스템 간 신뢰 관계를 악용하거나 패치되지 않은 취약점을 이용하며, 직원이 자격 증명을 재사용하는 점을 이용합니다. 적절한 모니터링 부족과 사용자 권한 제한 실패는 초기 침해 후 공격자가 더 넓은 영역으로 이동할 수 있는 여지를 제공합니다.
일반적인 기법으로는 해시 전달(Pass-the-Hash), 티켓 전달(Pass-the-Ticket), RDP, SMB 또는 WinRM 악용, 취약한 서비스 계정 이용, PsExec 또는 Mimikatz 같은 도구 사용 등이 있습니다. 공격자는 또한 악성 스크립트, 백도어 또는 현존하는 시스템 자원을 활용한 바이너리(LOLBins)를 사용하여 탐지되지 않은 상태로 유지하고 엔드포인트나 서버 간에 이동할 수 있습니다.