패스-더-해시(PtH) 및 패스-더-티켓(PtT)이란 무엇인가요?

패스-더-해시(PTH) 및 패스-더-티켓(PTT) 공격은 인증 프로토콜을 악용하는 기법입니다. 이 가이드에서는 이러한 공격의 작동 방식, 보안에 미치는 영향 및 예방 전략을 살펴봅니다.

자격 증명을 보호하고 의심스러운 활동을 모니터링하는 것의 중요성에 대해 알아보세요. PTH 및 PTT 공격을 이해하는 것은 조직이 시스템을 보호하는 데 필수적입니다.

조직은 강력한 접근 제어 구현, 고급 위협 탐지 및 모니터링 도구 활용, 보안 프로토콜 정기 업데이트를 통해 이러한 은밀한 전술을 저지해야 합니다. 이를 통해 조직은 PTH 및 PTT가 제기하는 지속적이고 진화하는 위협에 더 효과적으로 대응하여 민감한 데이터와 네트워크 무결성을 보호할 수 있습니다.

패스-더-해시(PtH)와 패스-더-티켓(PtT)의 차이점

PtH와 PtT는 모두 사이버 보안에서 사용되는 악의적인 기법이지만, 공통된 특성을 공유하면서도 초점과 실행 방식이 다릅니다. PtH와 PtT 모두 다음에 사용됩니다:

• 인증 공격 – PtH와 PtT는 모두 인증 기반 공격으로, 네트워크에서 사용자 또는 시스템의 신원을 확인하는 메커니즘을 표적으로 삼습니다.
• 측면 이동 – 두 공격 모두 네트워크 내에서 측면 이동 네트워크 내에서. 초기 접근 권한을 획득한 후, 공격자는 탈취한 자격 증명(해시 또는 티켓)을 사용하여 측면 이동을 수행하고 다른 시스템이나 리소스에 접근합니다.
• 탐지 회피 – PtH 및 PtT 공격은 본질적으로 은밀합니다. 평문 비밀번호를 획득할 필요가 없는 경우가 많아 탐지가 더 어렵기 때문입니다.

PtH와 PtT는 다음과 같은 주요 측면에서 차이가 있습니다:

• 대상 — PtH는 주로 침해된 시스템에서 해시된 비밀번호를 훔치는 데 초점을 맞추는 반면, PtT는 Windows 도메인 환경 내에서 인증 티켓의 도용 및 악용에 중점을 둡니다.
• 인증 정보 – PtH에서는 공격자가 훔친 암호 해시를 인증에 사용하는 반면, PtT에서는 사용자 또는 서비스 인증을 위해 생성된 Kerberos 티켓을 악용합니다.
• 범위 — PtH 공격은 Windows 도메인 외 다양한 플랫폼과 시스템을 표적으로 삼을 수 있어 범위가 더 넓습니다. PtT 공격은 Windows 도메인 환경에 더 특화되어 있습니다.

PtH와 PtT 모두 사이버 공격에서 측면 이동 및 권한 상승을 위한 위험한 전술입니다. 인증을 훼손한다는 공통된 목표를 공유하지만, PtH는 암호 해시 탈취를 포함하는 반면 PtT는 Windows 도메인 내 인증 티켓 악용에 중점을 둡니다. 효과적인 사이버 보안 방어 및 사고 대응을 위해서는 이러한 기술 간의 차이점과 유사점을 이해하는 것이 필수적입니다.

패스-더-해시(PtH) 및 패스-더-티켓(PtT) 간략 개요

PtH와 PtT 공격은 1990년대 초반 사이버 범죄자와 보안 연구자들이 Windows 운영 체제의 인증 자격 증명 처리 방식에 내재된 취약점을 인식하기 시작하면서 처음으로 주목받았습니다. PtH는 침해된 시스템에서 해시된 암호 데이터를 추출하는 기술로 등장했습니다. 공격자는 이러한 해시 값을 재사용하여 다른 시스템에서 본인 인증을 수행함으로써, 평문 암호 입력 없이도 효과적으로 접근할 수 있게 되었습니다.

반면 PtT는 주로 Kerberos 인증 프로토콜을 사용하는 Windows 환경을 표적으로 삼습니다. 이는 사용자 또는 서비스 인증 과정에서 생성되는 인증 티켓을 도용하고 악용하는 것을 포함합니다. 공격자는 Kerberos 티켓팅 시스템의 결함을 악용하여 합법적인 사용자나 서비스를 사칭하고 시스템 및 리소스에 대한 무단 접근 권한을 획득할 수 있습니다.

오늘날의 사이버 보안 환경에서 PtH 및 PtT 공격은 여전히 강력한 위협으로 남아 있습니다. 공격자들은 이러한 기법을 정교화하여 고급 지속적 위협(APT) 캠페인과 랜섬웨어 공격에 통합해 왔으며, 네트워크 보안 취약점을 악용하거나 사회공학적 기법을 활용해 초기 접근 권한을 획득하는 경우가 많습니다. 네트워크 내부로 침투한 후에는 PtH 및 PtT 공격을 통해 측면 이동, 권한 상승, 데이터 유출을 수행합니다.

PtH 및 PtT 공격의 중요성은 해시된 자격 증명과 인증 티켓을 활용하여 기존 보안 조치를 우회하고 탐지를 회피할 수 있는 능력에서 비롯됩니다. 이러한 공격을 방어하려면 강력한 비밀번호 정책, 정기적인 보안 업데이트, 견고한 접근 제어, 고급 위협 탐지 시스템 등 다각적인 접근 방식이 필요합니다.

패스-더-해시(PtH) 및 패스-더-티켓(PtT) 작동 원리 이해

PtH와 PtT는 사이버 보안, 특히 Windows 환경에서 사용되는 정교하고 악의적인 전술로, 무단 접근 및 권한 상승을 용이하게 합니다. 이 기술들은 원래 Windows 인증 시스템을 침해하기 위한 은밀한 방법으로 개발되었으며, 이후 사이버 보안 환경에서 지속적인 위협으로 진화했습니다.

PtH 및 PtT 공격은 공격자가 네트워크 내 시스템과 자원에 무단 접근하기 위해 사용하는 기법입니다. NTLM(NT LAN Manager)은 내재된 취약점으로 인해 이러한 공격의 주요 표적이 됩니다. 다음은 해당 기법의 작동 방식에 대한 상세한 기술적 설명입니다:

패스-더-해시(PtH)

• 초기 자격 증명 탈취 – PtH 공격은 일반적으로 공격자가 Windows 시스템에 초기 접근 권한을 획득하는 것으로 시작되며, 이는 종종 피싱, 악성코드 감염 또는 소프트웨어 취약점 악용 등을 통해 이루어집니다. 시스템에 침투한 공격자의 목표는 시스템에 로컬로 저장된 해시된 암호 데이터를 훔치는 것입니다. Windows는 평문 암호를 노출하지 않고 인증을 용이하게 하기 위해 메모리에 암호의 해시 표현을 저장합니다.
• 해시 캡처 – 공격자는 시스템 메모리에서 해시된 비밀번호 데이터를 추출하기 위해 다양한 도구와 기법을 사용합니다. 흔히 사용되는 도구 중 하나는 Mimikatz로, Windows 시스템에서 자격 증명을 검색할 수 있습니다.
• 해시 사용 &– 캡처된 암호 해시를 통해 공격자는 실제 평문 암호를 알 필요가 없습니다. 대신, 공격자는 인증 시도 시 이 해시를 직접 사용합니다.
• 공격자는 합법적인 사용자인 척하며 접근하려는 대상 시스템에 훔친 해시를 보냅니다. 그러면 대상 시스템은 공격자가 제공한 암호를 해시하고 저장된 해시와 비교하여 인증을 수행합니다.&
• 접근 권한 획득 – 해시가 일치하면 공격자는 피해자의 평문 비밀번호 없이도 대상 시스템이나 리소스에 무단 접근할 수 있게 됩니다.
• 공격자는 이 접근 권한을 이용해 네트워크 내에서 측면 이동(lateral movement)을 수행하고, 권한을 상승시키며, 민감한 데이터에 접근하는 경우가 많습니다.

패스-더-티켓(PtT)

• Kerberos 인증 – PtT 공격은 주로 Kerberos 인증 프로토콜을 사용하는 Windows 환경을 대상으로 합니다. Kerberos는 Active Directory(AD) 환경에서 싱글 사인온(SSO) 및 보안 인증을 위해 일반적으로 사용됩니다.
• 초기 티켓 생성 – 사용자가 Windows 시스템에 로그인하면 Kerberos 인증 프로세스는 사용자에게 티켓 부여 티켓(TGT)을 생성합니다. 이 티켓은 사용자와 키 배포 센터(KDC)만이 알고 있는 장기 비밀(일반적으로 사용자 암호 해시)로 암호화됩니다.
• 티켓 추출 — PtT 공격에서 공격자는 초기 접근 권한을 획득한 침해된 시스템의 메모리에서 이 TGT를 캡처하는 것을 목표로 합니다.
• 공격자는 Mimikatz 같은 도구를 사용하여 메모리에서 TGT를 추출합니다.
• 티켓 사용 – 도난당한 TGT를 확보한 공격자는 해당 TGT와 연관된 정상 사용자를 사칭할 수 있습니다. 공격자는 특정 리소스에 대한 서비스 티켓을 요청할 때 KDC에 TGT를 제시합니다.
• 서비스 티켓 요청 – TGT를 신뢰하는 KDC는 공격자가 요청한 리소스에 대한 서비스 티켓을 발급합니다. 이 서비스 티켓은 TGT에서 파생된 세션 키로 암호화됩니다.
• 리소스 접근 – 유효한 서비스 티켓을 확보한 공격자는 마치 정당한 사용자처럼 네트워크 리소스와 시스템에 접근할 수 있습니다. 이를 통해 네트워크 내에서 측면 이동을 수행하고 추가 시스템을 침해할 가능성이 있습니다.

PtH(Password-to-Hash) 및 PtT(Password-to-Text) 공격은 공격자가 피해자의 평문 비밀번호를 알지 못해도 활동할 수 있게 하므로 특히 우려됩니다. 이러한 공격을 완화하려면 강력한 비밀번호 정책, 정기적인 보안 업데이트, 견고한 접근 제어, 그리고 고급 위협 탐지 시스템이 포함됩니다. 또한 조직은 PtH 및 PtT 공격을 신속하게 탐지하고 대응하기 위해 자격 증명 도용 징후와 비정상적인 인증 활동을 모니터링해야 합니다.

PtH 및 PtT 공격과 관련된 위험으로부터 보안을 강화하기 위해 기업들은 다음과 같은 여러 조치를 시행하고 있습니다:

• 강력한 인증 – 다중 요소 인증(MFA) (MFA) 및 2단계 인증(2FA)을 사용하면 비밀번호 이상의 추가 보안 계층을 확보할 수 있습니다.
• 최소 권한 접근 — 사용자의 접근 권한과 특권을 제한하면 유출된 자격 증명으로 인한 피해를 최소화할 수 있습니다.
• 특권 접근 관리(PAM) – PAM 솔루션은 특권 계정 및 접근을 관리, 모니터링 및 보호하는 데 도움이 됩니다.
• 네트워크 세그멘테이션 – 중요 시스템과 덜 중요한 시스템을 분리하면 네트워크 내 횡방향 이동을 제한할 수 있습니다.
• 정기적인 인증 정보 교체 – 정기적으로 비밀번호 변경을 요구하는 정책을 시행하면 PtH(Pass-the-Hash) 및 PtT(Pass-the-Token) 공격의 기회를 줄일 수 있습니다.
• 보안 인식 교육 – 직원들에게 PtH 및 PtT 공격의 위험성과 강력한 비밀번호 관리의 중요성을 교육하는 것이 필수적입니다.
• 침입 탐지 시스템 – 고급 침입 탐지 시스템을 도입하면 PtH 및 PtT 시도를 탐지하고 차단하는 데 도움이 됩니다.

결론

패스-더-해시(PtH) 및 패스-더-티켓(PtT) 공격은 현재 디지털 영역에서 지속적인 위협으로 자리 잡고 있습니다. 이러한 기법은 NTLM 및 Kerberos와 같은 인증 프로토콜을 주로 표적으로 삼으며, 사이버 공격의 진화하는 특성과 지속적인 경계가 필요함을 강조합니다.

PtH 및 PtT는 인증 메커니즘의 취약점을 악용하여 공격자가 은밀하게 네트워크에 침투하고, 측면 이동을 수행하며, 권한을 상승시키고, 민감한 시스템 및 데이터에 대한 무단 접근을 획득할 수 있게 합니다. 그 결과는 데이터 유출과 재정적 손실부터 평판 손상에 이르기까지 매우 심각할 수 있습니다.

PtH 및 PtT 공격은 사이버 보안 환경이 변화하는 전장이라는 점을 냉철하게 상기시켜 줍니다. 이러한 위협으로부터 보호하기 위해 개인과 조직은 경계를 늦추지 않고, 사전 예방적 보안 조치를 수용하며, 사이버 보안 전문가들과 협력해야 합니다. PtH 및 PtT 공격에 앞서 나가는 것은 단순히 중요할 뿐만 아니라, 끊임없는 적들에 맞서 디지털 세계를 보호하는 핵심입니다.

해시 전달 vs 티켓 전달 FAQ