해커의 눈으로 보는 Credential Access: 보안 전문가를 위한 필독 가이드 17가지

Credential Access

서론: Credential Access의 중요성

사이버 보안의 세계에서, Credential Access는 공격자가 사용자의 인증 정보를 무단으로 획득하는 기법을 말합니다. 이는 해커들이 개인 정보, 금융 데이터, 기업 비밀 등을 절취하기 위한 첫 단계로, 네트워크의 보안을 깨뜨리는 주요 수단 중 하나입니다. 따라서 Credential Access의 위험을 이해하고, 이를 방어하기 위한 전략을 마련하는 것은 모든 기업과 개인에게 필수적인 일입니다.

Credential Access는 다양한 방식으로 이루어질 수 있습니다. 예를 들어, ‘Phishing’ 공격을 통해 사용자로부터 직접 비밀번호를 속여서 얻어내거나, ‘Brute Force’ 공격으로 비밀번호를 무차별적으로 시도하여 알아내기도 합니다. 또한, 이미 침투한 시스템 내에서 ‘Credential Dumping’을 통해 비밀번호나 토큰 등을 추출하기도 합니다. 이러한 공격들은 기업의 중요 데이터를 위협하며, 심각한 금융적 손실이나 명예 손상을 초래할 수 있습니다.

이처럼 Credential Access는 사이버 보안의 큰 위협이 되고 있으며, 이를 방어하기 위한 노력이 절실히 요구됩니다. 보안 인식 교육을 강화하여 직원들이 다양한 공격 기법을 인지하고 예방할 수 있도록 해야 합니다. 또한, 강력한 비밀번호 정책, 다중 인증 방식의 도입, 정기적인 보안 점검 등을 통해 시스템의 취약점을 최소화해야 합니다.

Credential Access 방어는 단순히 기술적 문제에 국한되지 않습니다. 조직의 보안 문화를 강화하고, 모든 구성원이 보안에 대한 인식을 공유하는 것이 중요합니다. 보안은 모두의 책임이며, 각자의 위치에서 최선을 다해야 합니다. 사이버 보안의 첫걸음인 Credential Access에 대한 이해와 방어는 우리 모두의 안전한 디지털 환경을 위해 반드시 필요한 과정입니다.

 

 

보안 기술

Credential Access 기술

Adversary-in-the-Middle
소개: Adversary-in-the-Middle (AIM) 공격은 공격자가 통신하는 두 당사자 사이에서 데이터를 가로채거나 조작하는 공격입니다. 이는 주로 공개 네트워크에서 발생하며, 공격자는 사용자의 인증 정보나 기타 민감한 정보를 획득할 수 있습니다.
대응법: SSL/TLS와 같은 암호화 프로토콜을 사용하여 데이터를 암호화하고, VPN을 활용하여 안전한 연결을 구축합니다. 또한, 사용자는 공개 Wi-Fi 사용을 피하고, 웹사이트의 보안 인증서를 확인해야 합니다.

Brute Force
소개: Brute Force 공격은 가능한 모든 비밀번호 조합을 시도하여 사용자 계정에 접근하는 방법입니다. 이는 단순하지만 시간이 많이 걸리는 방법으로, 약한 비밀번호를 사용하는 계정이 주요 타겟이 됩니다.
대응법: 강력하고 복잡한 비밀번호를 사용하고, 비밀번호 재사용을 피해야 합니다. 계정 잠금 정책을 구현하여 일정 시도 횟수 이후에는 계정을 잠그도록 설정합니다.

Credentials from Password Stores
소개: 공격자는 종종 저장된 비밀번호나 인증 정보를 타겟으로 합니다. 이는 브라우저나 기타 애플리케이션에 저장된 비밀번호가 될 수 있습니다.
대응법: 비밀번호 관리자를 사용하여 비밀번호를 안전하게 저장하고, 다중 인증을 활용하여 추가 보안 계층을 추가합니다. 또한, 정기적으로 비밀번호를 변경하고, 민감한 정보는 물리적으로 분리된 곳에 저장해야 합니다.

Exploitation for Credential Access
소개: 소프트웨어 취약점이나 시스템 구성 오류를 이용하여 사용자의 인증 정보를 획득하는 방법입니다. 이는 공격자가 시스템에 무단 접근하여 인증 정보를 도용하는 경우에 발생합니다.
대응법: 정기적인 취약점 스캔과 패치 관리 프로그램을 통해 소프트웨어와 시스템을 최신 상태로 유지합니다. 또한, 최소 권한 원칙을 적용하여 사용자의 접근 권한을 최소화해야 합니다.

Forced Authentication
소개: 공격자가 서버나 애플리케이션을 속여 사용자로 하여금 자신도 모르는 사이에 인증 과정을 진행하게 만드는 기법입니다. 이를 통해 공격자는 사용자의 인증 토큰이나 쿠키를 획득할 수 있습니다.
대응법: 서버와 클라이언트 간의 인증 요청에 대해 안전한 인증 메커니즘을 적용합니다. 사용자는 이메일이나 메시지를 통한 의심스러운 링크 클릭을 피해야 합니다.

Forge Web Credentials
소개: 이 공격은 공격자가 가짜 인증 정보를 생성하여 웹사이트나 애플리케이션에 접근하려는 시도입니다. 이를 통해 공격자는 정상적인 사용자로 위장하여 시스템에 침입할 수 있습니다.
대응법: 웹사이트와 애플리케이션은 인증 과정에서 추가적인 보안 검증을 요구해야 합니다. 예를 들어, CAPTCHA의 사용이나 로그인 시도 시 이상 행동 감지 시스템을 도입할 수 있습니다.

Input Capture
소개: 키로깅이나 폼 캡처와 같은 기법을 사용하여 사용자가 입력하는 정보(예: 키보드 입력, 마우스 클릭)를 녹화하거나 가로채는 공격입니다. 이를 통해 공격자는 비밀번호나 기타 민감한 정보를 획득할 수 있습니다.
대응법: 안티 바이러스 및 안티 맬웨어 소프트웨어를 사용하여 악성 프로그램을 탐지하고 제거합니다. 또한, 가상 키보드의 사용이나 일회용 비밀번호(OTP) 같은 보안 조치를 적용할 수 있습니다.

Modify Authentication Process
소개: 공격자가 인증 과정을 변경하거나 우회하여 무단으로 시스템에 접근하는 방법입니다. 이는 시스템의 인증 로직에 대한 수정이나, 인증 절차를 우회하는 기법을 포함합니다.
대응법: 인증 과정에 대한 정기적인 보안 검토를 수행하고, 인증 메커니즘에 대한 변경 사항을 엄격하게 통제해야 합니다. 또한, 다중 인증 방식을 적용하여 단일 인증 메커니즘의 취약점을 보완합니다.

Multi-Factor Authentication Interception
소개: 이 기법은 공격자가 다중 인증 과정 중 하나 이상의 인증 요소를 가로채는 것을 포함합니다. 예를 들어, 문자 메시지를 통해 전송된 일회용 비밀번호(OTP)를 가로채는 경우가 이에 해당합니다.
대응법: 인증 요소 전송에 보다 안전한 방법을 사용합니다. 예를 들어, 문자 메시지 대신 앱 기반의 OTP 솔루션을 사용하거나, 바이오메트릭 인증 같은 물리적 인증 요소를 추가합니다. 또한, 사용자는 인증 정보를 공유하지 않도록 주의해야 합니다.

 

 

Multi-Factor Authentication Request Generation
소개: 이 공격은 공격자가 사용자를 속여 다중 인증 요청을 생성하게 만들거나, 가짜 요청을 생성하여 인증 정보를 획득하는 방법입니다. 이는 일반적으로 피싱 공격이나 사회공학적 방법을 통해 이루어집니다.
대응법: 사용자 교육을 통해 의심스러운 다중 인증 요청을 식별하고, 이에 응답하지 않도록 해야 합니다. 또한, 인증 요청의 출처를 항상 확인하고, 공식 애플리케이션 또는 서비스에서만 인증 요청을 수락해야 합니다.

Network Sniffing
소개: 네트워크 스니핑은 공격자가 네트워크 트래픽을 감시하고 데이터 패킷을 가로채는 기법입니다. 이를 통해 민감한 정보나 인증 데이터를 획득할 수 있습니다.
대응법: 네트워크 통신에 대한 암호화를 사용합니다. 예를 들어, VPN 사용, HTTPS 프로토콜 사용, SSL/TLS 암호화 등이 있습니다. 또한, 네트워크 모니터링 도구를 사용하여 의심스러운 트래픽을 감지해야 합니다.

OS Credential Dumping
소개: 운영 체제의 인증 정보 덤프는 공격자가 시스템 메모리나 저장소에서 사용자의 인증 정보를 추출하는 기법입니다. 이는 공격자가 시스템에 이미 액세스 권한을 가진 상태에서 주로 시행됩니다.
대응법: 시스템에 대한 접근 권한 관리를 강화하고, 최소 권한 원칙을 적용해야 합니다. 또한, 시스템과 애플리케이션을 최신 상태로 유지하고, 보안 소프트웨어를 사용하여 악성 행위를 감지해야 합니다.

Steal Application Access Token
소개: 애플리케이션 접근 토큰 도용은 공격자가 사용자의 세션 토큰이나 인증 토큰을 가로채어 해당 사용자로서 서비스에 접근하는 기법입니다.
대응법: 토큰 기반 인증 시스템에서는 토큰의 보안을 강화하고, 토큰 만료 시간을 짧게 설정해야 합니다. 또한, 토큰을 안전하게 전송하고 저장하는 방법을 적용해야 합니다.

Steal or Forge Authentication Certificates
소개: 인증서 도용 또는 위조는 공격자가 유효한 인증서를 도용하거나 가짜 인증서를 생성하여 시스템 또는 네트워크에 접근하는 기법입니다.
대응법: 인증서의 발급과 관리를 엄격하게 통제하고, 인증서 체인을 검증하는 절차를 강화해야 합니다. 또한, 인증서 폐기 목록(CRL)과 온라인 인증서 상태 프로토콜(OCSP)을 활용하여 유효하지 않은 인증서의 사용을 방지해야 합니다.

Steal or Forge Kerberos Tickets
소개: 케르베로스 티켓 도용 또는 위조는 공격자가 케르베로스 인증 프로세스를 이용하여 티켓을 도용하거나 위조하는 방법입니다. 이를 통해 공격자는 네트워크 상의 다른 시스템에 접근할 수 있습니다.
대응법: 케르베로스 인증 시스템의 보안을 강화하고, 정기적으로 보안 로그를 검토하여 의심스러운 활동을 감지해야 합니다. 또한, 네트워크 상의 시스템과 서비스에 대한 접근 권한을 엄격히 관리해야 합니다.

Steal Web Session Cookie
소개: 웹 세션 쿠키 도용은 공격자가 사용자의 웹 브라우저에 저장된 세션 쿠키를 가로채어 사용자로 위장하여 웹 서비스에 접근하는 기법입니다.
대응법: 쿠키의 보안 속성을 설정하여 HTTPS 연결을 통해서만 쿠키를 전송하도록 해야 합니다. 또한, 세션 쿠키의 만료 시간을 짧게 설정하고, 정기적으로 세션을 갱신해야 합니다.

Unsecured Credentials
소개: 보안되지 않은 인증 정보는 네트워크 상에서 평문으로 전송되거나 안전하지 않은 방식으로 저장되는 인증 정보를 말합니다. 이는 공격자가 쉽게 접근하고 획득할 수 있는 정보입니다.
대응법: 모든 인증 정보는 암호화하여 전송하고 저장해야 합니다. 또한, 민감한 정보를 처리하는 시스템의 보안을 강화하고, 접근 권한을 최소화해야 합니다. 사용자와 관리자는 인증 정보의 보안 관리에 대해 지속적으로 교육받아야 합니다.

 

사이버 보안

결론: Credential Access 방어 전략

Credential Access에 대한 방어는 사이버 보안의 핵심적인 부분을 차지합니다. 이를 효과적으로 방어하기 위해선 종합적이고 다층적인 접근 방식이 필요합니다. 기업과 개인은 끊임없이 변화하는 사이버 위협 환경에 적응하고, 이에 대응하기 위한 전략을 지속적으로 발전시켜야 합니다.

첫째, 강력한 비밀번호 정책의 구현과 사용자 교육이 필수적입니다. 사용자들이 강력한 비밀번호를 생성하고 정기적으로 변경하도록 장려하며, 피싱 공격이나 소셜 엔지니어링 기법으로부터 자신을 보호할 수 있는 방법을 교육해야 합니다. 또한, 모든 사용자에 대한 다중 인증(Multi-Factor Authentication, MFA)을 적용하여, 비밀번호가 노출되더라도 추가적인 보안 장치를 통해 접근을 차단할 수 있도록 해야 합니다.

둘째, 네트워크와 시스템의 보안을 강화해야 합니다. 정기적인 보안 점검과 취약점 분석을 통해 시스템의 약점을 파악하고, 필요한 보안 패치를 적용해야 합니다. 또한, 네트워크 모니터링 도구를 활용하여 비정상적인 트래픽이나 의심스러운 로그인 시도를 실시간으로 감지하고 대응할 수 있어야 합니다.

셋째, 인시던트 응답 계획을 마련하고 정기적으로 훈련해야 합니다. 사이버 공격이 발생했을 때 신속하고 효과적으로 대응할 수 있는 체계를 구축하는 것이 중요합니다. 이는 공격을 조기에 탐지하고, 피해를 최소화하며, 사이버 보안 사고로부터 빠르게 회복하는 데 핵심적인 역할을 합니다.

마지막으로, 기업과 개인은 사이버 보안에 대한 인식을 지속적으로 강화해야 합니다. 보안은 단일 기술이나 정책으로 완성되는 것이 아니라, 조직 내 모든 구성원의 지속적인 관심과 협력을 통해 이루어집니다. Credential Access 방어를 위한 교육 프로그램, 정기적인 보안 브리핑, 최신 사이버 위협 동향에 대한 업데이트 등을 통해 전체 조직의 보안 의식을 높이는 것이 중요합니다.

Credential Access 방어 전략의 성공은 기술적 수단뿐만 아니라, 조직 내의 문화와 직원들의 행동 변화에도 달려 있습니다. 사이버 보안 위협에 대응하기 위해 모든 구성원이 함께 노력하고, 지속적으로 학습하며, 최선의 방어 체계를 구축하는 것이 중요합니다.

 

사이버 방어를 뚫는 기술: Defense Evasion 기술의 심층 분석 [Defense Evasion - 2]