해커의 이동 경로 추적하기: ATT&CK Matrix - Lateral Movement 전략 완전 해석

Lateral Movement

서론: Lateral Movement의 중요성

사이버 보안의 세계에서 Lateral Movement는 공격자가 네트워크 내에서 이미 침투한 시스템이나 네트워크 세그먼트에서 다른 시스템이나 영역으로 이동하는 전략을 말합니다. 이러한 이동을 통해 공격자는 더 많은 데이터에 접근하고, 고위급 권한을 획득하며, 최종적으로 더 깊은 침투와 더 큰 피해를 야기할 수 있습니다. 따라서, Lateral Movement의 이해와 방어는 조직의 보안 체계를 강화하는 데 매우 중요합니다.

공격자는 다양한 방법을 통해 Lateral Movement를 수행할 수 있으며, 이에는 내부 피싱, 취약한 원격 서비스의 악용, 이동식 미디어를 통한 복제, 소프트웨어 배포 도구의 오용 등이 포함됩니다. 이 과정에서 조직의 네트워크와 시스템에 대한 심층적인 이해와 철저한 준비가 없다면, 공격자는 쉽게 보안 조치를 우회하여 중요한 정보에 접근할 수 있습니다.

Lateral Movement 방어의 중요성은 단순히 공격을 막는 것을 넘어서, 조직의 전체적인 보안 수준을 향상시키고, 공격자로 하여금 침투가 더 어렵고 위험한 것으로 인식하게 만들어, 최초 침투 시도 자체를 억제하는 데에도 있습니다. 따라서, 보안 팀은 네트워크의 모든 트래픽과 사용자 활동을 지속적으로 모니터링하고, 이상 징후를 신속하게 식별할 수 있는 능력을 갖추어야 합니다. 또한, 접근 제어 정책을 엄격히 적용하고, 최소 권한 원칙을 따르며, 정기적인 보안 교육과 훈련을 통해 사용자들의 보안 의식을 강화해야 합니다.

결론적으로, Lateral Movement는 조직의 보안 전략에서 매우 중요한 부분을 차지하며, 이에 대한 충분한 준비와 대응이 없다면, 공격자는 조직 내에서 자유롭게 움직이며 무한한 피해를 입힐 수 있습니다. 따라서, 모든 조직은 Lateral Movement에 대한 이해를 바탕으로 체계적이고 효과적인 보안 조치를 구현해야 합니다.

 

내부 피싱 대응

 

Lateral Movement 기술

Exploitation of Remote Services
소개: 원격 서비스의 취약점을 이용하는 공격은 네트워크 상의 서비스나 프로토콜의 보안 취약점을 타겟으로 합니다. 공격자는 이러한 취약점을 이용해 시스템에 접근하고 권한을 획득할 수 있습니다.
대응법: 정기적인 취약점 스캔과 패치 관리 프로그램을 통해 보안 취약점을 신속하게 해결합니다. 또한, 필수적인 원격 서비스만을 운영하고, 강력한 인증 메커니즘과 암호화를 적용하여 데이터 전송을 보호합니다.

Internal Spearphishing
소개: 내부 스피어피싱은 조직 내부의 커뮤니케이션을 모방하여 직원으로부터 민감한 정보를 얻거나 악성 소프트웨어를 설치하도록 유도하는 공격입니다.
대응법: 직원들에게 정기적인 보안 교육을 제공하여 피싱 공격을 식별하는 방법을 교육합니다. 이메일 필터링 솔루션을 사용하여 의심스러운 이메일을 사전에 차단하고, 다중 인증 방식을 도입하여 접근 보안을 강화합니다.

Lateral Tool Transfer
소개: 공격자가 이미 침투한 시스템에서 다른 시스템으로 악성 도구나 스크립트를 전송하여 네트워크 내에서의 이동을 용이하게 하는 기법입니다.
대응법: 네트워크 트래픽을 모니터링하여 비정상적인 파일 전송이나 동작을 감지합니다. 실행 가능 파일과 스크립트의 자동 실행을 차단하고, 엔드포인트 보호 솔루션을 사용하여 악성 도구의 실행을 방지합니다.

Remote Service Session Hijacking
소개: 이미 인증된 사용자의 세션을 공격자가 가로채어 그 사용자의 권한으로 시스템에 접근하는 기법입니다. 이를 통해 공격자는 사용자의 인증 정보를 모르더라도 시스템을 제어할 수 있습니다.
대응법: 세션 관리 보안을 강화하고, 세션 토큰의 생성과 관리에 강력한 암호화 기법을 적용합니다. 또한, 이상 행동 감지 시스템을 이용하여 비정상적인 세션 활동을 감시합니다.

Remote Services
소개: 원격 서비스를 이용한 Lateral Movement는 공격자가 네트워크 상의 다른 시스템에 접근하기 위해 원격 데스크톱, SSH 등의 서비스를 사용하는 방법입니다.
대응법: 필요한 원격 서비스에만 제한적으로 접근을 허용하고, 강력한 인증 방식을 사용합니다. 또한, 네트워크 세분화를 통해 민감한 시스템과 영역을 분리하여 추가적인 보호 장치를 마련합니다.

Replication Through Removable Media
소개: 이동식 미디어를 통한 복제는 공격자가 USB 드라이브와 같은 이동식 미디어를 사용하여 악성 코드를 전파하는 기법입니다.
대응법: 이동식 미디어의 사용을 엄격하게 제한하고, 사용 시 자동 실행을 차단합니다. 모든 미디어는 사용 전 안티바이러스 소프트웨어로 검사해야 하며, 민감한 시스템에서는 이동식 미디어의 사용을 전면 금지합니다.

Software Deployment Tools
소개: 소프트웨어 배포 도구를 통한 Lateral Movement는 공격자가 조직 내에서 정상적으로 사용되는 도구를 악용하여 악성 코드를 배포하는 기법입니다.
대응법: 소프트웨어 배포 도구의 사용을 정기적으로 감사하고, 배포 과정에서의 사용자 인증과 권한 검사를 강화합니다. 배포되는 소프트웨어의 소스를 항상 검증하고, 이상 징후가 감지될 경우 즉시 조치를 취합니다.

Taint Shared Content
소개: 공유된 콘텐츠의 오염은 공격자가 문서, 이미지 파일 등 공유 리소스에 악성 코드를 삽입하는 방법입니다. 이를 통해 네트워크 내의 다른 사용자들이 악성 콘텐츠에 접근하게 만듭니다.
대응법: 공유 콘텐츠에 대한 접근 제어를 강화하고, 콘텐츠를 열기 전에 안티바이러스 검사를 실시합니다. 사용자들에게 공유 파일의 출처와 안전성을 항상 확인하도록 교육합니다.

Use Alternate Authentication Material
소개: 대체 인증 자료 사용은 공격자가 피해자의 인증 정보와는 별개의 인증 수단(예: API 키, 인증 토큰)을 사용하여 시스템에 접근하는 기법입니다.
대응법: 인증 메커니즘을 다양화하고, 각 인증 수단에 대한 감사와 모니터링을 강화합니다. 또한, 인증 자료의 주기적인 변경과 민감한 인증 자료의 저장 방식에 대한 보안을 강화해야 합니다.

 

네트워크 보안 강화

결론: Lateral Movement 방어 전략

Lateral Movement에 대한 방어는 사이버 보안 전략의 핵심 요소입니다. 이 과정에서 조직은 공격자가 네트워크 내에서 자유롭게 이동하는 것을 방지하기 위해 여러 단계의 방어 메커니즘을 구축해야 합니다. 우선, 네트워크 세분화와 강력한 접근 제어 정책을 통해 불필요한 네트워크 트래픽을 최소화하고, 시스템 간의 무단 이동을 어렵게 만드는 것이 중요합니다. 이는 공격자가 초기 침투 지점에서 더 깊은 시스템으로의 이동을 시도할 때 장애물을 생성하여 방어 팀에게 공격을 감지하고 대응할 시간을 벌어줍니다.

또한, 다중 인증과 같은 강화된 인증 메커니즘의 적용은 공격자가 타겟 시스템에 접근하는 것을 더욱 어렵게 만듭니다. 사용자 계정의 권한을 최소화하고, 특히 관리자 계정에 대한 접근을 엄격히 제한하는 것도 중요한 방어 전략입니다. 이를 통해, 공격자가 권한 상승을 시도하는 것을 방지할 수 있습니다.

보안 소프트웨어의 적절한 사용도 중요합니다. 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS), 그리고 이상 행동 감지 시스템은 네트워크 내에서 의심스러운 활동을 신속하게 감지하고 경고하는 데 도움을 줍니다. 또한, 정기적인 보안 감사와 취약점 평가를 통해 보안 체계의 약점을 발견하고 강화할 수 있습니다.

사이버 보안 교육과 직원 인식 향상 프로그램도 Lateral Movement 방어 전략의 중요한 부분입니다. 직원들이 사이버 위협을 인식하고, 의심스러운 이메일이나 링크에 대한 클릭을 피하며, 보안 사고를 신속하게 보고할 수 있도록 하는 것은 조직의 전반적인 보안 수준을 향상시키는 데 기여합니다.

종합적으로, Lateral Movement에 대한 방어는 단일한 솔루션이나 도구에 의존하는 것이 아니라, 조직 전체의 보안 문화, 정책, 그리고 기술의 통합적인 접근을 필요로 합니다. 이를 통해, 공격자의 네트워크 내 이동을 효과적으로 차단하고, 사이버 보안 위협으로부터 조직을 보호할 수 있습니다.

 

보안 전문가 필독! ATT&CK Matrix를 통한 Discovery 기법 완전 분석 - 2부