APT 공격 시나리오 기반의 Lateral Movement(수평 이동) 기법 심층 분석

APT 공격의 그림자, 수평 이동이란 무엇일까요?

APT (Advanced Persistent Threat) 공격은 단순히 한 대의 컴퓨터를 감염시키는 것으로 끝나지 않습니다. 공격자들은 초기 침투 지점을 확보한 후, 네트워크 내부를 조심스럽게 탐색하며 목표 시스템에 접근하기 위한 발판을 마련합니다. 이 과정에서 핵심적인 역할을 하는 것이 바로 “수평 이동 (Lateral Movement)”입니다.

수평 이동은 공격자가 네트워크 내 다른 시스템으로 이동하여 권한을 확대하고, 궁극적으로 목표 시스템에 도달하기 위한 전략입니다. 이는 마치 영화에서 주인공이 건물 내부를 이동하며 목표 지점에 접근하는 것과 유사합니다. 공격자는 다양한 기술과 도구를 사용하여 다른 시스템의 자격 증명을 탈취하거나, 기존에 확보한 권한을 악용하여 네트워크 내 다른 시스템에 접근합니다.

수평 이동은 APT 공격의 핵심적인 부분이며, 이를 효과적으로 방어하는 것은 조직의 보안을 강화하는 데 매우 중요합니다. 공격자가 수평 이동에 성공하면 중요한 데이터 유출, 시스템 파괴, 랜섬웨어 감염 등의 심각한 피해가 발생할 수 있습니다.

왜 수평 이동 방어가 중요할까요?

• 피해 최소화: 초기 침투 지점을 신속하게 격리하고 수평 이동을 차단하면 공격의 범위를 제한하여 피해를 최소화할 수 있습니다.

• 조기 탐지: 수평 이동 시도는 정상적인 활동과 구별되는 특징을 가질 수 있습니다. 이러한 특징을 탐지하면 공격을 조기에 발견하고 대응할 수 있습니다.
• 보안 투자 효율 증대: 수평 이동 방어는 다양한 공격 시나리오에 효과적으로 대응할 수 있으므로 보안 투자 효율을 높일 수 있습니다.
• 규정 준수: 많은 산업 및 정부 규정에서는 조직이 네트워크 보안을 강화하고 데이터 유출을 방지하기 위해 수평 이동 방어 대책을 마련하도록 요구하고 있습니다.

수평 이동의 다양한 얼굴들: 공격 기법 살펴보기

공격자들은 다양한 방법으로 수평 이동을 시도합니다. 몇 가지 대표적인 기법을 살펴보겠습니다.

자격 증명 탈취 (Credential Theft)

가장 흔하고 효과적인 방법 중 하나는 자격 증명을 탈취하는 것입니다. 탈취된 자격 증명을 이용하여 다른 시스템에 로그인하거나, 권한을 상승시켜 더 많은 시스템에 접근할 수 있습니다.

• 패스워드 해싱: SAM, LSASS 메모리 덤프 등을 통해 패스워드 해시를 획득하고 크래킹하여 평문 패스워드를 얻습니다.

• 키로깅: 키보드 입력을 기록하여 사용자 이름, 비밀번호 등의 중요한 정보를 획득합니다.
• Pass-the-Hash (PtH): 탈취한 패스워드 해시를 사용하여 인증 과정을 우회하고 다른 시스템에 접근합니다.
• Pass-the-Ticket (PtT): Kerberos 인증 티켓을 탈취하여 다른 시스템에 접근합니다.

원격 서비스 악용 (Remote Service Exploitation)

원격 서비스의 취약점을 악용하여 코드를 실행하거나 시스템에 접근합니다.

• SMB (Server Message Block): EternalBlue와 같은 SMB 취약점을 악용하여 시스템을 감염시킵니다.

• RDP (Remote Desktop Protocol): RDP 취약점을 악용하거나 무차별 대입 공격을 통해 시스템에 접근합니다.
• WMI (Windows Management Instrumentation): WMI를 사용하여 원격 시스템에서 명령을 실행합니다.

소프트웨어 배포 시스템 악용 (Software Deployment System Exploitation)

소프트웨어 배포 시스템을 악용하여 악성 코드를 네트워크 전체에 배포합니다.

• SCCM (System Center Configuration Manager): SCCM을 사용하여 악성 코드를 배포합니다.

• 그룹 정책 (Group Policy): 그룹 정책을 변경하여 악성 코드를 실행합니다.

내부 정찰 (Internal Reconnaissance)

네트워크 내부를 탐색하여 중요한 시스템, 공유 폴더, 사용자 계정 등의 정보를 수집합니다.

• NetBIOS 스캔: 네트워크 내 시스템 정보를 수집합니다.

• ARP 스캔: 네트워크 내 IP 주소와 MAC 주소를 매핑합니다.
• PowerShell 스크립트 실행: 시스템 정보, 사용자 계정, 공유 폴더 등의 정보를 수집합니다.

수평 이동 방어를 위한 실질적인 전략

수평 이동을 효과적으로 방어하기 위해서는 다층적인 접근 방식이 필요합니다. 다음은 몇 가지 실질적인 전략입니다.

최소 권한 원칙 (Principle of Least Privilege) 적용

사용자에게 필요한 최소한의 권한만 부여하고, 불필요한 권한은 제거해야 합니다. 관리자 계정 사용을 제한하고, 사용자 계정에 대한 접근 권한을 엄격하게 관리해야 합니다.

다단계 인증 (Multi-Factor Authentication) 도입

다단계 인증은 사용자 이름과 비밀번호 외에 추가적인 인증 단계를 요구하여 자격 증명 탈취 공격의 성공 가능성을 낮춥니다. SMS 인증, OTP (One-Time Password), 생체 인증 등의 방법을 사용할 수 있습니다.

네트워크 분할 (Network Segmentation)

네트워크를 여러 개의 논리적인 영역으로 분할하여 공격자가 한 영역에서 다른 영역으로 쉽게 이동하지 못하도록 합니다. 중요한 시스템은 별도의 네트워크 영역에 격리하여 보호해야 합니다.

보안 패치 및 업데이트

운영체제, 소프트웨어, 애플리케이션의 보안 패치를 최신 상태로 유지하여 알려진 취약점을 해결해야 합니다. 자동 업데이트 기능을 활성화하고, 정기적으로 취약점 스캔을 수행하여 패치가 필요한 시스템을 식별해야 합니다.

행위 기반 탐지 (Behavior-Based Detection)

정상적인 사용자 및 시스템 활동의 기준선을 설정하고, 비정상적인 행위를 탐지하는 시스템을 구축해야 합니다. EDR (Endpoint Detection and Response) 솔루션, SIEM (Security Information and Event Management) 시스템 등을 활용할 수 있습니다.

로그 모니터링 및 분석

시스템 로그, 보안 로그, 네트워크 트래픽 로그 등을 지속적으로 모니터링하고 분석하여 수평 이동 시도를 탐지해야 합니다. 자동화된 로그 분석 도구를 사용하여 이상 징후를 빠르게 식별하고 대응할 수 있습니다.

취약점 관리

정기적인 취약점 스캔 및 평가를 통해 시스템의 취약점을 식별하고, 우선순위에 따라 해결해야 합니다. 취약점 관리 프로세스를 구축하고, 패치 관리 시스템을 활용하여 효율적으로 취약점을 관리해야 합니다.

엔드포인트 보안 강화

엔드포인트 보안 솔루션 (안티바이러스, 방화벽, 침입 방지 시스템 등)을 설치하고 최신 상태로 유지하여 악성 코드 감염을 예방해야 합니다. 엔드포인트 보안 솔루션은 수평 이동에 사용될 수 있는 악성 코드 및 공격 도구를 탐지하고 차단하는 데 도움이 됩니다.

보안 교육 및 훈련

직원들에게 보안 의식을 고취하고, 피싱 공격, 사회 공학 공격 등에 대한 훈련을 실시해야 합니다. 직원들이 수평 이동 시도에 대한 인식을 높이고, 의심스러운 활동을 식별하고 보고하도록 교육해야 합니다.

비용 효율적인 수평 이동 방어 전략

모든 조직이 막대한 보안 예산을 가지고 있는 것은 아닙니다. 다음은 비용 효율적인 수평 이동 방어 전략입니다.

• 무료 보안 도구 활용: Snort, Suricata와 같은 무료 침입 탐지 시스템 (IDS)을 활용하여 네트워크 트래픽을 모니터링하고 악성 활동을 탐지할 수 있습니다.

• 오픈 소스 SIEM 시스템 활용: Wazuh, Graylog와 같은 오픈 소스 SIEM 시스템을 활용하여 로그를 수집, 분석하고 보안 이벤트를 관리할 수 있습니다.
• 클라우드 기반 보안 서비스 활용: 클라우드 기반 보안 서비스는 초기 투자 비용이 낮고, 확장성이 뛰어나므로 중소기업에 적합합니다.
• 자동화된 패치 관리 시스템 활용: WSUS (Windows Server Update Services)와 같은 자동화된 패치 관리 시스템을 활용하여 효율적으로 보안 패치를 배포할 수 있습니다.
• 보안 커뮤니티 참여: 보안 커뮤니티에 참여하여 최신 위협 정보 및 보안 기술을 공유하고, 다른 조직의 경험을 활용할 수 있습니다.

흔한 오해와 진실

수평 이동 방어에 대한 몇 가지 흔한 오해와 진실을 살펴보겠습니다.

• 오해: 방화벽만으로 수평 이동을 막을 수 있다.

  진실: 방화벽은 네트워크 경계를 보호하는 데 효과적이지만, 내부 네트워크에서 발생하는 수평 이동을 완전히 차단할 수는 없습니다.

• 오해: 안티바이러스 소프트웨어만으로 충분하다.

  진실: 안티바이러스 소프트웨어는 악성 코드를 탐지하고 제거하는 데 도움이 되지만, 모든 수평 이동 시도를 막을 수는 없습니다.

• 오해: 우리 회사는 규모가 작아서 APT 공격의 대상이 될 가능성이 낮다.

  진실: 모든 조직은 APT 공격의 대상이 될 수 있습니다. 특히, 다른 기업과의 협력 관계를 통해 공격의 발판으로 이용될 수 있습니다.

전문가의 조언

수평 이동 방어 전문가들은 다음과 같은 조언을 제공합니다.

• “수평 이동 방어는 단일 솔루션으로 해결될 수 있는 문제가 아닙니다. 다층적인 접근 방식을 통해 보안 태세를 강화해야 합니다.”
• “최소 권한 원칙을 철저히 준수하고, 사용자 계정 및 시스템 권한을 엄격하게 관리해야 합니다.”
• “보안 교육 및 훈련을 통해 직원들의 보안 의식을 높이는 것이 중요합니다.”
• “정기적인 보안 평가 및 침투 테스트를 통해 보안 취약점을 식별하고 개선해야 합니다.”

자주 묻는 질문

수평 이동 방어에 대한 몇 가지 자주 묻는 질문과 답변입니다.

• 질문: EDR 솔루션은 수평 이동 방어에 어떻게 도움이 되나요?

  답변: EDR 솔루션은 엔드포인트에서 발생하는 행위를 실시간으로 모니터링하고 분석하여 비정상적인 활동을 탐지합니다. 이를 통해 수평 이동 시도를 조기에 발견하고 차단할 수 있습니다.

• 질문: SIEM 시스템은 어떤 역할을 하나요?

  답변: SIEM 시스템은 다양한 소스에서 로그를 수집, 분석하고 상관 분석을 수행하여 보안 이벤트를 관리합니다. 이를 통해 수평 이동 시도와 관련된 이상 징후를 식별하고 경고를 생성할 수 있습니다.

• 질문: 네트워크 분할은 어떻게 구현해야 하나요?

  답변: 네트워크 분할은 방화벽, VLAN (Virtual LAN), 마이크로세그멘테이션 등의 기술을 사용하여 구현할 수 있습니다. 중요한 시스템은 별도의 네트워크 영역에 격리하고, 접근 제어 규칙을 엄격하게 적용해야 합니다.