권한 상승 공격, 예방 기술 및 도구

권한 상승 공격: 예방 전략 및 도구

권한 상승 공격은 악의적인 사용자가 시스템의 취약점을 이용하여 권한 수준을 높이는 사이버 공격입니다. 이는 잘못된 설정, 소프트웨어 버그, 취약한 암호, 그리고 보호된 데이터에 대한 허술한 접근 관리 등 다양한 요인으로 발생할 수 있습니다.

공격은 주로 낮은 권한의 계정을 탈취하는 것으로 시작됩니다. 공격자는 탈취한 계정으로 시스템을 정밀 조사하여 추가로 악용할 수 있는 취약점을 찾아냅니다. 그 후, 획득한 권한을 이용하여 실제 사용자를 사칭하고, 목표 자원에 접근하여 다양한 악의적인 행동을 감행합니다.

권한 상승 공격은 크게 수직적 공격과 수평적 공격으로 나눌 수 있습니다.

수직적 공격은 공격자가 한 계정에 대한 접근 권한을 얻은 후, 해당 계정의 권한 수준에서 작업을 수행하는 방식입니다. 반면, 수평적 공격은 공격자가 제한된 권한을 가진 여러 계정에 접근한 후, 시스템을 조작하여 관리자 수준의 권한을 획득하는 방식입니다.

이렇게 얻은 권한으로 공격자는 시스템 설정을 변경하거나, 악성 코드를 배포하거나, 데이터를 탈취하는 등 다양한 악의적인 행위를 저지를 수 있습니다. 또한, 백도어를 설치하여 미래에 다시 시스템에 침입할 수 있도록 할 수도 있습니다.

일반적인 사이버 공격과 마찬가지로 권한 상승 공격은 네트워크, 서비스, 애플리케이션의 시스템 및 프로세스 취약점을 노립니다. 따라서, 철저한 보안 정책과 효과적인 도구들을 조합하여 이러한 공격을 예방해야 합니다. 이상적으로, 조직은 다양한 보안 취약점과 위협을 탐지, 분석하고 방어할 수 있는 솔루션을 구축해야 합니다.

권한 상승 공격 방지를 위한 최적의 방법

조직은 중요한 시스템 및 데이터뿐만 아니라 공격자에게 매력적으로 보일 수 있는 모든 영역을 보호해야 합니다. 공격자가 시스템에 한 번 침입하면, 추가적인 권한을 얻기 위한 취약점을 찾아 악용할 수 있습니다. 외부 위협으로부터 자산을 보호하는 것만큼 내부 공격을 방지하는 것도 중요합니다.

실제 적용 방법은 시스템, 네트워크, 환경 등 여러 요인에 따라 달라질 수 있지만, 다음은 조직에서 인프라를 보호하기 위해 활용할 수 있는 몇 가지 기술입니다.

네트워크, 시스템 및 애플리케이션의 보호 및 검사

실시간 보안 솔루션 배포 외에도, 잠재적인 위협이 침투할 수 있는 취약점을 정기적으로 검사해야 합니다. 효과적인 취약점 스캐너를 사용하여 패치되지 않은 운영 체제 및 응용 프로그램, 잘못된 설정, 취약한 암호 등 공격자가 악용할 수 있는 모든 결함을 찾아내야 합니다.

다양한 취약점 스캐너를 통해 오래된 소프트웨어의 약점을 찾을 수 있지만, 모든 시스템을 업데이트하거나 패치하는 것은 현실적으로 어려울 수 있습니다. 특히 레거시 시스템이나 대규모 프로덕션 환경에서는 더욱 그렇습니다.

이러한 경우, WAF(웹 애플리케이션 방화벽)와 같은 추가 보안 계층을 네트워크 수준에서 구축하여 악성 트래픽을 탐지하고 차단할 수 있습니다. WAF는 패치가 적용되지 않았거나 오래된 시스템을 보호하는 데 효과적입니다.

적절한 권한 계정 관리

권한 계정을 안전하게 관리하고 모든 계정이 모범 사례에 따라 사용되도록 하는 것이 중요합니다. 보안 팀은 모든 계정, 위치, 사용 목적에 대한 정보를 파악하고 있어야 합니다.

그 외에 고려해야 할 사항은 다음과 같습니다.

  • 권한 계정의 수를 최소화하고, 활동을 모니터링하며 기록합니다.
  • 각 권한 계정을 분석하여 위험, 잠재적 위협, 공격의 원인 및 의도를 파악하고 해결합니다.
  • 주요 공격 방식 및 예방 조치를 수립합니다.
  • 최소 권한 원칙을 준수합니다.
  • 관리자 계정 및 자격 증명 공유를 금지합니다.

사용자 행동 모니터링

사용자 행동 분석은 손상된 ID를 식별하는 데 유용합니다. 일반적으로 공격자는 조직 시스템에 접근하기 위해 사용자 ID를 표적으로 삼습니다. 자격 증명을 확보하면, 공격자는 네트워크에 로그인하고 오랫동안 발각되지 않을 수 있습니다.

수동으로 사용자 행동을 모니터링하는 것은 어려우므로, UEBA(User and Entity Behavior Analytics) 솔루션을 사용하는 것이 가장 효과적입니다. 이러한 도구는 사용자 활동을 지속적으로 모니터링하고, 이를 통해 정상적인 활동 기준을 설정합니다. 그런 다음, 기준에서 벗어난 비정상적인 활동을 감지하여 잠재적인 침해를 식별합니다.

분석 결과는 사용자가 접근하는 위치, 리소스, 데이터 파일, 서비스, 접근 빈도, 특정 내부 및 외부 네트워크, 호스트 수 및 실행된 프로세스와 같은 정보를 포함합니다. 이러한 정보를 통해 도구는 의심스러운 작업이나 매개변수를 식별할 수 있습니다.

강력한 암호 정책 및 시행

사용자가 추측하기 어려운 고유한 암호를 사용하도록 강력한 정책을 수립하고 시행해야 합니다. 다단계 인증을 추가하면 강력한 암호 정책을 수동으로 시행할 때 발생할 수 있는 취약점을 보완하면서 보안을 강화할 수 있습니다.

보안 팀은 또한 시스템을 스캔하고 취약한 암호를 식별하거나 조치를 촉구하는 데 도움이 되는 암호 감사자, 정책 시행 도구 등의 도구를 사용해야 합니다. 이러한 도구는 사용자에게 길이, 복잡성 및 회사 정책을 준수하는 강력한 암호를 사용하도록 강제합니다.

또한, 조직은 기업 암호 관리 도구를 사용하여 사용자들이 정책을 준수하는 안전한 암호를 생성하고 사용할 수 있도록 해야 합니다.
암호 관리자를 잠금 해제하는 데 다단계 인증을 적용하는 등의 추가적인 보안 조치는 공격자가 저장된 자격 증명에 접근하는 것을 사실상 불가능하게 만들 수 있습니다. 일반적으로 사용되는 기업 암호 관리자에는 Keeper, Dashlane, 1Password 등이 있습니다.

사용자 입력 정리 및 데이터베이스 보안

공격자는 취약한 사용자 입력 필드와 데이터베이스를 이용하여 악성 코드를 삽입하고 권한을 얻어 시스템을 손상시킬 수 있습니다. 따라서, 보안팀은 강력한 인증 및 효과적인 도구와 같은 모범 사례를 사용하여 데이터베이스와 모든 종류의 데이터 입력 필드를 보호해야 합니다.

데이터베이스에 패치를 적용하고 사용자 입력을 검증하는 것 외에도, 전송 중인 데이터와 저장된 데이터를 암호화하는 것이 좋습니다. 또한, 파일에 읽기 전용 권한을 부여하고, 필요한 그룹 및 사용자에게만 쓰기 권한을 제공해야 합니다.

사용자 교육

사용자는 조직 보안의 가장 취약한 부분입니다. 따라서, 사용자에게 권한을 부여하고 안전하게 작업하는 방법을 교육하는 것이 매우 중요합니다. 그렇지 않으면, 사용자의 단 한 번의 클릭으로 네트워크나 시스템 전체가 손상될 수 있습니다. 위험 요소로는 악성 링크나 첨부 파일을 열거나, 손상된 웹사이트를 방문하거나, 취약한 암호를 사용하는 것 등이 있습니다.

정기적인 보안 인식 교육 프로그램을 통해, 교육 효과를 검증할 수 있는 방법을 마련해야 합니다.

권한 상승 공격 방지 도구

권한 상승 공격을 방지하기 위해서는 다양한 도구들이 필요합니다. 다음은 그 예시입니다.

사용자 및 엔터티 행동 분석(UEBA) 솔루션

엑사빔

Exabeam 보안 관리 플랫폼은 AI 기반의 행동 분석 솔루션을 제공하여 다양한 서비스에서 사용자 및 계정 활동을 추적하는 데 도움을 줍니다. Exabeam을 사용하면 다양한 IT 시스템 및 보안 도구에서 로그를 수집, 분석하여 위험한 활동, 위협 및 기타 문제를 식별하고 플래그를 지정할 수 있습니다.

주요 기능은 다음과 같습니다.

  • 사고 조사에 유용한 정보를 기록하고 제공합니다. 특정 계정 또는 사용자가 서비스, 서버, 애플리케이션 또는 리소스에 처음으로 접근한 모든 세션, 새로운 VPN 연결, 비정상적인 국가에서의 계정 로그인 등이 그 예입니다.
  • 단일 인스턴스, 클라우드 및 온프레미스 환경에 적용할 수 있는 확장 가능한 솔루션입니다.
  • 정상 및 비정상 계정 또는 사용자 행동을 기반으로 공격자의 전체 경로를 명확하게 보여주는 종합적인 타임라인을 생성합니다.

사이넷 360

Cynet 360 플랫폼은 행동 분석, 네트워크 및 엔드포인트 보안을 제공하는 포괄적인 솔루션입니다. 이 플랫폼은 지리적 위치, 역할, 근무 시간, 온프레미스 및 클라우드 기반 리소스에 대한 접근 패턴을 포함한 사용자 프로필을 생성할 수 있습니다.

이 플랫폼은 다음과 같은 비정상적인 활동을 식별하는 데 도움이 됩니다.

  • 시스템 또는 리소스에 대한 최초 로그인
  • 비정상적인 로그인 위치 또는 새로운 VPN 연결 사용
  • 매우 짧은 시간 내에 여러 리소스에 대한 동시 연결
  • 업무 시간 외에 리소스에 접근하는 계정

암호 보안 도구

암호 감사자

암호 감사자 도구는 호스트 이름과 IP 주소를 스캔하여 HTTP 웹 양식, MYSQL, FTP, SSH, RDP, 네트워크 라우터 및 기타 인증이 필요한 웹 애플리케이션과 네트워크 서비스에 대한 취약한 자격 증명을 자동으로 식별합니다. 그 후, 취약한 사용자 이름과 암호 조합을 사용하여 로그인을 시도하여 약한 자격 증명을 가진 계정을 식별하고 경고합니다.

비밀번호 관리자 프로

ManageEngine 비밀번호 관리자 프로는 전체 수명 주기 동안 권한 있는 계정에 대한 종합적인 관리, 제어, 모니터링 및 감사 솔루션을 제공합니다. 권한 있는 계정, SSL 인증서, 원격 접근 및 권한 있는 세션을 관리할 수 있습니다.

주요 기능은 다음과 같습니다.

  • 서버, 네트워크 구성 요소, 데이터베이스 및 기타 리소스와 같은 중요한 시스템에 대해 빈번한 암호 재설정을 자동화하고 실행합니다.
  • 모든 권한 및 민감한 계정 ID와 암호를 중앙의 안전한 금고에 저장하고 구성합니다.
  • 조직이 HIPAA, PCI, SOX 등과 같은 규제 표준을 준수하고 중요한 보안 감사를 충족할 수 있도록 지원합니다.
  • 팀 구성원이 관리자 암호를 안전하게 공유할 수 있도록 지원합니다.

취약점 스캐너

인빅티

인빅티는 모든 조직의 요구 사항에 맞춰 확장 가능한 자동화된 취약점 스캐너 및 관리 솔루션입니다. CI/CD 솔루션, SDLC 등과 같은 다른 시스템과 원활하게 통합하면서 복잡한 네트워크 및 환경을 스캔할 수 있습니다. 이 도구는 복잡한 환경 및 애플리케이션의 취약점을 스캔하고 식별하도록 최적화되어 있습니다.

또한, 인빅티를 사용하여 공격자가 악용할 수 있는 잘못된 보안 설정에 대해 웹 서버를 테스트할 수 있습니다. 일반적으로 이 도구는 웹 애플리케이션, 웹 서비스, 웹 페이지, API 등에서 SQL 삽입, 원격 파일 포함, XSS(교차 사이트 스크립팅) 및 기타 OWASP Top-10 취약점을 식별합니다.

아큐네틱스

아큐네틱스는 내장된 취약점 스캐닝, 관리 및 다른 보안 도구와의 쉬운 통합이 포함된 포괄적인 솔루션입니다. 스캔 및 수정과 같은 취약성 관리 작업을 자동화하여 리소스를 절약할 수 있습니다.

주요 기능은 다음과 같습니다.

  • Jenkins와 같은 다른 도구, GitHub, Jira, Mantis 등과 같은 타사 문제 추적기와 통합됩니다.
  • 온프레미스 및 클라우드 배포 옵션을 제공합니다.
  • 고객 환경 및 요구 사항, 크로스 플랫폼 지원에 맞춰 사용자 정의할 수 있습니다.
  • 일반적인 웹 공격, XSS(교차 사이트 스크립팅), SQL 삽입, 맬웨어, 잘못된 구성, 노출된 자산 등을 포함한 광범위한 보안 문제를 신속하게 식별하고 대응합니다.

PAM(Privileged Access Management) 소프트웨어 솔루션

점프클라우드

점프클라우드는 사용자를 네트워크, 시스템, 서비스, 앱 및 파일에 안전하게 인증하고 연결하는 DaaS(Directory as a Service) 솔루션입니다. 확장 가능한 클라우드 기반 디렉토리는 사용자, 애플리케이션 및 장치를 관리, 인증 및 권한 부여하는 서비스입니다.

주요 기능은 다음과 같습니다.

  • 안전하고 중앙 집중화된 권한 디렉토리를 생성합니다.
  • 플랫폼 간 사용자 접근 관리를 지원합니다.
  • LDAP, SCIM 및 SAML 2.0을 통해 애플리케이션에 대한 사용자 접근 제어를 지원하는 싱글 사인온 기능을 제공합니다.
  • 온프레미스 및 클라우드 서버에 대한 안전한 접근을 제공합니다.
  • 다단계 인증을 지원합니다.
  • 이벤트 로깅, 스크립팅, API 관리, PowerShell 등과 같은 보안 및 관련 기능을 자동화합니다.

핑 ID

핑 ID는 다단계 인증, 싱글 사인온, 디렉토리 서비스 등을 제공하는 지능형 플랫폼입니다. 이를 통해 조직은 사용자 ID 보안 및 경험을 향상시킬 수 있습니다.

주요 특징은 다음과 같습니다.

  • 안전하고 안정적인 인증 및 서비스 접근을 제공하는 싱글 사인온
  • 추가적인 보안 계층을 추가하는 다단계 인증
  • 향상된 데이터 거버넌스 및 개인 정보 보호 규정 준수 기능
  • 대규모 사용자 ID 및 데이터의 안전한 관리를 제공하는 디렉토리 서비스
  • IDaaS(Identity-as-a-Service), 컨테이너화된 소프트웨어 등과 같은 유연한 클라우드 배포 옵션

폭스패스

폭스패스는 온프레미스 및 클라우드 배포를 위한 확장 가능한 엔터프라이즈급 ID 및 접근 제어 솔루션입니다. RADIUS, LDAP 및 SSH 키 관리 기능을 제공하여 각 사용자가 허용된 시간 동안 특정 네트워크, 서버, VPN 및 기타 서비스에만 접근할 수 있도록 합니다.

이 도구는 Office 365, Google Apps 등과 같은 다른 서비스와 원활하게 통합할 수 있습니다.

AWS 비밀 관리자

AWS 비밀 관리자는 서비스, 애플리케이션 및 기타 리소스에 접근하는 데 필요한 비밀을 보호하는 안전하고 효과적인 방법을 제공합니다. API 키, 데이터베이스 자격 증명 및 기타 비밀을 쉽게 관리, 교체 및 검색할 수 있습니다.

이 외에도 더 많은 비밀 관리 솔루션이 있습니다.

결론

사이버 공격과 마찬가지로 권한 상승 공격은 시스템을 악용하고 네트워크, 서비스 및 애플리케이션의 취약점을 공격합니다. 따라서, 적절한 보안 도구와 정책을 적용하여 이러한 공격을 예방할 수 있습니다.

효과적인 예방 조치로는 최소 권한 원칙 준수, 강력한 암호 및 인증 정책 시행, 민감한 데이터 보호, 공격 표면 축소, 계정 자격 증명 보호 등이 있습니다. 또한, 모든 시스템, 소프트웨어 및 펌웨어를 최신 상태로 유지하고 패치를 적용하며, 사용자 행동을 모니터링하고, 사용자에게 안전한 컴퓨팅 관행을 교육해야 합니다.