오늘날의 위협 환경에서 도난당한 자격 증명은 데이터 침해의 가장 흔한 원인 중 하나입니다. 최근 보고서 발견 모든 침해의 61%는 자격 증명의 오용과 관련이 있습니다.공격자는 피싱이나 "푸시 폭격"(빠른 MFA 푸시 알림)과 같은 전략을 사용하여 사용자를 속여 접근 권한을 넘겨주도록 합니다. 단 하나의 비밀번호 유출이나 실수로 승인된 로그인만으로도 공격자는 합법적인 사용자를 사칭하여 조직의 네트워크에 침투할 수 있습니다.
대기업 CISO로 재직할 당시, 단 하나의 비밀번호가 얼마나 큰 피해를 초래할 수 있는지 직접 목격했습니다. 그 사건에서 공격자는 직원의 자격 증명을 피싱하고 몇 주 동안이나 민감한 시스템에 조용히 접근한 후 탐지되었습니다. 이 침해로 인해 심각한 다운타임과 규정 준수 문제가 발생했습니다. 피해 복구에 기여한 후, 저는 회사 IT 팀과 협력하여 모든 사용자에게 MFA(다중 인증)를 적용하고, 관리자 계정 정책을 강화하며, 지속적인 모니터링을 구현하는 등 신원 관리 시스템을 강화했습니다. 이 경험을 통해 강력한 자격 증명 보안 습관은 단순히 문서상의 모범 사례가 아니라, 다시는 겪지 않았으면 하는 사고에 대한 실질적인 보호 장치라는 것을 다시 한번 깨달았습니다.
자격 증명 남용을 방어하기 위해 조직은 "건강한 습관"을 키워야 합니다. 신원 보안이 블로그에서는 자격 증명 침해를 예방하는 데 도움이 되는 5가지 필수 보안 습관을 간략하게 설명하고, 각 습관을 지원하는 역량을 평가하는 방법을 논의합니다.
1. 다중 인증 요소를 모든 곳에 구현하세요
자격 증명 공격에 대한 가장 효과적인 방어 수단 중 하나는 다음과 같습니다. 다중 요소 인증 (MFA). 인증 앱 프롬프트나 토큰과 같은 추가 요소가 필요한 경우, 도난된 비밀번호만으로는 계정을 침해하기에 충분하지 않은 경우가 많습니다. 실제로, Microsoft에서 관찰한 그 손상된 계정의 99.9%는 MFA가 활성화되지 않았습니다.. MFA의 부재는 많은 유명 침해 사건에서 공통적인 요인이었습니다. 손상된 자격 증명 MFA 부족과 결합된 것은 2024/25년의 여러 주요 침해에서 공통적인 분모였습니다..
모든 사용자(특히 관리자)에게 MFA를 활성화하면 도난당하거나 추측된 비밀번호를 이용하는 기회주의적 공격의 대부분을 차단할 수 있습니다.
이러한 이점에도 불구하고, 아직도 많은 계정에 MFA 보호가 부족합니다.. 왜 그럴까요? MFA가 너무 많은 마찰을 유발하거나 "그럴 가치가 없다"는 오해가 종종 있습니다. 일부 IT 팀은 사용자의 반발에 직면하거나 경영진의 지원이 부족하여 범용 MFA를 시행할 유인이 부족합니다. 다른 경우에는 조직이 특정 시스템이나 레거시 애플리케이션에 MFA를 확장하지 않아 실수로 공백이 발생하기도 합니다. 실제로 기본 MFA가 완벽하지는 않지만 대부분의 자동화된 공격을 완벽하게 차단하기 때문에 자격 증명 보안의 기본 원칙이 됩니다.
하지만 모든 MFA가 동일한 것은 아닙니다. 공격자들은 점점 더 MFA 피로 사용자에게 반복적인 푸시 알림(소위 푸시 폭격)을 통해 공격을 가합니다. 사람들이 매일 평균 60~80개의 모바일 푸시 알림피로한 사용자가 사기성 로그인 프롬프트에서 실수로 "승인"을 누르는 경우가 많습니다. 이를 방지하기 위해 조직은 피싱 방지 MFA(FIDO2 보안 키 또는 번호 매칭 푸시 프롬프트 등)를 구현하고 사용자에게 예상치 못한 접근 요청을 절대 승인하지 않도록 교육해야 합니다.
또한 팀이 환경의 모든 리소스와 프로토콜에 MFA 보호를 확장하는 데 도움이 되는 솔루션을 찾는 것도 필수적입니다.MFA를 기본적으로 지원하지 않는 시스템도 포함됩니다. 즉, 웹 및 클라우드 애플리케이션뿐만 아니라 기존에 MFA를 활용할 수 없었던 기존 온프레미스 시스템(데이터베이스, 파일 서버, 명령줄 도구 등)에도 MFA를 적용해야 합니다. MFA를 널리 퍼뜨리고 우회하기 어렵게 만들어서, 단 하나의 비밀번호가 도난당해 보안 침해가 발생할 위험을 크게 줄일 수 있습니다.
2. 신원에 대한 Zero Trust 접근 방식 채택
신원에 대한 "제로 트러스트" 사고방식을 구현하는 것은 MFA와 함께하는 건강한 습관입니다. Zero Trust 모델에서, 로그인이나 사용자 세션은 암묵적으로 신뢰되지 않습니다. – 사용자가 내부 네트워크에 있거나 이미 인증된 경우에도 마찬가지입니다. 모든 접근 시도는 접근 권한을 부여하기 전에 상황(사용자 역할, 기기 보안, 위치, 시간 등)을 기반으로 지속적으로 검증됩니다. 현대 기업의 경계가 해체되었기 때문에 이는 매우 중요합니다. 이제 정체성이 새로운 것입니다 공격 표면 사이버 보안 분야에서. 사용자가 어디에서나 로그인하고 공격자가 일반 사용자 활동에 침투하는 데 능숙하기 때문에 “절대 믿지 말고, 항상 확인하세요” 각 자격 증명 사용.
이 습관을 실천한다는 것은 다음을 의미합니다. 조건부 액세스 정책 및 지속적인 모니터링 모든 계정에 적용됩니다. 예를 들어, 사용자가 예상치 못한 위치나 관리되지 않는 기기에서 갑자기 로그인하는 경우, 추가적인 확인이나 제한이 적용되어야 합니다. 이러한 상황 인식 제어를 통해 많은 보안 침해를 예방할 수 있습니다. 한 조사에서 발견된 것 수백 개의 도난된 자격 증명이 대상 시스템이라는 이유만으로 공격자에게 유용하게 남아 있었습니다. 신뢰할 수 없는 네트워크에서 로그인을 차단하는 위치 기반 액세스 정책이 없었습니다..
최신 ID 보안 플랫폼 모든 인증을 지속적으로 모니터링하고 위험 기반 정책을 적용합니다.로그인 시도가 정상적인 동작과 다르거나 고위험 조건에서 발생하는 경우 적절한 접근 방식은 단계별 조치를 요구하는 것입니다. 인증 (MFA처럼) 또는 시도를 차단할 수도 있습니다. 모든 접근을 신뢰할 수 없는 것으로 간주하여 다른 사실이 입증될 때까지 처리함으로써, 조직은 유효한 자격 증명을 획득하는 공격자를 억제하고 저지할 수 있습니다.
3. 특권 계정과 고위험 계정은 특별히 주의해서 보호하세요.
모든 사용자 계정을 보호하는 것이 중요하지만 특권 계정 (관리자, 서비스 계정, 임원 등)은 건강한 보안 습관으로서 우선적으로 관리되어야 합니다. 이러한 계정은 종종 광범위한 접근 권한을 가지고 있으며, 침해될 경우 심각한 피해를 초래할 수 있습니다. 안타깝게도 관리자나 기타 강력한 계정이 제대로 보호되지 않은 사고를 많이 목격했습니다. 최근 한 정부 기관에서는 이전 관리자의 계정을 통해 침해가 발생했는데, 해당 계정은 높은 권한을 보유하고 있었습니다. MFA가 활성화되지 않았습니다.. 마찬가지로 2024년 클라우드 침해(Snowflake 고객을 대상으로 함)로 인한 여파로 일부 데모 및 서비스 계정 SSO나 MFA 보호 기능이 부족하여 공격자의 손쉬운 표적이 되었습니다. 교훈은 명확합니다. 높은 액세스 권한이 있는 모든 계정은 여러 계층의 방어로 강력하게 보호되어야 합니다..
습관적으로 조직은 시행해야 합니다. 엄격한 권한 있는 액세스 보안(PAS) 여기에는 전담 관리자 계정(일상적인 계정과 분리) 사용이 포함됩니다. 사용자 계정), 모든 특권 로그인에 MFA를 요구하고, 이러한 계정을 사용할 수 있는 위치와 시간을 제한하고, 해당 활동을 지속적으로 감사합니다.
실제로 이는 관리자 수준 계정이 일반적으로 MFA를 적용하지 않는 데이터베이스나 원격 서버와 같은 시스템에 액세스할 때에도 항상 MFA 및 정책 검사를 받도록 하는 것과 같습니다. 적응형 정책을 구현할 수도 있습니다(예: 강화된 점프 호스트에서만 도메인 관리자 로그인을 허용하거나 특정 시간에만 허용).
사람이 아닌 권한이 있는 계정(예: MFA를 수행할 수 없는 서비스 계정)의 경우, "가상 펜싱"이라는 개념이 있습니다. 이는 기본적으로 예상되는 시스템 및 동작에 따라 해당 계정의 사용을 제한하는 것입니다. 이러한 방식으로 권한이 있고 민감한 계정을 잠그면, 도용된 관리자 자격 증명을 가진 공격자가 사용자 환경에 자유롭게 접근할 가능성을 크게 줄일 수 있습니다.
4. 엄격한 자격 증명 위생 유지
자격 증명 위생이란 다음을 의미합니다. 계정 및 비밀번호의 정기적인 유지 관리 공격자가 종종 악용하는 "쉽게 얻을 수 있는 공격"을 제거하기 위해서입니다. 냉정한 사례 연구 2024년부터 이 습관이 왜 그렇게 중요한지 보여주었습니다. 조사자들은 다음과 같은 사실을 발견했습니다. 공격자가 사용한 계정의 79.7%는 수년 전에 이미 해킹당했으며 비밀번호가 변경된 적이 없었습니다.실제로 2020년까지 도난당한 수백 개의 자격 증명은 교체되거나 비활성화되지 않았기 때문에 2024년에도 여전히 유효했습니다. 방치된 자격 증명(이전 비밀번호, 공유 로그인, 휴면 계정)은 시한폭탄과 같습니다. 강력한 보안을 구현하려면 정기적으로 비밀번호 순환노출된 것으로 알려진 자격 증명을 폐기하거나 업데이트하고, 더 이상 필요하지 않은 계정 비활성화.
신원 확인 위생의 또 다른 중요한 측면은 신속함입니다. 전직 직원의 퇴사. 오래된 사용자 계정 회사를 떠난 뒤에도 남아 있는 정보는 쉬운 뒷문이 됩니다. 설문조사에서 발견된 대략적으로 절반의 기업이 퇴사 후에도 전직 직원의 계정이 활성 상태를 유지한다고 인정때로는 몇 주 또는 몇 달 동안 지속될 수 있습니다. 상당수의 조직에서 프로비저닝 해제되지 않은 전직 직원 계정으로 인해 보안 침해를 경험한 것은 놀라운 일이 아닙니다. 직원이 퇴사하면 즉시 접근 권한을 비활성화하거나 제거하는 것을 습관으로 삼고, 디렉터리에 있는 "유령" 계정을 정기적으로 감사하십시오.
위생을 감사하는 강력한 방법은 다음을 보장하는 것입니다. 모든 계정(인간 및 비인간)과 그 사용에 대한 지속적인 가시성서비스 계정 및 사용하지 않는 로그인을 포함하여 환경에서 계정을 자동으로 검색하고 장기간 비활성 상태였던 계정을 "부실 사용자"로 표시하면 존재하는 신원에 대한 지속적인 인벤토리를 확보하는 데 도움이 됩니다. 보안 팀은 이러한 계정을 신속하게 검토하여 제거하거나 해당 계정을 사용한 모든 접근 시도를 차단하는 정책을 적용할 수 있습니다.
이런 종류의 신원 인벤토리 정리는 필수적입니다. 공격자가 네트워크 침투에 사용하는 가장 쉬운 경로 중 하나를 차단하기 때문입니다. 간단히 말해, 자격 증명을 최신 상태로 유지하고, 엄격하게 관리하며, 정리하면 공격자가 로그인 정보를 일부 획득하더라도 악용할 수 있는 가능성이 크게 제한됩니다.
5. 신원 위협을 지속적으로 모니터링하고 대응합니다.
MFA 및 양호한 위생과 같은 예방 조치를 취하더라도 조직은 자격 증명이 손상될 수 있다는 가정 하에 운영해야 합니다. 여전히 발생하고 있습니다. 따라서 "건전한" 보안 태세에는 신원에 초점을 맞춘 강력한 탐지 및 대응이 포함됩니다.
XDR과 같은 기존 보안 도구는 합법적인 자격 증명을 사용하는 공격자를 포착하는 데 어려움을 겪을 수 있습니다. 이러한 행위는 일반적인 사용자 행동과 섞여 탐지되지 않는 경우가 많기 때문입니다. 습관적으로 인증 로그 및 사용자 활동 모니터링 모든 시스템에서 의심스러운 동작의 징후를 파악하고, 사고 조사에 충분한 기간 동안 로그를 보관해야 합니다. 실제로 적절한 보존 정책을 갖춘 중앙 집중식 로그 수집을 유지하는 것은 자격 증명 공격을 발견하고 분석하는 데 필수적인 보안 조치로 간주됩니다. 조직에서 로그인 감사 추적을 집계하고 이상 징후에 대한 알림을 제공했다면 수개월(또는 수년) 동안 탐지되지 않았던 많은 침해 사고를 훨씬 더 일찍 발견할 수 있었을 것입니다.
이 습관을 실현 가능하게 하려면 다음 도구를 활용하세요. ID 이벤트에 대한 통합 가시성 및 스마트 분석. Silverfort예를 들어, 의 플랫폼은 모든 인증 트래픽을 실시간으로 모니터링하는 중앙 집중식 두뇌 역할을 합니다. 머신 러닝 및 행동 분석(UEBA)을 사용하여 사용자의 접근 패턴이 정상에서 벗어나는 경우를 감지하며, 이는 계정 침해를 나타낼 수 있습니다. 직원의 계정이 갑자기 이상한 위치에서 로그인을 시도하거나 비정상적인 리소스에 접근하려고 시도하는 경우, Silverfort 해당 활동을 플래그로 표시하거나 자동으로 차단하여 공격자가 더 이상 활동을 확대하지 못하도록 합니다. 또한, Silverfort'의 콘솔은 보안 팀에 실시간 정보를 제공합니다. 신원 인벤토리 및 활동 피드이를 통해 의심스러운 계정 사용을 신속하게 발견하고 조사할 수 있습니다.
이러한 수준의 인식을 함양하고 자격 증명 침해 시나리오에 대한 사고 대응 계획을 연습하면 하나의 방어 계층이 실패하더라도 본격적인 침해로 번지기 전에 위협을 신속하게 감지하고 억제할 수 있습니다.
5가지 필수 습관에 대한 조치 취하기
신원 정보 유출은 여전히 가장 큰 사이버 위협이지만, 이러한 5가지 보안 습관을 채택하면 조직의 방어력을 크게 강화할 수 있습니다.
MFA를 보편적으로 요구함으로써 모든 액세스 시도를 다음과 같이 처리합니다. 제로 트러스트영향력이 큰 계정을 잠그고, ID 저장소를 깔끔하게 유지하고, 지속적으로 모니터링하면 공격자가 극복해야 하는 여러 계층의 보호 기능을 만들 수 있습니다.
이러한 습관은 "한 번 익히면 잊어버리는" 것이 아닙니다. 지속적인 노력과 이를 뒷받침할 적절한 도구가 필요합니다.
이러한 부분에서 통합된 신원 우선 보안 플랫폼이 획기적인 변화를 가져올 수 있습니다.
이러한 솔루션은 건강한 보안 관행을 사용자 환경에 통합하는 데 도움이 되도록 특별히 제작되었습니다. 모든 곳에서 MFA 및 조건부 액세스를 시행하고, 권한이 있는 계정과 레거시 계정을 보호하고, 오래된 사용자와 같은 사각지대를 밝히고, 위협을 지속적으로 감시합니다..
강력한 습관과 신원 우선 보안 역량을 함께 활용하면 기업은 자격 증명 기반 침해 위험을 획기적으로 줄이고 도난당한 비밀번호가 결코 성공적인 공격으로 이어지지 않도록 보장할 수 있습니다.
이러한 건강한 습관을 사이버 보안 전략에 통합하는 방법에 대해 자세히 알아보려면 가이드를 다운로드하세요.ID 보안 플레이북. "