측면 이동은 위협 행위자가 손상된 네트워크나 시스템을 탐색하여 한 호스트에서 다른 호스트로 은밀하게 이동하는 데 사용하는 기술을 의미합니다. 단일 진입점을 표적으로 삼는 기존 공격과 달리 측면 이동을 통해 공격자는 영향력을 확산하고 통제력을 확장하며 네트워크 내 귀중한 자산에 액세스할 수 있습니다. 이는 APT 공격의 중요한 단계로, 공격자가 지속성을 유지하고 목표를 달성할 수 있도록 해줍니다.
공격자는 지속성 확립, 가치가 높은 대상에 액세스, 권한 상승, 데이터 유출, 보안 제어 회피 등 여러 가지 이유로 측면 이동 기술을 활용합니다.
측면 이동에는 공격자가 네트워크 내에 침투하여 제어권을 확장하기 위해 거치는 일련의 단계가 포함됩니다. 이러한 단계에는 일반적으로 다음이 포함됩니다.
| 공격 기법 | 주요 특징 | 측면 이동과의 관계 |
| 피싱 공격 | 민감한 정보를 추출하는 사회 공학 기법 | 측면 이동에는 도난당한 자격 증명의 사용이 포함될 수 있습니다. |
| Malware | 데이터 도난, 중단 또는 무단 액세스를 위한 악성 소프트웨어 | 측면 이동은 전파 또는 지속성을 위해 악성 코드를 활용할 수 있습니다. |
| DoS/DDoS 공격 | 과도한 트래픽으로 대상 시스템 압도 | 측면 이동과 직접 정렬되지 않음 |
| 중간자 공격 | 가로채기 또는 변경을 위해 통신을 가로채고 조작합니다. | 측면 이동에는 기술의 일부로 차단이 포함될 수 있습니다. |
| SQL 주입 | 무단 액세스를 위해 웹 애플리케이션 취약점을 악용합니다. | 측면 이동으로 인해 손상된 자격 증명이나 데이터베이스가 활용될 수 있음 |
| 사이트 간 스크립팅 (XSS) | 임의 코드 실행이나 정보 도용을 위해 신뢰할 수 있는 웹사이트에 악성 스크립트를 삽입합니다. | 측면 이동과 직접 정렬되지 않음 |
| 사회 공학 | 민감한 정보를 유출하거나 작업을 수행하기 위해 개인을 조작합니다. | 측면 이동에는 초기 침해에 사회 공학이 포함될 수 있습니다. |
| 비밀번호 공격 | 비밀번호 크래킹을 위한 무차별 공격 또는 사전 공격과 같은 기술 | 측면 이동으로 인해 손상되거나 도난당한 자격 증명이 활용될 수 있음 |
| APT (Advanced Persistent Threat) | 지속적인 액세스와 특정 목표를 위한 정교한 표적 공격 | 측면 이동은 APT 내에서 중요한 단계입니다. |
| 제로데이 익스플로잇 | 패치가 출시되기 전에 알려지지 않은 취약점을 목표로 삼으세요. | 측면 이동은 기술의 일부로 제로데이 공격을 포함할 수 있습니다. |
사이버 위협이 계속해서 정교해짐에 따라 측면 이동에 사용되는 기술과 방법을 이해하는 것이 효과적인 방어 전략을 위해 가장 중요해졌습니다.
이러한 기술을 이해함으로써 조직은 강력한 액세스 제어, 취약성 관리, 사용자 인식 교육과 같은 사전 보안 조치를 구현하여 측면 이동과 관련된 위험을 완화하고 사이버 침입자로부터 중요한 자산을 보호할 수 있습니다.
측면 이동 공격과 관련된 가장 일반적인 기술은 다음과 같습니다.
Pass-the-Hash 공격은 Windows가 사용자 자격 증명을 해시 값 형식으로 저장하는 방식을 악용합니다. 공격자는 손상된 시스템에서 비밀번호 해시를 추출하고 이를 사용하여 네트워크 내의 다른 시스템을 인증하고 액세스합니다. 일반 텍스트 비밀번호의 필요성을 우회함으로써 PtH 공격을 통해 공격자는 지속적인 자격 증명 도용 없이 측면으로 이동할 수 있습니다.
Pass-the-Ticket 공격 활용 Kerberos 네트워크 내에서 측면으로 이동하기 위한 인증 티켓입니다. 공격자는 손상된 시스템에서 얻거나 합법적인 사용자로부터 훔친 유효한 티켓을 획득하고 남용합니다. 이러한 티켓을 사용하면 기존 인증 메커니즘을 우회하여 추가 시스템을 인증하고 액세스할 수 있습니다.
RDP 하이재킹에는 사용자가 원격 시스템에 연결할 수 있도록 하는 원격 데스크톱 프로토콜을 조작하거나 악용하는 행위가 포함됩니다. 공격자는 RDP가 활성화된 시스템을 표적으로 삼고, 취약점을 악용하거나, 훔친 자격 증명을 사용하여 무단 액세스를 얻습니다. 일단 내부로 들어가면 다른 시스템에 연결하거나 손상된 호스트를 추가 공격의 시작 지점으로 활용하여 측면으로 탐색할 수 있습니다.
자격 증명 도용 및 재사용은 측면 이동에서 중요한 역할을 합니다. 공격자는 유효한 자격 증명을 훔치기 위해 키로깅, 피싱, 무차별 공격 등 다양한 방법을 사용합니다. 일단 획득한 이러한 자격 증명은 인증을 위해 재사용되고 네트워크 전체에서 측면으로 이동하여 잠재적으로 권한을 상승시키고 고가치 대상에 액세스합니다.
취약점을 악용하는 것은 측면 이동에 사용되는 일반적인 기술입니다. 공격자는 패치가 적용되지 않은 시스템이나 잘못된 구성을 표적으로 삼아 무단 액세스 권한을 얻습니다. 취약점을 악용하면 추가 호스트를 손상시키고 소프트웨어 또는 네트워크 구성의 약점을 활용하여 측면으로 이동할 수 있습니다.
악성 코드 전파는 측면 이동에 널리 사용되는 또 다른 방법입니다. 공격자는 손상된 네트워크 내에 웜이나 봇넷과 같은 악성 소프트웨어를 배포합니다. 이러한 악성 코드 인스턴스는 한 시스템에서 다른 시스템으로 전파되어 공격자가 네트워크 내에서 제어권을 탐색하고 확장하는 데 도움을 줍니다.
가장 두드러진 사이버 공격 중 하나인 해커는 제40자 공급업체를 통해 Target Corporation의 네트워크에 액세스했습니다. 그런 다음 측면 이동 기술을 사용하여 네트워크를 탐색하고, 권한을 확대하고, 결국 POS(Point-of-Sale) 시스템을 손상시켰습니다. 공격자는 약 XNUMX천만 명의 고객의 신용카드 정보를 유출하여 Target의 막대한 금전적 손실과 평판에 손상을 입혔습니다.
이 세간의 이목을 끄는 이번 공격에서는 북한과 연계된 것으로 추정되는 해커들이 소니 픽쳐스의 네트워크에 침투했습니다. 측면 이동 기술을 통해 네트워크를 통해 이동하여 미공개 영화, 경영진 이메일, 직원 개인 정보를 포함한 민감한 데이터에 액세스할 수 있었습니다. 이 공격으로 인해 비즈니스 운영이 중단되고 기밀 데이터가 공개되어 재정적, 평판에 상당한 피해를 입혔습니다.
더 낫페트야 랜섬 공격은 우크라이나의 한 회계 소프트웨어 회사의 업데이트 메커니즘이 손상되면서 시작되었습니다. 내부로 침투한 공격자는 측면 이동 기술을 활용하여 조직의 네트워크 내에 악성 코드를 빠르게 확산시켰습니다. 악성 코드는 측면으로 전파되어 시스템을 암호화하고 전 세계 수많은 조직의 운영을 방해했습니다. NotPetya는 수십억 달러의 피해를 입혔으며 랜섬웨어 확산에 있어 측면 이동의 파괴적인 잠재력을 강조했습니다.
SolarWinds 공격에는 소프트웨어 공급망, 특히 SolarWinds가 배포한 Orion IT 관리 플랫폼이 손상되었습니다. 위협 행위자는 정교한 공급망 공격을 통해 몇 달 동안 탐지되지 않은 악성 업데이트를 삽입했습니다. 손상된 소프트웨어를 사용하는 조직의 네트워크 내에서 측면 이동을 위해 측면 이동 기술이 사용되었습니다. 이 고도로 정교한 공격은 수많은 정부 기관과 민간 조직에 영향을 미쳐 데이터 유출, 간첩 활동 및 장기적인 영향을 초래했습니다.
이러한 실제 사례는 다양한 부문의 조직에 대한 측면 이동 공격의 영향을 보여줍니다. 이는 공격자가 어떻게 측면 이동을 활용하여 네트워크를 탐색하고, 권한을 확대하고, 귀중한 데이터에 액세스하고, 심각한 재정적 및 평판 손상을 초래하는지 보여줍니다.
감지 및 측면 움직임 방지 공격은 조직이 네트워크와 귀중한 자산을 보호하는 데 매우 중요합니다. 측면 움직임을 감지하고 방지하는 몇 가지 효과적인 전략은 다음과 같습니다.
측면 이동 공격의 잠재적 진입점을 이해하는 것은 조직이 방어를 효과적으로 강화하는 데 중요합니다. 이러한 취약점을 식별하고 완화함으로써 조직은 보안 태세를 강화하고 측면 이동 공격이 성공할 위험을 줄일 수 있습니다.
약하거나 손상된 자격 증명
취약한 비밀번호, 비밀번호 재사용, 피싱 공격이나 데이터 유출을 통해 획득한 자격 증명 훼손은 측면 이동의 중요한 진입점이 됩니다. 공격자는 이러한 자격 증명을 활용하여 네트워크 내에서 측면으로 이동하며 종종 그 과정에서 권한을 상승시킵니다.
패치되지 않은 취약점
패치가 적용되지 않은 소프트웨어 또는 시스템에는 공격자가 초기 액세스 권한을 얻고 측면 이동을 실행하기 위해 악용할 수 있는 취약점이 있습니다. 보안 패치 및 업데이트를 적용하지 못하면 위협 행위자가 네트워크에 침투하기 위해 악용할 수 있는 알려진 취약점에 시스템이 취약해집니다.
잘못 구성된 보안 설정
취약한 액세스 제어, 잘못 구성된 방화벽 또는 부적절하게 구성된 사용자 권한과 같은 부적절한 보안 구성은 측면 이동의 통로를 만듭니다. 공격자는 이러한 잘못된 구성을 악용하여 측면 이동하고, 권한을 확대하고, 중요한 리소스에 액세스합니다.
사회 공학 기술
피싱, 미끼 또는 프리텍스팅을 포함한 사회 공학 기술은 개인을 조작하여 민감한 정보를 유출하거나 측면 이동을 돕는 조치를 수행하도록 합니다. 공격자는 사용자를 속여 자격 증명을 공개하거나 악성 첨부 파일을 실행함으로써 발판을 마련하고 네트워크를 탐색합니다.
내부자 위협
네트워크에 대한 승인된 액세스 권한을 가진 내부자는 측면 이동 공격을 용이하게 할 수도 있습니다. 악의적인 내부자 또는 자격 증명이 손상된 개인은 합법적인 액세스를 이용하여 기존 경계 보안 조치를 우회하여 측면으로 이동할 수 있습니다.
근거리 통신망(LAN)
근거리 통신망은 장치와 시스템의 상호 연결 특성으로 인해 측면 이동을 위한 풍부한 기반을 제공합니다. LAN 내부로 들어가면 공격자는 취약성을 악용하거나 손상된 자격 증명을 활용하여 네트워크를 탐색하고 추가 시스템에 액세스할 수 있습니다.
무선 네트워크
보안이 취약하거나 잘못 구성된 무선 네트워크는 측면 이동 공격의 진입점을 제공합니다. 공격자는 특히 장치가 유선 및 무선 네트워크에 모두 연결된 경우 네트워크에 액세스하고 측면 이동 활동을 시작하기 위해 무선 네트워크를 표적으로 삼습니다.
클라우드 환경
분산된 특성과 상호 연결된 서비스를 갖춘 클라우드 환경은 측면 이동에 취약할 수 있습니다. 잘못된 구성, 취약한 액세스 제어 또는 손상된 클라우드 자격 증명으로 인해 공격자가 클라우드 리소스와 온프레미스 시스템 간에 수평적으로 이동할 수 있습니다.
사물 인터넷(IoT) 장치
안전하지 않게 구성되거나 패치가 적용되지 않은 IoT 장치는 측면 이동의 잠재적인 진입점이 됩니다. 강력한 보안 제어가 부족한 취약한 IoT 장치는 공격자가 네트워크에 침투하여 측면 이동 활동을 수행하는 발판 역할을 할 수 있습니다.
온프레미스 시스템
정기적인 보안 업데이트를 받지 않았거나 적절한 보안 제어가 부족한 레거시 또는 온프레미스 시스템은 측면 이동의 대상이 될 수 있습니다. 공격자는 이러한 시스템의 취약점을 악용하여 초기 액세스 권한을 얻고 네트워크 내에서 피벗합니다.
XNUMXD덴탈의 제로 트러스트 보안 모델은 조직이 측면 이동 공격을 방어하는 방식을 혁신하고 있습니다. 네트워크 내에서 신뢰라는 가정을 제거함으로써, 제로 트러스트 몇 가지 핵심 영역에 초점을 맞춰 무단 측면 이동의 위험을 줄입니다.
신원 확인
제로 트러스트는 위치에 관계없이 모든 액세스 시도에 대해 엄격한 신원 확인 및 장치 인증을 강조합니다. 인증되고 승인된 사용자에게만 액세스 권한이 부여되므로 무단 측면 이동 가능성이 줄어듭니다.
마이크로 세분화
마이크로 세분화는 세분화된 액세스 제어를 통해 네트워크를 더 작은 세그먼트로 나눕니다. 엄격하게 시행하여 아이덴티티 세분화, 측면 이동이 제한되어 잠재적인 위반의 영향이 제한됩니다.
지속적인 모니터링
제로 트러스트(Zero Trust)는 네트워크 활동에 대한 지속적인 모니터링과 실시간 분석을 촉진합니다. 측면 이동을 나타내는 변칙적 행동을 즉시 감지하여 신속한 대응 및 격리가 가능합니다.
최소 권한 액세스
제로 트러스트는 최소 권한 원칙을 준수하여 사용자에게 필요한 최소한의 액세스 권한을 부여합니다. 무단 액세스 시도를 신속하게 식별하고 방지하여 측면 이동의 위험을 줄입니다.
동적 신뢰 평가
제로 트러스트(Zero Trust)는 네트워크 상호 작용 중에 신뢰 수준을 동적으로 평가합니다. 사용자 행동 및 장치 상태에 대한 지속적인 평가를 통해 지속적인 검증을 보장하고 측면 이동 위험을 최소화합니다.
