내부망 이동이란?

내부망 내 이동은 공격자가 네트워크의 여러 부분으로 공격을 확산하는 방식입니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • 내부망 이동의 정의
  • 내부망 이동이 어떻게 발생하는지 설명
  • 내부망 이동을 늦추거나 차단하기 위한 예방 조치 목록

관련 콘텐츠


계속 알아보시겠어요?

인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!

Cloudflare가 개인 데이터를 수집하고 처리하는 방법은 Cloudflare의 개인정보 취급방침을 참조하세요.

글 링크 복사

내부망 이동이란?

네트워크 보안에서 내부망 이동은 공격자가 진입점에서 네트워크의 나머지 지점으로 확산되는 과정을 의미합니다. 이를 달성하는 방법에는 여러 가지가 있습니다. 예를 들어, 직원의 데스크톱 컴퓨터에서 맬웨어로 공격을 시작할 수 있습니다. 거기서부터 공격자는 최종 목표에 도달할 때까지 네트워크의 다른 컴퓨터를 감염시키고 내부 서버를 감염시키는 등 내부망 이동을 시도합니다.

내부망 이동 다이어그램. 공격자가 노트북을 감염시키고 보안 네트워크에 침입한 후 다른 컴퓨터와 서버로 내부망 이동합니다.

공격자는 감지되지 않고 내부망에서 이동하는 것을 목표로 합니다. 그러나 초기 장치에서 감염이 발견되거나 공격자의 활동이 감지되더라도 공격자가 광범위한 장치를 감염시킨 경우 공격자는 네트워크 내에서 자신의 존재를 유지할 수 있습니다.

열린 창문을 통해 집에 들어온 도둑 그룹이 각각 집 안의 다른 방으로 이동한다고 상상해 보세요. 방 하나에서 도둑 한 명이 발견되더라도 다른 도둑은 계속해서 물건을 훔칠 수 있습니다. 마찬가지로 내부망 이동을 통해 공격자는 서버, 엔드포인트, 애플리케이션 액세스 등 네트워크의 다양한 "방"으로 들어갈 수 있으므로 공격을 억제하기가 어렵습니다.

일부 단계는 자동화되어 있을 수 있지만, 내부망 이동은 공격자 또는 공격자 그룹이 수동으로 진행하는 경우가 많습니다. 이처럼 직접 실행하는 접근 방식을 통해 공격자는 해당 네트워크에 맞춰 방법을 조정할 수 있습니다. 또한 네트워크 및 보안 관리자가 적용하는 보안 대책에 신속하게 대응할 수 있습니다.

내부망 이동은 어떻게 발생할까요?

내부망 이동은 네트워크에 대한 초기 진입점에서 시작됩니다.이 진입점은 네트워크에 연결되는 맬웨어에 감염된 컴퓨터, 도난당한 사용자 자격 증명 세트(사용자 이름 및 비밀번호), 서버의 열린 포트를 통한 취약점 익스플로잇 등 여러 가지 공격 방법일 수 있습니다.

일반적으로 공격자들은 진입점과 명령 및 제어(C&C) 서버 사이에 연결을 설정합니다. 이들의 C&C 서버는 설치된 맬웨어에 명령을 내리고 맬웨어에 감염되거나 원격으로 제어되는 장치에서 수집된 데이터를 저장합니다.

공격자는 네트워크 내부의 장치에 거점을 확보하면 정찰을 수행합니다. 침해된 장치가 액세스할 수 있는 항목, 사용자 계정을 침해한 경우 해당 사용자의 권한 등 네트워크에 대해 최대한 많은 정보를 알아냅니다.

공격자가 내부망에서 이동하기 시작하는 다음 단계는 "권한 상승"이라는 프로세스입니다.

권한 상승

권한 상승은 합법적이든 불법적이든 사용자가 마땅히 가져야 할 권한보다 더 많은 권한을 얻는 것을 말합니다. 사용자 권한이 올바르게 추적 및 할당되지 않은 경우 ID 및 액세스 관리(IAM)에서 권한 상승이 실수로 발생하는 경우가 있습니다. 이와 반대로 공격자는 의도적으로 시스템의 결함을 악용하여 네트워크에서 자신의 권한을 확대합니다.

취약점이나 맬웨어 감염을 통해 네트워크에 침입한 경우, 공격자는 키로거(사용자가 입력하는 키를 추적)를 사용하여 사용자 자격 증명을 훔칠 수 있습니다. 또는 피싱 공격에서 자격 증명을 탈취하여 네트워크에 처음에 침입했을 수도 있습니다. 공격자는 한 가지 자격 증명 세트와 해당 사용자 계정과 관련된 권한으로 시작합니다. 공격자는 해당 계정으로 수행할 수 있는 작업을 극대화한 다음 다른 컴퓨터로 확산하고 자격 증명 도용 도구를 사용하여 다른 계정을 장악합니다.

공격자가 최대 피해를 입히거나 목표에 도달하는 데 필요한 액세스 권한을 얻으려면 일반적으로 관리자 수준의 권한이 필요합니다. 따라서 관리자 자격 증명을 획득할 때까지 네트워크를 통해 내부망에서 이동합니다. 이러한 자격 증명을 획득하면 기본적으로 전체 네트워크를 제어할 수 있게 됩니다.

내부망 이동 시 위장 및 대응 방법

공격자는 내부망에서 이동하는 과정에서 조직 보안팀의 대응책에 세심한 주의를 기울이고 있을 가능성이 높습니다. 예를 들어, 조직에서 서버에서 맬웨어 감염을 발견하고 감염을 격리하기 위해 해당 서버를 나머지 네트워크에서 차단하는 경우, 공격자는 추가 장치에서 자신의 존재가 감지되지 않도록 추가 조치를 수행하기 전에 일정 시간을 기다릴 수 있습니다.

공격자는 백도어를 설치하여 자신의 존재가 감지되고 모든 엔드포인트와 서버에서 성공적으로 제거될 경우 네트워크에 재진입할 수 있도록 할 수 있습니다. (백도어는 보안이 잘 갖춰진 시스템에 비밀리에 침입하는 방법입니다.)

또한 공격자는 비정상적인 네트워크 트래픽 때문에 관리자에게 자신의 존재가 알려질 수 있으므로 자신의 활동을 정상적인 네트워크 트래픽과 섞으려고 시도합니다. 합법적인 사용자 계정을 추가로 손상시키면 섞는 작업이 더 쉬워집니다.

내부망 이동을 사용하는 공격 유형에는 어떤 것이 있을까요?

많은 범주의 공격은 가능한 한 많은 장치에 도달하거나 특정 목표에 도달할 때까지 네트워크 전반을 이동하기 위해 내부망 이동에 의존합니다. 이러한 공격 유형에는 다음이 포함됩니다.

  • 랜섬웨어: 랜섬웨어 공격자는 가능한 한 많은 장치를 감염시켜 랜섬을 요구할 수 있는 최대한의 영향력을 확보하는 것을 목표로 합니다.특히 랜섬웨어는 조직의 일상적인 프로세스에 중요한 데이터가 포함된 내부 서버를 표적으로 삼습니다.이렇게 하여 랜섬웨어 감염이 활성화되면 적어도 일시적으로 조직의 운영에 큰 타격을 입힐 수 있습니다.
  • 데이터 유출: 데이터 유출은 승인 없이 통제된 환경 밖으로 데이터를 이동시키거나 복사하는 프로세스입니다.공격자는 지적 재산을 훔치거나, 신원 도용을 위해 개인 데이터를 확보하거나, 독스웨어 공격이나 특정 유형의 랜섬웨어 공격에서처럼 랜섬을 위해 훔친 데이터를 보유하는 등 여러 가지 이유로 데이터를 유출합니다.공격자는 일반적으로 원하는 데이터에 도달하기 위해 초기 손상 지점에서 내부망을 통해 이동해야 합니다.
  • 스파이 활동: 국가, 조직화된 사이버 범죄 그룹, 경쟁 기업 모두 조직 내 활동을 모니터링하는 이유가 있을 수 있습니다.공격의 목적이 순수한 금전적 이득이 아닌 스파이 활동인 경우, 공격자는 가능한 한 오랫동안 탐지되지 않고 네트워크에 남아 있으려고 노력할 것입니다.이는 랜섬웨어 공격과 대조적인데, 랜섬웨어 공격에서 공격자가 원하는 건 결국 랜섬을 받아내려고 자신의 행동에 주의를 끄는 것입니다.또한 데이터 유출과도 다른데, 데이터 유출의 경우에는 공격자가 원하는 데이터를 확보한 후에는 감지되더라도 상관하지 않을 수 있습니다.
  • 봇넷 감염: 공격자는 장악한 장치를 봇넷에 추가할 수 있습니다.봇넷은 악의적인 여러 목적으로 사용될 수 있으며, 특히 분산 서비스 거부(DDoS) 공격에 주로 사용됩니다.내부망 이동은 공격자가 봇넷에 가능한 한 많은 장치를 추가하여 봇넷을 더욱 강력하게 만드는 데 도움이 됩니다.

내부망 이동을 차단하는 방법

다음과 같은 예방 조치는 공격자의 내부망 이동을 훨씬 더 어렵게 만들 수 있습니다.

침투 테스트를 통해 조직은 내부망 이동을 허용할 수 있는 네트워크의 취약한 부분을 차단할 수 있습니다.침투 테스트에서 조직은 윤리적 해커를 고용하여 감지되지 않은 상태에서 네트워크에 최대한 깊숙이 침투하여 보안에 대한 스트레스 테스트를 실시합니다.그런 다음 그 해커는 발견한 내용을 조직과 공유하며, 조직에서는 이 정보를 사용하여 해커가 악용한 보안 허점을 수정할 수 있습니다.

Zero Trust 보안은 기본적으로 어떤 사용자, 장치, 연결도 신뢰하지 않는 네트워크 보안 철학입니다. Zero Trust 네트워크는 모든 사용자와 장치에 위협이 잠재해 있다고 가정하고 사용자와 장치 모두를 지속해서 재인증합니다. 또한 Zero Trust는 액세스 제어에 최소 권한 접근 방식을 사용하고 네트워크를 세분화합니다. 이러한 전략은 공격자의 권한 상승을 훨씬 더 어렵게 만들고 보안 관리자가 초기 감염을 훨씬 쉽게 감지하고 격리할 수 있도록 합니다.

엔드포인트 보안에는 다른 보안 기술 중에서도 맬웨어 방지 소프트웨어로 엔드포인트 장치(데스크톱 컴퓨터, 노트북, 스마트폰 등)를 정기적으로 검사하는 것이 포함됩니다.

IAM은 내부망 이동을 방지하는 데 중요한 구성 요소입니다.사용자 권한은 면밀히 관리해야 합니다. 사용자가 꼭 필요한 것보다 더 많은 권한을 가지고 있으면 계정 탈취의 결과가 더 심각해집니다.또한 2단계 인증(2FA)을 사용하면 내부망 이동을 차단하는 데 도움이 될 수 있습니다.2FA를 사용하는 시스템에서는 공격자가 사용자 자격 증명을 얻는 것만으로는 계정을 손상시킬 수 없으며, 공격자는 2차 인증 토큰도 훔쳐야 하는데, 이는 훨씬 더 어렵습니다.

Cloudflare One에는 네트워킹 서비스와 Zero Trust 보안 서비스가 결합되어 있습니다.Cloudflare One에는 ID 관리 및 엔드포인트 보안 솔루션이 통합되어 여러 보안 제품의 패치워크를 내부망 이동 및 기타 공격을 방지하는 단일 플랫폼으로 대체할 수 있습니다.Cloudflare One에 대하여 자세히 알아보세요.