왕국의 열쇠: 특권 계정 모니터링에 대한 수비수 가이드

해당 블로그의 원문은 2025년 10월 29일 Google Cloud 블로그(영문)에 게재되었습니다. 

---

작성자: Bhavesh Dhake, Will Silverstone, Matthew Hitchcock, Aaron Fletcher

---

오늘날의 위협 환경에서 특권 액세스의 중요성

특권 액세스는 민감한 시스템과 데이터를 침해하려는 공격자에게 가장 중요한 경로입니다. 그 보호는 모범 사례일 뿐만 아니라 조직의 복원력을 위한 기본 필수 요소입니다. 빠른 클라우드 마이그레이션으로 악화된 현대 IT 환경의 복잡성 증가는 인간 및 비인간 ID의 급증으로 이어졌으며, 여기에는 특권 계정과 가상 시스템 [가상 머신(VM), 컨테이너, 서버리스 기능과 같은 컴퓨팅 워크로드 및 제어 평면]이 포함되어 전체 공격 표면을 크게 확장했습니다. 이러한 환경은 ID 및 액세스 관리, 교차 플랫폼 시스템 보안, 효과적인 인력 배치에서 점증하는 과제를 제시하며, 강력한 보안 상태를 구축하고 유지하는 것을 점점 더 어렵게 만듭니다.

위협 환경은 지속적으로 진화하고 있으며, 특권 액세스를 악용하는 공격으로의 뚜렷한 변화가 있습니다. Mandiant의 2025 M-Trends 보고서는 도난당한 자격 증명이 이메일 피싱을 제치고 두 번째로 가장 자주 관찰되는 초기 액세스 방법이 되었으며, 2024년 침입의 16%를 차지했다고 강조합니다. 이러한 부활은 부분적으로 정보 탈취 악성 코드 캠페인의 확산에 의해 촉발되었으며, 이는 손상된 사용자 자격 증명의 수집 및 거래를 용이하게 합니다. 그러나 모든 유형의 위협 행위자는 소셜 엔지니어링을 포함하여 ID를 손상시키는 수많은 새로운 방법을 발견했으며, 이는 다른 여러 전술, 기술 및 절차(TTP)와 함께 증가하고 있습니다. ENISA 문서는 자격 증명 탈취 소셜 엔지니어링 및 "사기 키트"를 위한 생성형 인공 지능(AI)의 범죄적 사용을 문서화합니다.

도난당한 자격 증명은 침입 중 초기 액세스를 위한 고부가가치 벡터를 제공할 뿐만 아니라 행위자가 내부 정찰을 수행하고, 측면으로 이동하며, 임무를 완수할 수 있도록 추가로 지원합니다. 도난당한 세션 토큰, 소셜 엔지니어링 및 ID를 손상시키는 기타 기술과 함께 손상된 자격 증명은 조직이 ID 보안을 보안 상태의 기본 기둥 중 하나로 만들어야 할 필요성을 강조합니다. 고급 경계 방어 기능이 있더라도 특권 자격 증명이 약하거나 제대로 관리되지 않으면 공격자는 필연적으로 조직의 중요한 시스템에 침투할 방법을 찾을 것입니다. 침해는 탐지하고 억제하기 어려울 수 있습니다. M-Trends 2025는 2024년 전 세계 평균 체류 시간을 11일로 보고하며, 공격자가 알릴 경우 5일, 외부 기관이 알릴 경우 26일, 내부에서 탐지될 경우 10일입니다. 간결한 심층 방어 접근 방식이 필요하며, 침해를 가정하고 계층 제어를 구현하여 한 제어의 실패가 다음 방어 계층에 의해 포착되도록 해야 합니다.

1. 모든 요청 확인(제로 트러스트).

2. 모든 관리 경로에 다단계 인증(MFA) 요구.

3. 자격 증명 순환 및 세션 기록을 통해 특권 액세스 관리(PAM) 시행.

4. 분할된 관리 네트워크의 특권 액세스 워크스테이션(PAW)에서만 관리.

5. 체류 시간 및 반경을 줄이기 위해 특권 이상에 대한 보안 정보 및 이벤트 관리(SIEM) 조정.

외부 공격 외에도 조직은 계정 탈취(ATO) 및 내부자 활동으로 인한 심각한 위험에 직면해 있습니다. 공격자는 일상적으로 도난당한 자격 증명과 세션 토큰을 무기화하는 반면, 부주의하거나 악의적인 내부자는 액세스 권한을 얻으면 신속하게 움직일 수 있습니다. 두 경우 모두 신뢰 모델이 악용되고 있으며 특권 ID가 영향을 미치는 가장 짧은 경로입니다.

동시에 침해의 비즈니스 영향은 계속 증가하고 있으며 타사 노출은 여전히 빈번한 진입점입니다. 이러한 현실은 체류 시간과 폭발 반경을 줄이는 계층화된 제어를 통해 침해를 가정하는 자세를 강화합니다.

이 블로그 게시물은 특권 계정을 대상으로 하는 침입의 예방, 탐지 및 대응에 대한 권장 사항과 통찰력을 제공합니다. 이러한 "왕국의 열쇠"를 보호하기 위해 Mandiant의 전략은 상호 의존적인 세 가지 기둥으로 구성된 포괄적인 프레임워크를 기반으로 합니다.

1. 예방: 침해 방지를 위한 특권 액세스 보안

2. 탐지: 특권 계정에 대한 가시성 유지 및 탐지 엔지니어링

3. 대응: 특권 계정 침해 조사 및 해결을 위한 조치

이 블로그 게시물은 가장 가치 있는 디지털 자산을 보호하기 위한 실용적이고 위협 정보에 입각한 전략을 강조하는 재사용 가능한 리소스로 사용됩니다.

01: 예방: 공격 영향을 제한하기 위한 특권 액세스 보안

효과적인 특권 액세스 관리는 특권 계정을 구성하는 요소에 대한 이해와 이러한 중요 자산을 보호하기 위한 전략에서 시작됩니다.

특권 계정 정의: 명백한 것 이상

액세스는 특권입니다. 모든 계정은 신뢰의 부여입니다. 특권 계정은 시스템 상태를 변경하거나, 보안 정책을 변경하거나, 일반적인 역할을 넘어 민감한 데이터에 접근할 수 있는 권한을 가진 모든 인간 또는 비인간 ID입니다. 특권은 역할과 계층에 따라 상황에 따라 다릅니다. 권한이 오용될 경우 해당 자산에 중대한 영향을 미치는 경우 "특권"이 됩니다. 현대 기업에서는 웹 앱을 통해 민감한 금융 또는 개인 데이터에 액세스하는 비즈니스 사용자 및 클라우드 플랫폼에 액세스하는 개발자도 포함됩니다.

"특권"의 진화하는 정의는 IT의 분산화와 클라우드 네이티브 및 DevOps 환경의 부상을 직접적으로 반영합니다. 공격자는 더 이상 도메인 관리자만을 표적으로 삼지 않습니다. 그들은 개발자의 워크스테이션, 서비스 계정 및 API 키에 점점 더 집중하고 있으며, 이것이 시스템에 대한 액세스를 제공한다는 것을 알고 있습니다. 이 더 넓은 범위는 기존 IT뿐만 아니라 전체 기업을 포괄하는 보다 완벽한 PAM 전략을 필요로 합니다. 이 정의는 또한 서비스 계정, 애플리케이션 계정 및 API 키와 같은 비인간 계정도 포함해야 합니다. 이것들은 광범위한 액세스 권한을 가지고 있지만 인간 계정보다 덜 모니터링되기 때문에 실제 침해에서 주요 표적입니다. 인간 도메인 관리자에게만 초점을 맞춘 PAM 전략은 불완전하며 공격 표면을 열어 둡니다. 따라서 모든 인간, 서비스 및 API 계정을 비즈니스 영향별로 분류하고 각각을 최소 권한 원칙(소유자, 목적, 접촉 시스템, 허용된 작업, 계층(T0/T1/T2), 허용된 경로(PAW/점프), 직무 분리(SoD) 제약 조건)에 매핑하는 단일 인벤토리를 유지하고, ID 및 액세스 관리(IAM) 진실의 원천에서 분기별 증명을 받아야 합니다.

특권 계정 및 종속성 분류 및 계층화

많은 조직이 "특권 계정"에 대한 광범위하고 불분명한 이해로 어려움을 겪으며, 도메인 관리자 또는 전역 관리자에게만 초점을 맞추는 데 그칩니다. 이러한 좁은 시각은 해당 계정이 의존하는 종속성을 간과합니다. Mandiant의 ID 보안 현대화 참여는 이러한 관점을 넘어 특권 계정을 더 잘 정의하고 분류하기 위한 원칙을 제공합니다. 이러한 평가는 매우 특권적인 역할을 가진 계정 수를 식별하고 줄이는 데 도움이 됩니다. 여기에는 그룹 정책 개체(GPO) 수정 권한, 도메인 컨트롤러(DC) 또는 Tier-0 엔드포인트에 대한 명시적 권한, 가상화 플랫폼에 대한 특권 역할, 많은 엔드포인트에서 SYSTEM으로 프로세스를 실행할 수 있는 권한을 가진 계정 또는 그룹이 포함됩니다.

종종 간과되는 종속성에는 점프 서버, 관리 워크스테이션, 특정 네트워크 세그먼트, 애플리케이션 및 지속적인 통합 및 지속적인 제공/배포(CI/CD) 파이프라인이 포함됩니다. "신뢰할 수 있는 서비스 인프라"는 자산 및 패치 관리 도구, 네트워크 장치, 가상화 플랫폼, 백업 기술, 보안 도구 및 PAM 시스템 자체에 대한 관리 인터페이스를 포함하여 이러한 종속성을 직접적으로 다룹니다. 공격자는 이러한 구성 요소를 손상시키면 환경에 대한 광범위한 제어를 얻을 수 있다는 것을 알고 지속성 및 측면 이동을 위해 이러한 구성 요소를 표적으로 삼습니다.

"계층화"는 PAM의 핵심입니다. 계층화는 계정을 침해 영향 및 종속성을 기반으로 분류함으로써 평평한 "특권" 대 "비특권" 관점을 넘어섭니다. 예를 들어, Tier-0 자산(도메인 컨트롤러와 같은) 또는 이를 지원하는 인프라(예: 점프 서버)에 액세스할 수 있는 계정은 운영에 더 높은 위험을 초래합니다. 이러한 종속성을 간과하면 "특권" 계정이 안전하더라도 액세스하는 데 사용되는 덜 안전한 시스템이 가장 약한 연결 고리가 될 수 있습니다. 이는 PAM 제어를 전체 "특권 액세스 경로"로 확장하여 ID, 엔드포인트, 네트워크 및 애플리케이션 전반에 걸쳐 제어를 계층화하는 전체적인 보안 접근 방식의 필요성을 보여줍니다. 액세스 컨텍스트(어디서, 언제, 어떻게)는 ID 자체만큼 중요해집니다.

일반적인 특권 계정 범주 및 중요 종속성

PAM 재단 설립

PAM 프로그램은 하루아침에 구축되지 않습니다. 위험을 체계적으로 줄이고 보안 태세를 강화하기 위해 각 단계가 이전 단계를 기반으로 하는 뚜렷한 단계를 거쳐 진행되는 여정입니다.

PAM 성숙도 여정

효과적인 특권 액세스 관리 도입은 성숙도 수준을 통해 진화하는 프로세스입니다. 이러한 수준은 서로를 기반으로 하여 위험을 줄이고 보안을 향상시킵니다. Mandiant는 미개시, 임시, 반복 가능, 반복 최적화의 네 가지 단계를 봅니다. 조직이 이러한 단계를 거치면서 보호 범위는 더 많은 유형의 특권 사용자, 민감한 시스템 및 해당 계정을 포함하도록 확장됩니다.

미개시. 특권 액세스는 대부분 통제되지 않은 상태입니다. 수동 계정 생성, 스프레드시트 추적, 공유 자격 증명, 약하거나 부재한 MFA, 느슨한 암호 정책, 프로비저닝 해제 누락. 서비스/API 계정은 소유자나 문서 없이 나타납니다. 보안에는 특권 경로 및 Tier-0 자산에 대한 전체 맵이 부족합니다. 기본적으로 높은 사이버 위험.

임시. 첫 번째 위험 감소가 시작됩니다. 공유 자격 증명 하위 집합이 보관/회전되고 몇 가지 가드레일이 나타납니다. 운영은 계속해서 대응적이며, 도구는 단편화되어 있으며, 역할/계층 분리는 제한적이며, 보고 및 증명은 어렵습니다. PAM은 프로그램이 아닌 포인트 솔루션으로 존재합니다.

반복 가능. 제어가 일관되고 광범위해집니다. PAM은 비즈니스 사용자, 개발자, 타사, 서버, 워크스테이션 및 SaaS(Software-as-a-Service)를 포함합니다. 역할 기반 액세스 제어(RBAC)는 액세스를 표준화합니다. MFA는 모든 관리 경로에 적용됩니다. 로컬 관리자 회전(예: LAPS(Local Administrator Password Solution))이 제자리에 있습니다. Tier-0/1용 PAW, JIT/JEA(just-in-time/just-enough-administration) 도입, 변경 제어 및 티켓팅 통합. 예약된 검색, 분류, 역할 매핑 및 분기별 증명은 신뢰할 수 있는 운영 리듬을 만듭니다.

반복 최적화. 자동화 및 분석은 지속적인 개선을 주도합니다. 전체 라이프사이클 오케스트레이션(프로비저닝 → 승인/JIT → 세션 감독 → 자동 회전 → 프로비저닝 해제)이 종단 간으로 실행됩니다. SIEM/XDR(extended detection and response)/SOAR(security orchestration, automation, and response)은 특권 이상을 탐지하고 억제합니다. 인간 상주 특권은 0에 가까워집니다. 서비스/API ID는 gMSA(group Managed Service Account)/관리 ID로 이동합니다. 보관 해제에 대한 이중 제어, 긴급 액세스 테스트, 레드/퍼플팀 연습을 통해 제어 확인. PAM은 IT 및 DevOps를 통해 짜여져 한 계층의 실패가 다음 계층에 의해 포착되도록 심층 방어를 강화합니다.

전용 PAM 솔루션 구현

강력한 PAM 기반을 구축하는 핵심 단계는 전용 특권 액세스 관리 솔루션(예: CyberArk, BeyondTrust, Delinea)을 구현하는 것입니다. 모든 특권 계정을 중앙 집중식 PAM 시스템에 온보딩하면 누가 어떤 자격 증명에 어디서 액세스하는지 가시성을 확보할 수 있습니다. 선도적인 PAM 도구는 자격 증명을 검색, 보관 및 관리하고, 보안 정책(예: 체크아웃 승인 및 일회용 암호)을 시행하며, 감사용으로 모든 특권 활동을 기록합니다. 클라우드 제어 평면의 경우 PAM을 클라우드 네이티브 PIM/JIT 서비스(예: Google Cloud Privileged Access Manager, Microsoft Entra ID PIM)와 결합하여 상주 관리자 권한 대신 시간 제한 권한 상승을 부여합니다. 이렇게 하면 관리되지 않는 임시 자격 증명 사용 위험이 크게 줄어듭니다.

그러나 PAM 제품을 배포하는 것만으로는 충분하지 않습니다. PAM은 정의된 정책과 소유권을 가진 지속적인 프로그램으로 취급해야 합니다. 조직은 특권 액세스를 둘러싼 중앙 거버넌스와 프로세스를 수립해야 합니다. 계층화된 계정 구조를 시행하고, 모든 관리자 액세스에 다단계 인증을 요구하며, 최소 권한 원칙을 의무화해야 합니다. 상향식 역할 설계와 하향식 검색을 결합해야 합니다. 거버넌스는 또한 리소스 수준(데이터 저장소의 ACL(액세스 제어 목록), 앱/DB(데이터베이스) 역할, SaaS 관리자 범위, 클라우드 IAM 정책)에서 유효 권한을 감사하여 디렉터리 그룹에서는 특권이 없어 보이지만 민감한 리소스(예: HR/재무 데이터 세트)를 완전히 제어할 수 있는 계정인 섀도 관리자를 찾아내야 합니다. 이러한 결과를 계층 매핑 및 PAM 온보딩에 피드백하여 해당 ID를 최소 권한으로 적절하게 조정하거나 JIT/JEA 및 세션 감독과 함께 PAM 아래로 가져옵니다. 예약된 권한 검색은 IGA(Identity Governance and Administration)/CIEM(Cloud Infrastructure Entitlement Management) 또는 전용 권한 분석 도구 및 플랫폼 자체의 네이티브 내보내기를 통해 수행할 수 있습니다.

PAM 도구를 가지고 있다고 해서 자동으로 "PAM을 하고 있다"는 의미는 아닙니다. 많은 조직이 자격 증명을 금고에 넣어두지만 계층 모델과 일치시키거나 전체 ID 수명 주기를 관리하지 못합니다. PAM은 더 넓은 거버넌스 프로그램 내에 있어야 합니다. 실제로 자산과 플랫폼을 분류하고, 각 특권 ID를 해당 분류에 매핑한 다음, 정책(암호 회전 주기, 세션 기록, JIT/JEA, 승인, 네트워크 제한)을 시행하도록 도구를 구성합니다. 이러한 맥락에서 PAM은 프로세스를 기술과 연결하여 정책을 일관되고 감사 가능한 제어로 전환하여 복잡성을 단순화합니다. 예약된 리소스 권한 크롤링을 실행하고 델타(새 소유자, 새 관리자 범위)를 PAM 인벤토리 및 승인 워크플로우로 다시 조정합니다.

적절하게 구현된 PAM 솔루션은 특권 액세스 패턴에 대한 중앙 집중식 통찰력, 자동화된 암호 관리(하드코딩되거나 오래된 자격 증명 제거), 의심스러운 행동에 대한 실시간 경고와 같은 많은 이점을 제공합니다. 이러한 자동화 없이는 수천 개의 특권 계정을 수동으로 관리하는 것은 오류가 발생하기 쉽고 위험이 높습니다. PAM 도구는 일관된 정책을 시행하고 개별 관리자에 대한 의존도를 줄여 인적 오류를 완화합니다. 또한 모니터링 시스템(또는 내장 분석)과 통합되어 비정상적인 관리자 활동을 표시합니다. 관리자 암호를 관리하기 위해 여전히 스프레드시트나 이질적인 팀에 의존하는 조직은 확장성 제한과 사각지대에 직면합니다. 강력한 프로세스와 결합된 전용 PAM 시스템은 이러한 격차를 해소합니다.

자체 관리 PAM 이니셔티브에 대한 고려 사항

전용 PAM 솔루션이 보안 및 효율성을 위해 최선이지만, 조직은 특히 초기 단계나 틈새 요구에 따라 일부 PAM 측면을 자체적으로 관리할 수 있습니다. 조직이 자체 관리 PAM 이니셔티브를 수행하는 경우 다음 요소를 고려해야 합니다.

• 수동 인벤토리 및 추적 오버헤드: 자동화된 검색 도구 없이는 모든 특권 계정(인간 및 비인간, 애플리케이션 계정 포함, 특히 금융 기관)의 정확하고 최신 인벤토리를 유지하는 것은 크고 오류가 발생하기 쉬운 수동 작업이 됩니다. 여기에는 시스템 전반에 걸쳐 권한, 종속성 및 소유자를 추적하는 것이 포함됩니다.

• 중앙 집중식 가시성 없음: 별도의 수동 프로세스는 단편적인 가시성으로 이어집니다. 중앙 시스템(예: SIEM) 없이는 다양한 소스(운영 체제, 애플리케이션, 네트워크 장치)의 로그를 결합하고 통합된 보기를 위해 특권 활동을 상호 연관시키는 것이 어렵습니다.

• 일관되지 않은 정책 시행: 많은 특권 계정 전반에 걸친 수동 정책 시행(예: 암호 복잡성, 회전, 최소 권한)은 인적 오류와 불일치가 발생하기 쉬워 보안 격차로 이어집니다.

• 확장성 제한: 수동 PAM 프로세스는 확장되지 않습니다. 특권 계정이 증가함에 따라 관리 오버헤드가 너무 많아져 보안 및 운영에 영향을 미칩니다.

• 느린 사고 대응: 자동화된 탐지, 실시간 경고 및 통합된 대응 없이는 특권 계정 침해를 찾고 억제하는 것이 더 느려져 체류 시간과 피해가 증가합니다.

• 인적 오류의 위험 증가: 수동 관리는 구성 오류, 프로비저닝 해제 누락, 우발적이거나 강제된 자격 증명 노출을 증가시켜 모두 보안 사고로 이어집니다.

• 규정 준수 부담: 자동화된 보고 및 세션 기록 없이는 특권 액세스에 대한 규정(예: PCI DSS, NIST) 준수를 보여주는 것은 힘든 수동 감사 프로세스가 됩니다.

• 애플리케이션별 특권 계정: 특히 금융 분야의 애플리케이션은 표준 기업 계정이 아닌 최소 권한을 따르는 계정으로 관리되도록 주의해야 합니다. 이를 위해서는 애플리케이션 역할 및 권한에 대한 자세한 이해가 필요합니다.

• 하향식 권한 검색 없음: 리소스 수준에서 유효 액세스를 감사하지 않으면 "섀도 관리자" 권한이 보이지 않게 되어 PAM 범위가 불완전하고 영향이 큰 계정이 관리되지 않은 상태로 남습니다.

자체 관리 PAM 여정을 시작하는 조직은 이러한 한계를 알고 목적에 맞게 제작된 PAM 솔루션을 사용할 때보다 많은 수동 노력을 투자하고 더 높은 위험을 감수할 준비가 되어 있어야 합니다.

중요 인프라 및 자격 증명 강화

강력한 PAM(특권 계정 관리)을 위해서는 주변 환경의 강화가 필요합니다. 특권 자격 증명을 최소한으로 줄이고, 반드시 존재해야 하는 자격 증명은 잠그고, 작동할 수 있는 장소/시간을 제한해야 합니다. 자격 증명의 전체 수명 주기(생성, 저장, 사용, 순환, 폐기)를 제어 영역으로 취급해야 합니다. 암호나 토큰이 유출되더라도, 강력한 강화를 통해 노이즈가 많고, 수명이 짧거나, 쓸모없게 만들어야 합니다.

관리 액세스 경로 보안 (RDP, SMB, WinRM)

관리 경로는 측면 이동을 위한 주요 경로입니다. 이를 모니터링되고 통제되는 채널로 통합해야 합니다.

• 직접 노출 금지: 인터넷에서 원격 데스크톱 프로토콜(RDP) / 보안 셸(SSH)을 차단합니다. 원격 관리를 위해서는 MFA(다단계 인증) 및 요새 로깅 기능이 있는 PAW(특권 액세스 워크스테이션) 또는 점프 호스트를 통해 액세스하도록 강제합니다.

• 관리 네트워크 분리: PAW 및 PAM 세션 관리자만 서버 관리 인터페이스에 접근할 수 있도록 하고, 사용자 서브넷은 기본적으로 거부합니다.

• 프로토콜 위생: 서버 메시지 블록(SMB) 서명을 시행하고, Kerberos를 선호하며, NTLM을 단계적으로 폐지하고, 운영상 가능한 경우 기본 관리자 공유(예: ADMIN$)를 비활성화합니다.

• WinRM/RDP 강화: 항상 암호화된 Windows 원격 관리(WinRM)를 시행합니다(AllowUnencrypted=0). Kerberos/Negotiate를 사용하는 Active Directory(AD) 가입 시나리오에서, HTTP를 통한 WinRM은 이미 메시지 수준 암호화를 제공하지만, TLS, 서버 인증서 유효성 검사를 추가하고 비도메인/교차 포리스트 사용을 위해 여전히 HTTPS를 선호합니다. 기본 인증, 작업 그룹 호스트 또는 신뢰할 수 없는 네트워크 경로에는 HTTPS를 요구합니다. 승인된 관리 그룹 및 엔드포인트로 제한하고, 명시적으로 요구되지 않는 한 CredSSP를 비활성화합니다. RDP의 경우, 네트워크 수준 인증(NLA)을 활성화하고, 방화벽 규칙/GPO를 통해 액세스를 제한하며, 요새/PAM 세션 관리자를 통해 로깅합니다.

• 세션 중개: 고위험 시스템(Tier-0/1)에 대해 키 입력/명령 캡처 및 실시간 종료 기능이 있는 PAM 세션 관리를 사용합니다.

엔드포인트 보안 제어 (최소 권한 및 알 수 없는 코드 실행)

관리자가 접촉하는 기기에서 승인되지 않은 도구와 스크립트 남용을 중지합니다(엔드포인트 특권 관리[EPM]).

• 역할별 최소 권한: 사용자 워크스테이션에서 로컬 관리자를 제거하고, PAW에서만 관리 작업을 수행합니다.

• 애플리케이션 제어: WDAC/AppLocker 허용 목록을 시행하고, 서명되지 않았거나 알 수 없는 바이너리를 차단하며, PowerShell을 제한된 언어 모드로 제한하고, AMSI + 스크립트 블록 로깅을 활성화합니다.

• 호스트에서 시크릿 보호: Credential Guard/LSA 보호(RunAsPPL)를 켜고, 레거시 캐시(예: WDigest)를 비활성화하며, AES 전용 Kerberos를 선호하고, 관리자 역할에 대한 TGT(Ticket-Granting Ticket) 수명을 단축합니다.

• 기준선 + EDR: GPO/MDM을 통해 CIS/Microsoft 기준선을 적용하고, 변조 방지, USB/장치 제어, 격리 조치 기능이 있는 엔드포인트 탐지 및 대응(EDR)을 요구합니다.

• 계층별 분류: PAW/점프 호스트를 T0/T1로, 워크스테이션을 T2로 표시하고, 상위 계층에 대해 더 강력한 기준선과 업데이트 링을 시행합니다.

자격 증명 보호 및 사용 강화

특권 계정이 존재하더라도 공격자에 대한 노출과 유용성을 제한할 수 있습니다. 다음과 같은 기술적 제어를 시행합니다.

• 엔드포인트에서 자격 증명 재사용 차단: 특권 도메인 계정이 표준 사용자 워크스테이션에 로그인하는 것을 방지합니다. 관리자는 관리 시스템에서만 별도의 관리자 계정을 사용해야 합니다(계층적 액세스 모델). 낮은 보안 수준의 기기에서 특권 자격 증명이 사용된 적이 없다면, 해당 기기의 악성코드는 이를 훔칠 수 없습니다. 마찬가지로, 로컬 관리자 계정의 경우 측면 이동을 막기 위해 원격 사용을 허용하지 않습니다(예: 해당 계정의 보안 식별자[SID]에 대한 그룹 정책 제한을 통해). Microsoft LAPS, CyberArk LCD(Loosely Connected Device)(기업 네트워크나 Active Directory에 대한 연결과 관계없이 엔드포인트의 자격 증명을 관리하고 순환하도록 설계된 기능) 또는 이와 동등한 기능을 사용하여 각 기기의 로컬 관리자 암호가 고유하고 정기적으로 순환되도록 합니다.

• 서비스 계정 제한 및 상주: 모든 서비스/API 계정에 대해 명시적인 상주 위치와 실행할 수 있는 호스트, 네트워크, 계층을 정의합니다. Windows에서는 gMSA를 선호하고 PrincipalsAllowedToRetrieveManagedPassword를 통해 자격 증명을 검색/사용할 수 있는 컴퓨터를 제한합니다. 해당 호스트에서만 "서비스로 로그온"을 부여하고, 모든 곳에서 대화형 및 RDP 로그온을 거부하며, 필요에 따라 네트워크 로그온을 제한합니다. 명명된 백엔드 서비스에 대해서만 Kerberos 제한 위임 또는 리소스 기반 제한 위임을 사용하고, 제한 없는 위임은 피합니다. 상주 경계는 최소 권한을 시행하고, 자격 증명 확산을 방지하며, 로그에서 오용을 명확하게 만듭니다.

• 메모리 및 자격 증명 캐시 보호: Windows(도메인 구성원) 시스템에서는 관리자를 위한 Protected Users 그룹 구성원 자격(레거시 인증 프로토콜을 비활성화하고 Kerberos 등을 강제함)과 같은 기능을 활성화합니다. 단, 이러한 제한으로 인해 중단될 수 있는 서비스 계정에는 적용하지 마십시오. WDigest 인증 및 메모리에 자격 증명을 일반 텍스트로 유지할 수 있는 기타 설정을 비활성화합니다. 이러한 조치는 악성코드가 시스템에 침투하더라도 메모리(로컬 보안 기관 하위 시스템 서비스[LSASS])에서 자격 증명을 긁어내기 더 어렵게 만듭니다. 암호와 티켓의 "실시간" 존재를 줄이면 일반적인 자격 증명 도용 기술(pass-the-hash, 티켓 재사용)을 차단할 수 있습니다.

이러한 강화 단계는 사고방식을 보여줍니다. 특권 자격 증명이 존재하더라도 공격자가 캡처하거나 사용하기 어렵게 만듭니다. 자격 증명이 상주하는 위치와 유효 기간을 줄임으로써 도난당한 자격 증명의 가치를 낮춥니다. 이는 공격의 영향을 직접적으로 줄여 공격자가 더 많은 노력을 기울이거나 포기하도록 만듭니다.

상시 특권 최소화

새롭게 떠오르는 모범 사례는 항상 켜져 있는 권한을 가진 특권 계정 수를 줄이는 것입니다. 모든 관리자에게 항상 특권이 있는 사용자 계정을 부여하는 대신, 임시 또는 체크아웃된 특권 모델을 고려하십시오. 예를 들어, 10명의 관리자로 구성된 팀이 항상 10개의 별도 도메인 관리자 계정을 활성 상태로 유지할 필요는 없습니다. PAM을 사용하면 관리자가 필요할 때 체크아웃하고(책임 추적을 위해 고유한 로그인으로 한 번에 하나씩) 사용 후 자동으로 잠기거나 순환되는 소규모 특권 계정 풀을 유지할 수 있습니다. 많은 PAM 솔루션은 "독점 액세스" 또는 일회용 암호 체크아웃을 지원하여 두 사람이 동시에 동일한 공유 계정을 사용하지 않도록 하고 모든 작업이 개인에게 연결되도록 합니다.

이 접근 방식은 존재하는 특권 자격 증명 수를 줄여 공격 표면을 축소합니다. 또한 규율을 강제합니다. 관리자는 액세스 권한을 얻기 위해 PAM 프로세스를 거쳐야 하며, 이는 기록되고 모니터링됩니다. 공유 계정은 일반적으로 위험하지만, 엄격한 PAM 제어(사용자별 체크아웃, 전체 세션 기록, 감사된 승인)를 통해 자격 증명 확산을 제한하면서 책임성을 유지하는 방식으로 사용할 수 있습니다.

목표는 상시 특권 제로입니다. 적극적으로 승인되고 사용 중이지 않는 한 아무도 영구적인 관리자 권한을 갖지 않습니다. 이 게시물의 뒷부분에서 설명할 Just-in-Time 관리(JIT)는 필요할 때만 권한을 부여하여 이를 달성하는 관련 개념입니다.

시크릿 관리

매우 민감한 시크릿(마스터 암호화 키, 서명 인증서, 클라우드 API 키 등)의 경우, 조직은 전용 시크릿 관리 시스템(종종 "키 저장소"라고 함)을 사용해야 합니다. 키 저장소(Azure Key Vault, HashiCorp Vault 또는 CyberArk의 Identity Security Platform과 같은 서비스)는 시크릿을 안전하게 저장하고 액세스를 엄격하게 제어하는 강화된 저장소입니다. 키 저장소는 민감한 자격 증명에 대한 단일 정보 소스가 되어, 한 중앙 지점에서 세분화된 액세스 제어, 감사, 자동 순환을 가능하게 합니다. 이는 시크릿의 무분별한 확산(예: 구성 파일이나 일반 텍스트에 저장된 암호) 위험을 줄이고 중요한 시크릿에 대한 무단 액세스를 방지하는 데 도움이 됩니다.

"시크릿 관리"라고 할 때, 특정 제품이 아닌 중앙 집중식 시크릿 관리의 일반적인 관행을 의미합니다. 예를 들어, Azure Key Vault, Amazon Web Services(AWS) Key Management Service(KMS)/Secrets Manager, Google Cloud KMS 또는 타사 볼팅 도구 모두 유사한 목적을 수행합니다. 핵심은 이러한 시스템이 강력한 암호화, 액세스 제어, 모니터링을 통해 시크릿을 보호하기 위해 특별히 제작되었다는 것입니다.

효과적인 시크릿 관리를 위한 주요 고려 사항은 다음과 같습니다.

• 하드웨어 보안 모듈(HSM): 키 저장소를 HSM과 통합하면 암호화 작업 및 키 저장을 위한 변조 방지 환경을 제공하여 논리적 및 물리적 공격으로부터 키를 보호합니다.

• 최소 권한 액세스: 승인된 사용자 또는 자동화된 프로세스만 시크릿을 검색하거나 관리할 수 있어야 하며, 액세스는 Just-in-Time, Just-Enough 기준으로 부여되어야 합니다.

• 감사 및 모니터링: 키 저장소 내의 모든 액세스 및 작업에 대한 포괄적인 로깅 및 모니터링을 구현합니다. 이러한 로그를 SIEM(예: Google SecOps)과 통합하여 비정상적인 행동 및 무단 액세스 시도를 실시간으로 탐지합니다.

• 자동 순환 및 수명 주기 관리: 잠재적인 침해 영향을 줄이기 위해 키 저장소에 저장된 시크릿의 순환을 자동화합니다. 여기에는 관리형 계정에 대한 자동 인증서 갱신, API 키 순환, 암호 변경이 포함됩니다. 키 저장소는 생성에서 파기까지 시크릿의 전체 수명 주기를 관리해야 합니다.

• 지리적 분산 및 중복성: 비즈니스 연속성 및 재해 복구를 보장하기 위해 고가용성 및 지리적으로 분산된 아키텍처로 키 저장소를 배포합니다.

• 직무 분리: 단일 개인이 키 저장소의 모든 측면을 완전히 제어해서는 안 됩니다.

• 안전한 백업 및 복구: 키 저장소 자체에 대해 안전하고 오프라인이며 암호화된 백업 절차를 수립합니다. 이렇게 하면 최악의 시나리오에서도 중요한 시크릿을 안전하게 복원할 수 있습니다.

직무 분리 및 시크릿 관리를 위한 계층적 액세스: 강력한 자격 증명 보안

직무 분리(SoD)는 보안의 초석입니다. 단일 개인이 중요한 프로세스를 제어하지 않습니다. 민감한 암호화 키, 특권 자격 증명을 보관하는 키 저장소의 경우, SoD는 필수적입니다.

시크릿 관리에서의 직무 분리(SoD)의 중요성

SoD는 단일 개인이 일방적으로 행동할 수 없도록 중요한 프로세스에 대한 제어를 분산시켜 사기, 오류, 악의적인 활동을 방지합니다. 키 저장소의 경우, 이는 단일 실패 지점을 방지하고 내부자 위협 및 도난당한 자격 증명을 악용하는 외부 공격의 위험을 완화합니다. SoD가 없으면 단일 침해 계정이 공격자에게 무제한 제어권을 부여하여 즉각적인 데이터 유출로 이어질 수 있습니다.

SoD는 공격 경로를 "압축 해제"하여 사이버 공격에 대해 사전 예방적으로 방어합니다. 공격자는 도난당한 자격 증명을 사용하여 초기 액세스 방어를 우회하지만, SoD는 키 저장소에 대한 제어를 분할하므로 한 사람의 자격 증명이 침해되더라도 공격자는 저장소를 완전히 침해하는 데 필요한 전체 권한이 부족합니다. 이는 공격에 필요한 복잡성과 시간을 증가시켜 탐지를 더 쉽게 만듭니다.

SoD는 책임성을 보장하여 악의적인 활동을 억제합니다. 관리자는 자신의 행동이 법의학 감사의 대상이 된다는 것을 알면 액세스 권한을 남용할 가능성이 적습니다. 이 아키텍처는 악의적인 활동을 더 어렵게 만들고, 인적 오류를 줄이며, 공동의 경계를 조성합니다. 특권 조치를 승인된 이중 제어 경로를 통해 강제함으로써, 이 설계는 승인되지 않은 기술 사용을 시끄럽고 발견하기 쉽게 만듭니다. 승인된 워크플로우 외부의 시도는 빠르게 실패하고 경고를 보냅니다.

키 저장소를 위한 계층적 액세스 제어

PAM 및 저장소 워크플로우 내에서 계층화를 시행합니다. 저장소, PAM 구성 요소, ID 공급자(IdP), 관리 워크스테이션을 Tier-0 제어 평면으로 취급합니다. Tier-0 ID는 Tier-0 시스템에서만 허용하고, 교차 계층 로그온을 차단하며, Tier-0에 대해 PAW를 요구하고, 하위 계층이 도달할 수 없도록 관리 네트워크를 격리합니다. 저장소 릴리스 및 역할 변경에 대해 이중 제어를 기본값으로 설정하고, 모든 긴급 액세스 경로가 감사되도록 합니다. 이를 PAM에 인코딩합니다. 전용 Tier-0 역할, 승인 체인, 세션 격리. SIEM에서 유효성 검사: 저장소 액세스, 정책 편집, 역할 상승, 키 검색.

계층별 관리 사일로

T0, T1, T2에 대한 개별 사일로를 구축합니다. 관리 그룹, PAW, 자격 증명 저장소, 관리 도구, 로깅, 네트워크 세그먼트를 분리합니다. 사일로 간에 공유 호스트, 공유 ID, 공유 점프 경로가 없습니다. 계층 간 기본 거부, 검증된 단방향 오케스트레이션 흐름만 허용합니다.

서로, 그리고 스스로를 보호하는 계층 제어

• 교차 계층 보호: 하위 계층에서 상위 계층으로의 대화형 로그온을 차단하고, 자격 증명 주입 및 토큰 재사용을 제한하며, 시간 제한이 있는 JIT 상승을 요구하고, T0 작업에 대한 변경 창 및 동료 승인을 시행합니다.

• 계층 내 방화벽: 명령 위험 점수가 있는 세션 기록, 영향이 큰 작업에 대한 속도 제한 또는 일시 중지, 파괴적인 변경(키 삭제, 정책 삭제)에 대한 2인 무결성 요구, T0 정책 편집에 대한 자동 롤백 체크포인트.

계층 정의

• T0 (핵심 제어 평면): AD 도메인 컨트롤러, 클라우드 IdP 테넌트(Microsoft Entra ID, Okta, Ping), 클라우드 관리 평면 및 루트 역할(AWS IAM/루트, Azure 관리 그룹/구독, Google Cloud 조직/프로젝트), Kubernetes 제어 평면, PAM 인프라, 시크릿/키 서비스(CyberArk Vault, HashiCorp Vault, Azure Key Vault, AWS KMS/Secrets Manager), 공개 키 인프라(PKI)/인증 기관(CA) 및 CI/CD 오케스트레이터.

• T1: 핵심 비즈니스 플랫폼(중요 앱, 데이터베이스).

• T2: 워크스테이션, 영향이 적은 서버. 키 저장소는 명백히 T0입니다.

계층화는 온프레미스 및 클라우드 환경 모두에서 저장소를 접촉하는 전체 특권 경로(ID, 엔드포인트, 네트워크, 애플리케이션)에 걸쳐 확장되어야 하므로 약한 홉이 제어를 우회할 수 없습니다. SoD + 계층화는 함께 작동합니다. 계층화는 자산 중요성 및 격리 경계를 설정하고, SoD는 단일 운영자가 Tier-0을 전복시킬 수 없도록 권한을 분할합니다. 순 효과: PAM은 모든 저장소 작업에 대해 기업 계층 모델을 인코딩하고 시행하는 반면, 모니터링, 승인, 세션 격리는 가장 특권적인 작업조차 책임지고 복구할 수 있도록 유지합니다.

고급 PAM 기능: JIT 및 JEA(Just-In-Time / Just-Enough-Access)

최신 PAM 프로그램은 최소 권한을 동적으로 시행하기 위해 JIT(Just-in-time) 액세스 및 JEA(Just-enough-access) 모델을 점점 더 채택하고 있습니다. 이러한 접근 방식은 상시적인 높은 수준의 액세스를 제거하고 필요할 때 필요한 범위 내에서만 권한을 부여하는 것을 목표로 합니다.

Just-Enough-Access(JEA). 권한을 작업에 필요한 정확한 명령으로 제한합니다. 그 이상은 허용하지 않습니다. 예: 헬프데스크 사용자를 도메인 관리자로 만드는 대신, 계정 잠금 해제만 가능한 PowerShell JEA 엔드포인트를 노출합니다. JEA는 명령별로 최소 권한을 강제하고, 높은 신뢰도의 로그를 생성하며, 허용된 범위를 벗어나는 작업을 설계상 차단합니다.

JEA로 가는 길로서의 애플리케이션 제어 / EPM. JEA 이전 또는 JEA와 함께 애플리케이션 허용 목록 및 프로세스별 권한 상승을 적용하여 승인된 바이너리만 실행되고 승인된 바이너리만 권한 상승을 받을 수 있도록 합니다. 구체적으로: Windows에서는 WDAC/AppLocker, Linux/macOS에서는 sudoers 및 서명된 바이너리 정책, 또는 사용자에게 로컬 관리자 권한을 부여하지 않고 특정 설치 프로그램/도구를 승격시키는 엔드포인트 권한 관리(예: CyberArk EPM)를 사용합니다. 이렇게 하면 엔드포인트의 권한 표면이 줄어들고 나중에 JEA로 전환하는 것이 훨씬 원활해집니다.

Just-In-Time(JIT) 액세스. JIT는 시간 제한 권한 상승에 중점을 둡니다. 계정이 24시간 내내 관리자 권한을 갖는 대신, 필요할 때 짧은 시간 동안 관리자 권한을 활성화하도록 구성할 수 있으며, 종종 승인이 필요합니다. 예를 들어, 클라우드 관리자는 일반적으로 프로덕션 구독에 대한 소유자 역할을 갖지 않지만, PIM(Privileged Identity Management) 서비스(예: Microsoft Entra ID PIM 또는 CyberArk Secure Cloud Access)를 통해 해당 역할을 요청할 수 있으며, 승인 시 1~2시간 동안 부여된 다음 자동으로 제거됩니다. JIT는 계정의 자격 증명이 도난당하더라도 공격자가 활성 권한 창(가능성이 낮음) 동안 훔치지 않는 한 권한 있는 작업을 수행할 수 없도록 합니다. 권한 상승 기간을 최소화하여 남용 기회를 차단합니다.

Zero-Standing Privilege(ZSP). 목표 상태: 아무도 상시 관리자 권한을 갖지 않습니다. 액세스하려면 승인된 요청, 단계별 MFA 및 (a) 시간 제한 역할 할당 또는 (b) 임시 토큰/자격 증명이 필요합니다. 세션 기록 및 명령 제어는 기본적으로 실행됩니다. ZSP는 JEA(범위) + JIT(시간) + 강력한 승인을 결합하여 권한을 일시적이면서도 엄격하게 제한합니다.

애플리케이션 제어/EPM은 알 수 없는 도구의 실행을 방지하고, JEA는 허용된 작업을 제한하며, JIT/ZSP는 24시간 내내 권한을 제거하고, 안전한 웹 세션은 오용을 캡처하고 억제합니다. 이들은 함께 폭발 반경을 줄이고, 공격자의 마찰을 높이며, 모든 특권 단계에 대한 감사 가능한 증거를 생성합니다.

강화된 액세스 경로

강화된 경로를 통해 키 저장소에 대한 액세스를 제한하는 것이 중요합니다. 조직은 특권 관리 작업에만 독점적으로 사용되는 매우 안전하고 분할된 시스템인 PAW 또는 점프 서버를 사용해야 합니다. 이렇게 하면 공격자가 손상된 덜 안전한 워크스테이션에서 가치가 높은 Tier-0 자산으로 측면 이동하는 것을 방지할 수 있습니다.

RDP, SMB, WinRM과 같은 일반적인 측면 이동 프로토콜을 강화하는 것도 중요합니다. 여기에는 관리자 공유 비활성화, 직접적인 인터넷 노출 방지, RDP 세션에 대한 MFA 시행이 포함됩니다. 이러한 조치는 초기 액세스가 이루어지더라도 침해를 억제합니다.

자동화된 자격 증명 관리

비밀(암호, SSH 키, API 키, 인증서)의 자동 순환은 공격자의 기회 창을 줄이는 데 필수적입니다. 이 자동화는 인간이 민감한 자격 증명을 처리하는 요소를 제거하여 순환 중 우발적인 노출이나 악의적인 조작을 최소화하므로 SoD의 한 형태입니다. 전용 PAM 솔루션은 이 프로세스를 대규모로 자동화하여 일관된 정책 적용을 보장하고 인간이 민감한 비밀을 알아야 하는 기간을 제한하여 "지식의 특권"을 줄입니다.

이중 승인 및 승인 워크플로우

"네 개의 눈" 원칙 또는 이중 승인은 SoD의 직접적이고 엄격한 적용입니다. 마스터 암호화 키를 검색하거나 중요한 정책을 수정하는 등 키 저장소 내에서 영향이 큰 작업에 대해 두 번째 또는 그 이상의 독립적인 승인을 요구합니다. 이렇게 하면 단일 개인이 독립적인 확인 없이 잠재적으로 되돌릴 수 없는 작업을 수행할 수 없도록 하여 공격자와 악의적인 내부자에 대한 기준을 높입니다.

모니터링 및 감사

저장소/PAM(체크아웃, 정책 편집, 세션 원격 측정), IdP 로그인, PAW/점프 호스트, EDR, 네트워크 제어에서 포괄적인 로그를 수집합니다. SIEM(예: Google SecOps)에서 이러한 스트림을 상호 연관시키고 집계하여 단일 특권 활동 타임라인을 구축합니다. 분석과 컨텍스트/보증 신호(장치 신뢰도, 지리적 위험, 사용자 위험)를 결합하여 이벤트 점수를 매깁니다. 자동화가 명확한 사례(토큰 일시 중단, 비밀 순환)를 자동으로 억제하고, 역할 내에서 비정상적인 활동을 자동화를 넘어서는 빠른 결정을 위해 필요한 상호 연관된 컨텍스트와 함께 인간에게 보여줍니다.

이러한 모니터링 기능은 규정 준수에도 중요합니다. PCI DSS 및 NIST SP 800-53과 같은 많은 규제 프레임워크는 관리자 권한을 가진 개인이 수행하는 모든 작업에 대한 상세한 감사를 의무화합니다.

02: 탐지: 특권 계정에 대한 가시성 유지 및 탐지 엔지니어링

특권 계정 모니터링과 일반 IAM 남용 구별

기본적인 보안 도구는 특권 오용을 놓칩니다. 방화벽, 간단한 침입 탐지 시스템(IDS) 또는 원시 로그 버킷으로 사용되는 SIEM은 공격자 의도를 거의 파악하지 못하는 단편적인 시각을 제공하여 감사 격차를 남깁니다. 심층 방어 관찰 가능성으로 이러한 격차를 해소하십시오. 즉, 제어 평면 전반에 걸쳐 신뢰도 높은 사용자 중심 신호를 수집하고 이를 상호 연관시킵니다. — PAM 볼트 체크아웃, 권한 상승/승인 워크플로우 이벤트, 세션 기록/명령, IdP 로그인 및 조건부 액세스 결과, PAW 상태, EDR 프로세스 트리, 네트워크 흐름, 변경/구성 로그, 티켓 메타데이터. 각 특권 작업을 누가/무엇을/언제/어디서/왜/어떻게 수행했는지 연결한 다음, 행동 분석을 적용하여 승인되었지만 비정상적인 사용을 표시하고, 이중 제어를 확인하며, 자동으로 세션을 종료하거나, 토큰을 취소하거나, 비밀을 순환합니다. 방어자 측에서는 보안 AI/자동화를 배포하는 조직이 실질적으로 더 나은 결과를 보입니다. IBM의 연구에 따르면 평균 침해 비용이 약 220만 달러 낮아지고 침해 수명 주기가 단축되어 자동화된 탐지의 필요성을 강화합니다.

일반 IAM 남용과의 주요 차이점:

1. 관찰 깊이. 특권 활동은 실시간 및 사후 평가를 위해 앞서 언급한 사용자 중심 신호에서 캡처된 누가, 무엇을, 언제, 어디서, 왜, 어떻게 컨텍스트를 요구합니다.

2. 영향 우선 분류. "모두 탐지" 볼륨보다는 자산 계층 및 조치 영향에 따라 우선순위를 정합니다.

3. 승인된 남용에 집중. 승인 및 범위를 확인하고, 승인자, 시간, 장치 또는 대상의 불일치에 대해 경고합니다.

4. 분석 + 대응. PAM 원격 측정 데이터를 SIEM/XDR의 ID 위협 탐지 및 대응(ITDR) 및 사용자 및 엔티티 행동 분석(UEBA)과 결합하여 자동화된 억제(세션 종료, 토큰 취소, 비밀 순환)를 유도합니다.

핵심 차이점: 특권 계정 모니터링 대 일반 IAM 남용

특정 탐지 및 헌팅 엔지니어링

특권 계정을 모니터링하려면 정적이고 규칙 기반의 탐지를 넘어 머신러닝을 활용한 행동 분석을 포함하는 동적이고 지능적인 접근 방식으로 전환해야 합니다.

비정상적인 행동에 대한 일반화된 탐지

SIEM 이상 탐지는 네트워크 소스에서 데이터를 지속적으로 모니터링하고 분석하여 정상 행동 기준선을 설정합니다. 비정상적인 로그인 시간, 예상치 못한 데이터 전송 또는 익숙하지 않은 사용자에 의한 액세스와 같은 모든 편차는 이상으로 표시됩니다. 머신러닝은 현대 SIEM 이상 탐지의 핵심이며, 시스템이 방대한 데이터에서 학습하고, 네트워크가 변경됨에 따라 기준선을 조정하며, 데이터 소스 전반에 걸쳐 복잡한 패턴을 찾는 것을 가능하게 합니다. 이는 위협 행위자의 일반적인 미묘하고 느린 공격을 찾아냅니다. 예를 들어, 시스템은 특권 사용자가 갑자기 새로운 리소스에 액세스하거나 평소 근무 시간 외에 행동하는 것을 탐지할 수 있습니다. 개별 작업은 무해해 보일 수 있지만, 그들의 조합은 손상된 자격 증명이나 내부자 오용을 보여줄 수 있으며, 이는 전통적인 규칙으로는 놓칠 수 있습니다.

미묘한 무차별 대입 공격 모니터링

모든 무차별 대입 공격이 동일하게 보이는 것은 아닙니다. 대상 영향 및 ID 합법성에 따라 민감도를 조정합니다. 낮은 위험 사용자에 대한 공격은 우선순위를 낮추고, 슈퍼 관리자/루트, PAM/저장소, 시크릿 관리, IdP 긴급 액세스 및 클라우드 제어 평면에 대한 시도는 높은 심각도로 처리합니다. 실패 횟수를 넘어선 판단이 필요합니다. 사용자 이름 품질(잘못된 이름 비율 → 열거; 높은 유효 이름 비율 → 도난당한 목록일 가능성), 기술(스프레이 vs 스터핑 vs 표적), MFA 결과, 잠금/속도 제한 회피 및 출처 평판별로 캠페인을 분류합니다. 역할 카탈로그 및 해당 역할에 허용된 활동과 상관관계를 파악합니다. 즉, Tier-0 ID에 대한 성공적인 스프레이 공격에 이은 비정상적인 작업(토큰 생성, 역할 승격, 정책 편집)은 침해를 나타냅니다. 승인된 스캐너 및 침투 테스트 창을 허용 목록에 추가하여 노이즈를 억제합니다. "합법적인 테스트"를 표시하기 위해 변경 티켓 또는 출처 IP 태그를 요구합니다. 대상 계층, 사용자 이름 합법성, 성공 이벤트 및 사후 인증 행동을 혼합한 캠페인별 위험 점수를 산출한 다음, 높은 위험 시리즈에 대해서만 자동화된 대응(단계별 인증, 세션 종료, 계정 비활성화, 비밀 순환)을 트리거합니다.

특권 세션 모니터링 및 감사

특권 활동의 경우, 고품질 세션 캡처(화면, 키 입력/명령, 메타데이터)는 검토 시 의도와 영향을 제공하고, 내부자 오용을 탐지하며, 규정 준수를 증명합니다. 세션 원격 측정 데이터를 SIEM/XDR 및 Privilege Threat Analytics/ITDR에 피드백하여 위험 요소(자산 계층, 출처/장치 신뢰도, 시간, 승인 체인, 명령 희소성, 데이터 이동)로 풍부하게 만듭니다. 세션을 무차별 대입 공격 결과 및 이중 제어 아티팩트(누가 요청했는지, 누가 승인했는지)에 연결합니다. 분석을 사용하여 중요한 사항(권한 상승, 새 토큰/키, 정책 변경, 측면 이동)을 자동으로 요약하고 위험 점수를 할당하여 조사자가 빠르게 분류할 수 있도록 합니다. 임계값을 초과하면 자동으로 조치(세션 종료, 토큰 취소, 자격 증명 순환)를 취합니다. 이렇게 하면 감사는 비정상적인 행동에 집중하면서도 포렌식을 위한 모든 증거를 보존할 수 있습니다.

특정 탐지 및 헌팅 (예시)

특권 계정에 대한 탐지 및 헌팅을 설계할 때, 사람 및 비인간 특권 개체를 포괄하는 영향이 큰 행동과 특이한 패턴에 중점을 둡니다.

• 자격 증명 노출: 계정 잠금 또는 예상치 못한 암호 재설정, 여러 서비스에서 더 많은 로그인 시도, 새로운 장치 또는 익숙하지 않은 위치에서의 로그인, 동일한 장치 또는 IP 주소로 여러 계정에 액세스, 계정 설정에 대한 미승인 변경(예: 복구 이메일, 보안 질문) 및 에뮬레이터 또는 가상 머신 사용을 찾습니다.

• GPO 수정: Windows 보안 이벤트 ID 5136에 대한 도메인 컨트롤러의 보안 이벤트 로그를 확인하여 그룹 정책 개체(GPO) 수정을 탐지합니다. "디렉터리 서비스 변경 감사"가 켜져 있어야 합니다. 기본 도메인 정책과 같은 GPO 수정 또는 GPO를 통한 예약된 작업 추가를 주시합니다.

• 신뢰할 수 있는 서비스 인프라 활동: 자산 및 패치 관리 도구, 가상화 플랫폼, 보안 도구와 같은 플랫폼 내에서 인증 및 활동을 탐지합니다.

• 가상화 인프라: 중앙 집중식 SIEM/로깅 플랫폼이 가상화 플랫폼에 대한 인증, 권한 부여, 액세스 이벤트 및 구성 변경 사항을 캡처하는지 확인합니다. 이러한 이벤트를 기준선으로 설정한 다음, 특권 ID가 사용되는 모든 액세스에 대해 경고합니다.

• 특권 서비스 계정 행동: 특권 서비스 계정이 로그인하는 시기와 위치에 대한 인벤토리를 유지하고, 이러한 기준선 매개변수 외부의 모든 활동에 대한 탐지를 생성합니다. 이는 특히 서비스 계정으로 관리될 수 있는 금융 애플리케이션에 중요합니다. 탐지는 금융 애플리케이션에 사용되는 서비스 계정이 다른 애플리케이션에 액세스하려고 시도하거나, 예상치 못한 호스트에서 로그인하는 경우를 표시해야 합니다.

• 위협 헌팅: 기존 탐지가 놓친 침해 증거를 찾기 위해 정기적이고 능동적인 위협 헌팅을 수행합니다. 이는 가시성 격차를 찾고 새로운 탐지 사용을 구축하는 데도 도움이 됩니다.

• 규정 준수 기반 감사: 산업 표준 및 규정을 따릅니다. PCI DSS는 루트 또는 관리자 권한을 가진 개인이 수행하는 모든 작업과 유효하지 않은 논리적 액세스 시도를 감사하도록 요구합니다. NIST SP 800-53은 시스템 시작 시 세션 감사, 사용자 세션 콘텐츠 캡처 및 사용자 세션의 실시간 보기를 요구합니다.

이러한 탐지 예시를 제공함으로써 조직은 보안을 개선할 수 있습니다. 탐지를 규정 준수 표준에 연결하면 구현을 위한 필수적인 이유가 추가됩니다. 일반적인 장애물인 서비스 계정 인벤토리 및 모니터링도 해결할 수 있습니다.

특권 계정 활동에 대한 샘플 탐지

향상된 PAM 가시성을 위한 Google SecOps 활용

Google SecOps, 특히 SOAR 기능은 특권 계정 모니터링을 위한 중추 신경계 역할을 합니다. 다양한 소스에서 데이터를 수집하고 분석하는 기능은 PAM에 중요합니다.

03: 대응: 특권 계정 침해 조사 및 해결 조치

예방 및 탐지에도 불구하고 조직은 특권 계정 침해에 대비해야 합니다. 대응 속도와 철저함이 사건의 영향을 결정합니다.

사건 중 전술적 강화 및 포지셔닝

사건 발생 전 준비: 모든 서비스 계정을 소유자 및 워크로드에 매핑하고, 지속적인 검색 주기(PAM 검색/스캐닝 도구 사용)를 실행하여 시스템 및 자격 증명을 찾고, 모든 인간 및 비인간 특권 ID를 PAM에 온보딩합니다. 고유 자격 증명, MFA, API 기반 순환을 시행합니다. Windows 서비스를 gMSA/독립 실행형 관리 서비스 계정(sMSA)으로 마이그레이션하고 서비스 계정에 대한 대화형 로그온을 차단합니다. 대량 순환, 격리, 볼트/IdP 감사 에스컬레이션을 위해 사전 승인된 테스트된 런북을 생성합니다. 긴급 액세스 자격 증명을 이중 제어 검색 및 불변 로깅으로 오프라인에 저장합니다. Tier-0 소유권 및 교차 팀 책임(플랫폼, 앱, IAM, PAM)에 대한 경영진의 후원을 확보합니다.

즉각적인 격리: 의심되는 관리자 워크스테이션을 네트워크에서 분리하고, Tier-0으로의 동서 트래픽을 제한합니다. 클라우드에서는 새로 고침 토큰 및 활성 세션을 취소한 다음 재인증을 강제합니다. 비정상적인 활동을 보이는 볼트/IdP/DC의 경우, 신뢰할 수 없는 네트워크 경로를 차단하고, 대응자를 위해 콘솔 액세스를 유지하며, 변경 전에 로그/상태를 스냅샷합니다. 포렌식을 위해 후속 조치를 캡처하기 위해 대상(운영 체제[OS], IdP, 볼트, PAM)에 대한 감사 수준을 높입니다.

자격 증명 재설정: 조각난 방식이 아닌 조정된 방식. 초기 억제가 안정화되면 PAM을 사용하여 인간 + 서비스 비밀을 대량 순환합니다. 서비스 계정을 포괄적으로 온보딩하고, 대화형 로그온을 차단하고, 각 계정을 소유자/워크로드에 매핑하고, 순환 워크플로우에 연결하여 일반적인 격차를 해소합니다. Windows 서비스의 경우 gMSA/sMSA로 마이그레이션하여 인간 처리 없이 자동적이고 빈번한 암호 변경을 얻습니다. 비 Windows/앱 자격 증명의 경우 PAM에 저장하고 API를 통해 순환합니다. 이렇게 하면 행위자에게 알리지 않고 빠르고 마찰이 적은 재설정이 가능합니다.

실제로 작동하는 긴급 액세스: Tier-0에 대한 오프라인의 엄격하게 관리되는 긴급 액세스(예: 볼트/DC의 로컬 관리자, 오프라인 DA 자격 증명)를 이중 제어 검색, 불변 로깅, 사용 후 순환으로 유지합니다. 이러한 경로를 정기적으로 훈련합니다.

사고 대응(IR) 지원: 플랫폼 팀이 핵심 서비스를 유지하는 동안 메모리 캡처, 로그 분류, 억제 전략을 위해 내부 IR과 외부 파트너를 조기에 참여시킵니다. (IR 플레이북은 대응 중 재노출을 피하기 위해 이미 앞서 언급한 Tier-0 모델을 가정해야 합니다.)

효과적인 조사 및 해결

특권 계정 침해 조사는 포렌식 분석과 특권 액세스가 어떻게 남용되는지 이해하는 것을 결합하여 전체적으로 이루어져야 합니다. 이는 탐지 단계에서 로깅 및 모니터링 설정의 필요성을 보여줍니다.

조사에는 개발자 및 서명 시스템과 같은 특권 인프라와 상호 작용하는 시스템의 악성 코드 분석이 포함되어야 합니다. 초기 액세스 벡터, 특히 피싱 캠페인(예: 가짜 채용 제안) 및 악성 웹 페이지를 조사해야 합니다. 특권 인프라와의 상호 작용에 대한 로그 검토, 특히 비밀 관리 플랫폼 또는 API 게이트웨이에서 트랜잭션을 보내는 것은 또한 핵심입니다. 액세스 권한을 얻는 방법, 권한이 어떻게 상승되었는지, 측면 이동이 특권 액세스를 어떻게 사용했는지, 어떤 조치가 수행되었는지 등 전체 공격 경로를 이해하는 것은 해결 및 재발 방지에 중요합니다.

근절은 조정된 기업 암호 재설정(EPR)에 달려 있습니다. 즉, 공격자가 도난당한 자료를 재사용하는 능력을 제거하기 위해 계획된 조직 전체의 자격 증명 및 비밀 순환입니다. 대량 자격 증명 노출의 증거 또는 강력한 의심(예: NTDS.dit 덤프, DCSync/DCShadow, Kerberoasting 또는 코드/리포지토리/볼트에서 가져온 비밀)이 있을 때 EPR을 시작합니다. EPR의 범위를 도메인, 로컬, 서비스, 애플리케이션/기술 계정, API 키 및 포함된 비밀, 클라우드 동기화/바인딩 ID, 타사 통합을 포함하도록 설정합니다. 단계별 플레이북(예: 이중 KRBTGT 순환, 신뢰 키 재설정, PAM/gMSA를 통한 서비스 계정 업데이트, 노출된 토큰/키의 즉각적인 해지)을 사용하여 교차 기능 운영(IR, IAM/PAM, 플랫폼, 앱/개발, 클라우드 운영, SOC, 헬프 데스크, 법률/커뮤니케이션, 경영진)으로 실행합니다. 잘 실행되면 EPR은 최소한의 중단으로 긍정적인 제어를 복원하고 공격자의 지속성을 제거합니다.

중요 시스템 복구 계획

PAM 전략은 즉각적인 사고 대응을 넘어 시스템 복구 계획을 포함하여 치명적인 사건 발생 시 복원력을 보장합니다.

가상화 인프라 강화 및 보호

vCenter/ESXi, Hyper-V, 클라우드 콘솔을 Tier-0 병목 지점으로 취급하십시오. 전용 관리자 ID 및/또는 특권 디렉터리(별도의 포리스트 또는 플랫폼 로컬)를 사용하고, 볼트에 저장하고, MFA를 요구하며, 모든 하이퍼바이저/대역 외 관리를 PAW/점프 호스트에서만 도달할 수 있는 분할된 관리자 네트워크에 배치하십시오. HPE Integrated Lights-Out(iLO)/Integrated Dell Remote Access Computer(iDRAC)/Intelligence Platform Management Interface(IPMI)의 경우, 전용 관리 네트워크에 배치하고, 인터넷 노출을 비활성화하고, 기본 인증서를 교체하고, IPMI-over-LAN을 피하고, 운영자를 세션 기록 및 적극적인 순환/인증서 기반 인증을 사용하는 소수의 검증된 그룹으로 제한하십시오.

ESXi 호스트 강화. 잠금 모드를 활성화하여 vCenter를 통해 호스트 관리를 강제하고, 직접 콘솔/DCUI(Direct Console User Interface)를 긴급 액세스를 위해 예약하고, SSH를 최소화하고, 필요하지 않을 때 비활성화하며, vCenter RBAC 및 강력한 암호 정책을 시행하십시오. VM 생성/삭제, 역할/권한 변경, 스냅샷/광 디스크 이미지(ISO) 마운트와 같은 랜섬웨어 준비를 위한 높은 신호 이벤트를 위해 SIEM에서 원격 측정을 중앙 집중화하십시오. 호스트 전반에 걸쳐 vpxuser를 모니터링하고, 자동 순환(기본 30일)을 활성화 상태로 유지하고, 침해가 의심되는 경우 vCenter에서 순환 간격을 변경하여 호스트에서 수동 변경이 필요 없이 전파되도록 하십시오.

PAM 서버 자체를 Tier-0으로 강화: 전용 머신, 도메인에 가입되지 않았거나 Tier-0 사일로로 격리됨, 공급업체 강화 기준선, 최소 서비스, 호스트 방화벽, 통제된 콘솔 액세스, SIEM에 대한 지속적인 상태/원격 측정. CyberArk의 Digital Vault Security Standard 및 강화 지침은 구체적인 체크리스트를 제공합니다.

백업 인프라 보호

백업 인프라는 랜섬웨어 운영자의 궁극적인 특권 액세스 대상이며, 그 침해는 복구를 중단시킬 수 있습니다. 백업을 관리하는 ID를 보호하는 것은 PAM의 관심사이며, "복구 왕국의 열쇠"가 안전한지 확인하는 것입니다. 조직은 백업 인프라 가용성을 위한 모든 종속성 및 상호 연결 요구 사항을 찾아야 합니다. 백업 아키텍처는 격리된 복구 환경과 불변 백업을 고려하여 효과적이고 시기적절해야 하며, 2개 위치에 3개 사본, 1개는 오프라인에 보관하는 3-2-1 규칙을 따라야 합니다.

비즈니스 중요도에 따라 정의된 복구 및 재구성 순서 전략이 복원을 안내합니다. 격리된 네트워크 구역을 사용하여 안전하고 검증된 복원을 계획하는 것은 악성 코드를 다시 도입하는 것을 방지하는 데 중요합니다. 전략에는 백업 인프라에 대해 MFA가 포함된 고유하고 별도의 자격 증명(기본 ID 공급자와 함께 사용하지 않음) 사용, 긴급 액세스 자격 증명의 오프라인 사본 보안, 정기적인 순환을 사용하는 고유한 프로그래밍 방식 서비스 계정 사용이 포함됩니다. 관리 트래픽을 전용 백업 관리자 네트워크로 제한하고, 백업 서버를 프로덕션에서 격리하고, 불변 백업 또는 "한 번 쓰고 여러 번 읽기"(WORM) 기능을 사용하는 방화벽 규칙 구현도 중요합니다. 마지막으로, 백업 인프라에 대한 관리자 액세스는 안전한 액세스 워크스테이션을 통해 제한되어야 하며, 탐지 전략은 백업 보존 및 삭제 정책에 대한 불법적인 수정을 찾아야 합니다.

결론: 특권 액세스 보안에 대한 사전 예방적 자세

특권 계정은 모든 조직 내에서 재정적 및 운영적 영향의 관문 역할을 하는 공격자의 주요 표적으로 남아 있습니다. 더 많은 자격 증명 침해, 계정 탈취, 내부자 위협으로 위협 환경이 변화함에 따라 특권 계정 모니터링과 성숙한 특권 액세스 관리(PAM) 프로그램의 필요성이 대두되고 있습니다.

효과적인 PAM은 특권 계정의 좁은 정의를 넘어 IT 환경과 그 종속성에 걸쳐 인간 및 비인간 개체를 포괄합니다. 이는 성숙도 여정을 필요로 하며, 조직을 미개시 상태에서 반복 최적화(자동화되고 지속적으로 개선되는 방어)로 안내합니다. 전용 PAM 솔루션이 기본이지만, 확고한 시스템 강화 및 시행된 정책 기준선(계층화 및 SoD, PAW 전용 관리, 조건부 액세스/MFA, 애플리케이션 허용 목록, 자격 증명 위생/순환)에 기반을 두어야 하며, 그 뒤에 RDP, SMB, WinRM과 같은 프로토콜 제어가 따라야 합니다. 이러한 조치를 함께 취하면 공격 표면을 줄이고 도난당한 자격 증명의 유용성을 대폭 제한합니다.

탐지에서는 기존 로깅의 한계로 인해 전문적인 모니터링으로 전환해야 합니다. 특권 계정 활동을 일반 IAM 남용과 구별하려면 더 자세한 컨텍스트와 침해 영향에 대한 초점이 필요합니다. 고급 분석, 특히 머신러닝 이상 탐지를 사용하면 침해 또는 오용을 나타내는 미묘한 "역할 내 비정상" 동작을 찾을 수 있습니다. 슈퍼 관리자 계정에 대한 무차별 대입 시도를 우선순위로 지정하는 것과 같은 미묘한 경고는 보안 운영을 최적화합니다. 고품질 세션 모니터링은 조사 및 규정 준수에 대한 증거를 제공합니다. 중앙 집중식 집계, 통합 데이터 모델, 자동화된 대응을 갖춘 Google SecOps는 이러한 PAM 모니터링 전략을 작동시켜 실시간 위협 탐지 및 신속한 억제를 가능하게 하는 플랫폼입니다.

마지막으로, PAM 전략은 실습된 사고 대응 및 복구 계획을 요구합니다. 즉각적인 전술적 강화, 더 나은 로깅, 격리는 사건 중 핵심입니다. 비밀 순환 및 시스템 재구축을 포함한 철저한 조사 및 해결은 축출 및 미래의 복원력을 위해 필요합니다. 키 저장소, 가상화 인프라, 백업 시스템과 같은 중요 시스템 복구 계획(격리되고 암호화되었으며 테스트된 백업 포함)은 손실에 대한 궁극적인 안전 장치입니다.

특권 액세스 보안에 대한 사전 예방적 자세를 취함으로써 조직은 위험을 줄이고, 자산을 보호하며, 더 방어 가능하고 복원력 있는 디지털 생태계를 구축할 수 있습니다.