◎ 개요

  • Initial Access는 공격자의 전체 침투 과정에서 출발점이 되는 매우 중요한 전술입니다.
  • 이 단계에서 공격자가 성공하면 이후 Execution, Persistence, Privilege Escalation, Lateral Movement로 이어질 가능성이 크게 높아집니다.
  • 따라서 Initial Access를 단순한 “침입 방식”으로 보지 마시고, 이후 공격 체인의 시작점으로 이해하시는 것이 좋습니다.

 

◎ Phishing

 - Phishing은 가장 널리 알려진 Initial Access 기법 중 하나입니다.

  • 공격자는 악성 링크, 첨부파일, 가짜 로그인 페이지, 혹은 신뢰를 가장한 메시지를 통해 사용자의 행동을 유도합니다.
  • MITRE ATT&CK에서는 Spearphishing Attachment, Spearphishing Link 같은 하위 형태도 함께 다루며, 이는 특정 개인이나 조직을 겨냥한 정교한 유도 방식으로 볼 수 있습니다.

 

 - 실무에서 Phishing은 단순히 이메일 게이트웨이 문제로 끝나지 않습니다.

  • 사용자가 자격 증명을 입력하거나, 첨부파일을 열거나, 링크를 클릭한 뒤 OAuth 동의나 세션 탈취로 이어질 수 있기 때문입니다.
  • 특히 Cloud/Identity 환경에서는 이메일 그 자체보다 계정 인증 흐름이 더 중요한 침투 지점이 됩니다.

 

◎ Exploit Public-Facing Application

  • Exploit Public-Facing Application은 외부에 노출된 애플리케이션의 취약점을 이용해 초기 접근을 얻는 방식입니다.
  • 웹 애플리케이션, VPN 장비, 원격 관리 포털, 계정 관리 시스템, 파일 전송 서버 등이 대표적인 표적이 됩니다.
  • 공격자는 인증 우회, 원격 코드 실행, 파일 업로드 취약점, 서버 측 요청 위조 같은 문제를 악용해 내부 foothold를 확보합니다.
  • MITRE 캠페인 사례에서도 Scattered Spider가 ForgeRock OpenAM 취약점을 이용해 Initial Access를 확보한 사례가 확인됩니다.
  • 이처럼 공용 서비스 취약점은 랜섬웨어, 금전 목적 공격, 스파이 활동 모두에서 반복적으로 등장합니다.
  • 따라서 외부 노출 자산은 패치 관리뿐 아니라, 가시성·인증·행위 기반 탐지가 같이 붙어야 의미가 있습니다.

 

◎ Valid Accounts

  • Valid Accounts는 실제로는 매우 현실적이고 위험한 Initial Access 경로입니다.
  • 공격자는 탈취한 계정, 재사용된 비밀번호, 기본 계정, 유출된 토큰, 비활성화되지 않은 이전 사용자 계정을 이용해 정상 사용자처럼 접근합니다.
  • 특히 이 기법은 인증에 성공하기 때문에 일반적인 차단 정책만으로는 잡히지 않는 경우가 많습니다.
  • MITRE 캠페인 문서에서도 Scattered Spider가 피해자 사용자 자격 증명을 이용해 Azure 테넌트에 접근한 사례가 나타납니다.
  • 즉, Valid Accounts는 “로그인이 성공했다”는 사실 자체가 공격 징후일 수 있는 대표 사례입니다.
  • 클라우드와 SaaS 환경이 확산될수록 이 기법의 비중은 더 커지고 있습니다.

 

 

◎ Cloud와 Identity 트렌드

  • 최근 Initial Access는 단순한 이메일 중심에서 벗어나 Cloud/Identity 중심으로 빠르게 이동하고 있습니다.
  • ATT&CK는 Identity Provider 전용 매트릭스를 따로 두어 Microsoft Entra ID, Okta 같은 IDaaS 플랫폼을 공격 표적으로 별도 다룹니다.
  • 이는 초기 침투가 이제 “서버에 들어오는 문제”가 아니라 “계정과 세션을 장악하는 문제”로 바뀌었음을 보여 줍니다.
  • 이 변화는 여러 방식으로 나타납니다.
  • 피싱 메일이 결국 MFA 피로 공격, 세션 토큰 탈취, OAuth 동의 유도, 클라우드 계정 오남용으로 이어지는 경우가 많습니다.
  • 또한 공용 애플리케이션을 뚫은 뒤 바로 클라우드 인증 체계나 관리 콘솔로 이동하는 흐름도 자주 보입니다.
  • 결국 Initial Access는 엔드포인트와 네트워크뿐 아니라, 신원과 권한 체계까지 함께 봐야 하는 영역이 되었습니다.

 

◎ 실무에서 보는 법

  • Initial Access를 탐지할 때는 공격 방식별로 로그 관찰 지점을 다르게 잡으셔야 합니다.
  • Phishing은 메일 보안, IdP 인증 로그, 브라우저 세션, 사용자 행위가 중요합니다.
  • Exploit Public-Facing Application은 WAF, 웹 서버, VPN, 애플리케이션 로그와 취약점 관리 정보가 중요합니다.
  • Valid Accounts는 로그인 성공 자체보다 비정상 위치, 비정상 디바이스, 새 토큰 발급, 비정상 동의, 비정상 시간대 접근이 더 중요한 신호가 됩니다.
  • 이때 중요한 것은 “무조건 차단”이 아니라 “행위 흐름을 보는 것”입니다.
  • 예를 들어 외부 IP에서 로그인 성공 후 곧바로 권한 상승이나 의심스러운 관리 작업이 이어진다면, 그것은 단순 인증이 아니라 Initial Access 성공 이후의 공격 전개로 해석해야 합니다.
  • 따라서 SOC에서는 Initial Access를 독립 이벤트가 아니라 이후 공격 체인의 전조로 다루는 편이 좋습니다.

 

◎ 정리

  • Initial Access는 공격자가 내부로 들어오는 첫 관문이며, Phishing, Exploit Public-Facing Application, Valid Accounts가 가장 중요한 축입니다.
  • 최근에는 Cloud와 Identity Provider를 노리는 공격이 확실히 증가하면서, 인증과 세션, 토큰, OAuth 동의까지 포함한 관점이 필요해졌습니다.
  • 즉, Initial Access 방어의 핵심은 외부 노출면을 줄이고, 자격 증명과 신원 흐름을 강화하며, 성공한 접근 뒤의 행위를 빨리 잡는 데 있습니다.

 

 

 

반응형

+ Recent posts