◎ 개요

  • Privilege Escalation은 공격자가 이미 확보한 발판 위에서 더 강한 권한을 얻는 단계입니다.
  • 이 단계가 성공하면 방어 우회, 계정 조작, 보안 도구 무력화, 수평 이동이 훨씬 쉬워집니다.
  • 즉, 단순한 “관리자 권한 획득”이 아니라 공격의 확장성과 생존성을 키우는 핵심 전환점이라고 보시면 됩니다.

 

◎ Token Manipulation

  • Token Manipulation은 Windows와 유사한 권한 모델에서 자주 보이는 기법으로, 액세스 토큰을 조작해 더 높은 권한처럼 행동하는 방식입니다.
  • 공격자는 토큰 위임, 가장, 임퍼소네이션, 권한이 높은 세션의 토큰 재사용 등을 통해 현재 사용자보다 강한 권한을 획득하려고 합니다.
  • 이 기법은 파일을 드롭하지 않아도 동작할 수 있어, 전형적인 악성 파일 탐지만으로는 놓치기 쉽습니다.
  • 실무에서 중요한 점은 토큰 자체보다 “토큰이 어떤 프로세스 맥락에서 사용되었는가”입니다.
  • 권한이 낮은 프로세스가 갑자기 높은 권한 대상에 접근하거나, 서비스 계정 컨텍스트를 빌려 민감 작업을 수행하면 의심해야 합니다.
  • 따라서 EDR이나 SIEM에서는 프로세스 계보, 사용자 토큰 변경, 권한 관련 API 사용, 이상한 로그온 세션 전환을 함께 봐야 합니다.

 

◎ Exploitation for Privilege Escalation

  • Exploitation for Privilege Escalation은 시스템 취약점을 악용해 권한을 올리는 전형적인 방식입니다.
  • 공격자는 커널 취약점, 서비스 취약점, 권한 검사 오류, 샌드박스 탈출, 잘못된 권한 검증 등을 이용해 일반 사용자에서 관리자 또는 루트 수준으로 올라갑니다.
  • MITRE의 탐지 전략 문서도 정상적인 OS/MDM 흐름이 아닌 비정상적인 권한 전환과 정책 위반을 핵심 관찰 지점으로 제시합니다.
  • 이 기법은 패치 관리와 밀접합니다.
  • 취약한 호스트가 남아 있으면 공격자는 인증 절차를 거치지 않고도 권한을 끌어올릴 수 있기 때문입니다.
  • 실무에서는 취약점 존재 여부와 실제 악용 흔적을 함께 봐야 하며, 프로세스 비정상 상속, 특권 서비스 재시작, 권한 상승 직후의 명령 실행이 중요한 단서가 됩니다.

 

 

◎ Misconfiguration Abuse

  • Misconfiguration Abuse는 시스템 자체의 취약점보다 잘못된 설정을 악용하는 방식입니다.
  • 예를 들어 과도한 파일·서비스 권한, 잘못된 sudoers 설정, 위험한 SUID 바이너리, 느슨한 그룹 권한, 잘못 배치된 서비스 계정이 모두 권한 상승의 발판이 될 수 있습니다.
  • 클라우드에서는 IAM 정책, 역할 신뢰 관계, 인스턴스 메타데이터 접근, 관리자용 API 권한이 잘못 열려 있는 경우가 대표적입니다.
  • 이 유형은 침해가 아주 조용하게 진행될 수 있다는 점이 문제입니다.
  • 새로운 취약점을 쓰지 않아도, 이미 존재하는 오설정만으로 권한을 얻을 수 있기 때문입니다.
  • 따라서 Misconfiguration Abuse는 “취약점 탐지”만으로는 부족하고, 구성 점검과 권한 감사가 반드시 같이 가야 합니다.

 

◎ Linux PrivEsc 차이

  • Linux 권한 상승은 Windows와 양상이 조금 다릅니다.
  • Linux에서는 sudo 정책, SUID/SGID, capabilities, cron, systemd, 서비스 파일, 파일 권한, 컨테이너 탈출, 커널 취약점이 중요합니다.
  • 즉, 관리자 토큰을 조작하기보다 파일 시스템 권한과 실행 권한을 악용하는 경우가 많습니다.
  • 탐지 관점에서도 Linux는 프로세스 계보와 명령줄, 권한 변경 시점, sudo 실행 로그, 인증 로그, 파일 권한 변화를 함께 봐야 합니다.
  • 특히 sudo -l 결과, 이상한 SUID 파일 생성, root 소유 파일 수정, service restart, SSH 키 변경은 대표적인 단서입니다.
  • 즉, Linux에서는 “관리자처럼 보이는 행위”보다 “root가 되는 경로”가 더 중요합니다.

 

◎ Cloud PrivEsc 차이

  • 클라우드 권한 상승은 로컬 OS 권한보다 계정과 API 권한에 훨씬 더 의존합니다.
  • 공격자는 IAM 역할 전환, 정책 추가, 권한 위임 조작, 인스턴스 프로필 악용, 토큰 재사용, 메타데이터 서비스 남용을 통해 권한을 높입니다.
  • 특히 Cloud에서는 “서버의 root”보다 “조직 자원에 대한 관리자급 API 접근”이 더 큰 피해로 이어질 수 있습니다.
  • 따라서 Cloud PrivEsc는 로그도 다르게 봐야 합니다.
  • CloudTrail, IdP 로그, IAM 변경 이력, 역할 전환 기록, 토큰 발급, 정책 수정, 신규 액세스 키 생성이 핵심 관찰 지점입니다.
  • 또한 클라우드는 잘못된 설정이 곧 권한 상승 경로가 되는 경우가 많아, 구성 관리와 정책 감사의 비중이 매우 큽니다.

 

◎ 탐지 포인트

  • Privilege Escalation 탐지는 보통 “권한이 올라갔다”는 결과보다 “권한이 올라가는 과정”을 보는 것이 중요합니다.
  • 권한 높은 프로세스의 갑작스런 생성, 보안 설정 변경, 관리자 그룹 추가, 정책 변경, 비정상적인 sudo 사용, IAM 변경 이벤트가 대표적인 포인트입니다.
  • 또한 권한 상승 직후 보안 도구 비활성화, 로그 삭제, 원격 접속 활성화가 이어지면 공격 가능성이 더 높아집니다.
  • 실무적으로는 다음처럼 접근하시면 좋습니다.
  • 권한 상승을 일으킬 수 있는 취약점과 오설정을 목록화합니다.
  • Linux, Windows, Cloud 별로 핵심 로그를 분리해 둡니다.
  • 권한 변화 전후의 프로세스·명령·정책 변경을 시간축으로 묶습니다.
  • EDR, SIEM, Cloud 감사 로그를 함께 교차 검증합니다.

 

◎ 정리

  • Privilege Escalation은 단순히 관리자 권한을 얻는 단계가 아니라, 공격자가 더 넓은 제어권을 확보하는 핵심 전환점입니다.
  • Token Manipulation은 권한 가장과 세션 조작에 가깝고, Exploitation은 취약점 악용, Misconfiguration Abuse는 설정 실수를 발판으로 삼는 방식입니다.
  • Linux는 권한·파일·서비스 중심, Cloud는 IAM·토큰·정책 중심으로 보는 것이 차이의 핵심입니다.

 

 

 

반응형

+ Recent posts