◎ 개요
- Credential Access는 공격자가 “로그인할 수 있는 힘”을 얻는 단계라고 보셔도 좋습니다.
- 이 단계가 성공하면 내부 시스템 접근, 권한 상승, 횡적 이동, 클라우드 계정 오남용까지 빠르게 이어질 수 있습니다.
- 즉, 파일을 훔치는 공격보다 더 깊고 오래가는 피해를 만드는 경우가 많습니다.
◎ LSASS Dumping
- LSASS Dumping은 Windows에서 자격 증명이나 인증 관련 메모리를 노리는 대표적인 기법입니다.
- 공격자는 LSASS 프로세스의 메모리를 덤프해 비밀번호 해시, 토큰, 세션 관련 정보를 얻으려 합니다.
- 이 기법은 OS Credential Dumping 범주의 핵심 사례로 자주 다뤄집니다.
- 실무에서는 LSASS 접근 자체보다 그 전후 행위를 보셔야 합니다.
- 예를 들어 특권 프로세스가 덤프 도구를 호출하거나, 의심스러운 디버그 권한 사용, 비정상적인 메모리 접근, procdump 계열 도구 사용이 있으면 강한 신호입니다.
- 또한 EDR 관점에서는 LSASS 보호 우회, 보호 해제 시도, 덤프 파일 생성, 자격 증명 관련 API 호출을 함께 봐야 합니다.
◎ Credential Harvesting
- Credential Harvesting은 사용자의 자격 증명을 직접 수집하는 방식입니다.
- 피싱 페이지, 키로깅, 브라우저 저장 정보, 메일 클라이언트, 암호 저장소, 로컬 파일, 구성 파일에서 계정 정보를 가져오는 행위가 여기에 해당합니다.
- 즉, 메모리 덤프가 시스템 내부를 노린다면, Harvesting은 사람과 애플리케이션이 남긴 인증 흔적을 노린다고 보시면 이해가 쉽습니다.
- 이 기법은 생각보다 넓게 나타납니다.
- 브라우저에서 저장된 비밀번호를 빼내거나, 개발자 도구와 설정 파일, .env 파일, API 키 저장소, 인증서 저장소를 훑는 경우도 많습니다.
- 따라서 Credential Harvesting은 단순히 “비밀번호 탈취”가 아니라, 인증 재료 전반을 모으는 행위로 보는 것이 적절합니다.
◎ API Token Abuse
- API Token Abuse는 최근 가장 중요한 Credential Access 흐름 중 하나입니다.
- 공격자는 비밀번호보다 토큰을 더 선호하는 경우가 많습니다.
- 토큰은 이미 인증된 세션이나 서비스 접근 권한을 나타내므로, 탈취 후 바로 재사용하기 쉽기 때문입니다.
- 특히 클라우드, SaaS, DevOps 환경에서는 토큰 하나로 메일, 저장소, CI/CD, 데이터 서비스에 연쇄 접근이 가능할 수 있습니다.
- 이 방식의 위험은 “비밀번호 변경만으로 끝나지 않는다”는 데 있습니다.
- 토큰이 만료되지 않거나, 장기 수명이거나, refresh token과 연결되어 있으면 공격자는 매우 오래 접근을 유지할 수 있습니다.
- 그래서 API Token Abuse는 단순한 Credential Access가 아니라, Identity 중심 공격 흐름의 핵심 축으로 이해하시는 편이 좋습니다.
◎ Identity 중심 공격 흐름
- 최근 공격은 시스템 중심보다 Identity 중심으로 더 빠르게 이동하고 있습니다.
- 공격자는 먼저 피싱이나 토큰 탈취로 계정을 잡고, 그 다음 IdP, SaaS, 클라우드 콘솔, 관리 API를 통해 권한을 확장합니다.
- 즉, “PC를 뚫고 들어가는 공격”보다 “계정과 세션을 장악하는 공격”이 더 중요해졌습니다.
- 이 흐름에서는 다음 요소가 중요합니다.
- 로그인 성공 자체보다 비정상 위치, 비정상 디바이스, 비정상 시간대.
- 새 토큰 발급, refresh token 재사용, OAuth 동의 변경.
- 클라우드 또는 SaaS에서의 과도한 권한 상승과 세션 재사용.
- 이런 관점이 있어야 Credential Access가 초기 침입으로만 보이지 않고, 이후의 Persistence와 Privilege Escalation까지 자연스럽게 연결됩니다.
◎ 탐지 포인트
- Credential Access 탐지에서는 자격 증명 자체보다 “자격 증명을 얻기 위한 행위”를 보셔야 합니다.
- LSASS 접근, 메모리 덤프 생성, 브라우저 저장 정보 접근, 인증서/키 저장소 읽기, 토큰 발급의 급증, 비정상적인 로그인 시도 패턴이 대표적입니다.
- 특히 민감한 프로세스에 대한 접근 권한이 낮은 사용자 맥락에서 발생하면 더 의심해야 합니다.
- 클라우드와 SaaS에서는 토큰·동의·앱 등록·세션 재사용이 핵심입니다.
- 예를 들어 새로 발급된 토큰이 짧은 시간 안에 여러 관리 API를 호출하거나, 평소 쓰지 않던 위치에서 지속적으로 인증이 이뤄지면 탐지 우선순위를 높이셔야 합니다.
- 결국 Credential Access는 파일 훔치기보다 훨씬 조용하게 보일 수 있으므로, 인증 계층의 행위 분석이 중요합니다.
◎ 방어 관점
- 방어에서는 메모리 덤프 방지, 자격 증명 저장 최소화, 토큰 수명 관리, MFA, 조건부 접근, 비정상 로그인 탐지가 기본입니다.
- Windows에서는 LSASS 보호, 관리자 권한 최소화, 민감 프로세스 접근 통제가 중요하고, 클라우드에서는 토큰 회전, 앱 동의 제한, 서비스 계정 권한 감사가 중요합니다.
- 브라우저나 개발 도구에 자격 증명을 평문으로 남기지 않는 습관도 매우 중요합니다.
- 무엇보다 중요한 것은 “한 번 유출되면 끝”인 자격 증명 관점을 버리는 것입니다.
- Identity 중심 공격에서는 자격 증명 하나가 여러 환경으로 이어지므로, 계정·토큰·세션·권한을 함께 관리해야 합니다.
- 그래야 Credential Access를 단발성 사건이 아니라, 지속적인 침해 전초전으로 다룰 수 있습니다.
◎ 정리
- Credential Access는 공격자가 계정 정보와 인증 재료를 확보하는 전술이며, LSASS Dumping, Credential Harvesting, API Token Abuse가 대표적인 흐름입니다.
- 최근 공격은 비밀번호보다 토큰과 세션을 노리는 Identity 중심 형태로 빠르게 이동하고 있습니다.
- 따라서 방어는 메모리, 브라우저, 저장소, IdP, SaaS, 클라우드 토큰까지 아우르는 방식으로 설계하셔야 합니다.
반응형
'IT > MITRE ATT&CK' 카테고리의 다른 글
| [MITRE ATT&CK] Lateral Movement 이해하기 (0) | 2026.06.30 |
|---|---|
| [MITRE ATT&CK] Discovery — 공격자가 내부 환경을 어떻게 ‘읽는가’ (0) | 2026.06.29 |
| [MITRE ATT&CK] Defense Evasion 이해하기 (0) | 2026.06.27 |
| [MITRE ATT&CK] Privilege Escalation 이해하기 (0) | 2026.06.26 |
| [MITRE ATT&CK] Persistence 이해하기 (0) | 2026.06.25 |
