◎ 개요
- Lateral Movement는 초기 침투가 끝난 뒤 공격자가 더 가치 있는 자산으로 이동하기 위해 사용하는 전술입니다.
- 공격자는 한 번 들어간 호스트에 머물지 않고, 다른 서버·계정·클라우드 역할로 점프하면서 목표 자산에 접근합니다.
- 즉, 이 단계의 핵심은 “접속”이 아니라 “이동”이며, 공격 범위를 넓히는 과정이라고 보시면 됩니다.
◎ Remote Services 개요
- 원격 서비스는 Lateral Movement의 가장 전형적인 수단입니다.
- MITRE ATT&CK에서는 SMB, RDP, SSH 같은 표준 원격 접속 메커니즘을 대표적으로 다루며, Windows 환경에서는 WinRM과 같은 관리용 원격 실행도 중요한 축입니다.
- 공격자는 합법적인 원격 기능을 그대로 사용하기 때문에, 행위 자체는 정상 운영과 매우 비슷해 보일 수 있습니다.
- 이 기법이 위험한 이유는 이미 확보한 자격 증명이나 관리 권한을 그대로 활용할 수 있기 때문입니다.
- 즉, 새로운 악성 파일을 심기보다 정상 기능을 통해 옆 시스템으로 옮아가는 방식이므로 탐지가 어렵습니다.
- 따라서 원격 서비스 기반 이동은 “누가, 언제, 어떤 계정으로, 어떤 시스템에 접속했는가”를 중심으로 봐야 합니다.
◎ SMB
- SMB는 파일 공유와 원격 실행에서 자주 활용되는 대표적 경로입니다.
- 공격자는 공유 폴더 접근, 원격 서비스 등록, 실행 파일 복사, 관리자 공유 사용 등을 통해 내부 시스템 사이를 이동합니다.
- 특히 Windows 환경에서는 관리자 계정이나 도메인 자격 증명이 있으면 SMB를 통해 빠르게 확장할 수 있습니다.
- 탐지 관점에서는 SMB 세션 생성, 원격 파일 복사, 관리 공유 접근, 비정상 호스트 간 파일 전송이 핵심입니다.
- 평소에 통신하지 않던 서버 간 SMB 연결이 갑자기 늘어나면 조사 대상이 됩니다.
- 또한 파일 전송 후 곧바로 서비스 생성이나 원격 실행이 이어지면 강한 침투 신호로 보셔야 합니다.
◎ RDP
- RDP는 관리용 원격 접속 도구지만, 공격자에게도 매우 유용합니다.
- 한 번 유효한 계정을 확보하면 GUI 기반으로 시스템 조작이 가능하고, 명령 실행·파일 이동·사용자 작업 위장까지 이어질 수 있습니다.
- 공격자는 종종 RDP 접속을 통해 도메인 내 추가 탐색과 관리자 작업을 수행합니다.
- RDP 탐지에서는 단순 로그인 성공보다 접속 출발지, 시간대, 기기, 세션 길이, 이후 행위를 함께 봐야 합니다.
- 평소 사용하지 않던 외부 주소, 관리자 계정의 야간 접속, 짧은 시간 안의 다수 서버 접속은 의심 신호입니다.
- 특히 RDP 뒤에 명령 실행이나 자격 증명 접근이 이어지면 공격 가능성이 높습니다.
◎ WinRM
- WinRM은 Windows 원격 관리용 프로토콜로, PowerShell Remoting과 결합될 때 공격자에게 매우 유용합니다.
- 공격자는 파일을 옮기지 않고도 원격 호스트에서 명령을 실행할 수 있어, 흔적을 최소화하려고 합니다.
- 이 때문에 WinRM은 EDR이 있더라도 “관리 작업처럼 보이는 공격”이 되기 쉽습니다.
- 탐지할 때는 WinRM 세션 생성, 원격 PowerShell 실행, 관리자 계정의 비정상 세션, 원격 호스트 간의 비정상 명령 흐름을 봐야 합니다.
- 특히 서버 관리자가 아닌 계정이 WinRM으로 다수 시스템을 제어하는 패턴은 매우 중요합니다.
- 원격 실행 뒤에 방어 회피나 서비스 조작이 이어진다면 Lateral Movement의 전형적인 전개로 볼 수 있습니다.
◎ SSH
- SSH는 Linux와 네트워크 장비에서 핵심적인 이동 수단입니다.
- 공격자는 탈취한 계정, 키, 배포된 인증 정보, 기본 자격 증명을 이용해 서버 사이를 옮겨 다닙니다.
- 특히 키 기반 인증은 비밀번호보다 더 오래 남아 있을 수 있어, 한 번 확보되면 장기적인 이동 통로가 됩니다.
- SSH 탐지에서는 로그인 위치 변화, 비정상 키 등록, root 또는 고권한 계정의 접속, 짧은 시간 안의 다수 호스트 접속을 봐야 합니다.
- 또한 점프 호스트, 배스천 서버, 자동화 계정의 사용 범위를 정확히 알아야 오탐을 줄일 수 있습니다.
- 공격자는 SSH를 통해 다른 시스템으로 빠르게 전파하거나, 내부 관리형 자산에 접근합니다.
◎ Cloud Lateral Movement
- 클라우드에서의 Lateral Movement는 물리적 호스트 이동보다 계정과 역할 이동에 가깝습니다.
- 공격자는 IAM Role Abuse를 통해 더 높은 권한의 역할을 가정하거나, 신뢰 관계를 악용해 다른 리소스와 계정으로 확장합니다.
- 즉, 클라우드에서는 “어느 서버에 들어갔는가”보다 “어떤 역할과 권한으로 이동했는가”가 더 중요해집니다.
- 역할 남용은 서비스 계정, 인스턴스 프로필, 교차 계정 신뢰 정책, 장기 토큰, STS 세션 재사용 등으로 나타납니다.
- 공격자는 이 경로를 이용해 계정 경계를 넘고, 저장소·배포·감사·보안 자산으로 확장합니다.
- 클라우드 Lateral Movement는 네트워크 연결보다 권한 전환 이벤트를 더 중요하게 봐야 합니다.
◎ IAM Role Abuse
- IAM Role Abuse는 공격자가 허용된 권한 범위를 교묘히 이용해 더 넓은 접근권을 얻는 방식입니다.
- 예를 들어 역할 전환, 신뢰 정책 악용, 과도한 정책 부여, cross-account assume role, 메타데이터 기반 임시 자격증명 탈취가 여기에 포함될 수 있습니다.
- 이 경우 공격자는 로그인 수단을 새로 만들지 않고도 조직 내 여러 리소스로 이동할 수 있습니다.
- 탐지 포인트는 역할 전환 횟수의 급증, 평소 사용하지 않던 역할 접근, 비정상 지역·IP에서의 세션 발급, 관리자 권한 역할의 갑작스런 사용입니다.
- 또한 Role chaining이나 짧은 시간 내 다단계 권한 상승이 보이면 Lateral Movement와 Privilege Escalation이 함께 진행된 것으로 볼 수 있습니다.
- 클라우드에서는 “계정 합법성”이 곧바로 “행위 정상성”을 뜻하지 않는다는 점이 중요합니다.
◎ 실무 탐지 포인트
- Lateral Movement는 원격 접속 로그, 프로세스 생성 로그, 인증 로그, 클라우드 감사 로그를 함께 봐야 잘 잡힙니다.
- SMB, RDP, WinRM, SSH는 모두 정상 관리에 쓰일 수 있으므로, 접속 대상의 희소성, 시간대, 사용자 컨텍스트, 접속 후 행위를 함께 분석해야 합니다.
- 클라우드에서는 역할 전환과 API 호출 패턴, IdP 인증 이력이 핵심입니다.
- 특히 하나의 시스템에서 다른 시스템으로 이동한 직후, 자격 증명 접근이나 서비스 등록, 파일 배포가 이어지면 강하게 봐야 합니다.
- 또한 네트워크 분할이 잘 되어 있어도 계정이나 역할이 뚫리면 이동이 가능하므로, 세그먼트보다 권한 경계를 더 엄격히 관리해야 합니다.
- 결국 Lateral Movement 방어는 네트워크 차단만이 아니라, 인증과 권한의 흐름을 통제하는 문제입니다.
◎ 정리
- Lateral Movement는 공격자가 한 시스템에서 다른 시스템으로 제어 범위를 넓혀 가는 전술입니다.
- SMB, RDP, WinRM, SSH는 대표적인 원격 서비스 기반 이동 수단이고, 클라우드에서는 IAM Role Abuse가 핵심입니다.
- 따라서 방어는 접속 성공 여부보다 접속의 맥락과 후속 행위를 보는 방향으로 설계하셔야 합니다.
반응형
'IT > MITRE ATT&CK' 카테고리의 다른 글
| [MITRE ATT&CK] Command & Control 이해하기 (0) | 2026.07.02 |
|---|---|
| [MITRE ATT&CK] Collection 이해하기 (0) | 2026.07.01 |
| [MITRE ATT&CK] Discovery — 공격자가 내부 환경을 어떻게 ‘읽는가’ (0) | 2026.06.29 |
| [MITRE ATT&CK] Credential Access 이해하기 (0) | 2026.06.28 |
| [MITRE ATT&CK] Defense Evasion 이해하기 (0) | 2026.06.27 |
