침투보다 위험한 확산 ‘측면 이동’ [보안TMI]
||2026.05.03
IT조선은 독자들이 이해하기 어려웠던 보안 용어와 개념을 보다 쉽게 풀어 설명하는 ‘보안TMI(Too Much Information)’ 코너를 새롭게 마련했습니다. 매주 주제를 선정해 개념은 물론 기사에 담지 못했던 배경과 맥락까지 짚어드립니다. 독자들이 보안 관련 뉴스를 보다 명확하게 이해할 수 있도록 돕겠습니다. [편집자 주]
기업을 겨냥한 해킹 사고는 하나의 계정이나 시스템에서 시작되는 경우가 많다. 시스템의 허점을 파고든 공격자는 이후 내부 시스템을 이동하며 접근 범위를 넓혀간다. 이 과정을 ‘측면 이동(lateral movement)’이라고 한다.
측면 이동은 공격자가 피싱 메일, 취약한 서버, 유출된 계정 정보 등을 통해 하나의 계정이나 시스템을 확보한 뒤, 내부 네트워크를 따라 다른 서버나 사용자 계정으로 접근 범위를 확장하는 과정이다. 내부에 들어온 뒤 말 그대로 ‘옆으로 퍼져나가는’ 방식이다.
공격자는 일단 내부에 침입한 뒤 추가 권한을 확보할 수 있는 방법이나 다른 시스템에 접근할 수 있는 계정을 찾는다. 관리자 계정을 탈취하는 것은 특히 중요한 목표가 된다. 권한이 높아질수록 접근 가능한 시스템이 늘어나기 때문이다.
이렇게 확보한 계정과 권한을 바탕으로 파일 서버, 데이터베이스, 백업 시스템 등 주요 자산으로 접근 범위를 넓힌다. 일단 내부에 들어오면 외부에서 침입할 때보다 통제가 상대적으로 느슨한 경우가 많으므로, 측면 이동은 비교적 수월하게 이뤄진다. 측면 이동은 사용자·관리자 입장에서 대부분 감지하기 어렵다. 정상 사용자 계정과 경로를 이용하기 때문이다. 내부자의 일반적 접속과 행동처럼 보이므로 탐지가 늦어진다.
최근 공격자들의 방식이 점점 ‘조용하게 오래 머무는’ 방향으로 바뀌는 추세 속에서 측면 이동에 대한 경각심이 높아지고 있다. 단순히 무단 접속한 후 시스템을 마비시키는 대신, 내부에 은밀히 잠입해 오랜 기간에 걸쳐 측면 이동을 반복하며 권한을 넓히고 데이터를 확보한 뒤 대규모 공격을 실행하거나 대량의 데이터를 유출하는 사례가 늘고 있어서다.
특히 최근의 랜섬웨어 공격은 이러한 장기간의 측면이동 과정을 거치는 경우가 대부분인 것으로 알려졌다. 공격자는 내부에서 오랜 기간에 걸쳐 충분한 권한과 접근 범위를 확보한 뒤, 여러 시스템을 동시에 암호화하거나 데이터를 탈취한다. 단순히 한 대의 컴퓨터에서 순간 파일을 잘못 실행해 랜섬웨어에 감염되고, 이것이 전사 컴퓨터로 순식간에 퍼지는 것이 아니다. 물론 초기에는 그랬다. 하지만 최근 알려지는 다수의 랜섬웨어 사례는 이미 오랜 기간 해커가 침투해 있다가 측면 이동을 통해 충분한 자료를 확보한 후 공격 사실을 공개하는 경우가 대다수라는 것이다.
이 때문에 측면 이동을 얼마나 억제하고 확산을 차단하느냐가 보안의 핵심 과제로 떠오르고 있다. ‘제로 트러스트(Zero Trust)’가 강조되는 이유도 여기에 있다. 제로 트러스트는 내부 네트워크라고 해서 신뢰하지 않고, 모든 접근을 검증하는 방식이다. 특히 핵심은 계정과 시스템 간 권한을 최소화하고, 접근 시마다 인증과 검증을 거치는 구조를 통해 ‘측면 이동 자체를 어렵게 만드는 것’에 있다.
또 네트워크를 구간별로 나누는 마이크로 세그멘테이션(Micro Segmentation), 계정 권한 관리(IAM), 이상 행위 탐지 등과 같은 또 다른 제로 트러스트의 핵심 키워드들도 모두 측면 이동을 어렵게 만드는 방법들이다. 측면 이동을 하더라도 행동의 폭을 최대한 제한하고, 계정별로 적용되는 규칙을 통해 유출되는 정보를 최소화하며, 평소와 다른 접근 경로나 권한 사용을 실시간으로 탐지해 차단하는 방식이다.
측면 이동은 쉽게 탐지할 수 없다. 하지만 실제 사고 후 흔적을 추적해보면 피해를 키운 핵심 이유 중 하나임을 깨닫게 된다. 따라서 공격자의 측면 이동을 최대한 방해하는 것이 중요하다. 결국 사고의 규모는 공격이 어디서 시작됐는지보다, 침입자가 내부에서 얼마나 자유자재로 옮겨다니며 시스템을 헤집고 다녔는지가 결정하게 된다.
정종길 기자
jk2@chosunbiz.com
1
3
4
5
