IT조선은 독자들이 이해하기 어려웠던 보안 용어와 개념을 보다 쉽게 풀어 설명하는 ‘보안TMI(Too Much Information)’ 코너를 새롭게 마련했습니다. 매주 주제를 선정해 개념은 물론 기사에 담지 못했던 배경과 맥락까지 짚어드립니다. 독자들이 보안 관련 뉴스를 보다 명확하게 이해할 수 있도록 돕겠습니다. [편집자 주]

기업 해킹 사고에서 공격자가 처음부터 관리자 권한을 갖고 침투하는 경우는 많지 않다. 대부분은 일반 사용자 계정이나 제한된 권한을 가진 시스템에서 해킹이 시작된다. 문제는 그 다음이다. 공격자는 확보한 권한만으로 할 수 있는 일이 제한적이라는 사실을 알고 더 높은 권한을 얻으려 움직인다. 이 과정을 ‘권한 상승(Privilege Escalation)’이라고 한다.

권한 상승은 공격자가 시스템이나 계정에 침투한 뒤 더 높은 수준의 접근 권한을 확보하려는 해커의 움직임을 통칭한다. 쉽게 말해 일반 사용자 권한에서 관리자 권한으로 올라가는 것이다. 권한이 높아질수록 접근할 수 있는 파일과 시스템 설정, 실행 가능한 명령의 범위도 넓어진다.

일반 사용자 권한만으로는 특정 파일에 접근하거나 프로그램을 설치하는 데 제한이 걸릴 수 있다. 하지만 관리자 권한을 확보하면 상황은 달라진다. 보안 프로그램을 종료하거나, 새 계정을 만들고, 시스템 설정을 변경할 수 있다. 경우에 따라 로그 삭제나 탐지 우회도 가능해진다.

권한 상승은 크게 두 가지로 나뉜다. ‘수직적 권한 상승(vertical privilege escalation)’은 일반 사용자 권한을 관리자 수준으로 끌어올리는 방식이다. 흔히 말하는 관리자 권한 탈취가 여기에 해당한다.

‘수평적 권한 상승(horizontal privilege escalation)’은 같은 권한 수준의 다른 계정으로 접근하는 방식이다. 관리자 권한을 얻는 것은 아니지만, 다른 사용자 계정에 접근하면서 열람 가능한 데이터나 사용할 수 있는 기능 범위가 달라지므로 결과적으로 시스템에 대한 접근 권한이 커진 것이라고 볼 수 있다.

권한 상승은 다양한 방식으로 이뤄진다. 가장 직관적인 사례는 사용자가 관리자 권한 실행 요청을 무심코 허용하는 경우다. 악성코드가 포함된 프로그램이나 문서 파일을 실행한 뒤 나타나는 ‘관리자 권한 허용’ 창을 정상 설치 과정으로 착각하고 승인하는 식이다.

운영체제(OS)나 소프트웨어의 보안 취약점을 악용하는 방식도 많다. 공격자는 패치되지 않은 취약점을 이용해 제한된 권한을 관리자 권한으로 끌어올린다. 오래된 서버나 업데이트가 지연된 PC가 주요 표적이 되는 이유다.

저장된 계정 정보도 자주 악용된다. 브라우저, 원격접속 도구, 업무용 프로그램 등에 남아 있는 인증 정보가 탈취되면 공격자는 별도 취약점 없이 더 높은 권한을 가진 계정으로 접근할 수 있다. 관리자 비밀번호를 여러 시스템에서 재사용하는 경우 피해 범위는 더 커진다.

잘못된 권한 설정도 문제다. 일반 사용자가 접근하지 않아도 되는 폴더나 시스템 기능에 과도한 권한이 부여돼 있으면, 공격자는 이를 이용해 더 높은 권한을 얻거나 중요한 파일에 접근할 수 있다. 기업 환경에서는 편의를 위해 예외 권한을 넓게 열어둔 설정이 공격 통로가 되기도 한다.

최근에는 정상 관리 도구를 악용하는 사례도 많다. 운영체제에 기본 포함된 관리 명령어나 원격 관리 도구는 본래 시스템 운영을 위한 기능이다. 하지만 공격자가 이를 사용하면 겉으로는 정상 관리자 활동처럼 보일 수 있다. 이 때문에 단순 악성코드 탐지 솔루션만으로는 이상 행위를 발견하기 어렵다.

권한 상승을 막기 위한 기본 원칙은 ‘필요한 만큼만 권한을 부여하는 것’이다. 업무에 필요한 범위 내에서만 권한을 부여하고, 관리자 권한은 별도 계정으로 분리해 사용해야 한다. 평소 업무용 계정에 관리자 권한을 함께 부여하면 사고 발생 시 피해가 커질 수 있다.

패치 관리도 중요하다. 운영체제와 주요 소프트웨어의 보안 업데이트가 지연되면 이미 알려진 취약점이 권한 상승에 악용될 수 있다. 취약점 공개 후 공격 코드가 빠르게 유통되는 만큼, 업데이트 지연은 곧 공격 기회로 이어진다.

계정 보호도 필요하다. 관리자 계정에는 다중인증(MFA)을 적용하고, 비밀번호 재사용을 피해야 한다. 사용하지 않는 계정이나 오래된 권한은 정리해야 한다. 권한이 높은 계정의 로그인 위치, 접속 시간, 명령 실행 내역을 모니터링하는 것도 중요하다.

해커의 권한 상승 작업은 눈에 잘 띄지 않는다. 하지만 공격자 입장에서는 더 많은 정보와 시스템 접근 권한을 확보하기 위한 단계다. 결국 권한 상승은 단순 침투를 대형 보안 사고로 키우는 핵심 작업이라고 볼 수 있다.

정종길 기자
jk2@chosunbiz.com

• 남자 아이도 자궁경부암 백신 지원… 그런데 ‘9가’ 아닌 ‘4가’?
• 이재용式 수시 인사 정착…삼성 사장단, 상반기도 ‘가시방석’
• “폰·인터넷 싸게 드릴게”… ‘요금 폭탄’ 부르는 사기전화 주의보
• “DX 패싱에 질렸다”…‘초기업→전삼노’ 교섭권 회수 목소리 본격화
• “AI 피부 진단하고 맞춤 제작까지”… ‘아모레용산’ 가보니 [르포]