위 같은 보안 위협에 대비하려면 공격자들이 어떤 과정을 통해 침해사고를 발생시키는 것인지부터 알아야합니다. 일반적으로 공격자는 기업의 '빈틈'을 찾아내 데이터 탈취라는 최종 목적을 달성하기까지 7단계의 과정을 거치는 편입니다. 그럼 지금부터 웹 서비스 취약점을 이용한 침투를 예로 들어 이 과정을 상세히 짚어보겠습니다.

1) 초기 침투 (Initial Access)

공격의 첫 단추입니다. 침투는 노출된 관리 페이지 접근, PoC(Proof of Concept)가 공개된 취약점 악용, 또는 웹 서비스 취약점 악용 등 다양한 방식으로 시작됩니다. 이 단계에서 공격자는 외부에 공개된 웹 서비스에서 공격 벡터를 찾아 파일(웹쉘) 업로드나 원격 명령 실행 등의 방법으로 시스템에 발을 들여놓습니다.

• 예시: 공격자는 웹 서비스의 1:1 상담 기능에서 파일 업로드 시 확장자 검사가 미흡하다는 점을 악용하여 악성 파일(웹쉘)을 업로드하고 명령을 실행할 준비를 마칩니다.

2) 권한 상승 (Privilege Escalation)

초기 침투 후에는 제한된 권한에서 벗어나 시스템 장악력을 넓혀야 합니다. 공격 방식으로는 크리덴셜 관련 파일 탐색, PoC가 공개된 LPE(Local Privilege Escalation) 취약점 악용 등이 주로 사용됩니다. 다만, 권한 상승이 당장 불가능하더라도 다음 단계로 진행할 수는 있습니다.

• 예시: 업로드한 웹쉘을 통해 명령을 실행하고, 서버에 존재하는 설정 파일 등 크리덴셜 관련 파일을 찾아내어 최고 권한인 루트(Root) 권한을 확보합니다.

3) 악성코드 설치 및 지속성 유지 (Persistence)

다음은 기존 취약점이 패치되거나 시스템이 재부팅되더라도 공격자가 지속적으로 접근할 수 있도록 환경을 설정하는 단계입니다. 공격자는 새로운 계정 생성, SSH 활성화, 악성코드 자동 실행을 위한 서비스 생성, 또는 백도어·루트킷 등을 설치하여 '비밀 통로'를 만듭니다.

• 예시: 루트 권한을 확보한 공격자는 새로운 관리 계정을 생성하고 원격 접속(SSH)을 가능하게 설정하여 언제든 접근할 수 있는 환경을 구축합니다.

4) 내부 자산 정찰 (Internal Reconnaissance)

시스템에 대한 지속적인 접근권을 확보했다면, 이제 내부를 들여다볼 차례입니다. 공격자는 점거한 자산과 연결된 내부 자산(외부에서 접속 불가한 자산)을 정찰합니다. 접근 가능한 내부 자산 탐색, 포트 스캔, 취약 서비스 탐색 등을 통해 다음 침투 지점을 물색합니다.

• 예시: 점거한 자산의 내부 IP 대역을 확인하고, 통신 가능한 IP들을 찾은 뒤, 포트 스캔을 수행하여 해당 IP에서 어떤 서비스가 동작하는지 파악합니다.

5) 내부 시스템 침투 (Lateral Movement)

정찰을 통해 얻은 '지도'를 바탕으로 DMZ, 내부망 등 핵심 데이터가 있을 만한 다른 자산으로 침투를 시도합니다. 침투 방법은 이전에 획득한 크리덴셜을 통한 접속, 노출된 내부 관리 페이지 접근, 취약점 악용 등 다양합니다.

• 예시: 웹 서비스가 동작하는 자산에 접속해보니 내부 서버 관리 패널이 그대로 노출되어 있어, 공격자는 이를 이용해 내부 시스템으로 쉽게 진입합니다.

6) 권한 상승 + 악성코드 설치·지속성 유지 (Replication)

내부 시스템에 침투한 공격자는 최종 목적지(예: DB 서버, 백업 서버)에 가까워지기 위해 해당 자산에서 권한 상승과 지속성 유지 단계를 다시 한번 반복 수행합니다. 단계적 장악력을 높이는 것입니다.

• 예시: 내부 서버 관리 패널을 통해 파악한 핵심 서버들에 접근하여 권한 상승을 진행하고, 추가적인 악성코드를 설치해 지속성 환경을 재구성합니다.

7) 목적 달성 (Goal Achievement)

마지막으로, 공격자는 최종 목적지(Goal)에 접근하여 목표를 달성합니다. 이 단계에서 랜섬웨어 감염, 핵심 정보 탈취 등 기업이 가장 우려하는 피해가 발생합니다.

• 예시: 공격자는 마침내 DB 서버에 접근하여 환자 정보, 진료 기록 등 대량의 민감한 개인 정보를 탈취하는 데 성공합니다.