MFA는 로그인한 사람을 확인할 뿐, 그 이후 행동은 알 수 없다.

출처: VentureBeat

소개

모든 MFA 검증을 통과했다. 모든 로그인이 정당했다. 컴플라이언스 대시보드는 모든 아이덴티티 제어 항목에서 초록색을 보였다. 그리고 공격자는 이미 내부에 있었으며, 유효한 세션 토큰을 이용해 액티브 디렉터리를 가로질러 이동하고, 도메인 컨트롤러를 향해 권한을 상승시키고 있었다.

이것은 인증에 막대한 투자를 하고 “작업이 끝났다”고 생각한 기업 내부에서 실제로 일어나고 있는 시나리오다. 자격 증명은 실제였다. 다중 요소 챌린지는 올바르게 답변되었다. 시스템은 설계대로 정확히 동작했다. 사용자를 첫 번째 문에서 인증했을 뿐, 그 이후는 다시 보지 않았다. 침해는 MFA를 우회한 것이 아니라, MFA가 성공한 뒤에 시작된 것이다.

인증 한계

인증은 특정 시점에 신원을 증명한다. 그 뒤로는 눈을 감는다. 이후에 일어나는 모든 일—가로 이동, 권한 상승, 액티브 디렉터리를 통한 은밀한 데이터 유출—은 MFA가 원래 설계된 범위를 벗어난다.

CIO 인사이트

Alex Philips, NOV의 CIO는 운영 테스트를 통해 이 격차를 발견했다:
“우리는 리소스 수준에서 정당한 아이덴티티 세션 토큰을 취소할 수 있는 능력에 격차가 있음을 발견했습니다. 이제 비밀번호를 재설정하는 것만으로는 충분하지 않습니다. 가로 이동을 차단하려면 세션 토큰을 즉시 취소해야 합니다.” – VentureBeat

Philips가 발견한 것은 잘못된 설정이 아니라, 거의 모든 기업 아이덴티티 스택에 존재하는 구조적 사각지대다. 사용자가 성공적으로 인증하면, 그 결과로 생성된 세션 토큰은 재평가 없이 신뢰를 그대로 전달한다. 토큰은 소지자 자격 증명이 되어—공격자든 직원이든 토큰을 가진 사람은 세션에 연결된 모든 권한을 물려받는다.

NOV의 조사 결과, 아이덴티티 세션 토큰 절도가 가장 정교한 공격의 주요 벡터임이 확인되었으며, 팀은 다음을 추진하게 되었다:

• 아이덴티티 정책 강화
• 조건부 접근 강제
• 토큰 즉시 폐기 메커니즘 구축

위협 환경 통계

• 평균 사이버 범죄 탈출 시간이 2025년에 29분으로 단축됐으며, 기록된 가장 빠른 탈출은 27초(CrowdStrike 2026 글로벌 위협 보고서).
• 2025년 **82 %**의 탐지 사례에서 악성코드가 전혀 배포되지 않았다. 공격자는 세션 토큰만 있으면 익스플로잇이 필요 없다.

악성코드 없는 공격

“적들은 정당한 자격 증명을 탈취하거나 사회공학을 이용하는 것이 가장 빠른 접근 방법이라는 것을 깨달았다.”
Adam Meyers, CrowdStrike 수석 부사장, Counter Adversary Operations – VentureBeat

• 탈취된 자격 증명은 알림을 트리거하지 않으며, 시그니처와도 매치되지 않고, 실제 사용자가 가진 모든 접근 권한을 그대로 물려받는다.

AI 기반 사회공학

위협은 AI가 한 명의 공격자를 더 위험하게 만든다는 것이 아니라, 모든 공격자에게 전문가 수준의 사회공학을 거의 비용 없이 제공한다는 점이다. 자격 증명 공급망이 이제 산업 규모로 운영되고 있다.

IAM vs. SecOps 격차

2026년까지 **30 %**의 기업은 AI‑생성 딥페이크로 인해 얼굴 기반 아이덴티티 검증 및 바이오메트릭 인증 솔루션을 단독으로 신뢰하지 않을 것이다(가트너 2024).

“사이버 보안이라는 레이블이 붙은 모든 것은 사이버 보안 위험 카테고리로 분류되지만, 이는 완전한 허구다. 기업은 비즈니스 위험에 집중해야 한다. 재무 손실 같은 비즈니스에 영향을 주지 않으면 아무도 관심을 갖지 않으며, 예산도 배정되지 않고 방어 통제도 제대로 마련되지 않는다.”
Kayne McGladrey, IEEE 시니어 멤버 – VentureBeat

이 논리는 세션 관리, 토큰 수명 주기 관리, 그리고 도메인 간 아이덴티티 연관성이 IAM과 SecOps 사이의 사각지대에 빠지는 이유를 설명한다. 아무도 이를 비즈니스 손실로 인식하지 않기 때문에 담당 주체가 없었다.

“침입의 일부는 아이덴티티 측면, 클라우드 측면, 엔드포인트 측면에서만 보인다. 도메인 간 가시성이 필요하다. 최선의 시나리오에서도 침입을 차단할 수 있는 시간은 29 분 정도이기 때문이다.” – Meyers, VentureBeat

현장 CISO 시각

“당신을 검증하기 전까지는 당신을 모른다. 누가 키보드 뒤에 있는지 알기 전까지는 소통하지 않는다. 그들이 누군지 이해할 수 있는 능력을 보여줄 때까지는 대화를 시작하지 않는다.” – Mike Riemer, Ivanti 현장 CISO – VentureBeat

이 질문은 인증 후 세션에 직접 적용된다. 공격자가 AI를 이용해 MFA를 통과시키는 가짜 아이덴티티를 만들면, 방어자는 그 아이덴티티가 이후에 하는 행동을 AI가 감시해야 한다. Riemer가 강조한 핵심은 보안 경계가 단일 로그인 이벤트에만 놓여 있으면, 그 문을 통과한 모든 공격자는 자유롭게 내부를 누빌 수 있다는 점이다.

마무리: NOV의 대응

NOV는 격차를 메웠다. 대부분의 기업은 아직 시작도 하지 못했다.

“우리는 강제 보안 정책 적용 게이트웨이를 도입했다. 평면 네트워크에 있는 사용자와 공격자는 탈취된 아이덴티티 세션 토큰을 사용할 수 있지만, 제로 트러스트 게이트웨이는 조건부 접근과 신뢰 재검증을 강제한다.” – NOV 성명 (발췌)

모든 인용문과 통계는 원문에 명시된 출처에 귀속됩니다.

Philips의 아이덴티티 보안 견해

“우리는 비밀번호나 다중 요소 재설정을 수행할 수 있는 사람을 크게 제한했다. 어느 한 사람이 이 제어를 우회해서는 안 된다.” – Philips, VentureBeat

“AI가 발전하면서 음성, 영상, 심지어 글쓰기 스타일도 신뢰할 수 없게 되었다. 사전에 공유된 비밀이 있거나, 오직 당신과 상대만 아는 질문을 검증할 수 있어야 한다.” – Philips, VentureBeat

NOV가 한 일

• 토큰 수명을 단축하고, 다중 조건을 요구하는 조건부 접근 정책을 구축했다.
• 업무 분리 원칙을 강제해 한 사람이나 서비스 계정이 비밀번호를 재설정하거나 MFA를 우회하거나 조건부 접근을 무시하지 못하도록 했다.
• SIEM 로그에 AI를 적용해 실시간에 가까운 사고 탐지를 구현했다.
• 스타트업을 영입해 가장 중요한 리소스에 대한 빠른 토큰 폐기 기능을 만들었다.
• 신뢰 체인 취약점을 식별했다: 딥페이크 음성이나 텍스트가 전화 통화나 Slack DM 검증 채널을 위협한다.

이번 주에 해야 할 8가지

NOV는 이러한 격차가 해결 가능함을 증명했다. 우선순위에 둘 작업은 다음과 같다.

1. 모든 특권 계정, 서비스 계정, API 키에 대한 토큰 수명 보고서를 추출한다.

   • 인터랙티브 세션 토큰을 일이 아니라 시간 단위로 단축한다.
   • 서비스 계정 자격 증명을 정해진 회전 일정에 맞춰 관리한다.
   • 만료일이 없는 API 키를 전부 제거한다.

2. 실제 공격 상황을 가정한 세션 폐기 훈련을 실행한다(비밀번호 재설정이 아니라).

   • 폐기 시간을 측정한다.
   • 팀이 5분 이하에 실시간으로 침해된 세션을 종료하지 못한다면, 27초에 달하는 공격자는 그 격차를 먼저 이용한다.
   • NOV는 훈련에 실패한 뒤 이 기능을 처음부터 구축했다.

3. 도메인 간 텔레메트리를 엔드‑투‑엔드로 매핑한다.

   • 한 명의 분석가가 디렉터리 서비스에서 발생한 아이덴티티 이상 징후를 클라우드 제어 평면 로그인 및 엔드포인트 행동 플래그와 **대시보드 전환 없이