it

신원이 공격 경로가 될 때

발행: (2026년 5월 21일 PM 07:30 GMT+9)
8 분 소요
원문: The Hacker News

캐시된 자격 증명의 숨겨진 위험

단일 Windows 머신에 캐시된 AWS 액세스 키를 생각해 보세요. 대부분의 캐시된 자격 증명과 마찬가지로, 사용자가 로그인하면서 자동으로 저장된 것입니다. AWS의 표준 동작을 따랐을 뿐, 잘못된 구성이나 정책 위반은 없었습니다. 그런데 그 하나의 키가 낮은 수준의 기술을 가진 공격자에게 쉽게 노출된다면, 기업 클라우드 환경에 존재하는 ~98 %의 엔터티—즉 비즈니스가 의존하는 거의 모든 핵심 워크로드—에 대한 경로를 열어줄 수 있습니다.

이 실제 노출은 공격자가 악용하기 전에 발견되었습니다. 교훈은 명확합니다:

아이덴티티 자체와 그에 수반되는 모든 권한이 공격 경로가 되었다.

왜 아이덴티티가 실제 공격 표면인가

당신의 환경은 아이덴티티 위에서 동작합니다:

  • 액티브 디렉터리
  • 클라우드 아이덴티티 제공자
  • 서비스 계정
  • 머신 아이덴티티
  • AI 에이전트

이 모든 요소는 시스템과 신뢰 경계를 넘나드는 권한을 가지고 있습니다. 하나의 도난당한 자격 증명은 공격자에게 정당한 아이덴티티그에 연결된 모든 권한을 제공합니다.

그럼에도 대부분의 보안 프로그램은 아이덴티티를 경계 제어—인증 및 접근 정책으로 보호해야 할 대상—로만 취급합니다. 실제 위험은 출입문 안쪽에서 시작됩니다. 공격자가 발판을 잡으면 아이덴티티가 다음을 가능하게 합니다:

  1. 네트워크를 가로질러 횡방향 이동
  2. 신뢰 경계(예: 온프레미스 ↔ 클라우드) 횡단
  3. 핵심 자산에 도달

아이덴티티는 경계가 아니라 환경 모든 레이어를 관통하는 고속도로입니다.

우리가 탐구할 내용

  • 캐시된 자격 증명, 과도한 권한, 잊혀진 역할 할당이 하이브리드 환경에서 어떻게 공격 경로가 되는지
  • 이러한 위험을 포착하도록 설계된 도구가 왜 자주 놓치는지

실용적인 인사이트와 완화 전략을 기대해 주세요.

공격 경로는 아이덴티티를 통해 흐른다

시작 시나리오에서 언급한 캐시된 액세스 키는 더 큰 현상의 한 예에 불과합니다. 하이브리드 환경 전반에 걸쳐 아이덴티티 설정 오류는 초기 발판에서 핵심 자산까지 직선 경로를 만들게 됩니다.

  • 액티브 디렉터리 – 아무도 검토하지 않은 단일 그룹 멤버십이 소매 현장 엔드포인트에 있는 공격자에게 기업 도메인에 직접 접근하게 할 수 있습니다.
  • 개발자 SSO 역할 – 클라우드 마이그레이션 프로젝트를 위해 만든 역할이 프로젝트 종료 후에도 계속 활성화돼 있습니다. 해당 아이덴티티를 탈취한 사람은 개발자 접근 권한에서 프로덕션 관리자 권한까지 네 단계 경로를 확보합니다.

이 실제 사례들이 위험한 이유는 연결 고리에 있습니다. 소매 엔드포인트의 캐시된 자격 증명이 과도한 AD 역할로 이어지고, 그 역할이 다시 관리 정책이 부착된 클라우드 워크로드에 접근을 허용합니다. 이렇게 연결된 아이덴티티 노출 체인은 초기 발판에서 핵심 자산까지 이어지는 단일 공격 경로를 형성합니다.

이 현상이 얼마나 흔한가?

  • Palo Alto Networks는 아이덴티티 약점이 **2025년 조사한 사건의 거의 90 %**에 심각한 역할을 했다고 밝혔습니다.

  • SpyCloud의 2026 아이덴티티 노출 보고서는 비인간 아이덴티티 절도가 범죄 지하 세계에서 가장 빠르게 성장하는 카테고리 중 하나라고 지적했으며, 회수된 비인간 자격 증명의 3분의 1이 AI 도구와 연관돼 있었습니다.

XM Cyber Fireside Chat banner
연속 노출 관리의 신화 시대를 살아남기 – Fireside Chat (XM Cyber)

비인간 아이덴티티가 관리자 수준 권한을 가질 때

개발 팀이 MCP 서버에 높은 수준의 권한을 부여해 AI 툴링이 시스템 전반에서 동작하도록 설정했다고 가정해 보세요. 해당 서버를 사용하는 AI 에이전트는 그 권한을 자체 아이덴티티로 상속받습니다. 오픈소스 툴에 취약점이 존재한다면, 공격자는 에이전트가 가진 동일한 권한을 손쉽게 획득할 수 있습니다. 이후 경로는 클라우드 리소스, 데이터베이스, 프로덕션 인프라로 직행합니다.

이 시나리오를 가능하게 하는 자격 증명은 수백만 건이 넘는 규모로 범죄 마켓플레이스에 유통되고 있습니다.

왜 도구들은 계속 놓치는가

아이덴티티 노출 위협 자체는 새로운 것이 아니지만, 대부분의 조직이 의존하는 도구들은 고립된 특정 문제를 해결하도록 설계되었으며, 다른 위협 시대를 염두에 두고 만들어졌습니다.

  • IGA 플랫폼은 사용자 라이프사이클(프로비저닝, 탈프로비저닝, 접근 검토 등)을 관리
0 조회
#identity #attack path #AWS #cloud security #IAM #credential leakage #cybersecurity
원문 보기
Share:
Back to Blog

관련 글

더 보기 »