ko

2025 보안사고 리뷰 [3편] 외부 침해 확산, 여기서 끊어야 한다 : 서버 이동 차단 + 실행 차단

PNPSECURE

11 min read
2025 보안사고 리뷰 [3편] 외부 침해 확산, 여기서 끊어야 한다 : 서버 이동 차단 + 실행 차단

전편에서 우리는 계정이 침해되는 순간이 아니라, 로그인 이후 공격자의 작업이 지속되는 과정이 사고를 일으킨다는 점을 보았습니다. ICA(Implicit Continuous Authentication)는 로그인 이후의 보안 공백을 줄이기 위해 계정이 아닌 ‘사람’을 지속적으로 확인함으로써 정상 계정 악용을 어렵게 만드는 접근 방식입니다.

현실적으로 이런 질문이 남습니다.

  • 그래도 한 번은 뚫릴 수 있다. 이 때 전사로 번지는 침해를 어떻게 끊어낼 것인가?

랜섬웨어와 같은 파괴적 공격이 무서운 이유는 침투가 끝이 아니라 ‘확산과 실행’이 시작이기 때문입니다. 공격자는 뚫린 한 대를 발판으로 삼아 다른 서버로 이동하고, 원격 명령(C2)과 자동화된 실행 흐름을 통해 암호화, 삭제, 유출 같은 최종 행위를 수행하며 피해를 전사로 확장합니다.

이번 편의 핵심은 단순합니다. 

침해가 일어났을 경우, 침해가 전사 마비로 이어지기 전에 연쇄 작용을 끊는 것. 이는 크게 두 구간에서 끊을 수 있습니다.

  • 서버 to 서버 이동 차단
  • 원격 명령 기반 실행 차단

랜섬웨어가 전사 마비로 커지는 공식 : 침투 > 거점 확보 > 이동 > 실행

랜섬웨어의 전형적인 흐름은 생각보다 단순합니다.

  • 초기 침투 (취약점, 계정, 피싱 등)
  • 내부 탐색 및 자격 증명 확보
  • 취약점을 활용한 공격 거점 확보
    • 악성코드 설치 및 잠복
    • 원격 제어/명령 실행 통로 확보, 재침투 가능 상태 유지
  • 서버 간 횡적 이동
  • 공격 실행
    • 암호화, 데이터 삭제 및 유출, 서 비스 중단

여기서 피해 규모를 갈라놓은 것은 1)장기적인 재접속 경로를 확보했는가, 2)다른 핵심 서버로 이동할 수 있는가 입니다. 공격자는 내부에서 길을 찾고, 그 길이 열려있으면 피해 확산은 순식간에 이루어집니다. 특히 원격 명령 기반의 재접속 통로와 지속성이 확보되면, 공격자는 한 번 들어온 뒤, 원하는 타이밍에 언제나 다시 접속해 장기적으로 공격을 이어갈 수 있는 거점을 마련하게 됩니다.

이제 보안의 질문도 바뀌어야 합니다.

  • 우리 시스템은 뚫릴 수 있는가?
    • 현실적으로 그럴 수 있다.
  • 뚫렸을 때 지속 경로를 만들 수 있는가, 다른 서버로 갈 수 있는가?
    • 이를 끊어내는 것이 피해를 방지하는 본질입니다.

실행 차단 : 잠복이 아니라 ‘실행’이 결정타다 - 게이트웨이 단 정책 집행

백도어 악성코드는 어딘가에 숨어 있는 것만으로 목표를 달성하지 못합니다.

결국 원격 명령과 실행 흐름이 성립되는 순간, 재침투 경로가 고정되고 공격이 시작됩니다.

  • 원격 명령 실행
  • 스케줄러/서비스 등록
  • 권한 있는 프로세스에 주입
  • 배치 스크립트/도구 실행 등

따라서 마지막 관문은 단순히 악성코드를 탐지했는가가 아닙니다.

  • 지금 이 실행, 그리고 실행을 유발하는 통신/명령이 허용된 행위인가?

피앤피시큐어는 이를 게이트웨이 단 정책 집행으로 차단합니다.

  • 비인가 실행을 원천 차단하고
  • 패킷/세션 단위의 가시성과 정책으로 비정상 통신을 차단함으로써
  • 원격제어 악성코드가 실행에 필요한 조건을 충족하지 못하게 만들어
  • 공격자가 자유롭게 드나드는 재침투 경로가 만들어지지 않도록 합니다.

정리하면, 공격자가 내부에 씨앗을 심었다고 하더라도 싹이 트는 순간, 즉 실행을 막아 피해를 방지하는 것입니다. 특히 원격제어·지속성 기반 악성코드는 장기간에 걸쳐 피해를 유발할 수 있다는 점에서 활성화 자체를 봉쇄하는 것이 핵심입니다.

이동 차단 : Server Agent 기반 마이크로 세그멘테이션으로 횡적 이동을 완전 차단

공격자가 한 서버에 들어왔을 때 가장 먼저 하는 일은 “다음 서버로 가는 길”을 찾는 겁니다. 파일 서버, 관리 서버, 업무 핵심 서버, 백업 서버… 내부 연결이 넓게 열려 있으면 그 길은 너무 쉽습니다.

PNPSECURE의 접근은 여기서 명확합니다.

서버에 Server Agent를 설치해 횡적 이동을 정책으로 통제하고, 필요한 통신만 최소 허용한다.

즉, 네트워크 간의 이동 장벽을 열어두는 방식(Flat Network)에서 벗어나, 서버 간 연결을 기본 차단 + 예외 허용으로 전환합니다.

이 방식이 강력한 이유는 단순합니다.

  • 계정이 침해되거나
  • 지속적 침투 경로가 확보되어도 → 다른 서버로 이동 자체가 막히면 피해 확산이 원천적으로 불가합니다.

특히, 공격자는 보안 레벨이 약한 서버에 침투한 이후 점차 중요한 서버로 옮겨가는 방식으로 전사적인 공격을 진행하기 때문에 침투 이후 확산을 차단하는 것이 중요합니다.

여기서 마이크로 세그멘테이션의 핵심 가치는 침해 방지가 아니라 침해 격리입니다.한 대가 뚫릴 수는 있어도, 그 한 대에서 사건이 끝나게 만드는 것. 이것이 랜섬웨어 등 악성코드 감염으로 인한 전사 마비 시나리오를 무너뜨립니다.

외부 침해 확산 방지가 바꾸는 3가지 기대효과 : 피해, 복구 범위, 대응 시간 최소화

이처럼 Server Agent, 그리고 마이크로 세그멘테이션을 통해 외부 침해 확산을 방지하는 방법을 살펴보았습니다. 그렇다면 조직의 관점에서 실제로 무엇이 달라질까요?

외부 침해 확산 방지의 효과는 아래 3가지 지표로 정리할 수 있습니다.

① 피해 반경 최소화 : 한 대에서 끝나게 만든다

침해를 0으로 만들 수는 없지만, 확산을 0에 가깝게 만들 수는 있습니다. 

서버 간 이동 경로를 기본적으로 차단하면, 한 지점의 침해가 다른 서버로 번지지 않습니다. 그 결과 일부 구간 침해가 전사 마비로 커지는 시나리오가 무너집니다. 또한, 피해 범위가 작아질수록 대응 속도와 복구 성공률은 올라갑니다.

즉, 사고의 결말을 전사 장애가 아닌 국소 장애로 바꾸는 것은 사고 피해 뿐만 아니라 대응 리소스 또한 최소화 합니다.

② 재접속 통로 실행 차단 : 설치보다 결정적인 건 실행이다

공격자가 내부에 재접속 통로를 만들어 놓았다고 해서 곧바로 전사 피해가 발생하는 것은 아닙니다. 피해는 결국 외부 지시를 받아 실행이 시작되는 순간 현실화됩니다. 게이트웨이 단 정책 집행으로 비인가 통신과 명령을 차단하면, 공격자는 실행을 시작할 수 없습니다.

즉, 침투가 ‘피해 증상’으로 이어지는 고리를 끊어 장기적인 공격을 막습니다.

③ 복구·대응 효율 개선 : 국소 복구와 빠른 격리로 비용·시간을 줄인다

확산이 막히면 영향을 받는 시스템 수가 줄어들어, 전사 재구축이 아니라 영향 구간만 격리·복구하는 국소 복구가 가능해집니다. 복구 시간이 줄면 매출/업무 손실과 내부 투입 인력, 대외 공지·고객 대응 같은 후속 비용도 함께 낮아집니다.

또한 이동·실행을 정책으로 통제할 수 있으면 어디를 막고 격리할지가 명확해져 초기 대응 의사결정이 빨라집니다. 전사 차단 같은 과잉 대응을 줄이고, 핵심 경로를 먼저 끊어 공격의 다음 단계를 빼앗을 수 있습니다.

결과적으로 사고는 더 작게, 더 빠르게 수습되고, 복구와 대응의 총비용이 크게 줄어듭니다.

한 줄 요약 : 공격자는 침투가 아니라 확산으로 회사를 멈춘다

2025년의 많은 보안사고는 “한 번 뚫렸다”가 문제가 아니라,뚫린 뒤 내부에서 벌어진 이동과 실행을 끊지 못한 것이 문제였습니다.그래서 핵심은 다음 두 질문으로 정리됩니다.

  • 계정 침해/재침투 경로가 확보되어도 다른 서버로 이동할 수 있는가?
  • 공격자가 원격 명령 기반 실행 을 성공시킬 수 있는가?

피앤피시큐어는 Server Agent 기반 마이크로 세그멘테이션으로 이동을 끊고, 게이트웨이 단 정책 집행으로 실행을 끊어, 침해가 전사 마비로 번지는 시나리오를 구조적으로 무너뜨립니다.

체크리스트 : 우리 조직의 확산 경로는 어디인가?

  • 서버 간 통신이 관행적으로 열려 있는 구간은 어디인가?
  • 파일/관리/업무 핵심 서버로 가는 길이 기본 허용되어 있진 않은가?
  • 한 서버에서 다른 서버로 이동할 때, 최소 허용 정책이 적용되는가?
  • 원격 명령(C2)·도구·스크립트 기반 실행 흐름을 정책으로 차단할 수 있는가?
  • 침해가 발생했을 때 격리를 즉시 수행할 수 있는 구조인가?

마무리

시리즈의 마지막인 다음 편에서는 지금까지의 이야기를 단일 전략으로 완성합니다.

피앤피시큐어는 사람(ICA)–이동(Server Agent)–실행(게이트웨이 정책 집행) 의 3단 구조로, 침해가 발생하더라도 공격이 연쇄적으로 이어지지 못하도록 침해 이후를 설계합니다.

  • ICA(얼굴 기반 지속 인증) : 정상 계정 악용을 어렵게 만들고
  • Server Agent 기반 마이크로 세그멘테이션 : 횡적 이동을 차단하며
  • 게이트웨이 단 정책 집행 :·원격 명령·비인가 실행을 막아 침해가 전사 마비로 번지는 시나리오를 구조적으로 끊어냅니다.

마지막 편에서는 이 3단 구조를 기반으로, 자가진단 체크리스트와 적용 시나리오(도입 전/후)까지 한 번에 정리해보겠습니다.