top of page

Lateral Movement와 Dwell Time: 공격 확산을 제한하는 Microsegmentation의 역할

공격의 영향은 접근 이후에 결정된다



공격의 영향은 어떻게 접근이 발생했는지보다, 공격자가 환경 내부에 들어온 이후 얼마나 멀리 이동할 수 있는지에 의해 결정되는 경우가 많습니다. 예방 중심의 보안 통제도 여전히 중요하지만, 그것만으로 최종적인 결과가 결정되지는 않습니다. 실제 영향을 좌우하는 것은 공격자가 얼마나 오래 내부에 머무를 수 있는지와, 얼마나 많은 영역에 도달할 수 있는지입니다.


많은 조직에서 이 시간은 예상보다 길게 유지됩니다. 공격자는 여러 시스템을 이동하면서 중요 자산을 식별하고, 장기간에 걸쳐 지속성을 확보합니다. 활동이 인지되는 시점에는 이미 초기 침투 지점을 넘어 공격이 확장된 경우가 많습니다.


Lateral movement가 공격 확장을 만든다

취약점이나 계정 탈취를 통해 접근을 확보한 이후, 공격자는 환경 내부를 이동하기 위해 정상적인 도구와 시스템 기능을 활용합니다. 원격 관리, credential 재사용, 일반적인 시스템 프로세스를 활용하며, 이러한 활동은 정상적인 운영과 구분하기 어렵습니다.

이러한 lateral movement는 공격자가 민감한 시스템에 도달하고, 권한을 상승시키며, 데이터를 유출할 수 있게 만듭니다. 시스템 간 상호작용을 제한하는 통제가 없다면, 하나의 침해된 endpoint가 조직 전체로 확산될 수 있습니다.


네트워크 경계는 더 이상 현실을 반영하지 않는다

기존 보안 아키텍처는 명확한 네트워크 경계를 기준으로 설계되었습니다. 내부와 외부를 구분하는 구조였습니다.

하지만 클라우드, 원격 접근, 분산된 애플리케이션 환경에서는 이 모델을 유지하기 어렵습니다.

workload는 이동하고, identity는 여러 시스템에 걸쳐 동작하며, 통신 경로는 더 이상 고정된 네트워크 구간에 묶여 있지 않습니다. 접근이 발생하면 lateral movement는 큰 저항 없이 확장되는 경우가 많습니다.


Microsegmentation은 시스템이 어디에 위치해 있는지가 아니라, 어떻게 통신하는지에 초점을 맞춥니다. 광범위한 내부 접근을 허용하는 대신, workload 간의 구체적인 관계를 기반으로 통신을 정의하고 제한합니다.


이를 통해 불필요한 연결을 줄이고, 민감한 시스템을 분리하며, 내부 트래픽에 대해 보다 세밀한 통제가 가능해집니다. 공격자가 접근을 확보하더라도 lateral movement 자체가 훨씬 어려워지며, 공격이 확산될 수 있는 범위가 제한됩니다.


환경이 계속해서 변화하는 만큼, 통제 또한 workload에 더 가까워질 필요가 있습니다. 기존 segmentation 방식은 subnet이나 firewall과 같은 네트워크 구조에 의존하기 때문에, 동적으로 변화하는 환경에서는 관리가 어렵습니다. microsegmentation은 애플리케이션, 프로세스, 역할을 기준으로 정책을 정의할 수 있어 변화하는 환경에도 보다 유연하게 대응할 수 있습니다.


Lateral Movement 통제:

lateral Movement on network

많은 조직은 내부 통신에 대한 충분한 가시성을 확보하지 못하고 있습니다. 이로 인해 불필요하거나 위험한 연결을 식별하는 것이 어렵습니다. workload 간 동작에 대한 가시성이 확보되어야 의미 있는 정책을 정의할 수 있고, 예상과 다른 lateral movement 패턴을 탐지할 수 있습니다. 이 수준의 가시성이 없다면 통제는 불완전하게 남게 됩니다.


Continuous MDR은 dwell time을 줄입니다.

시스템이 어떻게 동작해야 하는지를 정의하는 것만으로는 충분하지 않습니다. 공격자는 여전히 허용된 경로를 활용하고, 정상적인 credential을 사용하며, 기존 정책에 맞춰 행동을 조정합니다.

24/7 MDR은 endpoint, 네트워크, identity 전반에 걸쳐 지속적인 가시성을 제공합니다. 단순히 alert에 의존하는 것이 아니라, 실제 행위를 식별하고 검증하는 데 초점을 둡니다. 이를 통해 lateral movement를 초기에 탐지하고, 확산되기 전에 대응할 수 있습니다.


Microsegmentation은 공격자가 얼마나 멀리 이동할 수 있는지를 제한합니다. Continuous MDR은 그 이동을 얼마나 빠르게 탐지하고 차단할 수 있는지를 결정합니다.

PAGO의 preemptive MDR 접근 방식에서는 시스템 전반에 대한 가시성과 지속적인 위협 검증, 그리고 분석가 중심의 조사 과정이 결합됩니다. 의심스러운 행위가 식별되면, 상황이 확산되기 전에 이를 통제하기 위한 대응이 이루어집니다. 핵심은 가능한 한 이른 시점에서 lateral movement를 통제하여 dwell time을 줄이고, 공격의 영향을 제한하는 데 있습니다.

실제 환경에서 공격을 관리하기 위해서는 구조적인 통제와 지속적인 운영 가시성이 함께 필요합니다. 시스템 간 통신을 제한하는 것은 노출 범위를 줄이고, 지속적인 모니터링은 내부 활동을 이해하고 적시에 대응할 수 있도록 합니다. lateral movement를 통제하고 조기에 대응하는 것은 공격의 영향을 줄이는 가장 효과적인 방법 중 하나입니다.

현재 보안 체계를 점검하고 있다면, 먼저 내부 환경에서 이미 어떤 일이 발생하고 있을 수 있는지 이해하는 것이 중요합니다. 활성 위협과 잠재적인 노출을 식별하기 위해 무료 Threat Cleaning 점검을 요청해볼 수 있습니다.



bottom of page