권한 상승(Privilege Escalation) 공격이란 무엇이며, 어떻게 방어할 수 있을까?

권한 상승(Privilege Escalation) 공격이란?

권한 상승 공격은 공격자가 낮은 권한을 가진 계정에서 관리자(Administrator) 또는 루트(Root) 권한을 획득하는 공격 기법입니다. 이를 통해 공격자는 시스템을 완전히 장악하고, 데이터 탈취, 악성코드 배포, 시스템 파괴 등의 악의적인 행위를 할 수 있습니다.

✔ 권한 상승 공격의 주요 목적

1. ✅ 관리자 권한을 얻어 보안 정책 우회
2. ✅ 시스템 내부 정보 접근 및 변경
3. ✅ 악성코드 실행 및 시스템 장악
4. ✅ 백도어 설치 및 장기적인 접근 유지

권한 상승 공격의 유형

권한 상승 공격은 수직적 권한 상승(Vertical Escalation) 과 수평적 권한 상승(Horizontal Escalation) 두 가지 유형으로 나뉩니다.

1. 수직적 권한 상승(Vertical Privilege Escalation)

공격자가 일반 사용자 계정에서 관리자(root) 권한을 획득하는 공격입니다.

📌 예제:
✔ 공격자가 Windows에서 취약한 시스템 서비스를 악용하여 SYSTEM 권한 획득
✔ Linux에서 SUID 설정이 잘못된 바이너리를 이용해 root 권한 획득

2. 수평적 권한 상승(Horizontal Privilege Escalation)

공격자가 동일한 권한 수준에서 다른 사용자의 계정에 접근하는 공격입니다.

📌 예제:
✔ 웹 애플리케이션에서 ID 변경을 통해 다른 사용자의 데이터 접근
✔ 직원 계정을 해킹하여 동료 직원의 계정 정보 탈취

권한 상승 공격의 주요 기법

1. 취약한 소프트웨어 및 시스템 서비스 악용

• OS 및 애플리케이션의 보안 취약점(Exploit)을 이용하여 권한 상승
• 예: Windows의 PrintNightmare 취약점(CVE-2021-34527)

2. 취약한 파일 및 디렉토리 권한 악용

• 잘못된 파일 권한 설정을 이용해 관리자 권한으로 실행 가능
• 예: /etc/passwd 파일 수정, Windows schtasks 권한 오남용

3. Credential Dumping (자격 증명 탈취)

• Mimikatz 같은 도구를 이용해 메모리에 저장된 패스워드 추출
• Windows의 LSASS 프로세스를 덤프하여 관리자 계정 탈취

4. DLL Injection 및 DLL Hijacking

• 프로그램이 잘못된 DLL 파일을 로드하도록 유도하여 권한 상승
• 예: explorer.exe가 공격자가 만든 악성 DLL을 실행

5. Kernel Exploits (커널 취약점 공격)

• 운영체제의 커널 취약점을 이용하여 root 권한 획득
• 예: Linux Dirty COW 취약점(CVE-2016-5195)

권한 상승 공격 방어 방법

1. 최신 보안 업데이트 적용

• OS, 소프트웨어, 애플리케이션을 항상 최신 상태로 유지
• Windows, Linux, MacOS의 보안 패치 자동 업데이트 활성화

2. 최소 권한 원칙(Principle of Least Privilege, PoLP) 적용

• 모든 사용자와 프로세스에 최소한의 권한만 부여
• 관리자 계정 사용을 최소화하고, 필요할 때만 sudo 또는 Run as Administrator 사용

3. 보안 로그 모니터링 및 경고 설정

• Windows 이벤트 로그에서 이상한 권한 상승 시도 감지 (Event ID 4673, 4674, 4688)
• Linux에서는 auditd, syslog, journalctl을 이용하여 의심스러운 SUID 실행 모니터링

4. 취약한 파일 및 서비스 권한 설정 확인

• Windows에서는 icacls 명령어로 파일 권한 점검
• Linux에서는 find / -perm -4000으로 SUID 바이너리 확인

5. 악성코드 및 크리덴셜 덤핑 방어

• Windows Defender, EDR/XDR 솔루션을 활용하여 Mimikatz 탐지 및 차단
• LSASS 메모리 보호 설정하여 패스워드 덤핑 방어

Windows LSASS 보호 활성화 방법

PowerShell>
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v RunAsPPL /t REG_DWORD /d 1 /f

6. UAC(User Account Control) 강화

• Windows에서 UAC를 "항상 알림" 수준으로 설정
• 공격자가 관리자 권한을 얻기 어렵도록 보호

7. SIEM(Security Information and Event Management) 활용

• Splunk, Microsoft Sentinel, Graylog 같은 SIEM 솔루션으로 실시간 권한 상승 시도 탐지

결론: 권한 상승 공격을 막기 위한 실천 방안

🚀 권한 상승 공격을 방어하기 위해 다음을 실천하세요!

1. ✔ 최신 보안 업데이트 유지 (Windows, Linux, 소프트웨어)
2. ✔ 최소 권한 원칙 적용 (PoLP, SUID 제거, UAC 설정 강화)
3. ✔ 이벤트 로그 및 SIEM 솔루션 활용 (이상 징후 실시간 감지)
4. ✔ Mimikatz 및 크리덴셜 덤핑 방어 (LSASS 보호, WDAC 설정)

🔒 권한 상승 공격을 사전에 차단하면, 해킹 피해를 막을 수 있습니다!

📚 참고 자료

• Microsoft. (2023). Windows Privilege Escalation Techniques. Retrieved from https://learn.microsoft.com/
• MITRE ATT&CK. (2023). Privilege Escalation (T1068). Retrieved from https://attack.mitre.org/
• CVE Details. (2023). Recent Privilege Escalation Vulnerabilities. Retrieved from https://www.cvedetails.com/
• Red Hat. (2023). Linux Kernel Privilege Escalation. Retrieved from https://access.redhat.com/