CISA, FY23 위험 및 취약성 평가에서 자격 증명 액세스 위협 경고
CISA warns about credential access in FY23 risk & vulnerability assessment
미국 사이버보안 및 인프라 보안국(CISA)은 2023 회계연도(FY23) 위험 및 취약점 평가(RVA) 분석 결과를 발표하며, 위협 행위자들이 주요 인프라를 공격할 때 사용하는 전술과 기법을 중점적으로 분석했습니다. 이 보고서는 주요 분야에서의 취약점을 파악하고 국가 사이버 보안을 강화하려는 CISA의 지속적인 노력을 보여줍니다. 또한 IBM의 X-Force 위협 인텔리전스 지수 2024에 따르면, 자격 증명 액세스가 조직에 가장 큰 위협 중 하나로 꼽히고 있습니다.
중요한 점은, 위의 두 보고서 모두 자격 증명 액세스의 증가하는 위험성에 대해 경고하고 있다는 겁니다. 자격 증명 액세스란 합법적인 자격 증명을 탈취하거나 해킹하여 보안 체계를 우회하고 시스템에 무단 접근하는 행위를 의미합니다. 많은 고도화된 사이버 공격은 자격 증명 액세스를 통해 네트워크 내부에서 횡적으로 이동하거나 권한을 상승시키고, 지속성을 유지함으로써 탐지를 회피할 수 있습니다. 이 같은 보고서들은 자격 증명 액세스를 적절히 관리하는 것이 효과적인 위험 완화 전략의 핵심임을 강조하고 있습니다.
CISA released its Fiscal Year 2023 (FY23) Risk and Vulnerability Assessments (RVA) Analysis, providing a crucial look into the tactics and techniques threat actors employed to compromise critical infrastructure. The report is part of the agency’s ongoing effort to improve national cybersecurity through assessments of vulnerabilities in key sectors. Meanwhile, IBM’s X-Force Threat Intelligence Index 2024 has identified credential access as one of the most significant risks to organizations.
Both reports shed light on the persistent and growing threat of credential access — the act of stealing or cracking legitimate credentials to bypass security measures and gain unauthorized access to systems. Many advanced cyberattacks depend on credential access to provide intruders with the ability to move laterally within networks, escalate privileges and maintain persistence, frequently sidestepping detection. As per these industry-leading reports, an effective risk mitigation strategy depends on correctly dealing with credential access.
CISA의 FY23 RVA: 자격 증명 액세스에 초점
CISA’s FY23 RVA: Credential access in the spotlight
CISA의 2023 회계연도(FY23) RVA 보고서에 따르면, 자격 증명 탈취는 여전히 위협 행위자들이 네트워크를 침해하는 데 가장 많이 사용되고 성공률이 높은 방법으로 나타났습니다. 이 분석은 연방 민간 행정부(FCEB), 주 및 지방 정부, 민간 부문 등 주요 인프라 분야에서 총 143건의 RVA 평가를 바탕으로 이루어졌습니다. 보고서는 MITRE ATT&CK® 프레임워크를 활용해 공격자들이 선호하는 전술을 보여주고 있습니다.
특히 자격 증명 덤핑(T1003)과 LLMNR/NBT-NS 포이즈닝(T1557.001)이 자주 사용되는 기법으로 강조되었습니다. 자격 증명 덤핑은 평가 중 14%의 성공률을 기록했으며, 시스템 메모리에서 비밀번호 해시나 평문 비밀번호를 탈취해 네트워크 내에서 횡적으로 이동하는 데 사용됩니다. 또한, LLMNR/NBT-NS 포이즈닝은 이름 확인 프로토콜의 취약점을 악용해 기기가 공격자와 통신하도록 유도하는 기법으로, 13%의 성공률을 기록했습니다.
이러한 기법들은 종종 보안 경고 없이 시스템을 침해할 수 있습니다. 공격자가 합법적인 자격 증명을 확보하게 되면 권한을 상승시키고 민감한 데이터에 접근할 수 있으며, 심지어 탐지가 되더라도 새로운 계정을 생성해 지속적으로 시스템에 침투할 수 있는 여지를 남깁니다.
CISA’s FY23 RVA report underscores how credential access continues to be a prevalent and successful method used by threat actors to compromise networks. The analysis was based on 143 RVAs conducted across critical infrastructure sectors, including the federal civilian executive branch (FCEB), state and local governments and private-sector organizations. The report mapped findings to the MITRE ATT&CK® framework, illustrating which tactics attackers favored most.
Among the identified tactics, credential dumping (T1003) and LLMNR/NBT-NS poisoning (T1557.001) were highlighted as common techniques used by attackers. Credential dumping, in particular, was successful in 14% of the assessments. This technique involves stealing password hashes or cleartext passwords from system memory and then using these credentials for lateral movement within the network. In parallel, LLMNR/NBT-NS poisoning, which exploits weaknesses in name resolution protocols to force devices to communicate with malicious actors, was successful in 13% of cases.
These techniques allow attackers to exploit systems, often without triggering alarms. Once attackers obtain legitimate credentials, they can escalate privileges and access sensitive data. Hackers can even create new accounts to ensure they can continue to infiltrate the system, even if part of their operation is detected and neutralized.
자격 증명 액세스는 주요 위협
Credential access is a top threat
IBM의 X-Force 위협 인텔리전스 지수 2024 역시 CISA의 발견을 반영해 자격 증명 액세스를 전 세계 조직에 가장 큰 위협으로 지목하고 있습니다. IBM에 따르면, 공격자들은 보안 시스템을 우회하고 중요한 시스템에 접근하는 가장 쉬운 방법으로 자격 증명 탈취나 해킹에 점점 더 집중하고 있습니다. 키로깅, 피싱, 정교한 악성 소프트웨어 등을 통해 공격자들은 네트워크를 침해하기 위해 가장 취약한 요소인 '인간 행동'을 노리고 있습니다.
두 보고서에서 자격 증명 탈취는 단순한 전술이 아니라, 더 복잡하고 강력한 사이버 공격의 출발점이 될 수 있다고 경고합니다. 여기에는 랜섬웨어, 스파이 활동, 데이터 유출 등이 포함됩니다. IBM X-Force 보고서는 자격 증명 액세스가 공격자로 하여금 정당한 사용자처럼 보이게 만들어 보안 팀이 실시간으로 악성 활동을 탐지하기 어렵게 만든다고 강조합니다. 비밀번호 관리 부실, 다중 인증(MFA)의 부족, 그리고 인간 실수는 여전히 많은 조직에서 해결해야 할 중요한 취약점으로 남아 있습니다.
IBM’s X-Force Threat Intelligence Index 2024 echoes CISA’s findings — identifying credential access as the most significant risk to organizations worldwide. According to IBM, attackers are increasingly focusing on stealing or cracking credentials as the easiest way to bypass security measures and gain access to critical systems. Whether through keylogging, phishing or sophisticated malware, attackers target the weakest link — human behavior — to compromise networks.
In both reports, credential theft is not just a tactic — it is the gateway to executing more complex and damaging cyberattacks, such as ransomware, espionage and data exfiltration. IBM X-Force’s report emphasizes how credential access allows attackers to blend in with legitimate users, making it difficult for security teams to detect malicious activities in real time. The combination of poor password hygiene, lack of multi-factor authentication (MFA) and human error remains a significant weakness in many organizations.
자격 증명 액세스 사례 연구: Volt Typhoon 캠페인
CISA 보고서에서는 Volt Typhoon과 같은 실제 캠페인을 언급하고 있습니다. 이 캠페인은 2021년에 시작되어 2023년까지 계속되었으며, Fortinet Fortiguard 장치를 대상으로 자격 증명 덤핑을 통해 운영 체제 및 도메인 자격 증명을 탈취했습니다.
이 공격자들은 국가의 지원을 받는 것으로 추정되며, Mimikatz와 Impacket 같은 도구를 사용해 자격 증명을 덤핑하고, LSASS 프로세스의 취약점을 악용해 비밀번호 해시를 추출했습니다. 이를 통해 공격자들은 네트워크 내에서 횡적 이동을 하며 목표 시스템과 네트워크에 더 깊이 침투할 수 있었습니다.
Volt Typhoon Campaign: A case study in credential access
CISA’s report references real-world campaigns, such as Volt Typhoon, which began in 2021 and continued through 2023. This campaign targeted Fortinet Fortiguard devices, using credential dumping to steal operating system and domain credentials.
The attackers, believed to be state-sponsored, dumped credentials using tools like Mimikatz and Impacket, leveraging weaknesses in the LSASS process to extract password hashes. With these credentials, the attackers could perform lateral movement, gaining deeper access to targeted networks and systems.
위협 완화: 조직이 할 수 있는 일
Mitigating the threat: What organizations can do
CISA와 IBM은 자격 증명 액세스로 인한 위험을 줄이기 위해 사전 예방적인 사이버 보안 조치가 필요하다고 강조하고 있습니다. 권장되는 조치는 다음과 같습니다:
- 다중 인증(MFA) 도입: MFA를 사용하면 공격자가 탈취된 자격 증명으로 접근하는 것을 크게 방지할 수 있습니다.
- 특권 계정 보안 강화: 특권 계정에 고유한 비밀번호를 사용하고, 접근 권한을 제한하는 등 더 강력한 보안 조치를 적용해야 합니다.
- 정기적인 감사 및 모니터링: 특히 특권 계정의 비정상적인 로그인 활동을 지속적으로 모니터링하여 의심스러운 행위를 조기에 탐지할 수 있습니다.
CISA와 IBM이 경고한 것처럼, 자격 증명 액세스는 여전히 중요한 사이버 위협입니다. 조직들은 이러한 공격으로 인한 피해를 막기 위해 즉각적인 대응을 통해 보안을 강화해야 합니다.
Both CISA and IBM stress the need for proactive cybersecurity measures to mitigate the risks posed by credential access. Recommendations include:
- Implementing multi-factor authentication (MFA): Using MFA significantly reduces the risk of compromised credentials being used by attackers.
- Securing privileged accounts: Organizations should ensure that privileged accounts have stronger security measures, such as unique passwords and limited access.
- Regular auditing and monitoring: Continuous monitoring for unusual login activity, especially across privileged accounts, can help detect suspicious activities early.
As verified by both CISA and IBM, credential access continues to be a critical cyber threat. Organizations should take immediate action to strengthen defenses against credential attacks as they lead to a wide range of damaging consequences down the line.
https://securityintelligence.com/news/cisa-warns-about-credential-access-fy23-risk-assessment/
vulnerabilties | CISA | cyber risk assessment | credential dumping | Credentials Theft | Cyber Risk | Risk Management | Stolen Credentials | Vulnerability Analysis