공격은 보안 팀이 대응할 수 있는 속도보다 더 빠르게 진행됩니다. 공격은 ID, 엔드포인트 및 SaaS 앱 전반에 걸쳐 몇 분 만에 확산되어 분석가들에게 수많은 신호를 퍼붓고 조치할 시간을 거의 남기지 않습니다. 사고가 조사될 때쯤이면 공격자는 이미 다음 단계로 넘어가 피해와 비즈니스 연속성을 악화시키는 경우가 많습니다. 조직은 이러한 공격에 대응하고 앞서나갈 방법이 필요합니다.
이것이 바로 저희가 자동 공격 차단을 구축한 이유입니다. Microsoft의 AI 기반 자가 방어 기능은 랜섬웨어와 같은 진행 중인 다중 도메인 공격을 피해를 입히기 전에 몇 분 만에 중단시킵니다. Ignite에서 저희는 공격 차단 기능을 확장하여 Microsoft Sentinel을 통해 수집되는 중요한 데이터 원본인 Amazon Web Services (AWS) 및 Proofpoint를 지원하게 되었습니다. 이를 통해 피싱 및 ID 손상과 같은 위협에 대한 실시간 탐지 및 자동 격리 기능을 로그 데이터 상에서 구현하여 SIEM을 근본적으로 위협 보호 솔루션으로 전환할 수 있습니다.
업계에서 가장 포괄적인 XDR을 기반으로 구축된 Microsoft Defender는 Microsoft의 방대한 위협 인텔리전스, 심층적인 보안 연구 및 강력한 위협 보호 기능을 모든 보안 신호에 적용하여 고객 환경의 모든 로그 소스가 동일한 고정확도 탐지, 조사 및 대응의 혜택을 받도록 합니다.
AWS: 초기 접근부터 실시간 차단까지
조직이 AWS에서 중요한 워크로드를 구축하고 실행하는 일이 늘어남에 따라 클라우드는 현대 위협 행위자에게 가장 매력적이고 자주 표적이 되는 공격 표면 중 하나가 되었습니다. 2025년에는 모든 데이터 유출의 45%가 클라우드 기반 자산과 관련되고, 지난 한 해 동안 조직의 81%가 최소 한 번의 클라우드 보안 사고를 경험하는 등, 공격자들은 전례 없는 규모로 노출된 ID를 악용하고 있습니다.
고객을 보호하기 위해 공격 차단 기능은 이제 공격자 진행을 가장 자주 유도하는 두 가지 ID 시나리오를 차단합니다.
1. 손상된 AWS 연동 사용자
이 시나리오에서는 손상된 Entra ID 계정이 연동된 AWS 역할을 가정하여 AWS 리소스에 액세스하는 데 사용됩니다. 자동 공격 차단은 Entra ID 사용자 계정을 자동으로 비활성화하고 세션을 취소하여 공격자가 더 이상 작업을 수행하지 못하게 합니다. 또한, 연동된 AWS 세션은 (거부 정책을 통해) 취소되어 AWS에서 공격자의 활동을 즉시 차단합니다.
2. 손상된 AWS IAM 사용자
이 시나리오에서는 AWS IAM 계정이 공격자에게 손상됩니다. 공격 차단은 거부 정책을 적용하여 계정을 격리함으로써 손상된 계정의 AWS 내 추가 활동을 제한합니다.
공격 차단이 AWS 공격을 중단시키는 실제 시나리오를 살펴보겠습니다.
그림 1. AWS 계정에 대한 공격 차단
이 사고에서 우리는 AWS 공격으로 이어지는 활동과 공격 차단에 의해 자동으로 차단되었음을 확인할 수 있습니다. 시퀀스를 다시 살펴보면:
- 첫 번째 징후는 이메일이 전송된 후 삭제된 피싱 캠페인입니다.
- 이어서 손상된 사용자 계정에서 의심스러운 로그인과 새로운 네트워크 연결이 나타나 잠재적인 계정 탈취를 알립니다.
- 공격자는 피해자의 Entra ID 자격 증명을 사용하여 특권 AWS 계정으로 연동합니다.
- Sentinel의 신호가 XDR과 상관 관계를 이룸으로써 Defender는 손상에 대한 높은 확신을 얻습니다.
- 공격 차단은 세션 토큰을 자동으로 취소하고 손상된 Entra ID 계정과 공격자가 사용한 AWSAdminRole을 모두 비활성화합니다.
그러나 공격자는 이전에 생성했던 보조 백도어 AWS 계정을 이용하여 우회하려고 시도합니다. Defender는 이 시도를 즉시 감지하고 해당 백도어 계정 또한 비활성화하여 추가적인 측면 이동을 방지하고 침입을 완전히 무력화합니다.
사고로 돌아와서, Security Copilot 동적 위협 탐지 에이전트의 AI 생성 신호에 기반한 추가적인 정찰 경고가 나타납니다. 이 에이전트는 사고를 조사하여 숨겨지거나 상관 관계가 있는 공격자 활동을 밝혀내고 더 많은 경고, 자산 및 지표를 드러냅니다. 이는 의심스러운 행동과 경고가 발생한 이유를 명확히 설명하는 동적으로 생성된 "무슨 일이 있었나" 설명을 제공하여 공격 스토리를 풍부하게 하고 대응을 가속화합니다.
그림 2. 동적 위협 탐지 에이전트 생성 경고
Defender의 AI 기반 기능과 Security Copilot 에이전트가 결합하여 현대 SOC 운영이 수동적인 분류에서 능동적이고 파급력 있는 방어로 어떻게 발전하는지 보여줍니다.
요약
AWS 데이터를 Sentinel로 가져옴으로써 심층적인 가시성과 탐지 범위를 확보할 수 있을 뿐만 아니라 Microsoft Defender를 통해 자동 공격 차단과 같은 강력한 AI 기반 기능을 활용할 수 있습니다. 이러한 신호는 보호를 강화하여 대응을 가속화하고 영향을 줄임으로써 공격자보다 한발 앞서 나갈 수 있도록 돕습니다.