랜섬웨어 플레이북의 맹점: 머신 아이덴티티·자격 증명 대응 공백

랜섬웨어 위협과 대비 격차의 확대

랜섬웨어 위협과 이를 저지하기 위한 방어 간 격차는 개선되지 않고 커지고 있다. Ivanti의 2026년 사이버보안 현황 보고서는 추적하는 모든 위협 범주에서 대비 격차가 전년 대비 평균 10포인트 확대됐다고 밝혔다. 특히 랜섬웨어는 63%의 보안 전문가가 고위험으로 보면서도 단 30%만이 “매우 준비돼 있다”고 답해 격차가 33포인트(전년 29포인트)로 가장 컸다. CyberArk의 2025년 보고서는 조직 내 인간 1명당 머신 신원이 82개에 달하고, 그중 42%가 특권 또는 민감 접근 권한을 가진다고 수치로 제시한다.

가장 큰 맹점: 플레이북에서 빠진 머신 아이덴티티

가장 널리 참조되는 가이드라인인 Gartner의 2024년 4월 메모는 격리 단계에서 “영향받은 사용자/호스트 자격 증명” 재설정을 지시하지만, 서비스 계정, API 키, 토큰, 인증서처럼 비인간 자격 증명은 다루지 않는다. 복구 단계에서는 침해된 자격 증명을 업데이트·제거하지 않으면 재침투가 일어난다고 명확히 경고하면서도, 정작 격리 절차에는 그 해법이 빠져 있다. 머신 아이덴티티는 곧 IAM이며 침해된 서비스 계정은 자격 증명 그 자체다. 그러나 현재 표준 플레이북의 격리는 사람·디바이스 계정에서 멈추고, 이를 따르는 조직은 같은 사각지대를 고스란히 물려받는다.

자격 증명 초기화의 한계와 머신 자격 증명

사건 후 전 직원 비밀번호를 재설정하는 것은 상식이지만, 침해된 서비스 계정을 통한 횡적 이동은 막지 못한다. Gartner 샘플 플레이북의 격리 체크리스트는 AD를 통한 사용자 강제 로그아웃, 비밀번호 변경, 디바이스 계정 재설정 등 세 단계만 제시한다. 모두 AD 중심이며 비인간 자격 증명은 0개다. 횡적 이동 차단을 위해서는 서비스 계정, API 키, 토큰, 인증서에 대한 별도의 체계와 책임선이 필요하다.

사전 인벤토리 부재가 초래하는 지연

존재를 모르는 자격 증명은 재설정할 수도 없다. 서비스 계정·API 키·토큰은 사건 이전에 소유자와 사용처를 매핑해야 하며, 사건 도중 발견하려 들면 며칠을 잃는다. Ivanti에 따르면 조직의 51%만이 사이버 노출 점수를 보유했고, 27%만이 노출 평가를 “탁월”하다고 자평했다(노출 관리에 64%가 투자 중임에도). 투자와 실행 사이 간극에서 비인간 자격 증명이 사라진다.

네트워크 격리로는 신뢰 체인을 끊지 못한다

감염 호스트를 네트워크에서 빼도 그 호스트가 하위 시스템에 발급한 API 키의 신뢰는 유지된다. 토폴로지 경계에서 멈추는 격리는 신뢰 체인이 네트워크로 한정된다는 잘못된 가정을 전제로 한다. 공격자는 수일~수개월 잠복하며 자격 증명을 수집하고, 그 과정에서 서비스 계정과 API 토큰이 경보 없이 가장 쉽게 탈취된다. CrowdStrike에 따르면 76%의 조직이 관리되지 않은 호스트에서 SMB 공유를 통해 랜섬웨어가 확산되는 것을 우려한다. 보안 리더는 각 비인간 계정이 어디에 신뢰를 부여했는지 체인을 매핑하고, 단말이 아닌 전체 신뢰 경로에서 권한을 철회해야 한다. 이는 머신 아이덴티티를 고려한 격리 없이는 불가능하다.

탐지 로직의 공백과 자동화

이상 징후는 사용자 계정보다 기계 행위에서 더 조용하다. 비정상적인 API 호출 볼륨, 자동화 윈도우 밖 토큰 사용, 서비스 계정의 이례적 위치 인증 등은 대부분의 SOC 룰에 없다. 85%의 팀이 전통적 탐지로는 최신 위협을 따라잡기 어렵다고 인정하지만, AI 기반 탐지를 도입한 곳은 53%에 불과하다. 결과적으로 비인간 자격 증명 악용을 붙잡을 탐지 로직이 부재하다.

오래된 서비스 계정이 여는 문

수년간 회전되지 않은 계정, 이미 퇴사자가 만든 계정은 머신 기반 공격의 최약면이다. Gartner는 DBA·인프라 관리자·서비스 계정 등 특권 사용자의 강력한 인증을 권장하지만, 이 권고는 예방 섹션에만 있고 실제 사건 중 격리 플레이북에는 없다. 고아 계정 점검과 정기 회전은 사전 준비 단계에 포함돼야 한다.

경제학과 에이전틱 AI가 만든 긴박함

Gartner는 총복구 비용이 몸값의 최대 10배에 이를 수 있고, 절반이 넘는 사례에서 초기 접근 후 하루 내에 랜섬웨어가 배포된다고 경고한다. CrowdStrike는 평균 다운타임 비용이 건당 170만 달러(공공은 250만 달러)라고 밝혔다. 지불해도 소용없다. 몸값을 지불한 조직의 93%는 여전히 데이터 탈취를 당했고, 83%는 재공격을 받았으며, 약 40%는 백업으로 완전 복구하지 못했다. 동시에 87%는 에이전틱 AI 도입을 우선순위로 보고, 77%는 인간 개입 없이 자율 작동을 허용할 의향이 있지만, 정식 가드레일을 쓰는 곳은 55%뿐이다. 각 자율 에이전트는 새로운 머신 아이덴티티를 만든다. 오늘의 거버넌스를 못한다면 내일 더 큰 규모를 다룰 수 없다.

대응 방향: 머신 아이덴티티 중심 플레이북 재구성

머신 아이덴티티 인벤토리·소유권 확립

서비스 계정, API 키, 토큰, 인증서의 전수조사와 시스템별 소유·사용처 매핑을 사건 이전에 완료한다. 고아 계정 정리, 정기 회전 주기, 노출 점수화로 이행 간극을 줄인다.

탐지 규칙과 런북 강화

비정상 API 호출량, 자동화 윈도우 외 토큰 사용, 지리·시간대 이상 인증 등 비인간 행위를 포착하는 SIEM/SOAR 룰을 추가하고, AI 기반 탐지를 병행한다. 감지 시 자동 세션 종료·키 폐기·비밀 교체까지 이어지는 런북을 표준화한다.

격리·차단 절차에 비인간 자격 증명 포함

네트워크 격리를 넘어 서비스 계정 자격 증명, API 키, 토큰, 인증서의 단계적 폐기·회전·권한 축소를 즉시 수행한다. 신뢰 체인 전반(AD·클라우드 IAM·시크릿 매니저·CI/CD·메시지 버스)에서 연쇄적으로 접근을 철회한다.

테이블탑 연습으로 지속 검증

테이블탑에서 비인간 자격 증명 시나리오를 삽입해 탐지-격리-복구의 병목을 식별한다. 24시간 내 복구율, 평균 회전 시간, 신뢰 체인 폐기 소요 등 지표로 개선을 추적한다. 연습에서 버티지 못하면, 실전에서도 버티지 못한다.