메뉴 닫기

한국어

검색하기

DOOSAN Digital Innovation

인사이트 콘텐츠

  1. Home
  2. 리소스
  3. 인사이트 콘텐츠

공격자는 왜 아이덴티티를 노릴까? 2026년 변화하는 사이버 공격과 대응 전략

2026.01.12

🌟아이덴티티 공격(Identity-based Attack, 신원 기반 공격)이란 해커가 사용자나 시스템의 '신원 정보(ID/비밀번호, 인증 토큰 등)'를 탈취하거나 위조하여 마치 사용자인 것처럼 가장해 시스템에 침투하는 사이버 공격 방식이에요.

2026년 반드시 대비해야 할 아이덴티티 공격
본 이미지는 나노바나나(Nano Banana) 생성형 AI를 활용하여 제작되었습니다.


🔎 핵심 인사이트


✅ 2026년, 아이덴티티(ID)가 주요 공격 대상이 되었습니다.
✅ 공격자는 OAuth*과 API로 접근 권한을 영구적으로 가지려 합니다.
✅ 비즈니스 이메일 공격이 이메일 넘어 캘린더, 사내 메신저 애플리케이션, 공유드라이브 등으로 공격 영역이 확대되었습니다.
✅ 공격 도구 없이 클라우드 환경의 기본 기능, 신뢰 서비스, 구성을 악용한 테넌트 공격(Living-Off-the-Tenant)이 점점 더 많아지고 있습니다.
✅ 아이덴티티(ID) 및 클라우드 네이티브 공격에 대비하기 위해 MFA(다중 인증)과 로그 보존은 필수입니다.

*OAuth(Open Authorization)은 사용자가 해당 애플리케이션에 ID와 PW를 제공하지 않고 네이버, 구글, 카카오 등 Open API와 통신하여 사용자 인증을 처리해주는 방식입니다. 쉽게 말하자면 네이버 로그인, 카카오 로그인 등으로 회원가입하고 로그인하는 것을 말해요.


2026년 사이버보안 사고 대응, 무엇이 달라지나요?


2026년, 사이버보안 사고 대응(Incident Response, IR)의 초점은 악성코드 중심 조사에서 벗어나 아이덴티티(ID) 기반 침입과 클라우드 서비스 악용 공격으로 이동할 것입니다. 아이덴티티(ID) 공격은 지난 사이버보안 필수 관리 항목 11가지의 첫번째로 소개될 만큼 중요해졌습니다. 이 공격은 자연스럽게 접근하기 때문에 위험 신호는 약하지만 매우 위험합니다. 공격자들이 기술적 취약점을 노리기보다 영구적인 접근 권한을 확보하여 공격을 시도하기 때문에 사용자, 보안 제어, 자동 탐지를 우회하는 사례가 증가하고 있습니다.


지난 1년 간 관찰된 사이버 공격 주요 변화

  • 전체 보안 사고 중 40%가 피싱 및 소셜 엔지니어링 공격*으로 침투되었습니다.

  • 이는 다음으로 많이 발생한 자격 증명 도용 및 CVE*악용의 두배가 넘는 수치입니다.

  • 이메일 보안이 크게 발전했음에도 공격자들은 방어 체계를 우회해 공격을 지속하고 있습니다.

  • 침해사고가 명확한 침해 지표보다 인증 흐름, 클라우드 애플리케이션, 워크플로우의 미묘한 오용으로 정의되는 경우가 많아지고 있습니다.

  • 보안팀이 악의적인 행위와 정상적인 행위를 구분하기 더욱 어려워졌습니다.

*소셜 엔지니어링 공격은 시스템의 기술적 보안 취약점 대신 인간의 심리적 허점과 행동패턴을 이용해 기밀정보를 탈취하는 것을 말합니다.
*CVE(Common Vulnerabilities and Exposures)은 공개적으로 알려진 하드웨어, 소프트웨어의 보안 취약점을 고유한 식별번호로 표준화하여 관리하는 시스템입니다.

아이덴티티 공격의 핵심 포인트 4가지

1. 아이덴티티(ID)는 가장 중요한 공격 표면이 되었습니다.

최근 침해 수법은 악성코드를 심는 방식에서 벗어나 정상 사용자 행동을 모방하는 방식으로 진화하고 있습니다. 공격자들은 악성 소프트웨어보다 ID 인증 시스템, 클라우드 접근 권한, 신뢰받는 애플리케이션을 악용하는 데 집중하고 있습니다.

왜 악성코드보다 아이덴티티(ID) 공격이 위험한가요?


공격자가 사용자처럼 행동하면서 인증 체계 자체를 우회해 보안 탐지를 피하고 있습니다.

  • AiTM* 기법으로 피싱 방지형 MFA(다중 인증) 우회 시도

  • OAuth 애플리케이션을 악용하거나 토큰을 도용하여 접근 권한 획득 및 유지

  • 탈취한 쿠키 또는 토큰으로 세션 하이재킹

  • 기업용 애플리케이션 내 악성 행위 위장

*AiTM(Adversary-in-the-Middle, 중간자 공격)은 사용자가 보는 로그인 화면을 공격자가 가로채는 피싱 기반 공격입니다. 사용자가 입력한 ID/PW, MFA 코드 등을 공격자가 먼저 탈취하고, 이를 실제 서비스에 대신 입력해 로그인에 성공한 것처럼 보이게 합니다.

아이덴티티(ID)사고 대응 방법


아이덴티티(ID) 자체가 공격 표면이 된 만큼 아이덴티티(ID) 기반 가시성 확보와 행위 분석이 필수적인 대응 전략으로 자리 잡고 있습니다.인증 및 로그인 로그, 토큰 수명, OAuth 부여, 동의 내역, 비정상적인 접근 패턴 등 아이덴티티(ID) 원격 측정 데이터를 조사해야 합니다.

2. OAuth로 로그인하고, API로 로그인 상태를 유지합니다.


공격자는 OAuth를 단순한 진입점이 아니라 지속적 권한 유지를 위한 핵심 수단으로 활용합니다. 한 번 권한이 부여되면 공격자는 애플리케이션 전용•백그라운드 API 작업으로 전환하여 패스워드, MFA, 세션 초기화가 이루어진 이후에도 권한을 유지할 수 있습니다.

공격자는 어떻게 접근 권한을 얻고 유지하나요?


공격자는 OAuth 권한과 토큰 구조를 이용해 장기적으로 계정에 머무르는 전략을 사용합니다.

  • 장기 갱신 토큰으로 재인증 없이 지속적으로 접근 권한 획득

  • 읽기 권한 등 무해해 보이는 권한을 연결하여 데이터 접근

  • 복구 매커니즘으로 사용자에게 애플리케이션 재승인을 유도해 권한 탈취

  • MSP 파트너, CRM, 마케팅 플랫폼, 전자 서명 서비스, 회계, 인보이스 애플리케이션 등 신뢰할 수 있는 액세스 경로를 지속 공격


OAuth•API악용을 탐지하는 방법


패스워드보다 권한 기반 접근이 주가 되면서 OAuth 앱, API 토큰, 3자 연동 분석이 필수입니다. 계정 초기화 뿐만 아니라 애플리케이션 레벨의 분석이 필요하며 OAuth 아티팩트 누락 시 재침해 위험이 높아집니다.

3. 비즈니스 이메일 공격은 이메일을 넘어 협업 플랫폼까지 확장되고 있습니다.


비즈니스 이메일 공격(Business Email Compromise, 약어 BEC)은 더 이상 악성 링크 클릭을 유도하는 단순한 피싱이 아닙니다. 신뢰받는 업무 환경과 합법적 접근 권한을 악용해 내부로 침투하며, 이제 공격 범위는 이메일을 넘어 캘린더, 협업 툴, 공유 드라이브 등으로 확대되고 있습니다.

왜 이제 ‘이메일 공격’이라고만 볼 수 없을까요?


공격자들은 기업이 매일 사용하는 다양한 협업 채널을 활용해 더 정교하게 공격합니다.

  • 캘린더 초대 링크를 이용해 피싱 유도

  • Teams/Slack 등 실시간 협업 툴을 이용한 소셜 엔지니어링 공격

  • 공유 드라이브에 저장된 실제 인보이스의 결제 정보 변조

  • 밴더사의 SaaS 테넌트 탈취 후 실제 공급업체 계정•도메인•공유 폴더•협업 툴을 통해 침투


최신 비즈니스 이메일 공격에 대응하는 방법


확장된 BEC 위협에 대응하기 위해서는 이메일만 보호하는 것으로는 부족합니다. 이메일, 협업 플랫폼, 파일 접근 권한, 재무•업무 워크플로우 등 여러 채널을 연관 분석하여 공격의 영향 범위를 파악해야 합니다. 비즈니스 이메일 공격은 기업 내부의 다양한 업무 시스템 전반에서 발생하는 위협입니다.

4. “Living-Off-the-Tenant” 공격이 증가하고 있습니다.


PowerShell이나 WMI 같은 도구로 클라우드 환경을 악용하는 공격도 여전히 많지만 클라우드환경 자체가 공격자의 무기가 되는 방식이 빠르게 증가하고 있습니다.공격자는 별도의 외부 도구 없이 클라우드 서비스에서 기본으로 제공되는 기능, 신뢰 서비스, 설정을 악용해 접근 권한을 확보하고유지합니다.

테넌트 공격은 어떤 환경에서 특히 위험할까요?

  • Microsoft Graph API, Exchange Online, SharePoint, Teams 등 클라우드 네이티브 툴이 폭넓게 사용되는 환경

  • MSP, 마케팅 플랫폼, CRM 등 관리자가 이미 승인한 외부 서비스

  • 사용자 OAuth 동의 활성화, 레거시 프로토콜 허용, 약한 조건부 접근 정책 등 기본 설정에 존재하는 취약점

  • 오래된 서비즈 주체, 제한된 로그 보존, 애플리케이션 소유자 미정 등 관리되지 않거나 방치된 테넌트 구성 요소


테넌트 공격을 방지하는 방법


테넌트 공격이 가능한 이유는 공격자가 별도 도구 없이도 내부 기능만으로 위협을 실행할 수 있기 때문입니다. 따라서 보안 관점도 달라져야 합니다. 테넌트 자체를 공격표면으로 인식하고, 악성코드 유입 여부만으로 위험도를 판단해서는 안됩니다. 이제 발생하지 않은 증거(Negative Evidence)까지 검증해 테넌트 전반의 설정•권한 구조•로그 가시성을 점검해야 합니다.

2026년 사이버보안 사고 대응을 위한 권고사항


권고사항 목적 및 효과
전 계정에 피싱 저항 MFA 적용 자격 증명 재사용/우회 최소화
활동 로그(인증/감사/API) 장기 보존 사고 조사, 보험, 규제 대응 지원
Entra ID 및 ID 공급자 로그 중앙화 비정상적인 접근 패턴 및 인터랙션 없는 활동 탐지
기업 애플리케이션/서비스 목록 관리 무단•고위험 통합 식별 및 관리
OAuth 등록 및 동의 모두 알림 설정 권한 실시간 모니터링 및 공격자의 권한 유지 탐지
협업 플랫폼 BEC 모니터링 이메일 외 업무 환경 내 침해 대응 강화

결론: 2026년, 사이버보안 사고 대응의 본질은 '정체성'과 '신뢰'


2026년 가장 위험한 침해 사고는 정상 행위로 위장하여 은밀하게 조직 내에 스며드는 것입니다. DFIR 실무자는 아이덴티티 분석가, 클라우드 감사, 그리고 위협 스토리텔러가 되어야 합니다. 방어는 신원, 가시성, 그리고 ‘신뢰된 접근도 침해될 수 있다’는 전제에서 출발해야 합니다. 지금 바로, 조직 내 신원 및 클라우드 기반 사이버보안 사고 대응 체계를 점검해보세요!

사이버리즌 APAC 파트너 (주)두산 디지털이노베이션BU와 함께하면 EDR, MDR 및 XDR과 같이 통합 보안 체계 및 복원력 강화, 위협 대응속도까지 높일 수 있습니다.

✉️ 사이버 보안 전문가에게 문의하기

[사이버리즌 원문 보기]


ABOUT THE AUTHOR

Jamie Mamroe, 사이버리즌 사고 대응 전문가
이 콘텐츠는 사이버 보안 위협 중 아이덴티티(ID) 기반 공격 대응 전문가인 Jamie Mamroe가 작성한 내용을 바탕으로 제작되었습니다.Jamie Mamroe는 7년 이상의 디지털 포렌식 및 사고 대응 실무 경력을 보유하고 있으며, 랜섬웨어, 내부자 위협, 대규모 비즈니스 이메일 침해(BEC) 사건 등 다양한 조사 프로젝트를 주도한 경험이 있습니다.특히 Microsoft 365 포렌식 및 클라우드 환경 조사에 특화되어 있으며 GIAC 공인 포렌식 조사관(GCFE) 및 GIAC 공인 포렌식 분석가(GCFA) 자격증을 보유한 전문가입니다.

목록