"Maintaining access"(접근 유지)란 공격자가 일단 시스템이나 네트워크에 침투한 뒤, 해당 접근 권한을 장기간 보존하기 위해 취하는 모든 조치와 기법을 말합니다. 초기 침투와 달리 목적은 더 이상 단순한 진입이 아니라 계속해서 내부에 머물며 추가 정보 수집·권한 확장·지속적 명령·제어(C2)를 가능하게 하는 것입니다. 주요 내용과 예: - 지속성(persistence) 확보: 재부팅 후에도 접근이 유지되도록 백도어·서비스 등록·윈도우 레지스트리 항목·스케줄러 작업·크론탭·시스템 드라이버 등을 설치. - 은닉·지능적 유지: 루트킷, 프로세스 인젝션, 파일리스 페이로드, 스텔스 기법으로 탐지를 회피. - 사용자 계정·자격 증명 보관: 새 관리자 계정 생성, 비밀번호 덤프·토큰 탈취로 장기 권한 확보. - 원격 통제 유지: 지속적인 C2 채널(웹쉘, 암호화된 터널, DNS 터널링 등) 설정. - 권한 상승 및 횡적 이동 지원: 추가 시스템으로 이동해 더 넓은 영역에서 접근을 유지. 관련 프레임워크: - MITRE ATT&CK에서는 "Persistence"와 "Privilege Escalation" 범주에 다양한 유지 기법을 정리. - 사이버 킬체인에서는 침투 후 '유지(maintain presence)' 단계와 유사한 개념. 탐지 및 대응(요약): - 엔드포인트 탐지·응답(EDR), 네트워크 트래픽 분석, 중앙 로그 수집·상관관계 분석으로 비정상적 지속성 흔적 탐지. - 원격 접근 정책 강화(MFA, 세션 타임아웃), 최소 권한 원칙, 정기적 자격증명 회전, 취약점·패치 관리. - 불필요한 서비스·계정 제거, 파일·레지스트리 무결성 검사, 의심스러운 스케줄 작업·서비스 모니터링. - 사고 대응 계획과 침해 사고 포렌식으로 초기 침해 근원 및 지속성 메커니즘 제거. 윤리적 관점: - 공격자는 악용하지만, 침투 테스트나 레드팀 활동에서는 승인된 범위 내에서 시스템 강건성 평가 목적으로 동일한 기법을 사용. 이러한 활동은 명확한 허가와 통제하에 이루어져야 함.
