Q

[질문] 계정 복구 이후에도 공격자가 남겨놓은 Shadow Admin 계정을 탐지하는 방법이 궁금합니다

비회원 박기차 2026-06-23 15:37
A

Shadow Admin 계정을 탐지하기 위해서는 Active Directory의 권한 구조를 심층적으로 분석해야 합니다. 유효 권한 분석: 특정 계정이 특정 AD 객체에 대해 가지는 모든 권한(명시적 권한 및 그룹 멤버십을 통한 상속 권한 포함)을 종합적으로 평가하여 숨겨진 관리자 권한을 식별해야 합니다. ACL 감사 및 모니터링: AD 객체의 ACL 변경 이력을 지속적으로 모니터링하고 감사하여, 비정상적인 권한 부여 시도를 탐지해야 합니다. 특히, Access Control Entry에 대한 변경 사항을 주시해야 합니다. AD 감사 로그 분석: 계정 생성, 삭제, 그룹 멤버십 변경, 권한 변경 등 모든 AD 관련 이벤트를 기록하고 분석하여 의심스러운 활동을 찾아냅니다. 이는 gpedit.msc를 통해 고급 감사 정책을 설정하여 수행할 수 있습니다.

비회원 페리도트테크 2026-06-23 15:47
Q

[질문] 페리도트테크의 접근은 기존 보안 솔루션과 비교해 어떤 차별점이 있으며, 실제 효과는 어떤 지표로 검증할 수 있나요?

비회원 이남진 2026-06-23 15:36

아직 답변이 없습니다

Q

(질문) 최근에는 계정·디바이스 중심 위협뿐 아니라 SaaS 연동(OAuth 앱), API 토큰, 서드파티 커넥터/자동화(RPA), 브라우저 확장 프로그램처럼 “사용자는 정상인데 연결이 위험해지는” 형태의 공격면이 늘고 있습니다. 이런 비전통적 아이덴티티/접근 경로에 대해 제로트러스트 관점에서 가시성(누가/무엇이/어디에/어떤 권한으로 연결됐는지)과 리스크 점수화를 구현하는 방법은 무엇인가요?

비회원 박지훈 2026-06-23 15:35

아직 답변이 없습니다

Q

[질문] Identity Attack이 성공했을 때를 가정해, 탐지 이후 복구와 비즈니스 연속성을 보장하기 위한 대응 체계는 어떻게 설계해야 하나요?

비회원 이남진 2026-06-23 15:35

아직 답변이 없습니다

Q

[질문] 계정 복구 이후에도 공격자가 남겨놓은 Shadow Admin 계정을 탐지하는 방법이 궁금합니다

비회원 최형은 2026-06-23 15:35
A

Shadow Admin 계정을 탐지하기 위해서는 Active Directory의 권한 구조를 심층적으로 분석해야 합니다. 유효 권한 분석: 특정 계정이 특정 AD 객체에 대해 가지는 모든 권한(명시적 권한 및 그룹 멤버십을 통한 상속 권한 포함)을 종합적으로 평가하여 숨겨진 관리자 권한을 식별해야 합니다. ACL 감사 및 모니터링: AD 객체의 ACL 변경 이력을 지속적으로 모니터링하고 감사하여, 비정상적인 권한 부여 시도를 탐지해야 합니다. 특히, Access Control Entry에 대한 변경 사항을 주시해야 합니다. AD 감사 로그 분석: 계정 생성, 삭제, 그룹 멤버십 변경, 권한 변경 등 모든 AD 관련 이벤트를 기록하고 분석하여 의심스러운 활동을 찾아냅니다. 이는 gpedit.msc를 통해 고급 감사 정책을 설정하여 수행할 수 있습니다.

비회원 페리도트테크 2026-06-23 15:46
Q

[질문] 공격자가 신규 계정 생성, 권한 위임, 그룹 정책 변경 등을 통해 지속성을 확보한 경우 이를 식별하기 위한 핵심 점검 항목이 궁금합니다

비회원 최성태 2026-06-23 15:35
A

계정 생성, 권한 위임, 그룹 정책 변경 등은 도메인 관리자 권한이 필요함으로 도메인 어드민 그룹의 멤버를 확인해 보셔야 합니다.

비회원 페리도트테크 2026-06-23 15:43
Q

[질문] 제로 트러스트와 IAM, MFA, 권한 최소화 원칙을 결합할 때 실제 운영 환경에서 어떤 방식으로 리질리언스를 높일 수 있나요?

비회원 이남진 2026-06-23 15:35
A

비회원 페리도트테크 2026-06-23 15:43
Q

[질문] Identity Provider가 공격받은 상황에서는 어떤 요소를 신뢰 기준으로 삼아 복구를 진행하는지 궁금합니다

비회원 최형빈 2026-06-23 15:35

아직 답변이 없습니다

Q

[질문] EDR 위협 탐지 랜섬웨어 악성코드 탐지 대응 솔루션이 내부 이동 탐지 ITDR와 함께 운영될수 있는지 궁금해요

비회원 정미숙 2026-06-23 15:34
A

조직인 AD를 운영하고 있다면 함께 운영을 반드시 하셔야 합니다. ITDR뿐만 아니라 복원(복구)=사이버 회복력도 반드시 고민하셔야 합니다.

비회원 페리도트테크 2026-06-23 15:40
A

상담신청할게요 고마워요 감사해요

비회원 정미숙 2026-06-23 15:42
Q

[질문] 계정 탈취, 권한 오남용, 인증 우회 같은 Identity Attack에 대응하기 위해 가장 먼저 강화해야 할 보안 통제는 무엇인가요?

비회원 이남진 2026-06-23 15:34
A

오늘은 사이버 회복력 세미나이기 때문에 저희는 복구 회복력 = 사이버 회복력을 강조 드립니다.

비회원 페리도트테크 2026-06-23 15:39
Q

[질문] 복구 과정에서도 지속적인 인증과 검증을 유지해야 하는데 운영 복잡성을 줄이는 방안이 궁금합니다

비회원 최형은 2026-06-23 15:34
A

Quest AD재해복구 솔루션은 복구 과정의 복잡성과 실패를 줄일 수 있는 독보적인 솔루션입니다.

비회원 페리도트테크 2026-06-23 15:38
A

가장 먼저 강화해야 할 보안 통제는 다단계 인증(2FA)입니다.

비회원 페리도트테크 2026-06-23 15:40
Q

[질문] Identity Attack이 기존 랜섬웨어,침해사고와 다른 이유는 무엇이며, 왜 이제는 사이버 리질리언스의 중심 위협으로 봐야 하나요?

비회원 이남진 2026-06-23 15:33
A

Identity Attack은 기존 랜섬웨어나 침해사고와 다릅니다. AD/Entra ID Tier 0 자산 장악 시 전체 인프라를 통제할 수 있어 사이버 리질리언스의 중심 위협으로 자리 잡았습니다.

비회원 페리도트테크 2026-06-23 15:37
A

기존 랜섬웨어나 침해사고는 특정 시스템이나 데이터를 목표로 하지만, Identity Attack은 인증 체계 자체를 장악하므로 조직 전체에 무제한 접근을 허용합니다. 즉, 공격자가 정당한 사용자로 위장하기 때문에 탐지가 매우 어렵고, 피해 범위를 예측할 수 없습니다.

비회원 페리도트테크 2026-06-23 15:39

아직 답변이 없습니다

Q

[질문] 클라우드 보안 웹 클라우드 엑세스 보호 데이터 보호를 강화하는 솔루션이 ITDR와 연계될수 있나요?

비회원 강성준 2026-06-23 15:33

아직 답변이 없습니다

Q

[질문] Identity Recovery 과정에서 가장 어려운 부분이 계정 복구인지 권한 검증인지 궁금합니다

비회원 박은지 2026-06-23 15:32
A

Production 환경에서 계정 복구는 80-90% 자동화되지만, 권한 검증 단계에서 추가 시간이 소요되는 경우가 대부분입니다.

비회원 페리도트테크 2026-06-23 15:36
A

계정 복구는 단순 하지만, 계정이 가지고 있는 권한은 상당히 다양하고 복잡합니다. 권한 복구가 더욱 어렵습니다.

비회원 페리도트테크 2026-06-23 15:36
Q

[질문] 관리자 계정이 모두 침해된 상황에서도 복구 작업을 수행할 수 있는 비상 계정 체계는 어떻게 운영하는지 궁금합니다

비회원 안상영 2026-06-23 15:31
A

침해를 가정을 두고 AD재해복구를 준비하는 것이 진정한 사이버 회복력입니다.

비회원 페리도트테크 2026-06-23 15:34
Q

[질문]서버와 네크워크 장비 등 관리하는 장비와 관리 계정에 대한 수가 많을 경우에, 암호에 대한 체계와 복잡성을 유지하면서 정기적인 변경을 하기가 어려운 부분에 어떻게 적용하고 지원을 받을 수 있는지?

비회원 장혁수 2026-06-23 15:31
A

Quest는 AD보안 및 재해복구 솔루션을 제공하고 있습니다. 질문주신 내용는 PAM솔루션으로 구현 가능할 것으로 보입니다.

비회원 페리도트테크 2026-06-23 15:33
Q

[질문]1.Identity Attack이 랜섬웨어나 공급망 공격보다 더 위험한 위협으로 평가받는 이유는 무엇이고, 현재 기업들이 가장 우선적으로 점검해야 할 취약 지점은 어디라고 보시는지요? 2.Zero Trust 환경을 구축한 기업에서도 계정 탈취, 세션 하이재킹, 권한 오남용이 발생하고 있는데, 이를 효과적으로 탐지하고 차단하기 위한 핵심 전략은 무엇인지요? 3.Cyber Resilience 관점에서 IAM, PAM, ITDR(Identity Threat Detection & Response) 솔루션은 각각 어떤 역할을 수행하고, 실제 구축 시 우선순위는 어떻게 가져가야 한는지요? 4.AI 기반 공격이 증가하면서 정상 사용자 행위를 모방한 Identity Attack이 고도화되고 있습니다. 이러한 공격에 대응하기 위해 AI를 어떻게 방어 체계에 활용할 수 있는지요? 5.Identity가 침해된 상황을 가정했을 때, 기업이 서비스 중단 없이 신속하게 복구(Recovery)하고 비즈니스 연속성을 유지하기 위한 Cyber Resilience 운영 모델의 핵심 요소는 무엇인지요?

비회원 조성영 2026-06-23 15:31
A

1. Identity Attack이 더 위험한 이유와 우선 점검 지점Identity Attack이 랜섬웨어나 공급망 공격보다 더 위험한 이유는 인증 체계가 모든 시스템 접근의 입구이기 때문입니다. 한 번 Identity가 침해되면 조직 전체의 데이터와 서비스에 접근할 수 있으므로, 피해 범위가 가장 광범위합니다. 또한 탐지가 어려워 침해 사실을 인식하지 못한 채 오랜 기간 노출될 수 있습니다. 따라서 기업들이 가장 우선적으로 점검해야 할 취약 지점은 Active Directory와 IAM 시스템의 로그 모니터링 현황, 권한 설정의 적절성, 그리고 MFA(다중 인증) 적용 수준입니다.2. Zero Trust 환경에서의 효과적인 탐지 및 차단 전략Zero Trust는 훌륭한 보안 정책이지만, 정책만으로는 부족합니다. 실제 운영에서는 행동 기반 탐지(UBA/UEBA) 기술이 필수적입니다. 정상 사용자의 행동 패턴을 먼저 학습한 후, 그 패턴과 벗어나는 이상 징후를 지속적으로 모니터링하는 것입니다. 계정 탈취, 세션 하이재킹, 권한 오남용 같은 공격은 사용자의 세션 활동, 권한 사용 패턴, 접근 시간과 위치 등을 종합 분석하여 실시간으로 탐지하고 즉각적으로 차단할 수 있습니다.3. IAM, PAM, ITDR 솔루션의 역할과 구축 우선순위먼저 IAM(Identity & Access Management)은 사용자의 신원을 확인하고 접근 정책을 수립하는 기초 역할을 하므로 1순위로 구축해야 합니다. 그 다음 PAM(Privileged Access Management)은 관리자 등 특권 계정을 집중적으로 관리하고 세션을 통제하는 역할을 하므로 2순위입니다. 마지막으로 ITDR(Identity Threat Detection & Response)은 IAM과 PAM이 구축된 환경에서 위협을 실시간으로 탐지하고 대응하는 운영 단계이므로 3순위로 진행하는 것이 효과적입니다.4. AI 기반 공격에 대한 AI 방어 체계 활용AI 기반 공격이 정상 사용자 행위를 교묘하게 모방하는 만큼, 방어 체계도 AI 기술을 적극 활용해야 합니다. 먼저 머신러닝을 통해 정상적인 사용자 행동의 베이스라인을 학습합니다. 그 후 위치, 접근 시간, 사용 권한, 작업 속도 등 다양한 신호를 종합적으로 분석하여 이상 행위를 점수화합니다. 위협 수준이 높으면 자동으로 계정을 격리하거나 MFA 재인증을 요구하는 식으로 자동 대응하는 방식입니다. 이렇게 AI 대 AI의 지능형 방어를 구축할 수 있습니다.5. Identity 침해 시 비즈니스 연속성 유지를 위한 Cyber Resilience 운영 모델Identity가 침해된 상황에서 서비스 중단 없이 신속하게 복구하려면 4단계 운영 모델이 필요합니다. 첫째, ITDR 솔루션을 통해 침해를 실시간으로 탐지하는 것입니다. 둘째, 침해된 계정을 즉시 비활성화하되, 필수 서비스만 우선 복구하여 비즈니스 영향을 최소화합니다. 셋째, 감사 로그를 분석하여 정확한 피해 범위를 파악한 후 선택적으로 복구합니다. 넷째, 사고 원인을 철저히 분석하여 향후 정책을 강화하는 학습 단계를 거칩니다. 이러한 탐지-격리-복구-학습의 순환적 운영이 진정한 Cyber Resilience를 확보하는 핵심입니다.

비회원 페리도트테크 2026-06-23 15:35
Q

[질문] Forest 전체가 침해된 상황에서 부분 복구와 전체 재구축 중 어떤 전략을 권장하는지 궁금합니다

비회원 최형은 2026-06-23 15:31
A

전체 재구축 전략이 더 빠른 복구를 제공합니다.

비회원 페리도트테크 2026-06-23 15:31
Q

자동화 DR 테스트가 data restoration을 의미하는건가요?

비회원 조하나 2026-06-23 15:28
A

아닙니다. Veeam의 자동화 DR 테스트(SureBackup·Orchestrator ReadinessCheck)는 데이터 복원(Data Restoration) 자체가 아니라 "복구 가능한 상태인지 검증"하는 것으로, 백업 이미지를 격리 Virtual Lab에 부팅하여 애플리케이션 정상 동작·정합성·악성코드 여부를 확인하는 프로세스입니다. (참고: Veeam SureBackup) ReadinessCheck는 데이터 복원 없이 DR 사이트의 스토리지·네트워크·컴퓨팅 자원 가용성과 Runbook 실행 가능 여부만 사전 점검하는 것이며, 실제 데이터 복원(Restore)은 장애 발생 시 또는 별도 복구 훈련(DR Drill) 시에만 수행됩니다. 정리하면 자동화 DR 테스트는 "실제 복구 없이 복구 성공 가능성을 사전 검증"하는 것이고, Data Restoration은 실제 데이터를 목적지에 쓰는 별개의 작업이므로 두 개념을 분리하여 설계·운영하는 것이 핵심입니다.

비회원 Kyle Lee 2026-06-23 15:29