직역하자면 ‘횡적 이동’이지만 ‘내부 이동’, ‘내부 확산’ 등으로 이해
동일 선상에서의 이동, 클라이언트 → 클라이언트(Client to Client), 서버 → 서버(Server to Server) ⇒ 횡적 이동
클라이언트→서버(Client to Server), 서버→클라이언트(Sever to Client)의 이동 ⇒ 종적 이동
지능형 위협(Advanced Persistent Threat, 이하 APT) 공격 과정 중 공격자가 조직 내 최초 시스템 해킹에 성공 후 내부망에서 사용되는 계정 정보를 획득하여 내부망의 시스템으로 이동하는 방식을 의미
공격자는 왜 래터럴 무브먼트를 해야 할까?
기업의 보안에 대한 인식과 대응 수준이 높아지면서 경계 보안이 강화되었기 때문
이로 인해 공격자가 특정 조직을 목표로 삼더라도 특정 시스템을 직접적으로 단번에 뚫고 들어갈 수 있는 가능성은 점점 낮아지고 있다.
따라서 사용자 시스템을 먼저 해킹한 후 공격자가 원하는 데이터가 보관되어 있는 내부의 다른 시스템을 찾아 내부에서 내부로의 이동이 필요하게 된 것이다.
APT 공격 흐름도 / APT 공격 단계는 외부에서 내부로 이동하는 것과 내부에서 내부로 이동하는 것으로 크게 두 부분으로 나뉨
공격자는 특정 조직을 타겟으로 선정하고 해당 조직에 대한 다양한 정보를 수집한다.
타겟 조직의 인프라에 대한 정보를 파악하는 것도 포함되며, 수집된 정보를 활용해 타겟 조직을 공격하기 위한 도구를 준비한다.
현재까지도 침해 성공률이 좋고 타깃 공격이 가능한 공격 방법은 **스피어 피싱(Spear Phishing)**과 워터링 홀(Watering Hole) 공격이다. 실제 공격에는 이 두 가지 방법이 혼용되기도 한다.
공격자는 사용자 PC를 공격해야 하므로 당연히 사용자 PC에서 많이 사용되는 소프트웨어를 노리게 된다.
이때 소프트웨어 취약점을 이용하는 익스플로잇 코드가 동작에 성공하게 되면 외부에 있는 공격자의 C&C(Command & Control) 서버와 접속이 이루어진다.
이로써 공격자는 타겟 조직의 네트워크에 존재하는 클라이언트 단말기를 직접 제어할 수 있게 된다.
즉, 외부에서 내부로 이동한 것이다.