2026년, CISA가 스트라이커 해킹 후 엔드포인트 관리 시스템 강화, 특히 마이크로소프트 인튠 사용자에게 피싱 저항 인증 및 최소 권한 적용을 촉구합니다.
CISA, 엔드포인트 보안 강화 긴급 경고
2026년, CISA는 전 세계 조직에 엔드포인트 관리 시스템 구성을 강화할 것을 강력히 촉구했습니다. 지난주 친이란 해킹 조직 핸달라가 미국 의료용품 공급업체 스트라이커를 공격하며 마이크로소프트 인튠(Microsoft Intune)을 침해한 사건이 발단입니다. 핸달라는 파괴적인 데이터 삭제 및 탈취 공격으로 악명이 높습니다. CISA는 인튠 사용자뿐만 아니라 모든 엔드포인트 관리 소프트웨어 사용 조직에 이 방어 원칙을 적용해야 한다고 강조했습니다.
피싱 저항 인증, 최우선 과제
SANS 연구소 연구 소장 요하네스 울리히는 CISA의 권고가 시의적절하다고 평가했습니다. 그는 “최우선 과제는 피싱 저항 인증을 구현하여 로그인을 보호하는 것”이라고 강조했습니다. 다중 요소 인증(MFA)이 많은 문제를 해결하지만, 모든 MFA 기술이 피싱 저항력을 갖추는 것은 아닙니다. 특히 누구나 접근 가능한 클라우드 기반 솔루션의 경우, 견고한 피싱 저항 인증은 필수입니다. 이는 모바일 장치 관리 문제를 넘어선 IT 리더의 핵심 우선순위입니다.
개인 기기 등록 시 주의
울리히 소장은 개인 기기를 기업 관리 엔드포인트 솔루션에 등록할 때의 주의사항도 덧붙였습니다. 개인 기기 중단 사태를 피하기 위해 회사 소유 기기만 등록하고, 등록된 기기는 회사 업무 전용으로 사용해야 합니다. 이는 보안 정책 적용 및 관리의 명확성을 확보하여 잠재적 위험을 줄이는 데 중요합니다.
CISA 권고: 최소 권한과 MFA
CISA는 IT 리더들에게 엔드포인트 관리 시스템 강화를 위한 핵심 지침을 제시했습니다. 첫째, 관리자 역할 설계 시 ‘최소 권한’ 원칙을 엄격히 적용해야 합니다. 인튠의 역할 기반 접근 제어(RBAC)를 통해 특정 역할의 권한 범위를 제한하세요. 둘째, ‘피싱 저항 다중 요소 인증(MFA)’과 특권 접근 위생을 의무화해야 합니다. 마이크로소프트 엔트라 ID 기능을 활용해 인튠에 대한 무단 접근을 차단하는 것이 중요합니다.
CISA 권고: 다중 승인 및 참조 문서
CISA는 엔드포인트 관리 시스템 접근 및 변경 시 ‘다중 관리자 승인’ 정책을 의무화하도록 권고했습니다. 이는 단일 지점의 실패를 방지하고 보안을 강화합니다. 인튠 관리자들은 마이크로소프트의 공식 문서를 적극 활용해야 합니다. ‘Intune 보안 모범 사례’, ‘다중 관리자 승인 접근 정책’, ‘보안 강화를 위한 Intune 구성’, ‘Intune RBAC’, ‘특권 ID 관리 배포 계획’ 등이 상세한 보안 가이드를 제공합니다.
엔드포인트 관리, 고가치 타겟
DigiCert의 필드 CTO 마이클 스미스는 CISA 경고가 인튠에 국한되지 않는다고 지적합니다. 많은 유사 제품들이 엔드포인트에서 관리자 권한으로 실행되기에, 변경을 가하는 강력한 도구이자 동시에 해커의 표적이 됩니다. 이러한 제품의 침해는 관리되는 모든 엔드포인트의 침해로 이어질 수 있어, IT 관리자들은 시스템 전반에 걸친 보안 강화에 집중해야 합니다.
‘돌이킬 수 없는 피해’ 방지책
스트라이커는 핸달라 공격으로 운영에 차질을 겪었으며, 핸달라는 20만 대 이상의 기기를 원격 삭제했다고 주장했습니다. Arctic Wolf의 이스마엘 발렌수엘라는 “단일 로그인이 돌이킬 수 없는 피해를 야기할 권한을 가져서는 안 된다”고 경고합니다. 기기 삭제, 대규모 정책 변경 등 파괴적 관리 작업은 반드시 여러 단계의 독립적인 승인을 거쳐야 합니다. 신뢰받는 플랫폼이 단일 실패 지점이 되지 않도록 잠궈야 합니다.
고가치 타겟: 엔드포인트 관리 시스템
디지털 디펜스 책임자 로버트 베그스는 엔드포인트 관리 시스템이 항상 고가치 타겟이었다고 말합니다. 이 시스템들은 네트워크 전체에 구성과 스크립트를 푸시하기에 신뢰받지만, 동시에 해커들에게는 ‘왕국의 열쇠’와 같습니다. 과거 SolarWinds Orion, Kaseya VSA, Microsoft Exchange 관리 인터페이스 등 유사 공격 사례가 이를 증명합니다. 공격자들은 개별 시스템보다 강력한 제어 시스템을 노리는 경향이 있습니다.
효과적인 방어 전략
로버트 베그스는 이러한 공격에 대한 방어 전략으로 전문가들이 제시하는 최소 권한 접근, 주요 조치 이중 승인, 강력한 ID 제어, 마이크로 세분화 도입을 강조했습니다. 특히 엔드포인트 관리 시스템은 수천 대의 기기에 동시에 변경을 가할 수 있으므로, 예상치 못한 스크립트 배포는 방어 기능 무력화나 악성 콘텐츠 배포로 이어질 수 있습니다.
비정상 관리 활동 모니터링
로버트 베그스는 비정상적인 관리 활동 모니터링의 중요성을 특히 강조했습니다. 업무 시간 외, 비정상적인 위치나 IP 주소에서의 관리자 활동을 면밀히 감시해야 합니다. 새로운 관리자 역할 생성이나 권한 상승을 검증하고, 정상적인 관리 활동 기준선을 설정하여 평소와 다른 작업을 신속히 식별하는 것이 중요합니다. 이는 잠재적 위협을 조기에 감지하는 데 필수적입니다.
침해 징후 식별과 신속한 복구
MFA 비활성화, 보안 제어 제거, 모니터링 도구 제거, 네트워크 접근 제어 변경, 로깅 설정 변경 등은 엔드포인트 관리 시스템 침해의 명확한 징후입니다. 베그스는 “이러한 조치를 얼마나 빨리 식별할 수 있는가, 그리고 복구할 준비가 되어 있는가”가 가장 중요한 질문이라고 지적합니다. 신속한 탐지와 대응 능력은 피해를 최소화하고 비즈니스 연속성을 확보하는 데 결정적인 역할을 합니다.
핸달라 웹사이트 압수 소식
한편, 목요일 플래시포인트(Flashpoint) 연구원들은 FBI가 핸달라 선전 및 탈취 데이터 공개에 사용되던 두 웹사이트를 압수했다고 확인했습니다. 현재 한 사이트에는 미국 법원 명령에 따라 도메인이 압수되었다는 성명이 게시되어 있습니다. 플래시포인트는 핸달라가 독립적인 행위자가 아닌 이란 정권과 연관되어 있다고 분석했습니다. 이는 사이버 위협 배후에 국가 주체가 있음을 시사합니다.
