유지보수 업체를 통한 침투, 이렇게 막는다 — 원격 점검·관리 PC가 ‘최초 해킹 경로’가 되는 이유와 표준 대응안

By PLURA

핵심 메시지
“유지보수 관리 PC원격 접속 절차는 곧 조직 내부로 통하는 문입니다.
이 문을 통제하지 않으면, 가장 약한 고리최초 침입 지점이 됩니다.”

1) 배경 — 왜 유지보수 경로가 위험한가

대부분의 기업은 규모와 관계없이 여러 개(소규모 2~3개, 대기업은 수십~수백 개)의 유지보수 업체와 계약합니다. 이들 중 상당수는 정기 점검·비상 조치 등을 이유로 VPN, SSH, RDP, 전용 툴을 통해 원격 접속을 사용합니다. 모든 유지보수 인력이 보안 숙련도가 높은 것도 아니며, 업체 관리 PC에 고객사 접근 정보(ID/비밀번호, 접속 IP 목록, 터미널 히스토리)가 저장되는 경우가 흔합니다.
그 결과, 관리 PC 탈취 → 저장 자격증명 도용 → 내부망 측면이동이라는 공격이 성립합니다.

실제 역사적 사례도 이를 뒷받침합니다. 한국의 농협(2011) 사건에서는 유지보수 협력사(IBM Korea) 직원 노트북이 공격 경로로 지목되어 핵심 시스템 실행 파일 삭제 명령이 내려져 전산망이 마비되었고, 일부 거래 데이터가 메인·백업 서버에서 동시에 삭제됐다는 보도도 있었습니다. 미국의 SolarWinds(2020) 공급망 공격에서는 여러 미 연방 민간기관이 영향권에 들었고, CISA가 Emergency Directive 21-01로 Orion 시스템의 즉시 분리·전원차단을 명령했습니다. (Korea Times; CISA ED-21-01)

2) 전형적 공격 시나리오 (관리 PC → 내부망)

flowchart LR
  A[공격자] -->|피싱·악성파일·취약점| B[유지보수 업체 '관리 PC']
  B -->|저장된 SSH 키·RDP 기록·비밀번호| C[고객사 VPN/Jump/Bastion]
  C -->|승인 없이 광범위 접근| D[업무/관리 서버]
  D -->|도메인·백업콘솔·보안장비 장악| E[측면이동·권한상승·데이터 유출]

취약 포인트

번호 항목 내용 설명
1 비밀번호/키 저장 터미널·RDP 클라이언트의 자동 저장·세션 기록으로 자격증명 노출 위험 증가
2 항시전원·무인 단말 퇴근 후에도 켜져 있는 원격제어 가능한 단말이 공격자에 악용될 수 있음
3 단일 계정·범용 권한 여러 고객사를 한 계정/광범위 권한으로 접속해 침해 시 피해가 급확산
4 로그 부재 접속 사유·세션 행위증적(log) 미수집 → 사후분석·책임추적 불가
5 백업/관리 콘솔 침해 시 전사 복구 지점까지 무력화 (예: Veeam 취약점 악용 사례) 7
6 MSP/관리 툴 연쇄위험 Kaseya VSA 등 관리 플랫폼 악용 시 다수 고객 동시 피해 발생 8

3) 유지보수 업체의 필수 내부 통제 (자체 준수)

아래 항목은 현장 실무 기준으로 바로 감사·점검 항목에 넣을 수 있도록 정돈했습니다.

  1. (베스천 PC) 자격증명 저장 금지

    • SSH/원격도구: SSH 접속 ID/Password 저장 및 자동 로그인 금지. 세션/프로파일에 자격증명 보존 금지, 세션 종료 시 캐시·클립보드·전송 파일 기록 삭제. (키 기반 사용 시 개인키 평문 저장 금지, 암호화/에이전트 임시 보관만 허용)
    • 원격 데스크톱(RDP): 자격 증명 저장 금지, 세션 종료 시 캐시 삭제.

  2. 작업 종료 즉시 전원 종료(베스천 PC 포함)

    • 데스크톱/베스천 PC: 작업 종료 후 반드시 완전 종료(Shutdown).
    • 노트북: 절전/슬립/대기/덮개 닫기 금지, 전원 표시등 확인 등으로 전원 OFF 여부를 반드시 확인.

  3. EDR 필수 (예: PLURA-EDR)

    • 실시간 악성코드 탐지/차단, 무결성 보호·행위 기반 차단, 원격지원 툴 오남용 탐지.

  4. 정기 ‘클린 이미지’ 재배포(분기 1회 이상)

    • 목적: 지속성(Persistence)·은닉 악성 구성 제거.
    • 기준: 표준 골든이미지로 재이미징/재프로비저닝, 완료 후 무결성 체크섬·에이전트(EDR) 상태 확인 리포트 제출.

  5. 단말 하드닝 & 패치(월 1회 이상, 긴급 패치 수시)

    • 권한 최소화(로컬 Admin 금지, 필요 시 임시 상승/JIT), 애플리케이션 화이트리스트 적용.
    • OS/브라우저/원격도구 월간 패치 + 취약점 스캔 보고 의무.
    • 부팅·저장매체 보안(디스크 암호화 유지, USB 실행 차단·검역) 기본.

  6. 고객사·업무별 계정·권한 완전 분리

    • 고객/환경/업무 단위로 계정 분리, 공용 계정·공유 비밀번호 금지.
    • 권한은 최소·기간 한정(JIT), 작업 종료 즉시 회수/비번 회전.
    • 계정 발급·회수 증적(log) 중앙 보관.

  7. 모든 원격 접속은 ‘사전 승인·한정 범위’ 원칙

    • 티켓/작업코드 없이는 접속 불가(승인 시간·대상 시스템·허용 명령/포트 사전 한정).
    • Jump/Bastion 단일 창구 + MFA+mTLS+디바이스 신뢰 충족 시에만 세션 생성.
    • 세션 행위 녹화·명령/파일 이력 중앙 저장, 세션 종료 시 캐시·클립보드 삭제 강제.

권장 문구(계약·SLA 부속서 예시) “유지보수 업체는 고객사 시스템 접근 시 비밀번호·키 미보관, MFA 적용, EDR 상시 정상 동작, 분기 1회 이상 클린 이미지 재배포를 준수한다. 티켓 기반 승인 없이는 접속할 수 없으며, 세션 녹화·명령/파일 이력 중앙 저장작업 종료 시 캐시/클립보드 삭제를 이행한다. 위반 시 고객사는 즉시 접속 중지계약상 제재를 적용한다.”

4) 고객사(발주사) 측 강제·보호 통제

A. 접속 창구는 하나로

  • Jump/Bastion 한 곳만 사용(직접 VPN 접속 금지)
  • 작업 승인 있어야 세션 생성(시간/대상/범위가 티켓에 있어야 함)
  • MFA + 단말 인증서 + 사전 등록된 고정 IP만 허용

B. 시간과 범위를 줄이기

  1. 근무·유지보수 시간 외에는 자동 차단(캘린더/티켓과 연동)
  2. 필요한 자원만 보이기(필요한 서브넷·포트만 열기)
  3. 계정은 업무·업체·고객별로 분리, 공용 계정 금지

C. 도구 사용은 기록과 검증 중심

  • PAM(특권계정관리)로 비밀번호는 볼트에서 대여·자동회수, 세션 녹화
  • 허용 명령/파일만 통과(대용량 업로드는 차단 또는 검역)
  • EDR 필수: 유지보수 PC에 PLURA-EDR이 정상 동작하지 않으면 접속 불가(장비 상태 검사)
  • 모든 행위는 중앙 로그로: 접속 승인, 세션 키, 명령 이력, 파일 전송, API 호출(POST-body 포함)을 수집해 사고 시 타임라인 복원 가능하게

D. 운영 수칙

  • 계약/보안 부속서에 위 기준 명시, 미준수 시 접속 중지·패널티
  • 분기 1회 모의훈련(시나리오: “업체 관리 PC 탈취”)
  • 공식 가이드 채택: CISA 원격접속 보안 가이드 수준으로 문서화

5) 무엇을 ‘유지보수 자산’으로 보나 (예시·확장)

  • 방화벽 / UTM / 게이트웨이
    외부와 내부를 잇는 경계 장비 — 설정 변경이 곧 전사 리스크로 직결
  • 스위치 · 라우터 · 무선 AP(네트워크 장비)
    라우팅/스위칭·무선 인증 등 핵심 인프라 — 원격 관리 계정이 곧 열쇠
  • 정보보안 제품 (WAF/WAAP, EDR/AV, SIEM/SOAR, DLP, IAM/PAM, 프록시 등)
    보안 정책·로그·자격증명 집중 — 장악 시 탐지/차단 무력화 가능
  • 백업 · DR · 스토리지 콘솔 (예: Veeam/Commvault)
    복구의 최후 보루 — 콘솔 침해 시 백업 삭제/암호화로 전사 마비 위험 (Group-IB)
  • 하이퍼바이저 · 가상화 관리 (vCenter/ESXi, KVM)
    다수 VM의 생명주기 제어 — 스냅샷/네트워크 변경으로 대량 피해 확산
  • 데이터베이스 · 미들웨어 관리 노드
    운영 데이터·자격증명 저장 — 설정/계정 변경만으로 서비스 장애·유출 가능
  • OT · 스마트팩토리 설비 원격 유지보수 단말
    생산/설비 제어 — 원격 점검 채널이 위험한 초기 침입 경로

주의: 백업 콘솔관리형 툴(MSP/원격관리)이 뚫리면 피해가 전사급으로 급확대됩니다. Kaseya VSA 사례 참고. (CISA)

6) 즉시 적용 체크리스트

No 항목 기준
1 모든 3rd party 식별 업체·업무·접속대상·프로토콜·시간대 전수 목록화(담당자·연락처 포함)
2 접속 단일화 Jump/Bastion 1곳만 사용, 직접 VPN 금지
3 승인·기간 제한 티켓/JIT 승인 없으면 접속 불가, 승인된 시간·대상·범위만 허용
4 디바이스 신뢰 PLURA-EDR 정상 동작 + mTLS(단말 인증서) 미충족 시 차단
5 자격증명 저장 금지 SSH/RDP 클라이언트에 ID·비밀번호 저장 금지, 세션 종료 시 캐시·클립보드·전송기록 삭제
6 권한 최소화 고객/업무/환경별 계정 분리, 공용 계정 금지, 기간 한정 권한(JIT)
7 세션 녹화·로깅 명령·파일 전송·화면·API(POST-body)까지 중앙 저장
8 백업콘솔 보호 별도 네트워크/계정/PAM 적용, 인터넷·이중화 외부 접근 차단
9 정기 재이미징 유지보수/베스천 PC 분기 1회 클린 이미지 재배포, 완료 리포트 제출
10 정책 준수 증빙 분기별 감사 리포트 + 테이블탑(모의훈련) 리포트 제출

7) 운영팀을 위한 로그·행위 ‘경보 신호’ 10가지

No 경보 신호 탐지 포인트(예시) 1차 대응
1 유지보수 시간 외 Jump 접속 시도(연속 실패 포함) Jump/Bastion 인증 실패 횟수·시간대, 비인가 근무시간 즉시 계정 잠금(일시), 접속 원격지 차단, 승인 티켓 확인
2 새로운 지리·ASN에서의 3rd party 로그인 GeoIP/ASN 변화, 신규 국가·통신사 Geo/IP 차단 또는 추가 인증, 담당자 연락 후 재승인
3 동일 계정 동시 세션(서로 다른 IP/디바이스) 동시 토큰·세션 ID, 다른 발신 IP 모든 세션 강제 종료, 비밀번호/토큰 회전, 원인 조사
4 SSH 비정상 포트포워딩·다중 PID ssh -L/-R, 다중 터널, 비인가 포트 세션 차단, 허용 포트 정책 점검, 사용자 소명 요구
5 RDP 클립보드·드라이브 매핑 통한 대량 반출 RDP VirtualChannel, 대용량 전송 이벤트 세션 격리/종료, 파일 격리·포렌식 보관, 사용자 차단
6 백업콘솔 보존정책 변경/삭제 시도 Retention/Job 삭제·단축, 대량 Restore/Export 변경 롤백, 콘솔 잠금, 별도 네트워크 차단, 관리자 승인 필수화
7 도메인 관리자/서비스 계정 권한 상승 AD 권한 변경, 그룹(Schema/Enterprise Admins) 추가 상승 취소·롤백, PIM/PAM 재확인, 관련 세션 종료
8 관리 포털 API 비정상 메서드 호출 비정상/이례적 HTTP methods, 과다 4xx/5xx, rate spike API 키 폐기·회전, WAF/Rate Limit 강화, 소스 IP 차단
9 EDR 우회(드라이버 비활성·서비스 중지) EDR 서비스 stop/uninstall, 드라이버 오류 호스트 네트워크 격리, EDR 재등록, 우회 도구 포렌식
10 네트워크 스캔·SMB 열람 폭증(측면이동) 다수 포트 스캔, 이례적 SMB 열람/동시 접속 스캐너 IP 격리, 계정 잠금, 공유 권한 점검·의심 파일 격리

8) 사례로 배우는 교훈

  • 서드파티 자격증명/단말 = 초기 침입의 지름길 농협(2011)처럼 협력사 단말 경로가 전산 마비로 이어질 수 있고, SolarWinds(2020)처럼 서드파티 관리 채널이 조직 전반의 측면이동 발판이 됩니다. (근거: Korea Times, CISA ED-21-01)

  • 관리·백업 도구가 뚫리면 전사 피해 Kaseya VSA·Veeam 관련 위협처럼 관리 계층이 공격되면 동시다발 피해가 납니다. 해법은 Jump 단일화·PAM·망분리입니다. (근거: CISA 알림, Veeam 보안 공지)

  • 공식 가이드를 정책화하라 CISA 원격접속 보안 가이드ED-21-01 보완지침 수준으로 조직 표준을 문서화·운영하세요.

9) 결론

  • 유지보수 경로는 공급망의 가장 얇은 빙판입니다.
  • 관리 PC 보안(PLURA-EDR 등), Jump 단일화, JIT 승인, mTLS/MFA, PAM, 로깅·증적화기본 방어선입니다.
  • 정책(계약) + 기술 + 운영훈련을 함께 굴려야 지속 가능한 보안이 됩니다.

한 문장 요약: “유지보수의 문은 좁고 짧게, 승인·기록·되돌림을 기본으로.”

📖 참고/권고 자료

  • 농협 전산망 마비(2011): 유지보수 협력사 노트북에서 삭제 명령 → 전산 마비 / 백업 데이터 동시 삭제 보도. (Korea Times; Korea JoongAng Daily)
  • SolarWinds(2020): CISA Emergency Directive 21-01로 Orion 즉시 분리·전원차단 명령 및 보완지침. (CISA ED-21-01; CISA 보완지침)
  • 원격접속 보안 가이드(2023): CISA 권고. (CISA Guide)
  • Veeam CVE-2023-27532: 백업 자격증명 악용·RCE 위협. (Veeam KB; Group-IB)
  • Kaseya VSA(2021): 관리 툴 악용한 공급망 랜섬웨어. (CISA)
  • 연방 대응 종합 보고(2022): GAO — ED-21-01 관련 평가 포함. (GAO)

Tags