위협 패턴
Shadow IT이란?
보안팀이 모르는 상태에서 직원이 도입한 도구·서비스·통합. NHI 세계에서 shadow IT는 인벤토리에 올라오지 않는 shadow 서비스 계정, shadow API 키, shadow OAuth grant를 만들어 냅니다.
위협 패턴 카테고리의 다른 용어
- NHI Kill Chain비인간 신원을 공격 경로로 바꿔 놓는 반복적 실패 패턴 분류. Ghost(주인 없는), Shadow(미문서화), Aged(미교체), Over-shared(과다 공유), Zombie(삭제 후에도 유효), Drifted, Over-privileged, Public, Unattributed 9가지를 다룹니다.
- Overprivileged NHI워크로드가 실제 업무에 필요한 것보다 더 큰 IAM 권한을 가진 기계 신원. OWASP NHI5:2025는 이를 상위 5대 NHI 리스크로 지목합니다. 읽기 전용 배치 작업이 관리자 권한으로 돌면 자격증명 유출 시 실제 필요량보다 훨씬 큰 피해를 냅니다. 정책 복사 붙여넣기, 기본 role 사용, 일회성 작업 후 권한 축소 누락이 주원인입니다.
- Vulnerable Third-Party NHI벤더나 제3자 통합에 속한 NHI. Datadog API 키, Slack 봇 토큰, SaaS 앱에 부여된 OAuth grant, 웹훅 시크릿 등이 해당합니다. OWASP NHI3:2025는 벤더 측 유출(또는 키를 지닌 기기 분실)이 자사 사고로 번지는 패턴을 지적합니다. 제3자 NHI의 인벤토리, 스코프 검토, 로테이션 워크플로가 필수이며, 대부분 조직은 인지하는 것보다 10배 많이 보유하고 있습니다.
- Ghost Key소유자가 퇴사했거나 식별 불가능해졌지만 여전히 유효한 API 키 또는 자격증명. NHI Kill Chain의 한 항목입니다.
- Over-shared Key여러 프로젝트, 환경, CI 시스템, 개발자 머신에 붙여넣어진 하나의 자격증명. 한 곳에서만 교체하면 나머지가 그대로 노출됩니다. 사고 대응 중 고치기 가장 비싼 NHI 실패 지점입니다.
- Aged Key수개월에서 수년간 교체되지 않은 장기 자격증명. 시간이 피해를 키웁니다. 유출될 기회가 충분했고, 공격자는 계속 유효할 거라는 예측 가능성 위에서 공격을 계획할 수 있습니다.