위협 패턴
Shadow IT이란?
보안팀이 모르는 상태에서 직원이 도입한 도구·서비스·통합. NHI 세계에서 shadow IT는 인벤토리에 올라오지 않는 shadow 서비스 계정, shadow API 키, shadow OAuth grant를 만들어 냅니다.
위협 패턴 카테고리의 다른 용어
- NHI Kill Chain비인간 신원을 공격 경로로 바꿔 놓는 반복적 실패 패턴 분류. Ghost(주인 없는), Shadow(미문서화), Aged(미교체), Over-shared(과다 공유), Zombie(삭제 후에도 유효), Drifted, Over-privileged, Public, Unattributed 9가지를 다룹니다.
- Ghost Key소유자가 퇴사했거나 식별 불가능해졌지만 여전히 유효한 API 키 또는 자격증명. NHI Kill Chain의 한 항목입니다.
- Over-shared Key여러 프로젝트, 환경, CI 시스템, 개발자 머신에 붙여넣어진 하나의 자격증명. 한 곳에서만 교체하면 나머지가 그대로 노출됩니다. 사고 대응 중 고치기 가장 비싼 NHI 실패 지점입니다.
- Aged Key수개월에서 수년간 교체되지 않은 장기 자격증명. 시간이 피해를 키웁니다. 유출될 기회가 충분했고, 공격자는 계속 유효할 거라는 예측 가능성 위에서 공격을 계획할 수 있습니다.
- Zombie Key그 용도였던 서비스나 통합이 삭제·폐기됐는데도 여전히 인증되는 자격증명. 키는 살아 있지만 시스템은 죽었다고 간주하는 상태입니다.
- Out of Scope Loophole자격증명 노출이 버그 바운티 범위나 시크릿 매니저 인벤토리에 포함되지 않아, 보안 프로그램이 있는데도 문제가 지속되는 패턴. Notion, Jira, Slack에 붙여넣어진 SaaS 자격증명에서 흔합니다.