방어는 공격 이름이 아니라 권한 전이 지점에 건다

침해는 진입 한 번으로 끝나지 않는다. 실행 주체의 자격 증명과 허용 범위가 바뀌고, 그 권한으로 지속성·유출·자원 고갈이 이어질 때 비로소 피해가 커진다.

ENTRY 실행 경로 확보

노출 서비스, 악성 파일, 탈취 계정으로 user process가 시작된다.

auth·service·exec 기록
BOUNDARY 권한 전이 시도

setuid, file capability, sudo 정책 또는 커널 결함을 노린다.

UID·capability 변화
CONTROL 고권한 동작

보호 파일·프로세스·네트워크 설정에 접근 범위를 넓힌다.

syscall·LSM 거부/허용
IMPACT 지속·유출·고갈

unit·cron 변경, secret 읽기, CPU·메모리 독점으로 피해를 유지한다.

파일 변경·자원 압력

① exec 권한 경계

실패 조건
과도한 setuid·file capability
차단
no_new_privs, capability 최소화, 패치

② syscall·객체 경계

실패 조건
넓은 DAC/ACL 또는 MAC 정책 공백
차단
SELinux·AppArmor, seccomp, 최소 권한

③ 영향 확산 경계

실패 조건
지속성 경로와 자원에 제한 없음
차단
unit 변경 감사, cgroup·rlimit, 격리
증거도 상태다

로그가 없다는 사실은 공격이 없었다는 증명이 아니다. 먼저 audit가 켜졌고 유실 없이 수집됐는지 확인한 뒤 사건 순서를 복원한다.

auditctl -s → lost=0