IT 관리 / 보안

액티브 디렉토리를 안전하게 만드는 방법

Ryan Francis | CSO 2017.02.08
최근 마이크로소프트가 발표한 자료에 따르면, 윈도우 10에 기본 설치된 안티바이러스 소프트웨어가 탐지한 랜섬웨어의 수가 2015년 12월에서 2016년 7월 동안 400%가 증가했다.

취약점들은 해커들이 조직의 가장 중요한 애플리케이션 가운데 하나인 마이크로소프트 액티브 디렉토리(Active Directory)에 접속할 기회를 제공하다. 해커가 침입할 경우 '피해 반경'이 엄청날 수 있다.


Credit: Getty Images Bank

액티브 디렉토리는 사용자 액세스와 기업 데이터, 애플리케이션에서 컴퓨터, 스토리지, 네트워크까지 수 많은 IT 인프라 구성 요소에 대한 접속권한을 관리한다. 침해 사고로 권한있는 크리덴셜(관리자 계정)을 도난 당하거나 잃어버린 비율이 75%에 달하는 것으로 알려졌다.

공격자들은 몇 주 동안 들키지 않은 상태에서 훔친 관리자 권한을 이용, 수백 만 달러의 피해를 초래할 수 있다. 스카이포트 시스템스(Skyport Systems)의 제품 관리 담당 러셀 라이스 수석 책임자는 액티브 디렉토리의 권한있는 크리덴셜을 안전하게 유지하는 몇 가지 방법을 소개했다.

1. 침입 당했다고 가정한다
조사 결과에 따르면, 아무 때나 조사를 했을 때 조직의 감염된 워크스테이션의 비율은 2~7%이다. 따라서 이미 침해를 당했으며, 네트워크 호스트가 방어 체계를 우회해 액티브 디렉토리를 직접 공격할 수 있다고 가정해야 한다. 즉 네트워크나 인접한 시스템이 안전하다는 가정을 버리고, 액티브 디렉토리 주변을 통제해야 한다.

2. 소수의 관리자만 권한을 승인한다
액티브 디렉토리는 조직에서 가장 중요한 애플리케이션 가운데 하나다. 따라서 소수 사용자만 도메인 수준에서 변경을 할 수 있어야 한다. 관리자가 적을수록 잠글 관리자 시스템과 모니터 할 사용자 수가 줄어든다.

3. 관리자 계정과 사용자 계정을 분리한다
시스템 관리자는 일상 업무에 별도의 사용자 계정을 이용해야 한다. 또한 액티브 디렉토리 관리에는 권한 있는 계정만 이용해야 한다. 이렇게 해야 관리자 크리덴셜이 안전하지 못한 시스템에 노출되는 위험을 줄일 수 있다.

4. 관리자 워크스테이션을 '화이트리스트'로 처리한다
환경 내부, 외부의 모든 호스트가 관리자 액티브 디렉토리에 대한 권한을 갖는 일이 없어야 한다. 관리자 워크스테이션을 화이트리스트로 만들어 유지하고, 관리자 포트와 프로토콜을 이용할 수 있는 워크스테이션만 도메인 컨트롤러와 대화할 수 있도록 만들어야 한다.

5. 다중 인증을 이용한다
최근 들어 비밀번호 해킹이 아주 쉬워졌다. 공격자들의 기술이 발전했고, 다양한 비밀번호 크래킹 도구를 이용한다. 관리자 접속권한에는 기존 비밀번호를 재사용하는 대신 다중 인증을 이용해야 계정을 더 안전하게 유지할 수 있다.

6. SAW를 이용한다
관리자 환경이 액티브 디렉토리의 안전을 결정한다. 크리덴셜 도난과 악용, 악성코드 차단을 위해 관리자 워크스테이션을 보호해야 한다. 액티브 디렉토리 관리자는 잠겨 있고, 감염 걱정이 없는 가상, 또는 물리적 SAW(Secure Administrative Workstations)를 이용할 수 있다.

7. 관리자의 인터넷 접속을 차단한다
관리자 워크스테이션은 네트워크 내부, 외부의 신뢰할 수 있는 시스템과 대화할 수 있어야 한다. 도메인 컨트롤러를 더 엄격히 잠금 처리해야 한다. 인터넷 접속권한을 전면 차단하는 방법도 좋다.

8. 액티브 디렉토리 공격 도구들을 방어한다
액티브 디렉토리에 침입, 관리자 크리덴셜을 훔치거나 스푸핑할 수 있는 맞춤형 도구들이 많다. 상당수는 깃허브(GitHub)에서 무료로 입수할 수 있다. 이런 도구들의 기능을 철저히 파악하고, 이를 탐지해 위험을 억제할 수 있는 대책을 수립해 도입해야 한다.

9. '클린' 상태에서 복구한다
침해가 발생한 경우, 악성코드가 없는 버전으로 도메인 컨트롤러를 빠르게 복구할 수 있어야 한다. 물리적 보안이 미흡한 멀리 떨어진 곳의 시스템일 경우, 하드웨어 자체가 안전한지 확인할 수 있도록 만들어야 한다.

10. 관리자와 관리자 시스템을 분리한다
생산 환경의 액티브 디렉토리를 관리하는 책임을 갖고 있는 시스템과 계정은 해커의 주된 표적이 된다. 액티브 디렉토리를 변경할 수 있는 사람과 시스템을 생산 환경의 나머지와 분리해야 한다. 그래야 이들 시스템과 권한 있는 크리덴셜을 안전하게 유지하고 보호할 수 있다. editor@itworld.co.kr  

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.