IT 관리자 계정 "적으면 적을수록 좋다“

윈도우 네트워크에서 가장 권한이 많은 엔터프라이즈 관리자(Enterprise Admin) 계정의 수를 몇 개로 해야 하는지에 관한 질문을 종종 받곤 한다. 이에 대한 대답은 너무나 분명하다. 최소한으로 해야 한다는 것이다.

이런 종류의 권한을 되는대로 조금씩 나눠주게 되면, 시스템에 대한 공격에 노출될 가능성이 커진다. 실제로 전체적인 보안 위험을 최소화하는 가장 좋은 방법은 엔터프라이즈 관리자 계정의 수와 이런 계정으로 로그인해야 할 횟수를 최소화하는 것이다.

구체적인 숫자는 각 회사의 환경에 맞춘 운영상의 필요성과 사업 전략에 따라 달라지지만 일반적으로 2~3개가 적당하다. 어떤 회사에서 수십 개에서 수백 개의 관리자 계정을 두고 있는 것을 본 적이 있는데, 이것은 정말 너무 많은 것이다.

수많은 조직에서 관리해야 할 컴퓨터의 사양을 정하고 문제를 바로 잡는 작업을 쉽게 할 수 있도록 단순하게 모든 관리자들과 지원 인력들을 엔터프라이즈 관리 계정 그룹에 추가한다. 이들은 엔터프라이즈 관리자 계정을 이용해 네트워크를 관리하기도, 하지만 이메일을 읽고 웹 서핑을 하기도 한다. 해커들은 이런 점들을 노린다.

엔터프라이즈 관리자 계정의 권리는 조심스럽게 주어져야 하며, 또한 분별력을 갖고 사용되어야 한다. 이런 계정들은 여러 개의 액티브 디렉토리 도메인에 걸쳐서 작업을 할 때와 수많은 네트워크 환경설정 항목과 같이 승급 권한이 필요한 활동을 위해서만 이용되어야 한다. 엔터프라이즈 관리자 계정은 웹 서핑이나 이메일 읽기, 기타 엔터프라이즈 관리자 계정 권한이 필요하지 않은 작업을 위해 사용되어서는 안 된다.

액티브 디렉토리식 접근법

대부분의 경우 관리자는 엔터프라이즈 관리자 계정 대신 도메인 관리자 계정(Domain Admin) 계정을 이용한다. 하지만 액티브 디렉토리의 위임 기능을 이용하는 방법도 있다.

모든 사용자를 하나의 단위로 묶어 관리할 필요가 있다면, 액티브 디렉토리의 위임 기능을 이용해 보라. 서버에 있는 모든 파일, 폴더, 레지스트리 키를 완전히 제어할 필요가 있을 경우에도 효과적으로 작업을 수행할 수 있다. 필자는 수많은 사용자들을 엔터프라이즈 관리자 계정 그룹으로 배정하는 것이 위임 기능보다 나은 경우를 들어본 적이 없다.

물론 액티브 디렉토리의 위임 기능에도 단점은 있는데, 바로 감사를 수행하기 힘들다는 것이다. 위임은 모든 컴퓨터에서 감사 툴을 실행하고 있지 않은 한 전사적으로 취합하기 힘든 자잘한 보안 허가를 만들어낸다. 이것은 큰 문제이긴 하지만, 기본값으로 모든 자산과 객체에 대한 완전한 제어권을 주는 것보다는 안전하다.

15자 이상의 암호 사용

권한이 많이 주어진 관리자 계정의 수를 최소화하는 것은 보안 위험을 줄이기 위한 작업을 절반 정도 마친 것이나 마찬가지의 효과를 갖는다. 하지만 중요한 것은 이것만이 아니다. 이외에 권고되는 사항은 모든 관리자 계정이 15자 이상의 긴 암호를 가져야 한다는 것이다. 이렇게 하면 암호 해시가 쉽게 뚫리지 않게 되어 암호를 쉽게 추측할 수 없게 된다.

암호는 정기적으로 변경되어야 하는데 최소한 90일마다 변경하는 것이 좋다. 15글자보다 훨씬 긴 암호를 사용하는 경우는 180일 정도까지 괜찮은 경우도 있다. 물론 기업에 따라 더 긴 암호 설정하도록 요구할 수도 있다.

공유된 계정의 암호는 공유한 직원 중 누군가가 이직하거나 업무 내용이 달라질 때마다 바뀌어야 한다. 오늘날 많은 기업에서는 관리자에게 2가지 이상의 인증 요소, 즉 키 입력이나 스마트카드, 생체인식 등의 복합적으로 요구하고 있다. 이를 관리자에게만 적용하는 것은 비용이 들기는 하겠지만 훌륭한 방법이다.

관리자 전용 워크스테이션도 효과적

엔터프라이즈 관리자나 도메인 관리자를 위한 전용 관리자 워크스테이션을 만드는 것을 강력하게 지지한다. 많은 권한을 가진 사용자는 가능하다면 문제를 해결하기 위해 일반 워크스테이션에 로그인하지 말아야 한다. 키스트로크 로거 같은 어떤 악성 프로그램이 깔려 있을지 모르기 때문이다. 한 번의 로그인으로 네트워크가 크게 위태로워질 수도 있다.

매우 무결하게 관리되고 관리자 업무를 위해서만 사용되는 전용 관리자 워크스테이션을 갖는 것은 민감한 로그인 자격을 보호하는 좋은 방법이다. 일부 회사에서는 중간 단계로 관리 계정의 가상 이미지를 깨끗이 만들기 위해 “오염된 워크스테이션”에서 RDP(Remote Desktop Protocol)을 사용하도록 하는 경우도 있지만, 키 로거(Key logger)의 위협을 없애기에는 불충분하다.

권한이 승급된 사용자가 전용이 아닌 워크스테이션이나 서버에 로그인해야 한다면 관리자는 관리 업무를 끝낸 후 컴퓨터를 다시 부팅시켜 메모리에서 승급 자격을 없애야 한다. 그렇지 않다면 패스더해쉬(pass-the-hash) 툴을 사용하는 사람이 해쉬값을 얻어서 이를 재사용하여 승급 계정으로 액세스할 수 있다.

임시 관리자에 대한 즉각적인 조처 필요

개인적으로 승급 계정을 관리하도록 도와주는 서드파티 소프트웨어를 사용하는 것을 권장한다. 필자의 경우 종종 사이버아크(Cyber-Ark)의 권한 관리 솔루션을 이용하는데, 관리자 계정을 특정 디바이스에 묶어 둘 수 있으며, 체크아웃 과정과 규칙을 의무화하는 세부적인 정책에 의해 보호된다. 특히 선호하는 기능은 1회용 암호로, 이는 모든 사용자와 사건에 의해 변경된다. 이를 이용하면 누가 어떤 계정을 언제 사용했는지 쉽게 감사할 수도 있다.

윈도우 비스타 이후 버전에서는 미리 정의된 그룹에 속하는 누군가가 로그인할 때마다 특수 감사 이벤트를 만들어낼 수 있다.  간단하게 말하자면 로컬 레지스트리 키(HKLM\System\CurrentControlSet\Control\Lsa\Audit\SpecialGroups)에 (SID를 이용하여) 하나 이상의 그룹을 정의할 수 있다는 것이다.

그런 다음 윈도우는 정의된 그룹에 속하는 누군가가 로그인할 때 4964 이벤트 ID 메시지를 발생시킨다. 이는 모든 일반적인 로그인 이벤트를 단순하게 걸러내는 대신 유용한 정보만을 추출하는 훌륭한 방법이다.

어떤 방법을 사용하든 아마도 승급된 관리자 계정 그룹의 구성원이 누구인지를 정기적으로 감사하고 있을 것이다. 시간이 갈수록 이 구성원의 숫자가 조금씩 많아지는 것은 바람직인 일이 아니다. “임시적인” 관리자가 그대로 남아 영구적이 된 경우 등으로 일어난 일일 것이다. 관리자 계정의 수를 최소화하고 필요한 요소들을 안전하게 만들 수 있도록 최선의 노력을 해야 한다.  editor@idg.co.kr