AD계정 보호를 위한 퀘스트의 다섯 가지 대책

입력 : 2019-05-06 22:46

KISA의 AD 보안 권고안으로 이슈가 된 AD계정의 중요성과 보안강화 이슈

[보안뉴스 원병철 기자] 최근 KISA가 “당신의 AD는 안녕하십니까”라는 보고서를 발표했다. 보고서는 국내 제조업체에서 발생한 AD관리자 계정 탈취사고에 대한 원인 및 대응 방안에 대한 내용을 담고 있다. 그동안 AD는 계정 및 정책을 관리하는 핵심 서비스로서 높은 수준의 보안이 필요함에도 불구하고, 여러 이유들로 인해 서비스의 중요도만큼 보안 측면에서의 관리가 되지 않아 항상 보안취약 대상으로 여겨지고 있다.

특히, 이번 보고서는 이러한 국내의 환경과 AD의 서비스 영역의 확대와 맞물려서 증가하고 있는 AD보안 사고들에 대해, 처음 KISA를 통해서 공식적으로 발표된 자료로서 의미가 있다고 보안기업 퀘스트소프트웨어(이하 퀘스트)는 설명하고 있다.

보고서에서 가장 중요한 보안 이슈는 AD계정 탈취가 이루어졌다는 점이다. 일단 AD계정의 탈취는 모든 시스템에 접근이 가능하게 된다는 것을 의미하기 때문에 AD계정의 탈취를 사전에 차단하고 실시간으로 이를 감지 및 대응체계를 만드는 것이 AD 보안의 핵심이다. 퀘스트는 이러한 KISA 권고안과 관련해 3개 영역에 대한 전문화된 제품을 통해서 AD보안을 획기적으로 개선해 준다.

1. 계정관리 및 접근통제 강화 – 계정 관리 강화
사전에 보안 취약점을 제거하는 가장 기본적이고 중요한 것은 운영과정에서 보안을 고려해 관리를 쉽게 하는 것이다. 액티브 롤(Active Roles)은 운영자가 사용하는 제품으로 자동화된 계정 및 권한 관리가 가능하고, 보안 이슈들을 관리자가 손쉽게 확인하여 관리할 수 있도록 해준다.

2. 계정관리 및 접근통제 강화– 접근통제 강화
AD와 같이 특별하게 중요한 시스템은 일반적인 시스템과 다르게 강화된 접근통제가 필요하다. 즉, 강화된 접근통제는 일반적인 ID/Password를 통한 접근이 아니라 승인기반의 접속(관리자에 의하여 허용된 접속만 가능)이나 허용된 IP에서의 접속만을 허용하는 것을 의미한다. 또한, 필요하면 AD시스템에 접속하는 모든 작업은 녹화되어 향후 원인분석에 사용돼야 하고, 민감한 서비스(서비스 중지 가능한 화면에 접근, AD Group Policy 편집 화면 접근 등)를 사용할 때는 관리자에게 실시간 알람이 가능하게 구성되어 AD시스템의 이상 접근으로 인한 계정 탈취가 불가능에 가깝게 운영되어야 한다. 이러한 운영은 세이프가드(Safeguard)를 통해 가능하다.

3. 가시성 및 감사
엔터프라이즈 리포터(Enterprise Reporter)는 보안팀에서 보안 가시성을 확보해 사전에 운영단계에서 검증하기 어려운 보안 취약점을 보안감사 차원에서 손쉽게 확인 가능한 리포트를 제공한다. 별도의 회사 보안정책들에 대해서도 별도의 사용자 정의 리포트를 생성하여 손쉽게 감사가 가능하다.

4. 이상징후 탐지 및 대응– 이상징후 탐지
보안관점에서 체계적인 관리가 되더라도 서비스 운영 중에는 예측되지 않은 보안 이슈들이 발생함으로써 실시간 보안관제가 필요하게 되는데, 이때 필요한 제품이 체인지 오디터(Change Auditor)다. 체인지 오디터는 실시간으로 로그인 및 보안 이슈와 연관된 변경내역들에 대한 실시간 알람을 제공해 보안 이슈의 즉각적인 대응이 가능하게 한다. 이때 실시간 보안관제 대상에는 윈도우 이벤트들도 포함되는데, 이 경우 인트러스트(InTrust)를 통해서 통합 실시간 이벤트 관제 구성이 가능하다.

5. 이상징후 탐지 및 대응– 대응
보안이슈가 발생되면 가장 먼저 분석이 필요한 것이 개별 윈도우 시스템의 이벤트 내역이다. 이러한 이벤트는 인트러스트를 통해서 중앙에 취합되어 장기간 보관되어 손쉽고 빠르게 원인 분석이 가능해진다. 데이터의 이상 변경, 서비스, 시스템의 손상이 발생해 서비스에 문제가 발생하게 되면, 이는 단순히 AD서비스의 장애가 아니라 연결된 시스템의 접속이나 권한문제로 인해 업무 및 보안이슈가 발생한다. 이에 대한 대응으로 AD전문 복구 솔루션인 리커버리 매니저 포 AD(Recovery Manager for AD)가 있으며, 이를 통해서 완벽한 복구 체계 구성이 가능하다.


퀘스트의 전문 제품을 통한 AD보안 강화가 이루어지면 초기 침투와 거점 확보 시점에 3단계 대응이 가능해져 KISA의 질문에 자신감 있게 “예”라고 이야기할 수 있을 것으로 보인다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

원병철기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 2

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 3

  [한 주를 관통하는 보안 소식] 2024년 ...

• 4

  [긴급] 국세청 등 정부 사칭 미끼 문자와 ...

• 5

  [퀴즈 이·보·소] 연말 앞둔 온라인 사기,...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  사이버 공격자들, 실제로 인공지능을 어떻게 ...

• 2

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 3

  개인정보 유출 사고 대응방안 논의... 공공...

• 4

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 5

  깃허브에서 활동하는 개발자들을 노리는 고급 ...