Home > 전체기사
AD계정 보호를 위한 퀘스트의 다섯 가지 대책
  |  입력 : 2019-05-06 22:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
KISA의 AD 보안 권고안으로 이슈가 된 AD계정의 중요성과 보안강화 이슈

[보안뉴스 원병철 기자] 최근 KISA가 “당신의 AD는 안녕하십니까”라는 보고서를 발표했다. 보고서는 국내 제조업체에서 발생한 AD관리자 계정 탈취사고에 대한 원인 및 대응 방안에 대한 내용을 담고 있다. 그동안 AD는 계정 및 정책을 관리하는 핵심 서비스로서 높은 수준의 보안이 필요함에도 불구하고, 여러 이유들로 인해 서비스의 중요도만큼 보안 측면에서의 관리가 되지 않아 항상 보안취약 대상으로 여겨지고 있다.

▲AD계정 탈취에 대응하는 퀘스트의 보안 강화 솔루션[자료=퀘스트소프트웨어]

특히, 이번 보고서는 이러한 국내의 환경과 AD의 서비스 영역의 확대와 맞물려서 증가하고 있는 AD보안 사고들에 대해, 처음 KISA를 통해서 공식적으로 발표된 자료로서 의미가 있다고 보안기업 퀘스트소프트웨어(이하 퀘스트)는 설명하고 있다.

보고서에서 가장 중요한 보안 이슈는 AD계정 탈취가 이루어졌다는 점이다. 일단 AD계정의 탈취는 모든 시스템에 접근이 가능하게 된다는 것을 의미하기 때문에 AD계정의 탈취를 사전에 차단하고 실시간으로 이를 감지 및 대응체계를 만드는 것이 AD 보안의 핵심이다. 퀘스트는 이러한 KISA 권고안과 관련해 3개 영역에 대한 전문화된 제품을 통해서 AD보안을 획기적으로 개선해 준다.

1. 계정관리 및 접근통제 강화 – 계정 관리 강화
사전에 보안 취약점을 제거하는 가장 기본적이고 중요한 것은 운영과정에서 보안을 고려해 관리를 쉽게 하는 것이다. 액티브 롤(Active Roles)은 운영자가 사용하는 제품으로 자동화된 계정 및 권한 관리가 가능하고, 보안 이슈들을 관리자가 손쉽게 확인하여 관리할 수 있도록 해준다.

2. 계정관리 및 접근통제 강화– 접근통제 강화
AD와 같이 특별하게 중요한 시스템은 일반적인 시스템과 다르게 강화된 접근통제가 필요하다. 즉, 강화된 접근통제는 일반적인 ID/Password를 통한 접근이 아니라 승인기반의 접속(관리자에 의하여 허용된 접속만 가능)이나 허용된 IP에서의 접속만을 허용하는 것을 의미한다. 또한, 필요하면 AD시스템에 접속하는 모든 작업은 녹화되어 향후 원인분석에 사용돼야 하고, 민감한 서비스(서비스 중지 가능한 화면에 접근, AD Group Policy 편집 화면 접근 등)를 사용할 때는 관리자에게 실시간 알람이 가능하게 구성되어 AD시스템의 이상 접근으로 인한 계정 탈취가 불가능에 가깝게 운영되어야 한다. 이러한 운영은 세이프가드(Safeguard)를 통해 가능하다.

3. 가시성 및 감사
엔터프라이즈 리포터(Enterprise Reporter)는 보안팀에서 보안 가시성을 확보해 사전에 운영단계에서 검증하기 어려운 보안 취약점을 보안감사 차원에서 손쉽게 확인 가능한 리포트를 제공한다. 별도의 회사 보안정책들에 대해서도 별도의 사용자 정의 리포트를 생성하여 손쉽게 감사가 가능하다.

4. 이상징후 탐지 및 대응– 이상징후 탐지
보안관점에서 체계적인 관리가 되더라도 서비스 운영 중에는 예측되지 않은 보안 이슈들이 발생함으로써 실시간 보안관제가 필요하게 되는데, 이때 필요한 제품이 체인지 오디터(Change Auditor)다. 체인지 오디터는 실시간으로 로그인 및 보안 이슈와 연관된 변경내역들에 대한 실시간 알람을 제공해 보안 이슈의 즉각적인 대응이 가능하게 한다. 이때 실시간 보안관제 대상에는 윈도우 이벤트들도 포함되는데, 이 경우 인트러스트(InTrust)를 통해서 통합 실시간 이벤트 관제 구성이 가능하다.

5. 이상징후 탐지 및 대응– 대응
보안이슈가 발생되면 가장 먼저 분석이 필요한 것이 개별 윈도우 시스템의 이벤트 내역이다. 이러한 이벤트는 인트러스트를 통해서 중앙에 취합되어 장기간 보관되어 손쉽고 빠르게 원인 분석이 가능해진다. 데이터의 이상 변경, 서비스, 시스템의 손상이 발생해 서비스에 문제가 발생하게 되면, 이는 단순히 AD서비스의 장애가 아니라 연결된 시스템의 접속이나 권한문제로 인해 업무 및 보안이슈가 발생한다. 이에 대한 대응으로 AD전문 복구 솔루션인 리커버리 매니저 포 AD(Recovery Manager for AD)가 있으며, 이를 통해서 완벽한 복구 체계 구성이 가능하다.

▲퀘스트 솔루션을 통한 초기 침해단계에서의 3단계 대응 방안[자료=퀘스트]소프트웨어]


퀘스트의 전문 제품을 통한 AD보안 강화가 이루어지면 초기 침투와 거점 확보 시점에 3단계 대응이 가능해져 KISA의 질문에 자신감 있게 “예”라고 이야기할 수 있을 것으로 보인다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)