Active Directory는 조직 내 컴퓨터, 네트워크, 사용자 및 기타 자원을 관리하기 위해 Microsoft에서 개발한 시스템입니다. 이를 통해 사용자는 사용자 로그인, 파일 접근, 보안 설정 등의 정보를 추상화할 수 있습니다. 간단히 말해, AD는 조직이 누가 무엇에 접근할 수 있는지 관리할 수 있는 중앙 집중식 플랫폼입니다.
액티브 디렉터리는 조직에서 가장 중요한 요소입니다. 적절한 인원이 전사적 자원에 접근할 수 있도록 보장하는 것이 중요합니다. AD는 IT 환경 구축에 필수적이기에 동시에 가장 매력적인 공격 경로 중 하나가 됩니다. 바로 이 때문에 Active Directory 강화가 중요합니다. 하드닝은 실제 공격자에 대한 공격 표면을 줄이고 방어 체계를 강화하여 시스템의 보안을 강화하는 과정입니다.
액티브 디렉터리 강화 프로세스를 통해 조직은 AD의 보안을 확보하고, 사이버 보안과 관련된 무단 접근 사례나 기타 유형의 위험에 노출되지 않도록 해야 합니다. 이는 민감한 정보를 위험에 빠뜨리지 않음으로써 비즈니스 프로세스가 중단 없이 운영되도록 합니다.
Active Directory 이해하기
사용자의 컴퓨터 및 기타 주변 장치를 포함하는 조직(도메인, 네트워크) 내에서 신원 및 리소스를 제공하거나 관리하는 중앙 위치 역할을 합니다. AD를 통해 관리자는 리소스와 관련하여 사용자에게 필요한 사항을 중심으로 관리 작업을 간소화하고 보안 정책을 적용할 수 있습니다.
다양한 액티브 디렉터리 구성 요소
액티브 디렉터리는 완전한 신원 및 접근 관리 인프라를 제공하기 위해 결합된 다양한 핵심 구성 요소로 이루어져 있습니다.
- 도메인: 공통 디렉터리 데이터베이스를 공유하는 Active Directory 내 객체의 논리적 그룹입니다. 각 도메인에는 네트워크에서 이를 식별하는 데 도움이 되는 고유한 이름이 부여됩니다. 예를 들어, 조직의 도메인인 example.com이 있습니다.
- 트리: 트리는 동일한 네임스페이스의 일부를 공유하는 하나 이상의 도메인으로 구성됩니다. 예를 들어 example.com이 도메인이라면 sales-example.com은 하위 도메인이 될 수 있습니다.
- 포리스트: 포리스트는 반드시 연속적인 네임스페이스를 공유하지 않는 하나 이상의 트리 집합입니다. 포리스트는 Active Directory에서 최상위 보안 경계이며, 모든 도메인에 걸쳐 공유 스키마 및 구성 설정을 유지합니다. 포리스트는 하나 이상의 트리 유형을 포함할 수 있으며, 포리스트 내 트리들은 신뢰 관계를 통해 서로 연결되어 도메인 간 리소스 접근을 가능하게 합니다.
- 조직 단위(OU): 조직 단위(OU)는 도메인 내 객체를 구성하기 위한 컨테이너입니다. OU는 사용자, 그룹, 컴퓨터 및 다른 OU를 담는 컨테이너 역할을 합니다. 동시에 이 구조는 관리자가 다양한 팀 및 부서에 위임한 OU 부분에 대해 세분화된 권한 기반 정책 제약을 생성할 수 있도록 제어 수준을 제공합니다.
- 도메인 컨트롤러(DC): 도메인 컨트롤러는 동일 도메인 및 다른 도메인 내 클라이언트의 인증 요청을 수락하는 서버입니다. 도메인 컨트롤러는 도메인 디렉터리 파티션이라고도 하는 자체 Active Directory 데이터베이스를 보유하고 있으며, 여기에는 도메인의 모든 개체가 포함됩니다. 도메인 컨트롤러는 이 데이터베이스를 서로 복제하여 모든 컨트롤러가 일관된 사본을 보유할 수 있도록 합니다.
Active Directory의 작동 방식
Active Directory는 네트워크 리소스의 인증, 권한 부여 및 관리를 가능하게 하는 몇 가지 프로토콜과 기능을 기반으로 작동합니다. 이를 살펴보겠습니다.
인증 프로토콜
- Kerberos: Kerberos는 Active Directory에서 주로 사용되는 인증 프로토콜입니다. 강력한 인증을 위한 네트워크 보안에 중점을 둡니다. 사용자가 시스템에 로그온하면 Kerberos는 개별 서비스에 대한 세션 티켓을 요청할 수 있도록 TGT(Ticket Granting Ticket)를 발급합니다. 이 절차는 시스템 상에서 비밀번호 전송에 대한 의존도를 줄여 보안성을 높입니다.
- NTLM (NT LAN Manager): Kerberos가 상호 운용성을 위해 일반적으로 필요로 하는 레거시 인증 프로토콜이므로 선택의 여지가 많지 않습니다. NTLM은 도전-응답 인증 방식을 사용하는데, 이는 전혀 안전하지 않습니다(가능하면 피해야 함). 또한 Kerberos 워밍업 시 NTLM으로의 대체가 발생해서는 안 됩니다.
그룹 정책의 역할
그룹 정책은 훨씬 더 강력한 도구로, 도메인 내의 시스템뿐만 아니라 사용자에 대해서도 특정 설정이나 구성을 적용하는 데 사용할 수 있습니다. 보안 옵션이나 소프트웨어 설치 여부, 사용자 인터페이스의 설정 표시 위치 등 거의 모든 설정을 구성하는 데 사용할 수 있습니다.
그룹 정책은 도메인, OU 또는 사이트와 연결될 수 있는 그룹 정책 개체(GPO)를 통해 시행됩니다. 관리자는 GPO를 사용하여 암호 복잡성 적용, 계정 잠금 정책, 소프트웨어 제한과 같은 특정 보안 요구 사항을 시행할 수 있습니다. 이러한 중앙 집중식 관리를 통해 조직 전체에 걸쳐 통일된 표준이 일관되게 준수될 수 있습니다.
Active Directory 강화의 중요성
안전하지 않은 AD는 비즈니스에 심각한 결과를 초래할 수 있습니다. AD는 안전하게 구성되지 않았을 때 해커들에게 금광과 같기 때문에 Active Directory 강화가 중요합니다. 가능한 결과는 다음과 같습니다:
- 데이터 유출: 액티브 디렉터리에 접근 권한을 가진 해커는 도난당한 사용자 인증 정보를 이용해 사설 데이터에 침입할 수 있으며, 이는 대규모 데이터 유출을 초래할 수 있습니다. 이러한 경우 기업의 기밀 정보가 유출될 수 있습니다.
- 랜섬웨어 공격: 보안이 취약한 Active Directory는 공격자가 랜섬웨어 을 네트워크 전반에 퍼뜨릴 수 있습니다. 발판을 마련한 후에는 중요한 파일을 암호화하고 접근 권한을 위해 금전을 요구할 수 있습니다. 실제로 이는 모든 기업의 운영에 영향을 미칠 뿐만 아니라 잠재적인 재정적 손실과 평판 손상으로 직접 이어질 수 있습니다.
- 운영 중단: 침해된 Active Directory는 비즈니스 운영 중단으로 이어질 수 있습니다. 공격자는 사용자 계정을 탈취하거나 권한을 조작하여 필요한 리소스에 대한 접근을 차단함으로써, 영향을 받은 조직에 다운타임과 생산성 저하를 초래할 수 있습니다.
- 재정적 손실: 보안 침해가 조직에 미치는 직접적인 영향은 금전적 손실입니다. 보안 침해 시 조직은 사고 대응, 복구 비용, 법적 비용, 데이터 보호 규정 미준수로 인한 벌금 등 다양한 비용을 부담해야 할 수 있습니다.
- 규제적 영향: 여러 산업 분야는 민감한 데이터와 관련된 안전한 환경을 유지해야 합니다. Active Directory 보안 침해로 인한 위반으로 인한 규정 미준수는 막대한 벌금과 법적 조치를 의미할 수 있습니다.
CNAPP 마켓 가이드Active Directory 강화 체크리스트
이러한 사실을 고려할 때, 조직의 IT 환경을 보호하고 Active Directory(AD) 관리 영역을 잘 강화하는 것이 중요합니다. 따라서 각 항목에 대한 설명이 포함된 상세한 Active Directory 강화 체크리스트를 제공합니다.
1. 최소 권한 접근
과도하게 허용적인 접근 권한 사용을 줄이고 최소 권한 원칙을 따르는 것은 AD 보안에서 필수입니다. 이 원칙은 시스템 최종 사용자가 업무 수행에 필요한 최소한의 접근 권한만 가져야 한다고 명시합니다.
이를 위해 기업은 먼저 관리자 권한을 가진 모든 계정을 식별하고 필요한 계정을 재평가해야 합니다. 관리자 계정은 별도의 로그인 정보를 사용하여 일반 사용자 영역과 분리해야 합니다. 또한, 할당을 통한 역할 기반 접근 제어(RBAC)를 사용하면 조직 내 지정된 역할에 대한 권한 할당을 단순화할 수 있습니다.
2. 정기적인 권한 감사
Active Directory의 보안에 있어 권한을 정기적으로 감사하는 것은 매우 중요합니다. 기업은 사용자 계정 및 그룹 멤버십, 접근 권한 등 현재 권한 상태를 확인하기 위해 권한 감사를 수행해야 합니다. 이를 통해 승인된 사용자만 적절한 권한을 보유하도록 해야 합니다.
조직은 데이터에 접근하는 계정 소유자뿐만 아니라 관리 작업에 대한 후속 조치도 정기적으로 감사해야 합니다. 예를 들어, 권한이 상승된 사용자의 변경 사항 로그를 확인하는 등의 작업이 포함됩니다. 조직은 관리 활동을 모니터링함으로써 사기 행위를 조기에 탐지하여 위험을 완화할 수 있습니다.
3. 안전한 인증 보장
따라서 안전한 인증 메커니즘은 Active Directory 보호의 핵심입니다. 이를 위한 한 가지 방법은 모든 사용자, 특히 관리자에게 다단계 인증(MFA) 모든 사용자, 특히 관리자에게 적용하는 것입니다. MFA는 사용자 계정에 접근하기 위해 두 가지 이상의 신원 확인 방식을 요구하여 추가적인 보안 계층을 형성합니다. MFA 외에도 기업은 효과적인 비밀번호 정책을 수립해야 합니다.
기업은 무차별 대입 공격으로부터 보호하기 위해 계정 잠금 정책을 시행할 수도 있습니다. 사용자에게 비밀번호 강도를 높이고 로그인 실패 횟수 기준을 설정하도록 강제하여, 잠재적 비밀번호 추측 목록을 돌며 계정에 접근하려는 해커를 차단할 수 있습니다. 물론 이는 필요성에 따라 조절되어야 하며, 정상 사용자를 실수로 차단하지 않도록 주의해야 합니다. (잠재적 비밀번호 추측 목록을 순환하며 계정에 접근하려는 해커 차단). 물론 이는 필요성에 따라 조절되어야 하며, 정상 사용자를 실수로 차단하지 않도록 주의해야 합니다.
4. 도메인 컨트롤러 보안 강화
도메인 컨트롤러(DC)는 Active Directory에서 핵심 역할을 수행하므로 더 강력한 보호 장벽이 필요합니다. DC에 물리적으로 접근하는 인원을 최소화하는 것이 최우선 과제이며, 해당 서버가 특정 데이터 센터 내에 위치함을 명확히 해야 합니다. 물리적, 관리적, 및 기술적 통제를 구현하며, 가용성 모니터링에 활용될 수 있는 감시 시스템을 포함합니다. 이는 접근 통제 역할을 수행합니다.
보안 패치로 DC를 정기적으로 업데이트하는 것도 취약점 방어에 중요합니다. 이러한 취약점을 해결하는 대규모 패치 및 업데이트는 적용 전 철저한 테스트가 필요하지만, 테스트에는 시간이 소요되므로 강력한 패치 관리 프로세스로 이를 관리할 것을 권장합니다.
5. 네트워크 세분화
Active Directory 보안 강화를 위한 중요한 방법 중 하나는 네트워크 분할입니다. 조직은 도메인 컨트롤러를 중요 시스템으로 격리함으로써 공격 표면을 더욱 축소하고 측면 이동을 방지할 수 있습니다. 온프레미스 네트워크의 경우 가상 로컬 영역 네트워크(VLAN)를 사용하여 네트워크 세그먼트를 구분하고 신뢰할 수 있는 엔터티만 도메인 컨트롤러에 접근하도록 허용할 수 있습니다.
방화벽 다양한 네트워크 세그먼트 간 트래픽을 차단하기 위해 필수적입니다. 의심스러운 활동이나 무단 접근을 탐지하고 필요한 조치를 취하기 위해 방화벽 로그를 항상 확인해야 합니다.
또한 마이크로 세그멘테이션 기술의 사용을 적극 권장합니다. 이는 동일한 네트워크 내에서 트래픽 흐름을 정의하는 데 있어 조직이 더 높은 정밀도를 확보할 수 있게 하기 때문입니다. 이를 통해 세분화된 수준까지 보안 정책을 적용할 수 있으며, 어떤 시스템이 서로 연결되는지에 대한 보다 정확한 매핑이 가능합니다.
6. 모니터링 및 로깅
Active Directory에서 잠재적 보안 사고를 탐지하고 대응하는 것은 매우 중요하므로, 효과적인 모니터링/로깅이 필요합니다. 조직은 로그인/로그오프 활동, 계정 또는 그룹 멤버십 변경을 포함한 모든 AD 이벤트에 대한 상세한 로깅을 활성화함으로써 완벽한 모니터링을 보장할 수 있습니다.
또한 보안 정보 및 이벤트 관리(SIEM) 솔루션을 통합하면 AD 및 기타 시스템의 로그를 분석을 위해 집계하고 상관관계를 파악함으로써 모니터링을 개선할 수 있습니다. 이는 의심스러운 사항을 발견하면 회사에 경보를 발령하여 사전 대응할 수 있도록 하는 실시간 위협 탐지 기능입니다.
7. 그룹 정책 구성
그룹 정책은 전체 AD 엔터프라이즈에 걸쳐 보안 설정을 시행하는 매우 강력한 방법입니다. 조직 정책에 부합하는 보안 기준을 적용하기 위해 GPO를 통해 조직 설정을 구현해야 합니다.
예를 들어, GPO를 활용하여 암호 복잡성 요구 사항, 계정 잠금 정책 및 소프트웨어 제한을 시행할 수 있습니다. 또한 GPO는 시간이 지남에 따라 구식이 되거나 다른 정책과 충돌할 수도 있으므로 정기적으로 검토하고 업데이트하는 것이 중요합니다. GPO 감사는 보안 표준 준수를 유지하고 환경에 위험을 가중시킬 수 있는 잘못된 구성을 탐지합니다.
Active Directory 보안 태세 개선 방법
Active Directory(AD)의 보안 태세를 강화하는 것은 기업 네트워크의 안전과 매우 민감한 정보의 보호를 위한 중요한 단계입니다.
1. 네트워크 세분화
네트워크 세분화에서는 네트워크를 더 작고 격리된 세그먼트로 나누어 접근을 제한하고 노출을 최소화할 수 있습니다. 네트워크 분할을 통해 조직은 도메인 컨트롤러와 같은 가장 중요한 리소스에 대한 접근 권한을 필터링할 수 있습니다. 이는 공격자가 단일 환경에 침투하더라도 네트워크의 다른 부분으로 측면 이동할 가능성을 줄여줍니다.
분할 구간 사이에 엄격한 접근 제어 및 방화벽을 추가하면 보안 수준을 높이고, 악의적인 사용자가 네트워크의 중요한 부분으로 쉽게 이동하는 것을 방지할 수 있습니다.
2. 보안 애플리케이션 및 소프트웨어 활용
액티브 디렉터리(AD) 보안은 데이터베이스 보안을 강화하기 위해 전문 도구와 소프트웨어를 통해 크게 활용됩니다. AD 모니터링 및 감사 도구는 사용자가 무단 접근을 시도하거나 AD 환경 내에서 발생하는 기타 이상 행동과 같은 실시간 변경 사항을 탐지하는 데 중요합니다.
강력한 비밀번호 정책을 적용하고 정기적인 비밀번호 감사를 강제할 수도 있는데, 이는 조직 내에 수백 개에서 수천 개의 서로 다른 서비스가 존재할 때 특히 유용합니다.
AD 구성 및 권한에 대한 가시성을 제공하는 솔루션은 취약점, 약점 또는 잘못된 구성을 드러내어 즉각적인 조치를 가능하게 합니다.
3. 사고 대응 계획
강력한 사고 대응 계획은 Active Directory와 관련될 수 있는 보안 사고를 적절하게 처리하는 데 매우 중요합니다. 이 계획은 최종 목표가 무엇인지, 누가 처리할 것인지, 그리고 어떻게 처리할 것인지(예를 들어, 침해가 시작된 위치를 파악하는 경우 - 이 경우 분류; 또는 침해를 당한 경우, 다른 시스템에 영향을 미치기 전에 회사가 출구 솔루션을 제공할 수 있는지 여부)를 상세하게 기술해야 합니다.&
또한 사고 대응 계획을 수시로 점검하고 수정하면 신속하고 체계적인 대응으로 가능한 모든 문제에 항상 대비할 수 있습니다.
Active Directory 강화 전략
Active Directory 환경을 보호하고 방어하기 위해서는 Active Directory 강화 관행을 채택해야 합니다. 이 섹션에서는 AD 인프라를 강화하기 위한 다섯 가지 핵심 구성 요소를 나열합니다.
1. 보안 관리 워크스테이션(SAW) 구현
SAW는 소프트웨어 설치 공간이 작고, 최소한의 접근 제어 목록을 가지며, 직접적인 네트워크 연결이 없는 컴퓨터입니다. 또한 읽기 전용 OS와 전체 디스크 암호화를 갖추고 있어 악성 코드가 지속적으로 확산될 수 없습니다. SAW는 애플리케이션 허용 목록을 통해 명시적으로 승인된 소프트웨어만 실행되도록 차단합니다.
2. 고급 감사 정책 활성화 및 구성
AD의 고급 감사 정책을 사용하면 이벤트 로그에 기록되는 내용을 매우 세부적으로 지정할 수 있습니다. 도메인 컨트롤러 및 멤버 서버에서 계정 로그인 이벤트, 개체 액세스, 정책 변경, 권한 사용에 대한 감사를 설정하십시오. Windows 이벤트 전달을 활용하여 로그를 중앙 집중식 위치에 수집하여 검토할 수 있습니다.
3. Microsoft 로컬 관리자 암호 솔루션(LAPS) 사용
LAPS는 암호 정책의 관리 및 무작위화를 처리하는 그룹 정책 클라이언트 측 확장인 온프레미스 솔루션입니다. LAPS는 사용자 지정 암호 복잡성 정책을 허용하고 기존 SIEM 시스템을 통해 모니터링할 수 있습니다.
4. 읽기 전용 도메인 컨트롤러(RODC) 배포
AD 데이터베이스의 읽기 전용 사본을 항상 유지하고 RODC를 통한 단방향 복제를 사용하십시오. RODC가 민감한 정보를 다루지 못하도록 필터링된 속성 집합(FAS)을 정의하십시오. 자격 증명 캐싱을 통해 RODC는 인증을 위해 특정 사용자 자격 증명을 캐시할 수 있습니다.
결론
조직은 Active Directory(AD)를 강화하는 것이 중요합니다. AD는 모든 사용자 신원 및 접근 권한의 핵심이기 때문에, 어떠한 보안 취약점도 데이터 유출부터 운영 마비에 이르기까지 광범위한 영향을 미칠 수 있습니다.
강력한 Active Directory 강화 체크리스트는 조직이 공격 표면을 최소화하고 사이버 위협에 효과적으로 대처하는 데 도움이 됩니다. 주요 전략으로는 최소 권한 접근 검토, 정기적인 권한 할당 점검, 안전한 인증 및 도메인 컨트롤러의 구성 관리 등이 포함됩니다.
AD 보안을 최우선 과제로 삼음으로써 조직은 사이버 방어 태세를 강화할 뿐만 아니라 규제 요건 준수를 준비하여 훨씬 안전한 IT 인프라를 구축할 수 있습니다.
FAQs
Active Directory 강화는 AD 환경이 위협과 공격으로부터 안전하도록 보장하는 과정입니다. 이는 최소 권한 원칙을 적용하여 최종 사용자에게 필요한 권한 이상을 부여하지 않는 것, 복잡한 암호 정책 적용, 계정 지속적 감사 등 공격 가능성을 차단하기 위한 기본 보안 제어 및 모범 사례를 포함한 Active Directory 강화 체크리스트를 구현하는 것을 의미합니다.
액티브 디렉터리 위협이란 AD를 대상으로 실행될 수 있는 일련의 공격 또는 취약점을 의미하며, 이를 통해 AD가 위험에 처할 수 있습니다. 이러한 위협에는 로그인된 계정 접근 권한 남용, 권한 상승, 도메인 컨트롤러(DC) 정찰 등이 포함됩니다. 예를 들어, 침입자가 도메인 컨트롤러에 침입하여 사용자 계정을 변경하고 민감한 데이터를 조작할 수 있습니다.
다른 위협으로는 자격 증명 피싱이나 AD 인프라의 취약점을 악용하는 악성 코드가 있습니다.
액티브 디렉터리를 보호하기 위해 다중 계층 보안 방식을 적용할 수 있습니다. 여기에는 강력한 암호 정책 시행, 다중 요소 인증 사용, 사용자 권한의 정기적 검토 등이 포함됩니다.
기본적으로 시스템에 보안 패치를 최신 상태로 유지하고 AD 내 의심스러운 활동을 모니터링하는 것이 중요합니다.
RAID는 Redundant Array of Independent Disks(중복 독립 디스크 어레이)의 약자입니다. RAID는 스토리지 성능을 향상시키고 개별 디스크에 더 많은 구조를 제공합니다. Active Directory 환경에서 RAID는 도메인 컨트롤러 데이터를 보호하는 데 사용됩니다.
대부분의 조직은 RAID 구성을 사용하여 하나의 디스크 장애로 인해 데이터가 손실되거나 손상되지 않도록 합니다. 즉, 조직은 다른 활성 상태의 정상 디스크에서 동일한 데이터를 쉽게 가져올 수 있습니다. 이는 가용성과 무결성이 필수적인 AD 데이터베이스의 정보 또는 로그 손실로부터 보호하는 중요한 기능입니다.