액티브 디렉터리 보안이란 무엇인가? AD 보안 설명

Active Directory는 기업 네트워크에서 사용자 인증 및 접근 관리 시스템을 위한 주요 구성 요소 중 하나입니다. 이는 기업 환경을 위한 사용자 계정 및 보안 설정과 같은 네트워크 자원을 포함하고 제어하는 시스템 역할을 합니다.

Active Directory는 오늘날 기업 네트워크 내에서 중요한 보안 기능을 담당합니다. 특정 자원에 접근할 수 있는 사용자를 결정하고, 보안 인증서에 대한 접근을 제공하며, 연결된 모든 장치 및 시스템에 보안 정책을 적용합니다. Active Directory는 조직이 민감한 데이터를 무단 접근으로부터 보호하기 위해 일관된 보안 절차를 적용하도록 보장하는 신뢰할 수 있는 메커니즘입니다.

이 블로그에서는 Active Directory 보안이 무엇인지, 위협 행위자들이 이를 어떻게 공격하는지, 그리고 조직이 이러한 공격을 완화하기 위해 무엇을 할 수 있는지 살펴보겠습니다. 본 블로그에서는 Active Directory 인프라를 보호하기 위한 기술적 솔루션과 다양한 보안 제어 수단에 초점을 맞출 것입니다.

액티브 디렉터리 보안이란 무엇인가?&

액티브 디렉터리 보안은 디렉터리 서비스 인프라의 침해를 방지하기 위한 일련의 조치입니다. 이 시스템은 도메인 컨트롤러를 통해 작동하며, 이는 Windows Server 네트워크 내부에서 발생하는 보안 인증 요청에 응답하는 서버입니다.

액티브 디렉터리 보안이 중요한 이유는 무엇인가요?

기업 방어의 핵심 요소인 Active Directory 보안은 네트워크 리소스와 민감한 데이터에 대한 접근을 통제합니다. Active Directory는 대부분의 기업 네트워크 진입점이며, 보안 침해가 발생하면 공격자가 네트워크를 탐색하고 접근 권한이 없는 시스템에 접근할 수 있습니다. 액티브 디렉터리의 침해는 데이터 도난, 시스템 다운타임 및 규정 준수 위반으로 이어질 수 있습니다.

보안 결함이 있는 Active Directory 구성으로 인해 여러 진입 공격 지점이 발생합니다. 취약한 암호, 잘못 구성된 권한, 패치되지 않은 취약점이 존재하면 악용될 수 있는 잠재적 접근 지점이 됩니다. 초기 접근이 이루어지면 공격자는 서로 다른 도메인 간의 신뢰 관계를 이용하여 궁극적으로 최종 목표 도메인에 접근합니다. 도메인 컨트롤러 해킹은 가장 큰 피해를 입히는데, 이 서버들은 모든 도메인 사용자의 인증 정보를 보유하고 있기 때문입니다.

AD 공격은 복구 시간이 오래 걸립니다. 안전한 구성을 재구축하려면 사용자 권한, 신뢰 관계, 그룹 정책 설정에 대한 광범위한 감사가 필요합니다. 시스템의 보안 점검 및 복구 과정에서 비즈니스 기능이 저해됩니다.

액티브 디렉터리 보안의 핵심 구성 요소

액티브 디렉터리를 보호하기 위해 여러 구성 요소가 서로 연결됩니다. Kerberos 및 NTLM는 사용자가 자칭하는 신원이 맞는지 확인한 후 리소스 접근을 허용합니다. 암호화된 티켓과 챌린지-응답 메커니즘을 활용하여 네트워크 전반에 걸쳐 자격 증명 보호를 제공합니다.

접근 제어 메커니즘은 사용자가 접근할 수 있는 리소스를 지정합니다. 액세스 제어 목록(ACL)은 사용자 계정 또는 보안 그룹(사용자 계정 집합)인 보안 주체에 권한을 부여합니다. 이러한 권한은 디렉터리 개체에 대한 읽기, 쓰기 또는 수정 등의 작업을 허용하는 데 사용됩니다.

도메인 보안 정책은 도메인 전체에 걸쳐 표준화된 제어를 시행합니다. 암호 정책은 암호 복잡도, 암호 유효 기간, 암호 재사용 등과 관련된 규칙을 적용합니다. 악의적인 행위자가 보안 조치를 우회하기 위해 암호를 추측하거나 무차별 대입 공격을 시도하는 경우를 방지하기 위해, 계정 잠금 정책은 적절한 사용 시에만 로그인 시도가 성공하도록 보장합니다.

Active Directory 보안에 대한 일반적인 위협

Active Directory는 네트워크 내 인증 및 접근 제어의 중심점입니다. 이는 다양한 보안 위협의 주요 표적이 됩니다. 공격자들은 도메인 리소스에 대한 무단 접근 또는 통제권을 획득하기 위해 일련의 기법을 활용하여 Active Directory 요소를 악용합니다.

1. 계정 기반 공격

패스워드 스프레이 및 사용자 계정에 대한 무차별 대입 공격은 위협 행위자들이 흔히 시도하는 방법입니다. 이러한 계정 또는 암호 공격은 널리 사용되는 암호를 수많은 계정에 사용하거나 특정 계정에 여러 암호를 시험해 보는 방식으로 이루어집니다. 자동화 도구를 사용하는 공격자는 계정 잠금을 피하면서 수많은 암호 조합을 시도할 수 있습니다. 사용자 계정은 특히 높은 수준의 관리자 접근 권한을 가진 계정일 경우, 가장 먼저 침투하는 진입점 중 하나입니다.

2. 자격 증명 도용

공격자는 다양한 도구를 사용하여 메모리에서 자격 증명을 추출합니다. 공격자는 LSASS 프로세스 메모리에 저장된 암호 해시 및 Kerberos 티켓까지도 훔치는 것으로 알려져 있습니다. 자격 증명 덤핑 도구는 도메인 컨트롤러나 워크스테이션에서 직접 이러한 인증 자료를 추출합니다. 공격자가 유효한 자격 증명을 확보하면 합법적인 사용자를 사칭하여 정상적인 인증 통제를 우회할 수 있습니다.

3. 디렉터리 서비스 악용

액티브 디렉터리 프로토콜 및 서비스의 결함은 공격 기회를 제공합니다. LDAP 잘못된 구성은 일반 연결을 허용하여 디렉터리 쿼리가 조작될 위험에 노출됩니다. DNS 영역 전송 설정과 동적 업데이트 구성 역시 적절히 보호되지 않을 경우 취약점을 생성합니다. 공격자들은 이러한 서비스 수준 문제를 이용하여 도메인 구조와 자산을 파악합니다.

4. 복제 공격

도메인 컨트롤러 복제 프로세스는 특정 위협에 직면합니다. DCSync 공격은 복제 프로토콜을 통해 암호 데이터를 읽습니다. 공격자가 복제 트래픽에 접근할 수 있다면, 한 도메인 컨트롤러에서 다른 컨트롤러로 전송되는 데이터를 수정할 수 있습니다. 복제가 실패하면 데이터 불일치가 드러나 도메인 전체 정책 적용에 보안 취약점이 발생합니다.

액티브 디렉터리 공격은 어떻게 작동하나요?

도메인 침해는 다양한 유형의 액티브 디렉터리 공격 기법을 통해 이루어집니다. 이러한 접근 방식은 인증 및 권한 부여 시스템의 서로 다른 부분을 공격하며, 종종 네트워크에 대한 완전한 접근 권한을 얻기 위해 여러 접근 방식이 조합되어 사용됩니다. 이러한 공격 패턴에 대한 이해는 조직이 강력한 방어 조치를 마련하는 데 도움이 됩니다.

권한 상승 기법

권한 상승은 공격자가 기본 수준에서 시작하여 액티브 디렉터리 환경에 대한 상위 수준의 접근 권한을 획득하기 위해 사용하는 기법입니다. 초기 단계에서는 취약한 비밀번호나 효과적인 피싱 공격을 통해 일반 사용자의 공통 계정을 악용합니다. 고급 기법은 도메인 관리자 권한으로 실행되는 잘못 구성된 서비스 계정을 공격자가 우회할 수 있게 합니다.

커버로스팅 공격

Kerberoasting는 AD 내 서비스 계정을 노립니다. 도메인 계정으로 실행되는 서비스에 대해 TGS 티켓 요청을 생성하는 방식으로 작동합니다. 이 티켓에는 서비스 계정 비밀번호의 해시 값이 암호화된 형태로 포함됩니다. 공격자는 이러한 해시 값을 오프라인으로 추출하여 비밀번호를 해독하려 시도합니다. 이 방법은 특히 관리 권한을 보유하는 경우가 많은 취약한 비밀번호를 가진 서비스 계정에 대해 특히 위험합니다.

패스-더-해시(Pass-the-Hash) 및 패스-더-티켓(Pass-the-Ticket) 공격

이 공격들은 사전에 탈취한 자격 증명 세트를 재사용하여 작동합니다. 패스-더-해시 공격>에서는 공격자는 한 시스템에서 NTLM 암호 해시를 탈취한 후 이를 다른 시스템에서 인증에 사용합니다. 또 다른 접근 방식인 패스-더-티켓 공격은 동일한 원리를 기반으로 하지만 해시 대신 유출된 Kerberos 티켓을 표적으로 삼습니다. 어느 쪽이든, 이는 실제 암호 없이 네트워크에서 수행되는 측면 이동 기법입니다.

골든 티켓 및 실버 티켓 악용

골든 티켓 공격 도메인의 최고 권한 계정(KRBTGT)을 사용하여 Kerberos 티켓을 위조합니다. 공격자가 KRBTGT 해시를 확보하면 도메인 내 모든 사용자 또는 서비스에 대한 티켓을 생성할 수 있습니다. 이 티켓은 일반적인 보안 통제를 우회할 수 있으며, 비밀번호가 변경된 후에도 지속됩니다.

도메인 전체 KRBTGT 계정 대신, 실버 티켓 공격은 특정 서비스 계정을 대상으로 수행됩니다. 공격자가 서비스 계정의 해시를 확보하면 해당 서비스에 대한 위조 서비스 티켓을 생성할 수 있습니다. 이러한 티켓은 제한된 수의 서비스에 대한 접근을 허용하지만 골든 티켓보다 포괄적이지 않습니다.

도메인 복제 공격

DCSync는 도메인 복제 서비스 원격 프로토콜(Directory Replication Service Remote Protocol)을 사용하여 도메인 컨트롤러로부터 암호 데이터를 획득하는 취약점입니다. 공격자가 복제 권한을 보유한 경우 도메인 내 모든 암호 기반 계정의 암호 해시를 추출합니다.

MS-DRSR 공격

MS-DR (MS-DRSR)을 악용하여 도메인 컨트롤러로부터 암호 데이터를 획득하는 공격 기법입니다. 공격자가 복제 권한을 보유한 경우, 도메인 내 모든 암호 기반 계정의 암호 해시를 추출합니다.

DCShadow 공격은 특정 RPC 서버를 등록하고 필요한 디렉터리 객체를 생성하여 DC의 동작을 모방함으로써, 합법적인 복제 채널을 통해 악의적인 변경 사항을 주입하는 방식입니다.

Active Directory 강화 기법

기술적 제어 및 구성을 통해 조직의 Active Directory 보안을 강화할 수 있습니다. 이러한 기술에는 더 큰 공격 표면을 피하고 일반적으로 사용되는 악용 기술의 영향을 방지하기 위해 디렉터리 인프라의 필수 요소를 강화하는 것이 포함됩니다.

1. 도메인 컨트롤러 강화

도메인 컨트롤러는 AD 네트워크의 중추이므로 다층 보안 접근 방식으로 보호해야 합니다. 이는 물리적 보안 통제를 통해 누구도 물리적 서버 하드웨어에 접근하지 못하도록 차단해야 하며, OS 강화로 공격 진입점이 될 수 있는 불필요한 기능과 서비스를 제거해야 함을 의미합니다. 알려진 취약점을 수정하고 악용이 발생하지 않도록 보장하기 위해 Windows Server 구성 요소에 대한 보안 업데이트를 수행해야 할 수도 있습니다.

2. LDAP 보안 구성

경량 디렉터리 액세스 프로토콜(LDAP)의 디렉터리 쿼리 및 수정 관련 보안은 특별한 모니터링이 필요합니다. 위험을 완화하고 전송 중 디렉터리 트래픽이 변조되는 것을 방지하려면 조직은 LDAP 서명을 활성화해야 합니다.

채널 바인딩 구현을 구성하여 LDAP 연결을 특정 TLS 채널에 연결함으로써 연결 탈취를 불가능하게 합니다. 이러한 설정은 도메인 전체에 배포된 그룹 정책으로 적용되며, LDAP 서버 서명, 클라이언트 서명 및 채널 바인딩을 요구하고 SSL 및 TLS가 아닌 연결에서의 단순 바인딩을 거부합니다.

3. DNS 보안 구현

DNS 보안은 이름 해결 서비스가 핵심 디렉터리 기능에 필수적이므로 Active Directory 보호의 가장 중요한 측면 중 하나입니다. 트래픽을 재전송할 수 있는 DNS 레코드의 무단 업데이트를 방지함으로써 보안 동적 업데이트가 도움이 됩니다. 스푸핑을 방지하기 위해 DNSSEC 검증을 통해 DNS 요청의 출처 무결성이 인증되도록 하십시오.

4. 인증 프로토콜 보안

인증 보안은 자격 증명을 확인하는 과정과 관련되며 신중하게 구성해야 합니다. Kerberos 설정에는 특별한 주의가 필요하며, AES 암호화 지원은 활성화하되 RC4는 암호화 방법으로 비활성화해야 합니다. 조직은 적절한 최대 티켓 유효 기간을 정의하고 비밀번호 변경 알림 시스템을 도입해야 합니다. NTLM 보안 역시 동일한 수준의 검토가 필요하며, 구식 LM 및 NTLMv1 프로토콜을 비활성화하고 NTLMv2 및 세션 보안을 강제 적용하는 설정이 필요합니다.

5. 관리 접근 제어

디렉토리 내 권한 남용을 방지하려면 관리 접근에 대한 광범위한 통제가 필요합니다. 시간 제한적 관리 접근과 필요 시점 권한 상승은 특권 접근 관리 시스템을 통해 시행되어야 합니다. 조직은 일상 업무용 별도의 관리 계정과 특권 작업용 별도의 계정이 필요합니다. 보호 대상 사용자의 보안 그룹 멤버십은 특권 계정에 추가 보호를 적용하며, 역할 기반 접근 제어(RBAC) 은 특정 직무 기능에 맞춤화된 세분화된 권한 할당을 가능하게 합니다.

Active Directory 보안 모범 사례

이 섹션에서는 AD에 대한 일반적인 공격을 방지하기 위한 일반적인 AD 보안 모범 사례를 논의하겠습니다.

1. 안전한 관리 관행

관리자 계정으로부터의 위협을 방지하려면 운영상 엄격하게 통제해야 합니다. 디렉터리 관리를 위한 전용 관리자 워크스테이션을 조직에 도입해야 합니다. 워크스테이션이 위치한 환경에서는 애플리케이션 화이트리스트 적용 및 인터넷 접근 제한과 같은 강력한 보안 통제가 필요합니다. 모든 관리 작업은 특권 접근 관리(PAM) 시스템을 통해 기록되어야 하며, 민감한 작업에 대한 승인 워크플로를 포함해야 합니다.

2. 비밀번호 정책 구현

비밀번호 정책은 도메인 계정 보안의 기초를 마련합니다. 조직은 최소 16자 이상의 길이, 다양한 문자 사용, 비밀번호 유효 기간 설정 등 복잡성 요구 사항을 설정해야 합니다. 무차별 대입 공격 방지를 위해, 제한된 횟수의 로그인 실패 후 계정을 일정 기간 동안 잠금 처리해야 합니다. 비밀번호 정책은 최신 보안 관행 및 위협 시나리오와 일치하는지 주기적으로 평가해야 합니다.

3. 그룹 정책 보안

도메인에 가입된 시스템에서는 그룹 정책 구성을 통해 보안 설정을 제어합니다. 조직은 사용되지 않는 서비스를 제한하고 사용자 권한 할당을 제한하기 위해 기본 보안 설정을 적용해야 합니다. 그룹 정책 개체 변경 시에는 변경 사항을 추적하기 위한 버전 관리 및 변경 관리 프로세스가 반드시 필요합니다. 모든 시스템에 정책이 의도한 대로 적용되도록 그룹 정책 처리가 정기적으로 수행되는지 확인하십시오. 잘못된 구성이나 상충되는 정책을 확인하기 위한 그룹 정책 설정 감사는 보안 팀에 부담이 될 수 있습니다.

4. 서비스 계정 관리

서비스 계정은 생성 남용을 방지하기 위해 특별히 맞춤화된 보안 통제가 시급히 필요합니다. 모든 서비스 또는 애플리케이션은 조직이 제공하는 고유한 서비스 계정을 보유해야 합니다. 계정에는 추측하기 어려운 길고 복잡한 비밀번호가 필요하며, 각 계정마다 고유해야 하고 조직이 정의한 일정에 따라 변경되어야 합니다. 사용되지 않는 서비스 계정이나 과도한 권한을 식별하고 삭제하기 위한 정기적인 감사를 수행해야 합니다.

5. 정기적인 보안 평가

보안 평가 형태로 수행되는 체계적인 보안 통제 평가를 통해 Active Directory의 건전성을 유지합니다. 과도한 권한을 식별하고 불필요한 권한을 제거하기 위해 조직이 수시로 실행해야 하는 또 다른 중요한 개념은 권한 감사입니다. 기준에 의해 승인된 보안 조치 또는 표준은 디렉터리 구성 검토를 수행하여 확인할 수 있습니다. 평가 보고서에는 보안 취약점을 해소하기 위한 시한이 명시된 시정 계획이 포함되어야 합니다.

액티브 디렉터리 보안의 과제

AD 보안 구현에는 상당한 어려움이 따릅니다. 이러한 어려움은 아키텍처 제약, 운영 요구사항, 그리고 엔터프라이즈 디렉터리 서비스 시스템의 복잡성에서 비롯됩니다. 그중 몇 가지를 살펴보겠습니다.

1. 레거시 인증 프로토콜

레거시 시스템은 구식 인증 방식을 사용하기 때문에 조직에 보안 허점을 노출시킵니다. 많은 레거시 애플리케이션이 여전히 NTLM 인증을 요구하기 때문에 조직은 이 안전하지 않은 프로토콜을 활성화할 수밖에 없습니다.

2. 복잡한 권한 계층 구조

Active Directory 환경이 확장됨에 따라 AD 권한 구조는 더욱 복잡해지고 다루기 어려워집니다. 중첩된 그룹 멤버십은 명확성을 저해합니다. 객체 권한은 시간이 지남에 따라 다양한 관리 작업을 통해 점진적으로 부여됩니다. 따라서 ACL 처리는 특히 권한이 수많은 조직 시스템과 도메인에 흩어져 있을 때 복잡한 문제가 됩니다. 보안 팀이 명확한 권한 경계를 추적하고 더 이상 필요하지 않은 접근 권한을 취소하기가 어려워집니다.

3. 신뢰 관계 관리

포리스트 간 신뢰 관계와 동일 포리스트 내 서로 다른 도메인 간 신뢰 관계는 특히 보안 관리 측면에서 복잡한 문제입니다. 외부 신뢰는 보안 팀이 경계해야 할 공격 경로를 열어둡니다. 조직은 이러한 신뢰 관계에 대한 정확한 문서를 유지하고 보안 설정을 검증하는 데 어려움을 겪습니다.

4. 서비스 계정 과다 생성

조직이 새로운 애플리케이션과 서비스를 출시함에 따라 서비스 계정이 생성됩니다. 계정 안전성은 지속적으로 관리되어야 하며, 시간이 지남에 따라 오래된 비밀번호를 업데이트해야 합니다. 비밀번호 변경은 서비스 종속성 문제로 이어져 보안 정책을 위반하는 정적 자격 증명을 생성합니다. 많은 애플리케이션이 서비스 계정에 불필요한 권한을 요청하여 공격 표면을 더욱 확대합니다. 조직이 서비스 계정 사용 현황을 추적하고 오래된 계정을 정리하는 것은 어려운 과제입니다.

5. 특권 접근 권한 설정 오류

관리자 접근 권한 통제를 구현하는 것은 매우 어렵습니다. 비상 접근 절차는 일반적으로 정상적인 보안 통제 범위 밖에서 구현되어 보안 공백을 발생시킵니다. 일시적인 권한 할당은 만료되지 않습니다. 시간 제한 접근 제어를 적절하게 구현하지 않으면 조직은 특권 사용자에 대한 정확한 목록을 확보할 수 없습니다.

SentinelOne을 통한 Active Directory 보안

SentinelOne은 전문적인 Active Directory 모니터링 및 보호 기능을 추가합니다. 이 플랫폼은 디렉터리 서비스와 연동하여 Active Directory 인프라에 대한 공격을 탐지하고 대응합니다.

실시간 디렉터리 모니터링

SentinelOne 에이전트는 Active Directory 이벤트 및 활동을 모니터링하기 위해 배포됩니다. 이 에이전트를 통해 인증 시도, 권한 변경, 디렉터리 업데이트를 초 단위로 모니터링합니다. 디렉터리 계층 구조 내의 관리 작업 및 보안 관련 이벤트와 관련된 광범위한 로그를 유지합니다.

신원 보호 기능

SentinelOne는 디렉터리 신원 보호에 대한 제어 기능을 제공합니다. SentinelOne은 과거 자격 증명 사용 패턴을 활용하여 잠재적인 자격 증명 유출을 식별할 수 있습니다. 더 많은 권한 획득 시도 및 시스템 관리 기능에 대한 무단 접근을 기록합니다. 이러한 기능은 의심스러운 인증 이벤트 및 비정상적인 계정 활동에 대응하는 자동화된 대응을 포함할 수 있습니다.

자동화된 대응 조치

SentinelOne은 위협이 Active Directory를 표적으로 삼을 때 자동으로 대응합니다. 이러한 대응에는 의심스러운 인증 시도 차단 및 침해된 장치 격리가 포함됩니다. 침해된 계정은 종료될 수 있으며, 플랫폼에서 무단 접근 권한이 자동으로 취소될 수 있습니다. 구성 가능한 정책은 디렉터리 서비스 가용성을 보장하면서 대응 조치를 결정합니다.

보안 통합

이 플랫폼은 기존 디렉터리 기반 보안 도구 및 제어 기능과 원활하게 연동됩니다. 추가 보안 검사를 통해 SentinelOne은 그룹 정책 적용 방식을 제공합니다. Windows 내장 로깅 기능을 상세한 보안 텔레메트리 데이터로 보완합니다. SentinelOne 콘솔을 사용하여 디렉터리 보안을 중앙에서 관리할 수 있는 통합 기능을 제공합니다.

결론

Active Directory 보안은 기술적 통제, 운영 관행 및 지속적인 모니터링을 결합한 포괄적인 접근 방식을 요구합니다. 조직은 정교한 공격 기법을 통해 디렉터리 서비스를 표적으로 삼고 다양한 시스템 취약점을 악용하는 진화하는 위협에 직면해 있습니다. 이러한 위협을 이해하고 적절한 보안 조치를 구현하면 중요한 인증 및 접근 제어 시스템을 보호하는 데 도움이 됩니다.

보안 모범 사례는 Active Directory 환경을 보호하기 위한 기반을 마련합니다. 관련 통제의 효과성을 검증함과 동시에 가능한 취약점을 발견하기 위해 정기적인 보안 평가를 수행해야 합니다. 관리 접근 권한은 특정 시스템과 문서화된 프로세스를 통해 관리되어야 하지만, 서비스 계정은 보안 취약점을 방지하기 위해 지속적인 유지 관리가 필요합니다. 그룹 정책은 도메인에 가입된 모든 시스템에 보안 표준을 적용하는 탁월한 방법으로, 여러 계층의 보호 기능을 추가하여 무단 접근 및 시스템 침해를 방지합니다.

SentinelOne과 같은 현대적 보안 솔루션은 Active Directory 전용으로 설계된 모니터링 및 자동화된 대응과 같은 추가적이고 정교한 보호 기능을 제공합니다. 이러한 도구는 디렉터리 내에서 발생하는 상황을 더 잘 파악할 수 있게 해주면서 위협 탐지 및 대응 속도를 높여줍니다.

FAQs