Active Directory(AD)는 공격자들이 신원 중심 공격을 수행할 때 주요 표적이 되고 있습니다. 다행히도, 엔터프라이즈 보안 팀이 Active Directory 인스턴스에 대한 가시성을 높이고 발견된 취약점을 해결할 수 있도록 도와주는 여러 도구가 제공되고 있습니다.
분석가들이 자주 사용하는 도구 중 하나는 Attack Path 그래프로, 표준 사용자에서 도메인 관리자와 같은 고권한 계정까지 공격자가 권한을 상승시킬 수 있는 가능한 경로를 시각적으로 보여줍니다.
이러한 시각화는 도움이 될 수 있지만, 취약점을 차단하고 모범 사례를 장려하는 Active Directory 평가 도구를 대체할 수는 없습니다. 차이점을 설명하기 위해, 이 게시물에서는 엔터프라이즈에서 흔히 발견되는 두 가지 예시 시나리오를 통해 두 접근 방식을 비교해 보겠습니다.
사례 연구: 기본 권한 상승
첫 번째 시나리오에서는 간단한 Attack Path를 살펴보고 동일한 문제에 대한 AD 보안 평가 결과와 비교해 보겠습니다.
첫 번째 예시에서, 침해된 표준 사용자 ‘Bob’은 더 큰 Engineering 그룹의 구성원이며, 이 그룹은 CAD Tools 그룹의 하위 집합입니다. 잘못된 구성과 권한 분리로 인해 이 그룹은 Service Installers 그룹의 구성원이기도 하며, 이 그룹 자체가 Domain Admins 그룹의 구성원입니다.
분명히, Bob이 표준 사용자 권한만 가져야 함에도 불구하고, 이러한 중첩된 관계로 인해 Bob의 계정이 침해될 경우 공격자는 Domain Admin 권한을 획득할 수 있습니다.
이 시점에서, AD 보안 평가 도구가 이러한 상황에서 제공할 수 있는 맥락과 관리자가 이 정보를 활용하여 문제를 완화하고 재발을 방지할 수 있는 방법을 살펴보겠습니다.
AD 보안 평가 도구는 다음과 같은 정보를 제공합니다:
- 권한이 있는 모든 사용자 목록. 이는 모든 권한 그룹의 중첩 그룹에 속한 모든 구성원을 포함합니다.
- 권한 그룹 내에 중첩된 그룹 목록(제거 대상). 관리자가 문제를 완화하는 데 필요한 바로가기입니다.
- 권한 그룹에 그룹을 중첩하지 않는 모범 사례. 이는 병목 지점을 제거하여 구성원에게 의도치 않은 권한이 부여되는 것을 어렵게 만듭니다. 관리자가 문제를 예방하는 데 필요한 지침입니다.
두 번째와 세 번째 항목이 가장 중요합니다. Service Installers 그룹(및 중첩된 다른 그룹들)을 Domain Admins 그룹에서 제거하면, 침해된 표준 사용자 계정은 더 이상 Domain Admin이 아닙니다. 취약점을 해결하고 모범 사례를 따르면, 관리자는 더 이상 그래프를 분석하여 그룹 멤버십을 어디서 잘라야 할지 고민할 필요가 없어지며, 사실상 그래프는 무의미해집니다.
사례 연구: 자격 증명 크래킹
또 다른 간단한 Attack Path를 살펴보겠습니다.
위의 공격 경로에서, 한 사용자의 컴퓨터(COMPUTER 1)가 침해되었습니다. 이후 공격자는 해당 컴퓨터의 로컬 관리자 계정 자격 증명을 크래킹하는 데 성공합니다. 공격자는 동일한 로컬 관리자 계정의 비밀번호를 사용하여 또 다른 컴퓨터(COMPUTER 2)에 로그인합니다. 이는 관리 편의를 위해 동일한 자격 증명으로 (잘못)구성된 경우입니다. COMPUTER2에서 공격자는 Domain Admin 계정의 해시를 크래킹하여 권한을 상승시킵니다.
Active Directory 보안 평가 도구는 다음과 같은 정보를 분석가에게 제공하여 이 위험을 신속하게 완화할 수 있습니다:
- LAPS(Local Administrator Password Solution)가 Active Directory에 구성되어 있지 않음이 감지됨. 만약 구성되어 있었다면, 공격자가 동일한 로컬 관리자 비밀번호로 COMPUTER1에서 COMPUTER2로 이동하는 것을 방지할 수 있었습니다. 모든 로컬 관리자 계정에 서로 다른, 주기적으로 변경되는 비밀번호를 사용하는 것이 모범 사례입니다. LAPS가 이 요구를 충족합니다.
- Domain Admin 계정이 과거에 워크스테이션에 로그인한 이력이 있음. 이로 인해 공격자가 사용할 수 있는 해시가 남게 됩니다. 여기서 권장되는 모범 사례는 Domain Admin 계정은 도메인 컨트롤러에만 로그인하고, 워크스테이션 및 멤버 서버의 모든 해시는 삭제하는 것입니다.
AD 보안 평가 도구의 완화 조치 및 모범 사례 권고를 따르면, 관리자는 공격자의 잠재적 Attack Path를 제거하고 이러한 잘못된 구성 및 취약점 악용을 방지할 수 있습니다.
Attack Path가 놓치는 Active Directory 위험
Attack Path는 알려진 공격을 보여주도록 설계된 반면, 취약점을 차단하면 이러한 공격뿐만 아니라 종종 알려지지 않은 경로까지 제거할 수 있습니다. 따라서 취약점을 근본적으로 제거하고 모범 사례를 따르는 것이 더욱 중요합니다.
Attack Path가 보여주는 그림은 실제 Active Directory 보안 상황을 완전히 반영하지 못합니다. 조직이 어떻게 취약해질 수 있는지 보여주는 그래프보다, AD 인프라가 노출되지 않도록 보장하는 도구가 더 효과적입니다.
아래는 복잡한 Attack Path 그래프에는 적합하지 않지만, AD 보안 평가에서 반드시 탐지해야 하는 공격 예시입니다.
- 무차별 대입 비밀번호 공격 – 평가는 일반적으로 알려진 비밀번호, 사전 단어, 또는 가능한 모든 문자 조합을 시도하여 비밀번호를 “추측”하는 시도를 탐지해야 합니다.
- 비제한 위임 노출 – AD 사용자 또는 컴퓨터 오브젝트가 Kerberos를 사용하는 서비스에 위임된 경우. 침해 시, 공격자가 인증된 계정으로 어떤 서비스든 가장할 수 있습니다.
- AdminSDHolder 공격으로부터 Active Directory 보호 – Active Directory의 AdminSDHolder 템플릿에 사용자 또는 그룹을 추가하면, 모든 권한 사용자 및 그룹의 ACL에 “각인”되어 해당 계정에 대한 권한을 부여합니다.
Singularity™ Identity Posture Management는 Active Directory 환경에서 이러한 취약점 및 기타 다양한 취약점을 스캔하여, 관리자가 이를 완화할 수 있도록 안내하고 향후 예방을 위한 모범 사례를 보장합니다.
결론
Attack Path는 네트워크에서 잠재적 공격이 어떻게 발생할 수 있는지 관리자가 이해하는 데 도움이 되는 흥미로운 그래프이지만, 알려진 취약점을 제거하고 모범 사례를 적용하는 선제적 접근을 대체할 수는 없습니다. Singularity Identity Posture Management는 취약점을 찾아내고, 관리자가 이를 차단하고 유지할 수 있도록 안내합니다.
Active Directory 보안 평가 FAQ
AD 보안 평가는 도메인의 구성, 권한, 그룹 정책, 계정 설정을 상세하게 검토하여 취약점을 찾는 과정입니다. 사용자, 컴퓨터, 그룹의 구조를 분석하고, 부적절한 권한이나 오래된 객체를 점검하며, 공격 시나리오를 시뮬레이션합니다. 평가 결과를 활용해 공격자가 취약점을 악용하기 전에 AD를 강화할 수 있습니다.
AD 보안 평가는 공격자가 수평 이동, 권한 상승, 자격 증명 탈취를 할 수 있는 잘못된 구성과 위험한 권한을 찾아내는 데 목적이 있습니다. 신뢰 관계를 매핑하고, ACL을 평가하며, 공격 경로를 테스트함으로써 우선적으로 조치할 항목을 선정하고 실제 위협이 발생하기 전에 조직의 공격 표면을 줄일 수 있습니다.
공격 경로 그래프는 현재 권한을 기반으로 공격자가 AD 내에서 이동할 수 있는 잠재적 경로를 시각화합니다. AD 보안 평가는 그 이상을 수행하며, 구성 설정을 감사하고, 보안 기준 준수 여부를 점검하며, 실제로 해당 경로를 테스트합니다. 정적 분석과 실습 테스트를 결합해 실제로 악용 가능한 공격 경로를 검증합니다.
가능한 공격 경로만 보는 것으로는 “거부” ACE나 모니터링 알림과 같은 제어가 실제로 차단하는지 알 수 없습니다. AD 평가는 실제 환경에서 구성을 테스트하고, 사용 중단된 설정을 식별하며, 실제로 동작하는 경로를 검증합니다.
이러한 실증적 검증을 통해 이론적 위험이 아닌 실제 악용을 차단할 수 있는 변경 사항에 집중할 수 있습니다.
한 사례에서는 평가를 통해 오래된 ACL을 통해 도메인 관리자 권한이 연결된 잊혀진 서비스 계정을 발견했습니다. 해당 연결을 제거해 공격자의 피벗을 차단했습니다. 또 다른 사례에서는 감사 점검을 통해 외부 계약자에게 광범위한 권한을 부여한 중첩 그룹을 발견했고, 해당 멤버십을 제거해 공격자가 계획한 권한 상승 경로를 차단했습니다.
AD 평가는 과도한 권한의 ACL, 무제한 위임, 오래되거나 고권한 계정, 노출된 서비스 티켓, 취약한 Kerberos 설정, 그룹 정책 보안의 미비점을 탐지합니다. 또한 도메인 컨트롤러의 패치 관리 누락, 취약한 LDAPS/TLS 구성, 모니터링되지 않는 복제 링크 등 공격자가 은밀하게 접근에 사용하는 요소도 식별합니다.
평가 도구는 LSASS에서 해시된 자격 증명을 추출하고, Kerberoasting을 시뮬레이션하여 서비스 티켓을 요청하며, 취약한 Kerberos 키를 테스트할 수 있습니다. 가역 암호화 사용 계정이나 강화되지 않은 서비스 프린시펄을 식별합니다. 이러한 대상을 정확히 찾아내어 비밀번호를 재설정하고, 더 강력한 암호화를 요구하며, 오프라인 크래킹에 사용되는 티켓 요청을 차단할 수 있습니다.
AD는 네트워크 신뢰 모델의 핵심으로, 침해될 경우 공격자가 광범위한 접근 권한을 얻게 됩니다. 모든 ACL, 위임 설정, 도메인 컨트롤러 구성을 파악하면 권한 상승이나 수평 이동이 발생할 수 있는 위치를 알 수 있습니다. 명확한 가시성이 없으면 위험을 추측할 수밖에 없으며, 숨겨진 공격 경로를 제때 발견하지 못할 수 있습니다.
AD 보안 평가는 최소 분기별로, 또는 마이그레이션, 도메인 컨트롤러 업그레이드, 합병 등 주요 변경 후에 수행해야 합니다. 그 사이에는 월별로 주요 영역—권한 그룹 멤버십, GPO 변경, 감사 로그—을 점검하세요. 정기적인 주기로 새로운 잘못된 구성을 공격자가 발견하기 전에 탐지할 수 있습니다.
취약점 데이터를 정기적으로 업데이트하고, 고급 보안 자동화 도구를 사용하세요. 지속적인 위협 모니터링, 그래프 기반 모니터링, 자산 식별 및 우선순위 지정을 활성화하세요. 위협 인텔리전스 프레임워크를 활용하고, SentinelOne’s AI 기반 보안 솔루션을 통해 멀티 클라우드 환경 전반의 가시성을 강화하세요.
