Active Directory(AD)는 공격자들에게 고가치 표적입니다. 공격자들은 권한 상승 및 접근 범위 확장을 위해 AD를 침해하려는 시도를 빈번히 합니다. 안타깝게도 운영상 필수적인 특성상 AD는 기업 내 모든 사용자가 쉽게 접근할 수 있어야 하므로, 보안 유지가 매우 어렵기로 악명 높습니다. 마이크로소프트는 매일 9,500만 개 이상의 AD 계정이 공격을 받는다고 밝혔으며, 이는 문제의 심각성을 강조합니다.
AD 보호는 도전 과제이지만 불가능한 것은 아닙니다. 단지 올바른 도구와 전략이 필요할 뿐입니다. 다음은 기업이 오늘날 가장 흔한 공격 전술에 대해 AD를 보다 효과적으로 보호하기 위해 활용할 수 있는 10가지 팁입니다.
1. 특권, 위임된 관리자, 서비스 및 네트워크 세션의 열거 방지 및 탐지
적대자가 경계 방어를 뚫고 네트워크 내에 발판을 마련하면, 잠재적으로 가치 있는 자산을 식별하고 그 자산을 확보할 방법을 찾기 위해 정찰을 수행합니다. 이를 위한 가장 효과적인 방법 중 하나는 AD를 표적으로 삼는 것입니다. AD를 표적으로 삼으면 정상적인 비즈니스 활동으로 위장할 수 있고, 탐지될 가능성이 거의 없기 때문입니다.
권한, 위임된 관리자 및 서비스 계정의 열거를 탐지하고 방지하는 기능은 공격 주기의 초기 단계에서 공격자의 존재를 방어자에게 경고할 수 있습니다. 엔드포인트에 위장 도메인 계정 및 자격 증명을 배포하면 공격자를 혼란에 빠뜨리고 방어자가 그들을 유인체로 유도하여 교전할 수 있게 합니다.
2. 특권 계정 노출 식별 및 대응
사용자들은 종종 워크스테이션에 자격 증명을 저장합니다. 때로는 실수로, 때로는 편의상 의도적으로 저장하기도 합니다. 공격자들은 이 사실을 알고 저장된 자격 증명을 노려 네트워크 환경에 접근합니다. 올바른 자격 증명을 확보하면 많은 것을 얻을 수 있으며, 침입자는 항상 자신의 권한을 확대하고 더 많은 접근을 시도할 것입니다.
기업은 특권 계정 노출을 식별하고, 잘못된 구성을 수정하고, 저장된 자격 증명, 공유 폴더 및 기타 취약점을 제거함으로써 공격자가 네트워크에 쉽게 접근하는 것을 방지할 수 있습니다.
3. "골든 티켓" 및 "실버 티켓" 공격 보호 및 탐지
패스-더-티켓(Pass-the-Ticket, PTT) (PTT) 공격은 공격자가 네트워크 전반에 걸쳐 측면 이동을 수행하고 권한을 상승시키기 위해 사용하는 가장 강력한 기법 중 하나입니다. Kerberos의 상태 비저장 설계 전략은 악용을 용이하게 하여 공격자가 시스템 내에서 티켓을 쉽게 위조할 수 있게 합니다. "골든 티켓(Golden Ticket)"과 "실버 티켓(Silver Ticket)"은 공격자가 도메인 침해 및 도메인 지속성을 달성하기 위해 사용하는 가장 심각한 유형의 PTT 공격 중 두 가지입니다.
이를 해결하려면 취약한 Kerberos 티켓 부여 티켓(TGT) 및 컴퓨터 서비스 계정을 탐지하고, 잠재적으로 PTT 공격으로 이어질 수 있는 잘못된 구성을 식별하여 경고할 수 있는 능력이 필요합니다. 또한, Singularity Identity와 같은 솔루션을 사용하면 엔드포인트에서 위조된 티켓의 사용을 방지할 수 있습니다.
4. Kerberoasting, DCSync 및 DCShadow 공격으로부터 보호하기
"Kerberoasting" 공격은 공격자가 특권 액세스를 획득하는 쉬운 방법이며, DCSync 및 DCShadow 공격은 기업 내 도메인 지속성을 유지합니다.
방어자는 AD 공격에 대한 실시간 분석을 제공하면서 해당 공격으로 이어지는 잘못된 구성을 경고하는 AD에 대한 지속적인 평가 수행 능력이 필요합니다. 또한, 악의적인 행위자가 표적 계정을 발견하는 것을 방지하기 위해 엔드포인트 존재를 활용할 수 있는 솔루션은 이러한 침입을 수행하는 그들의 능력을 저해할 수 있습니다.
5. 도메인 공유에서 자격 증명 수집 방지
공격자는 일반적으로 Sysvol이나 Netlogon과 같은 도메인 공유에 저장된 스크립트나 그룹 정책 파일에 저장된 평문 또는 복호화 가능한 암호를 표적으로 삼습니다.
Singularity Identity Posture Management과 같은 솔루션을 사용하면 이러한 암호를 탐지하여 공격자가 표적으로 삼기 전에 노출된 부분을 수리할 수 있습니다. Singularity Identity 솔루션에 포함된 메커니즘은 프로덕션 AD에 기만적인 Sysvol 그룹 정책 개체를 배포하여 공격자를 프로덕션 자산에서 멀리 유도함으로써 공격을 더욱 방해할 수 있습니다.
6. 숨겨진 특권 SID를 가진 계정 식별
Windows 보안 식별자(SID) 주입 기법을 사용하면 공격자는 SID의 "기록" 속성을 악용하여 AD 환경 내에서 측면 이동을 수행하고 권한을 더욱 상승시킬 수 있습니다.
이를 방지하려면 SID 기록 속성 및 보고서에서 잘 알려진 특권 SID 값으로 설정된 계정을 탐지해야 합니다.
7. 중요 개체에 대한 위험한 접근 권한 위임 탐지
위임은 사용자 또는 컴퓨터 계정이 다른 계정을 사칭할 수 있도록 하는 AD 기능입니다. 예를 들어, 사용자가 웹 서버에서 호스팅되는 웹 애플리케이션을 호출할 때, 애플리케이션은 다른 서버에서 호스팅되는 리소스에 액세스하기 위해 사용자의 자격 증명을 모방할 수 있습니다. 제한 없는 위임이 활성화된 도메인 내 모든 컴퓨터는 도메인 내 다른 서비스에 대한 사용자 자격 증명을 사칭할 수 있습니다. 안타깝게도 공격자는 이 기능을 악용하여 네트워크의 다른 영역에 접근할 수 있습니다.
AD 취약점과 위임 노출을 지속적으로 모니터링하면 공격자가 이를 악용하기 전에 방어자가 이러한 취약점을 식별하고 해결하는 데 도움이 됩니다.
8. 위임이 활성화된 특권 계정 식별
위임과 관련해, 제한 없는 위임이 설정된 특권 계정은 Kerberoasting 및 Silver Ticket 공격으로 직접 이어질 수 있습니다. 기업은 위임이 활성화된 특권 계정을 탐지하고 보고할 수 있는 역량이 필요합니다.
특권 사용자, 위임된 관리자, 서비스 계정의 포괄적인 목록은 방어자가 잠재적 취약점을 파악하는 데 도움이 됩니다. 이 경우 위임 자체가 자동으로 나쁜 것은 아닙니다. 운영상의 이유로 필요한 경우가 많지만, 방어자는 Singularity Identity와 같은 도구를 사용하여 공격자가 해당 계정을 발견하지 못하도록 방지할 수 있습니다.
9. AdminSDHolder ACL에서 비특권 사용자 식별
Active Directory 도메인 서비스(AD DS)는 AdminSDHolder 객체와 보안 설명자 전파기(SDProp) 프로세스를 사용하여 특권 사용자 및 그룹을 보호합니다. AdminSDHolder 객체는 고유한 액세스 제어 목록(ACL)을 가지고 있으며, 이 ACL은 내장된 특권 AD 그룹의 구성원인 보안 주체의 권한을 제어합니다. 공격자는 측면 이동을 가능하게 하기 위해 AdminSDHolder에 계정을 추가하여 다른 보호된 계정과 동일한 특권 액세스 권한을 부여할 수 있습니다.
조직은 Singularity Identity Posture Management와 같은 도구를 사용하여 AdminSDHolder ACL 내에서 비정상적인 계정의 존재를 탐지하고 경고할 수 있습니다.
10. 기본 도메인 정책 또는 기본 도메인 컨트롤러 정책의 최근 변경 사항 식별
AD 내에서 조직은 환경에 특화된 보안 설정을 정의하여 여러 운영 구성을 관리하기 위해 그룹 정책을 사용합니다. 이러한 정책은 종종 관리 그룹을 구성하고 시작 및 종료 스크립트를 포함합니다. 관리자는 각 수준에서 조직이 정의한 보안 요구 사항을 설정하고, 소프트웨어를 설치하며, 파일 및 레지스트리 권한을 설정하기 위해 이를 구성합니다. 안타깝게도 공격자는 이러한 정책을 변경하여 네트워크 내에서 도메인 지속성을 확보할 수 있습니다.
기본 그룹 정책 변경 사항을 모니터링하면 방어자가 이러한 공격자를 신속하게 발견하여 보안 위험을 완화하고 AD에 대한 특권 액세스를 방지하는 데 도움이 될 수 있습니다.
적절한 도구 마련하기
공격자가 AD를 표적으로 삼기 위해 사용하는 가장 일반적인 전술을 이해하면 기업이 이를 방어하는 데 도움이 될 수 있습니다. Singularity Identity Posture Management 및 Singularity Identity와 같은 도구를 개발할 때, 우리는 다양한 공격 경로를 고려하고 이를 탐지하고 차단하는 최선의 방법을 파악했습니다.
이러한 도구를 활용하면 오늘날 기업들은 침입자가 권한을 상승시켜 소규모 공격을 대규모 침해로 확대하기 전에 취약점을 효과적으로 식별하고, 악성 활동을 조기에 탐지하며, 보안 사고를 해결할 수 있습니다. AD 보호는 어려운 과제이지만, 현대의 AD 보호 도구 덕분에 극복 불가능한 것은 아닙니다.
"Active Directory 보안 모범 사례 FAQ
Active Directory 보안은 사이버 위협으로부터 Microsoft Active Directory 환경을 보호하기 위해 사용할 수 있는 일련의 조치 및 관행을 의미합니다. 사용자 계정, 컴퓨터 및 권한을 중앙 집중식 위치에서 관리함으로써 네트워크 내 리소스에 대한 접근 권한을 제어합니다. 기본적으로 사용자가 주장하는 신원을 확인하고, 접근 권한을 부여받은 후 수행할 수 있는 작업을 결정하는 '게이트키퍼' 역할을 합니다.
여기에는 인증, 권한 부여, 접근 제어 및 모니터링이 포함되어 무단 사용자가 시스템과 데이터를 조작하지 못하도록 방지합니다.
"공격자가 AD에 침투하면 사실상 전체 시스템에 대한 통제권을 장악하게 되므로 Active Directory 보안은 매우 중요합니다. AD는 네트워크 전반의 모든 시스템, 애플리케이션 및 민감한 데이터에 대한 액세스를 제어합니다. AD가 손상되면 대규모 데이터 침해, 시스템 손상, 심지어 네트워크 전체가 완전히 중단될 수도 있습니다.
현재 Azure AD에 대한 공격은 연간 250억 건에 달하며, 이 중앙 허브를 안전하게 보호하지 못하면 위협 행위자들이 권한을 상승시키고 네트워크를 가로질러 이동하며 랜섬웨어를 배포하거나 자격 증명을 훔칠 수 있습니다. 이로 인한 피해는 비즈니스 운영을 마비시키고 막대한 재정적 손실을 초래할 수 있습니다.
"최소한의 권한 사용자를 유지하고 개별 권한 대신 그룹을 사용하여 접근을 할당해야 합니다. 최신 요구 사항을 반영한 강력한 암호 정책을 적용하고 모든 관리자 계정에 다단계 인증을 강제 적용하십시오. 프린터 스풀러와 같은 불필요한 서비스를 끄고, SMBv1을 비활성화하며, 가능한 경우 NTLM을 제한하십시오. 정기적인 보안 평가를 수행하여 휴면 계정을 찾아 공격 경로가 되기 전에 제거하십시오.
권한 그룹 변경 및 로그인 실패 시도 주변을 중심으로 AD에서 의심스러운 활동을 지속적으로 모니터링하십시오. 도메인 컨트롤러를 물리적으로 안전하게 유지하고 적절한 백업 및 복구 계획을 유지하십시오.
"MFA는 단순한 비밀번호를 넘어 추가 인증 단계를 도입하여 AD 보안을 크게 강화합니다. 피싱이나 무차별 대입 공격으로 공격자가 자격 증명을 탈취하더라도 모바일 앱이나 하드웨어 토큰 같은 두 번째 인증 요소 없이는 접근할 수 없습니다. MFA는 자동화된 공격의 99.9% 이상을 차단하고, 자격 증명이 유출된 경우에도 침해 위험을 98.56%까지 줄입니다.
Microsoft Authenticator, FIDO2 키, 생체 인식, SentinelOne과 같은 플랫폼 등 다양한 방법을 사용하여 위협 행위자가 계정을 해킹하기 어렵게 만들 수 있습니다. MFA는 문제가 발생했을 때 포렌식 분석을 위한 더 나은 감사 추적 기록도 제공합니다.
"AD 보안 체크리스트는 현재 보안 상태를 감사하고 제거가 필요한 오래된 계정을 식별하는 것부터 시작해야 합니다. 비밀번호 정책을 검토하고 강화한 후, 무차별 대입 공격을 차단하기 위해 계정 잠금 정책을 구현합니다. 또 다른 항목은 모든 특권 계정에 다중 요소 인증을 배포하고 최소 권한 원칙에 기반한 안전한 접근 제어 정책을 수립하는 것입니다. 정기적인 패치 관리를 설정하고, 취약점 평가를 실행하며, 구성 문제를 발견하기 위해 AD 감사를 수행하십시오.
중요한 이벤트, 특히 도메인 관리자 그룹 변경 및 인증 실패와 관련된 이벤트에 대해 적절한 로깅 및 모니터링을 활성화하십시오. 보안 정책을 문서화하고, 직원에게 모범 사례를 교육하며, AD 복구 프로세스를 정기적으로 테스트하십시오.
"보안 로그에서 특정 이벤트 ID를 모니터링해야 합니다. 특히 로그인 실패(4625), 계정 잠금(4740), 권한 상승 시도(4672)를 주의 깊게 관찰하십시오. 도메인 관리자 및 엔터프라이즈 관리자와 같은 권한 있는 그룹에 대한 무단 변경을 주의 깊게 관찰하십시오. 이러한 변경은 종종 보안 침해를 의미합니다. 단일 IP 주소에서 여러 번의 실패한 시도나 정상 근무 시간 외 로그인 등 비정상적인 로그인 패턴에 대해 실시간 경보를 설정하십시오.
그룹 정책 변경, 관리자 계정의 암호 재설정, 도메인 컨트롤러 설정 변경을 모니터링하십시오. SentinelOne은 이러한 활동을 추적하고 자동화된 탐지 및 경보를 지원하는 데 도움이 될 수 있습니다.
"