본문 바로가기 주메뉴 바로가기

최신IT소식

2021년 전망 - 그룹 정책(GPO)의 중요성 부각

관리자 2021-01-13 조회수 144



 

2021년 전망 - 그룹 정책(GPO)의 중요성 부각


마이크로소프트, 특히 AD 환경에 대한 2021년 8가지 전망 중 중요한 것들을 더 자세히 살펴보는 중입니다. 랜섬웨어 피해 기업이 정부의 처벌을 받게 될 이유를 먼저 살펴봤는데, 오늘은 사람들이 고생 끝에 ‘그룹 정책(Group Policy)’가 있음을 기억하게 될 이유에 대해 살펴보겠습니다.

 

그룹 정책에 대해 이해해야 할 3가지

우선 그룹 정책에 대해 알아야 할 3가지 핵심 사항부터 짚어보겠습니다.

 

1. 대단히 강력하다

그룹 정책은 AD(Active Directory)에 내장된 핵심 기능입니다. 관리자는 그룹 정책을 통해 IT 환경 전반에서 할 수 있는 일과 없는 일을 설정할 수 있습니다. 사용자(비즈니스 사용자부터 관리자까지)와 컴퓨터(사용자 엔드포인트부터 AD 도메인 컨트롤러까지), 두 가지 모두에 대한 설정을 생성할 수 있습니다. 실제로 마이크로소프트의 참조 스프레드시트에는 말 그대로 수천 가지의 설정이 나와 있습니다.

 

그룹 정책으로 할 수 있는 일 중에서 몇 가지만 꼽아보겠습니다.

- 비밀번호 정책을 설정하고 강제합니다.

맬웨어 감염 벡터인 이동식 미디어 드라이브 사용을 차단합니다

명령 프롬프트에 대한 액세스를 제한해서 사용자가 승인되지 않은 코드를 실행할 수 없도록 합니다.

사용자가 자신의 시스템에 새 소프트웨어를 설치하지 못하도록 차단합니다.

더 근래에 나온 케베로스(Kerberos) 인증에 비해 약한 NTLM 인증을 비활성화합니다.

윈도우에서 해킹하기 쉬운 LM 비밀번호 해시를 저장하지 않도록 합니다.

 

2. 간과되는 경우가 많다

그러나 그룹 정책의 강력함이 제대로 인지되지 못하고 조직의 보안 전략에서 마땅히 받아야 할 관심을 받지 못하는 경우가 많습니다. 그룹 정책은 많은 기업에서 한 번 설정한 다음 더 이상 관심을 두지 않는 기술로 취급됩니다. 오래전에 구성된 그룹 정책이 이후 장시간 그대로 방치되는 경우가 흔합니다. “시야에서 멀어지고 마음에서도 멀어지는” 이 태도는 악의적 행위자에게는 “어서오세요”라는 환영 표지판과 마찬가지입니다.

 

그 반대의 극단으로 가는 기업도 있습니다. 사소한 일 하나하나까지 GPO를 사용해 처리합니다. 몇 년이 지나면 수백, 수천 개의 GPO가 쌓이고 뭐가 어떻게 돌아가는지 누구도 모르는 상태가 됩니다. 이와 같은 혼잡과 끊임없는 변화의 소음 속에서 누군가가 부정한 목적을 위해 조용히 설정을 변경한다 한들 누가 알 수 있을까요?

 

3. 공격자는 별다른 기술 없이도 그룹 정책을 해킹할 수 있다

그룹 정책은 모든 AD 환경의 일부이므로 악의적 행위자는 침투하고자 하는 각 조직마다 새로운 공격 플레이북을 만들 필요가 없습니다. 몇 년 동안 숙달한(그리고 다른 사람들과 공유한) 수법을 그대로 재사용하면 됩니다.

 

게다가 일단 들어온 공격자는 별다른 기술적 노하우가 없더라도 필요한 설정을 조정해서 원하는 것을 얻을 수 있습니다. 못할 이유가 없습니다. 심지어 AD 환경 내의 모든 특권 관계를 드러내는 BloodHound라는 오픈소스 툴도 있습니다.

 

이 툴은 합법적인 IT 전문가가 보안을 개선하는 데 도움을 줄 목적으로 제작되었지만 해커라고 사용하지 못할 이유가 없습니다. 악의적 행위자는 BloodHound를 실행하기만 하면 은밀한 정찰과 승격된 액세스 권한을 획득하는 데 사용할 수 있는 정확한 공격 경로가 나온 세밀한 지도를 입수하고 이를 활용하여 데이터를 훔치고 비즈니스 운영을 중단시키거나 다른 최종 목표를 달성할 수 있습니다.

 

2021년, 더욱 커지는 그룹 정책의 중요성

제로로그온이 계속해서 IT 전문가의 골칫거리가 될 것으로 보일 것이라는 저의 전망은 과거 어느 때보다 2021년에 그룹 정책에 대해 관심을 기울여야 하는 한 가지 이유를 이미 명확히 제시합니다. 공격자는 제로로그온 취약점을 사용해서 도메인 컨트롤러 중 하나에 대한 액세스 권한을 획득할 수 있습니다. 즉, GPO(Group Policy Object)를 자신이 원하는 대로 변경할 수 있습니다. 방금 살펴본 바와 같이, 이 경우 공격자에게 전체 도메인에 대한 막강한 권한을 넘겨주게 됩니다.

 

그룹 정책으로 할 수 있는 일을 나열한 위의 목록을 다시 봐주시기 바랍니다. 모두 보안을 위해 구성해야 하는 가장 중요한 “최상위 10개” GPO 목록에 포함됩니다. 이제 누군가가 이들 GPO 중에서 단 몇 개라도 수정할 경우 어떤 일이 벌어질지 생각해 보십시오. 예를 들어 비밀번호 정책을 비활성화하고 사용자가 자신의 컴퓨터에 승인되지 않은 애플리케이션을 설치하도록 허용할 수 있습니다. 이렇게 되면 환경에 해커가 한 명 침투한 상황에 그치는 것이 아니라 사용자(관리자까지!) 인증 정보가 시시각각 침해되고 맬웨어가 IT 생태계 전체에 걷잡을 수 없이 퍼지게 됩니다.

 

GPO 보안을 강화하는 방법

그렇다면 스스로를 방어하기 위해 할 수 있는 일은 무엇일까요? 단도직입적으로, 그룹 정책을 보안 전략의 중심에 두십시오! 우선 현재 보유한 GPO를 제대로 파악해야 합니다. 특히 중복되거나 상호 충돌하는 설정을 확인해 정리해야 합니다. 이 부분은 조직이 “한번 설정하고 관심을 끈” 경우가 아니라 “장기적인 GPO 난립”을 거친 경우에 해당한다면 특히 중요합니다.

 

다음으로, 모든 변경이 승인을 거친 정확한 변경임을 보장하는 데 도움이 되는 승인 기반 워크플로우를 설정해야 합니다. 부주의한 관리자 역시 공격자가 공격하는 속도만큼 빠르게 IT 운영을 중단시키거나 보안 침해에 환경을 노출시킬 수 있기 때문입니다. 보안을 한층 더 강화하려면 특정 정책에 대한 책임을 특정 관리자에게 할당하는 방법이 크게 도움이 됩니다. 이렇게 하면 누구도 자신이 담당하지 않는 설정에 우발적, 또는 의도적으로 접근할 수 없습니다.

 

마지막으로, 물론 GPO에 대하 변경을 즉시 인지하고 GPO 변경이 승인되지 않았거나 부정적인 영향을 미치는 경우 알려진 정상 설정으로 신속하게 되돌릴 수 있어야 합니다. 일부 GPO 값의 경우 아예 고정해서 수정이 불가능하도록 하는 것이 더욱 좋습니다.

 

  • 등록된 댓글이 없습니다.