자료실

올바른 AD 구성으로 침입 가능성을 줄이는 방법 – 2부


올바른 AD 구성으로 침입 가능성을 줄이는 방법 – 2부 


1부에서 살펴본 것처럼 올바른 AD(Active Directory) 구성은 사이버보안에 있어 매우 중요하며, AD를 구성할 때는 백업 및 복구 테스트가 반드시 필요합니다. ‘식별, 보호, 감지, 대응, 복구’로 정리되는 미국표준기술연구소(National Institute of Standards and Technology, NIST)의 사이버 보안 프레임워크에서 ‘복구’는 백업 데이터의 보안이 중요하게 작용하는 단계입니다. 


백업 보안의 본질은 복구하고자 하는 시점, 즉 침해가 발생하기 이전 시점에 있습니다. 그렇지 않다면 이미 감염된 상태의 파일을 복원하는 데 그치기 때문입니다. 공격자는 조직에 침투해서 2주, 한 달, 두 달, 얼마가 됐든 백업 보존 기간 동안 몸을 숨깁니다. 네트워크에 설치한 백도어가 백업까지 영향을 미치도록 하기 위해서입니다. 그런 다음 어느 버전으로 복원해도 백도어에 감염된 버전이 된다는 것을 확신하게 되면 공격을 시작합니다. 백업을 복원하면 백도어도 복원되니 공격자는 다시 액세스할 수 있습니다. 


대표적인 해결책은 스크럽(scrub)이라고 하는 백업 검사입니다. 스크럽 서비스 업체는 일정 기간에 걸쳐 일련의 백업을 받고 계속해서 발전하는 지능을 기반으로 이 백업에서 정기적으로 새로운 취약점과 백도어를 스캔합니다. 스크럽과 불변성 백업은 침해 이후의 복구 가능성을 확보하기 위한 핵심적 조치입니다. 그러나 성공적인 복원을 보장하기 위해서는 고급 컨트롤과 세부적인 복구 옵션, 자동화를 제공하고 온프레미스와 클라우드 환경을 모두 처리하는 서드파티 복구 솔루션을 두는 것이 이상적입니다. 


데이터 복구 계획은 복구 툴 못지않게 중요합니다. 랜섬웨어로 인해 갑자기 모든 시스템이 사용 불능 상태가 됐을 때 최대한 빨리 복구해야 하는 것은 무엇인가요? 이와 같은 우선순위를 정하지 않고 종단간 복구를 한 번에 수행하는 계획을 세운다면 지속적이고 광범위한 경계에 많은 비용이 소비될 것입니다. 


백업 보안에서 간과되는 부분은 백업이 저장되는 위치에 대한 액세스 통제입니다. DC(Domain Controller)를 백업할 때, 백업 시스템의 스토리지에 액세스할 수 있는 사람은 누구인가요? 정당하든 아니든 액세스 권한을 가진 누구나 보존된 모든 백업을 보고 편집할 수 있습니다. 주요 백업 시스템을 새로운 것으로 바꾸고 이전 시스템을 AD 구성 및 도메인 컨트롤러 백업용으로 사용한다 해도 여전히 위험에 노출됩니다. 공격자는 이런 스토리지를 침해해서 AD 백업에 액세스하거나 감염시킬 수 있습니다. 


시스템 상태 백업이 데이터 복구에 유용한 이유 

AD 구성을 안전하게 백업하지 않으면 다른 모든 것을 제어하는 시스템을 복구할 수 없는 문제에 직면하게 됩니다. 


많은 기업이 데이터 보호 솔루션을 사용한다는 이유로 어떤 상황이 발생해도 복구할 준비가 돼 있다고 생각합니다. 그러나 AD가 포함된 시스템 상태 백업이 없는 경우 랜섬웨어와 같은 파괴적인 공격에서 복구하는 속도는 훨씬 느려집니다. 복구가 불가능하지는 않지만, 네트워크를 정상화하기까지 많은 시간과 노력을 투입해야 하고 백업 솔루션 업체와 마이크로소프트도 더 많이 개입해야 합니다. 일부 백업 시스템은 SQL 서버에 의존하고, SQL 서버는 다시 AD에 의존하기 때문입니다. 전체 복구를 수행하려면 AD 복원이 필요합니다. 


AD 백업 및 복구를 테스트하는 최선의 방법은 무엇일까요? 

복구를 얼마나 자주 테스트하나요? 백업 루틴을 철저히 실행하고 안전하게 저장할지라도 테스트를 하지 않으면 아무것도 보장할 수 없습니다. AD 구성의 백업과 복구도 마찬가지입니다. NIST는 랜섬웨어 간편 가이드에서 “복구 계획을 직접 테스트하면 직원 및 파트너 인식이 개선되고 더 강화해야 할 부분을 파악할 수 있습니다. 테스트에서 얻은 교훈으로 항상 계획을 업데이트하십시오”라고 강조했습니다. 


많은 백업 솔루션 업체가 AD를 백업해야 한다고 광고하지만, AD의 전부가 아닌 일부만 복원하는 경우가 있습니다. 


특히 랜섬웨어는 복구를 까다롭게 합니다. 복구가 더 많은 혼란과 롤백 문제로 이어지지 않도록 하기 위해서는 반드시 따라야 하는 자동화된 단계가 있습니다. 랜섬웨어 시나리오를 사용한 테스트가 중요한 이유도 여기에 있습니다. ‘랜섬웨어 복구에 대해 알아야 할 모든 것’에서 상세히 다루었습니다. 


단순히 DC의 오프라인 복사본을 가지고 와서 실험 환경에 넣고 가동한 다음 다른 애플리케이션을 테스트하는 정도로는 충분하지 않습니다. 한계를 정확하게 확인하려면 모든 DC가 동시에 다운되는 상황을 테스트해야 합니다. 실제 시나리오라면 공격자는 티어 0 GPO(Group Policy Object)에 액세스하고 자신의 페이로드를 배포한 후 AD 및 관련 시스템을 포함한 기업 환경 전체를 동시에 폐쇄할 것입니다. 이런 극한 상황을 테스트하고 훈련해야만 확신을 얻을 수 있습니다. 


클라우드 환경 백업은 어떨까요? 

현재 AD 구성을 백업하고 복구도 테스트하고 있다면, 오피스 365 데이터가 포함된 클라우드 환경도 백업하고 있나요? 비즈니스용 원드라이브와 모든 사용자의 홈 드라이브를 호스팅하는 셰어포인트 온라인을 백업하고 있나요? 팀즈와 여기에 저장하는 모든 데이터는 어떤가요? 


클라우드에서 작업한다고 해서 데이터 백업이 보장되지 않음에도 클라우드 컴퓨팅에 의존하는 대부분 기업은 클라우드 환경을 백업하지 않습니다. 랜섬웨어의 초점이 온프레미스 데이터에서 클라우드 데이터로 옮겨간다면 곤란한 상황이 될 것입니다. API와 같은 모든 프로그래밍 리소스가 클라우드에 있으므로 위협 행위자가 클라우드 기반 데이터를 암호화해서 인질로 삼는 상황도 충분히 상상할 수 있습니다. 


물론 클라우드 컴퓨팅의 문제는 인터넷 연결이 중단되면 데이터를 사용할 수 없다는 점입니다. 공격 또는 침해의 여파가 너무 커서 연결을 끊고 새로 시작하는 것 외에는 선택의 여지가 없을 수 있습니다. 또는 기업의 통제 범위를 벗어난 상황이 원인일 수도 있습니다. 어떤 경우든 모든 백업이 클라우드에 있다면, 데이터 복구 계획 역시 클라우드로 가야 합니다. 회사의 누군가를 여러분의 집 혹은 다른 도시로 보내 클라우드 스토리지에 있는 데이터를 이동식 스토리지 미디어로 다운로드하도록 해야 합니다. 


인터넷 연결이 항상 보장되지는 않으므로 클라우드 컴퓨팅과 클라우드 백업을 보완하려면 로컬의 물리적 백업도 유지해야 합니다. 적어도 비즈니스를 위한 핵심 애플리케이션과 데이터에 대해서는 그렇게 해야 합니다. 암호화된 물리적 백업을 만든 다음 아카이브 서비스에 맡겨 오프사이트에 저장하거나 IT 부서의 누군가가 매일 저녁마다 집으로 가지고 가도록 하십시오. 


맺음말 

미국 국토안보부의 사이버보안 및 인프라 보안국(The Cyber and Infrastructure Security Agency, CISA)은 쉴드업(Shields Up) 이니셔티브에서 백업과 복구의 중요성에 대해 다음과 같이 명확히 밝혔습니다. 


“백업 절차를 테스트해서 조직이 랜섬웨어 또는 파괴적인 사이버 공격의 영향을 받은 경우 핵심 데이터를 신속하게 복원할 수 있는지 확인하십시오. 백업이 네트워크 연결에서 격리돼 있도록 하십시오.” 


백업과 관련한 권장 사항은 3가지로 요약할 수 있습니다. 


백업을 최소 3곳(로컬 서버, 오프라인, 원격 위치)에 저장하기 

최소 주 1회 시스템 상태 백업을 수행하기(더 자주 할수록 좋음) 

DC 백업에는 티어 0 AD 관리자만 액세스하도록 정책 설정하기 


AD 관리 및 백업에 어려움을 겪고 계시거나 관련 솔루션에 대해 궁금한 점이 있으시면 언제든 퀘스트소프트웨어 코리아로 문의주시기 바랍니다.





퀘스트소프트웨어코리아(주)

서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600

전자 메일 KoreaMarketing@quest.com 


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB


퀘스트소프트웨어코리아(주) 서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600 | 전자 메일 KoreaMarketing@quest.com


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB