mobile background

자료실

AD 환경 현대화에 효과적으로 접근하는 방법 – 1부


Quick Overview 

액티브 디렉토리(Active Directory) 현대화는 관리 간소화, 비용 절감, 보안 강화 등 많은 이점을 제공하지만, 기술적 및 비기술적 장애물로 인해 복잡할 수 있습니다. 성공적인 AD 현대화를 위해서는 포리스트 및 도메인 구조, ID 및 액세스 관리, 그룹 정책, 신뢰 관계, 레거시 애플리케이션과 기술을 철저히 평가하고 정리하는 것이 중요합니다.


잘 알려진 바와 같이 액티브 디렉토리(Active Directory, AD)를 현대화하면 관리 간소화, 비즈니스 생산성 증대, 비용 절감, 보안과 사이버 회복탄력성 강화를 비롯한 많은 혜택을 얻을 수 있습니다. 그러나 현대화로 이르는 과정이 어렵게 느껴질 수 있습니다. 기술적으로, 그리고 기술 외적으로 중요한 장애물은 무엇일까요? 성공을 어떻게 입증할 수 있을까요? 기존 디렉토리로 통합해야 할까요, 새 포리스트를 만들거나 클라우드로 전환해야 할까요? 

  

여기서는 이런 질문과 그 이상의 내용을 살펴보면서 확신을 갖고 AD 현대화를 시작하는 데 필요한 기초 지식을 제공합니다. 

  


기술적 고려 사항 

모든 AD 현대화 프로젝트의 첫 번째 단계는 기존 디렉토리를 면밀하고 철저하게 평가하는 것입니다. 모든 환경은 각기 고유하지만 공통적인 몇 가지 걸림돌이 있습니다. 아래 설명한 사항에 특히 주의를 기울이면 프로젝트의 성공을 보장하는 데 도움이 될 것입니다. 참고로 이런 고려 사항은 소규모 기업이든 대기업이든 동등하게 적용됩니다. AD 현대화의 어려움은 기업 규모가 아니라 AD 복잡성과 훨씬 더 긴밀하게 연관됩니다. 


  

포리스트와 도메인 구조 

시간이 지나면서 전반적인 IT 환경, 특히 AD의 복잡성도 대체로 높아집니다. 실제로 AD 현대화의 주 동력은 강력한 거버넌스와 보안을 구현하기 매우 어렵게 만드는 통제불능의 AD 아키텍처 및 그와 관련된 무질서함을 정돈하는 것입니다. 다음은 주의를 기울여야 할 주 요소입니다. 


 

  • 포리스트 : 기업 조직 개편과 인수합병(M&A) 이후에는 일관적인 거버넌스와 감독이 이뤄지지 않는 여러 AD 포리스트가 생기는 경우가 많습니다. 이러한 포리스트의 통합은 AD 현대화의 중요한 부분이 될 수 있습니다. 

  • 도메인 : AD 도메인은 조직의 구조에 따라 모델링되는 경우가 많습니다. 예를 들어, 시카고 사무실을 위한 도메인 하나를 설정하고, 시애틀 사무실을 위한 도메인을 또 하나 설정합니다. 그러나 조직 개편이나 다운사이징이 진행되는 경우 세심하게 계획한 구조는 한순간에 구식이 됩니다. 

  • 조직 단위(organizational units, OU) : 도메인의 객체는 조직 구조를 더 세부적인 수준에서 반영하는 OU로 그룹화되는 경우가 많습니다. 예를 들어, 각 사무실용 도메인에서 각 부서를 위한 OU를 둘 수 있습니다. 조직 개편, 인수합병과 같은 조직 변화도 OU 구조를 흔들 수 있지만, 임시로 사용할 OU를 만든 다음 관련 프로젝트 또는 기타 용도가 끝난 후 제거하지 않는 경우에도 OU에 혼란을 초래할 수 있습니다. 기업에서는 흔한 일입니다. 

  • 스키마 : AD 스키마에는 생성 가능한 모든 객체 클래스와 AD 객체가 가질 수 있는 모든 속성의 공식적인 정의가 포함됩니다. 기술 발전 속도가 빠른 오늘날 이는 매우 신중하게 계획된 스키마도 업데이트가 필요할 수 있음을 의미합니다. 그러나 스키마의 변경은 심각한 비즈니스 중단을 일으킬 수 있으므로 IT팀은 다른 우회로를 선택할 수 있습니다. AD를 현대화할 때는 이런 부분을 잘 찾아봐야 합니다.


  

ID 및 액세스 관리 

한 계층 내려오면 각 도메인을 위한 AD 데이터베이스가 있습니다. 이런 데이터베이스 역시 정리가 절실히 필요한 경우가 많습니다. 작업자가 들어가고 나오고, 애플리케이션과 데이터 리포지토리가 배포/폐기되고, 시간이 지남에 따라 비즈니스 요구사항이 바뀌면서 AD 데이터베이스에는 오래된 사용자 및 컴퓨터 계정, 오버프로비저닝된 사용자, 불필요한 보안 그룹 등이 난립할 수 있습니다. AD 현대화를 계획할 때는 모든 ID와 액세스 권한을 정리하는 것이 중요합니다. 

  

특히 높은 권한을 가진 계정에 주의를 기울여야 합니다. 이 계정에는 민감한 정보에 액세스할 수 있는 비즈니스 사용자, 도메인 관리자나 엔터프라이즈 관리자와 같은 강력한 그룹에 속한 관리자 등이 포함됩니다. 또한 실제 필요한 것보다 훨씬 더 많은 권한이 부여되는 서비스 계정도 면밀하게 확인해야 합니다. 


일반 사용자 계정을 침해한 공격자가 몇 단계만으로 관리자 권한을 획득할 수 있게 해주는 악용 가능한 권한 및 작업 사슬인 공격 경로를 없애는 것도 중요합니다. 적절한 공격 경로 관리 툴을 사용하면 공격 경로를 시각화하고 이런 경로에서 공통적으로 사용되는 관문을 찾아낼 수 있으며 이를 통해 보안을 대폭 개선할 수 있습니다. 

 

 

그룹 정책 

그룹 정책은 관리자에게 도메인 전체의 사용자와 컴퓨터를 중앙에서 관리할 수 있는 역량을 부여하는 AD의 강력한 기능입니다. 기업에는 비밀번호 정책을 강제하고 소프트웨어를 배포하고 사용자의 애플리케이션 설치를 차단하고 그 외의 많은 용도를 위해 사용되는 그룹 정책 객체(Group Policy objects, GPO)가 수백, 수천 개에 이르는 경우가 많습니다. 


GPO 인프라의 복잡성은 빠르게 높아집니다. 특히 GPO 간 설정이 충돌할 수 있고 기업에 중첩된 OU가 있는 경우가 많습니다. 따라서 관리자는 OU에 적용되는 설정을 정확히 파악하기 위해 GPO 우선 순위와 재정의 옵션, 상속 차단 등을 활용합니다.

  

클라우드로의 마이그레이션을 고려 중이라면 또 다른 문제가 있습니다. 엔트라 ID(Entra ID)에는 GPO가 없다는 것입니다. 현재 유효한 그룹 정책을 명확히 파악한 후 미래의 요구사항에 얼마나 잘 부합하는지 분석하고 마이크로소프트 인튠(Microsoft Intune)에서 적절한 정책을 개발해야 합니다. GPO에서 인튠으로 가는 간단한 마이그레이션 경로는 없습니다. 이 둘은 사과와 배처럼 서로 다릅니다. 

  


신뢰 

기업은 AD 도메인과 포리스트 간에 신뢰 관계를 설정하는 경우가 많습니다. 그럴 만한 이유는 충분합니다. 신뢰는 사용자에게 매끄러운 인증 및 권한 부여 경험을 제공하는 데 도움이 되며 작업에 필요한 리소스에 액세스할 수 있게 해줍니다. 그러나 AD 포리스트의 역할은 명확한 보안 경계인데, 신뢰는 이 경계를 가로지르는 다리가 됩니다. 다리는 합법적인 직원에 의해 사용될 수 있지만 환경에서 횡적 이동을 노리는 악의적 내부자와 공격자에 의해 악용될 수도 있습니다. 


사용자 객체 및 GPO와 마찬가지로 신뢰 역시 용도가 끝난 다음에도 지속될 수 있습니다. 관리자는 어떤 신뢰가 존재하며 어떻게 사용되는지에 대한 명확하고 세부적인 인사이트가 없는 상태에서는 신뢰를 없애기를 극히 꺼릴 수 있습니다. 따라서 AD를 현대화하기 전에 신뢰를 파악하고 정리하는 것이 중요합니다. 


 

레거시 애플리케이션과 기술 

AD 현대화에서 또 다른 주요 고려 사항은 애플리케이션 자산입니다. 많은 기업에는 운영과 수익을 위해 필수적이지만 마이그레이션하기 어려운 레거시 소프트웨어 솔루션이 있습니다. 예를 들어, 솔루션 업체가 제품을 더 이상 지원하지 않아 현대화된 환경에서 실행될 버전이 없는 경우가 있습니다. 또는 자체 제작한 애플리케이션이지만 제대로 아는 사람이 아무도 없거나, 검토하고 리뷰할 소스 코드조차 없는 경우도 있습니다. 이런 애플리케이션을 확인하고, 현대화된 환경에서 해당 기능을 어떻게 제공할 수 있을지 파악하는 것이 중요합니다. 


아울러, NTLMv1과 같은 안전하지 않은 프로토콜, 레거시 파일 공유, 그리고 윈도우 서버 2003, 윈도우 XP 등 지원되지 않는 운영체제를 포함한 다른 레거시 기술도 확인하고 있는 경우 단계적으로 폐기할 방법도 마련해야 합니다. 


여기까지 AD 현대화 프로젝트의 첫 단계로 기존 디렉토리 환경에서 철저하게 살펴보고 평가해야 하는 요소를 알아보았습니다. 2부에서는 나머지 기술적인 고려 사항 2가지와, 인적 고려 사항과 계획 시 주의해야 할 점을  살펴보겠습니다.  


AD 현대화 프로젝트에 대해 어려움을 겪고 계시거나 어디서부터 어떻게 시작해야 할지 고민하고 계시다면 언제든 퀘스트소프트웨어코리아에 문의주시기 바랍니다.  





퀘스트소프트웨어코리아(주)

서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600

전자 메일 KoreaMarketing@quest.com 


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB


퀘스트소프트웨어코리아(주) 서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600 | 전자 메일 KoreaMarketing@quest.com


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB