자료실

하이브리드 AD 환경의 특권 액세스 관리를 위한 제로 트러스트와 최소 권한 관리




하이브리드 AD 환경의 특권 액세스 관리를 위한 제로 트러스트와 최소 권한 관리 


글로벌 포춘 1,000대 기업의 95%가 사용자 권한 및 액세스를 AD나 애저 AD에 의존하고 있는 만큼, AD는 공격자들이 가장 먼저 침투를 노리는 대상 중 하나입니다. 게다가 네이티브 툴에는 AD 및 애저 AD 관리자 계정에 대한 충분한 관리 기능이 부족합니다. 마이크로소프트에 따르면, 매일 9,500만 개의 AD 계정이 사이버 공격을 받습니다.


포레스터는 모든 데이터 침해의 80%가 관리 특권의 오용에서 비롯되는 것으로 추산합니다. 이는 사용자와 인프라를 보호하기 위해서는 하이브리드 AD 환경에서 특권 보안을 관리하는 것이 필수적임을 의미합니다. 또한, 특권 액세스 사용에 관한 원 아이덴티티(One Identity)의 글로벌 설문 결과 다음과 같은 사실이 확인되었습니다.


- 설문 응답자의 88%는 특권 비밀번호 관리에 어려움을 겪고 있음

- 86%는 특권 비밀번호를 매 사용 후 변경하지 않음

- 40%는 중요 시스템에서 기본 관리자 비밀번호를 변경하지 않음


이러한 관행은 공격자가 특권 계정을 더 쉽게 침해할 수 있는 원인이 됩니다.


클라우드의 복잡한 사정

온프레미스 AD 보호는 그 자체로도 복잡하지만, 마이크로소프트 365와 애저 AD가 추가되면서 공격 표면이 비약적으로 늘어났습니다. 보안 관점에서 이는 구체적인 조치를 취하지 않을 경우 AD 침해를 노리는 모든 공격자가 애저 AD를 통해 더 광범위한 영향을 미칠 수 있음을 의미합니다.


사이버 범죄자들의 AD와 애저 AD 공격 기술이 향상되고 있는 만큼, IT팀은 관리자 액세스 권한을 효과적으로, 안전하게 부여할 수 있어야 합니다. 이 부분에 실패할 경우, 조직은 컴플라이언스 및 보안 위험에 노출됩니다. 이처럼 끊임없이 변화하는 위협 환경에 대처하는 데 필요한 가시성과 통제력을 확보하기 위해서는 적절한 툴이 필요합니다. 안전하게 작업을 수행하기 위해 따라야 하는 온갖 절차, 그리고 컴플라이언스 상태를 구축하고 유지하기 위해 필요한 막대한 오버헤드에 관리자가 지치는 경우가 많습니다.


관리자의 책임

AD 및 애저 AD 관리자 계정은 매우 강력한 권한을 가지며, 디렉토리나 디렉토리에 포함된 사용자 계정을 유지, 업데이트 및 관리해야 할 때 매번 사용해야 하는 계정입니다. 이런 관리자 계정은 공유된 인증 정보를 사용하므로 개별적인 책임성 없이 익명으로 이용됩니다. 따라서 시스템에서 어느 작업이든 수행해야 하는 사람은 온프레미스 AD를 위한 관리자 인증 정보, 그리고 클라우드 기반 애저 AD를 위한 또 다른 인증 정보를 사용해야 합니다.


제로 트러스트와 최소 권한 모델

그러나 희망은 있습니다. 종합적인 접근 방밥으로 AD 및 애저 AD 특권 계정을 보호할 수 있습니다. 하이브리드 AD 환경에서 특권 액세스 관리(Privileged Access Management, PAM)를 구현하기 위해 검증된 두 가지 방법은 제로 트러스트와 최소 권한입니다.


제로 트러스트 구현을 위해서는 관리자 비밀번호 공유를 없애야 합니다. 사용자는 모든 관리 작업에 대해 개별적으로, 동적으로 인증됩니다. 인증 정보는 모든 적절한 승인을 획득한 이후에만 필요에 따라 지정된 용도 또는 지정된 시간에 한해 체크아웃됩니다.

최소 권한 설정을 위해서는 관리자가 작업을 수행하는 데 필요한 이상도, 이하도 아닌 정확히 필요한 권한만 부여해야 합니다. 이렇게 하면 관리자는 간섭 없이 일상적인 업무를 수행하고, 작업을 해야 할 때마다 전체 관리자 권한을 요청하는 데 따르는 시간 지연과 번거로움을 피할 수 있습니다.


PAM과 액세스를 AD PAMOps로 혼합

PAM은 조직 사이버 보안 전략의 필수적인 부분이 됐으며, 보안 프로그램에 편입되어 승격된 특권에 대한 통제와 감사를 보장하는 역할을 합니다. PAM을 비즈니스 프로세스에 통합하는 개념이 주류가 되고 있습니다(PAMOps로 지칭). 대부분의 조직은 특권 계정을 통제하는 데서 얻는 가치를 알고 있지만, 일부는 PAMOps 전략에서 AD를 분리했습니다. 이런 조직은 AD에 위치하는 일부 특권 계정을 통제할 수 있겠지만, 과연 PAM과 AD 계정 관리를 ‘완전히’ 혼합하는 데까지 이르렀을까요?


AD는 기본적인 위임 모델을 제공하므로 일부 조직은 PAMOps 전략에서 AD에 대한 특권 액세스를 제외했을 수도 있습니다. 네이티브 툴은 기본적인 위임 기능을 제공합니다. 그러나 대부분의 대규모 조직에서 다음과 같은 중대한 제한 사항이 있습니다.

부여되는 권한의 세밀함이 떨어지고 정적입니다. 네이티브 권한을 부여하기는 간단하지만, 위임 요구사항을 충족하기 위한 옵션이 많지 않습니다. 이는 일반적으로 과도한 권한 부여로 이어집니다. 또한, 권한은 필요할 때 부여되고 사용되지 않을 때 제거되어야 하는데, 그렇지 못하고 정적이거나 영구적으로 부여됩니다.

권한이 AD의 OU 구조 내에서만 부여됩니다. 관리자에게는 다양한 수준에서 많은 위치에 대한 액세스가 필요한 경우가 많으며, 이것 역시 과도한 권한 부여로 이어집니다. 최상위 수준에서 위임하거나 도메인 관리자 그룹에 추가하는 편이 훨씬 더 쉬운 방식이기 때문입니다.

미국 국립표준기술원(NIST)은 조직에서 취약한 권한을 낮추기 위한 개념 가이드인 SP 800-207 제로 트러스트 아키텍처(Zero Trust Architecture)를 제공합니다. 다음 포스팅에서는 NIST의 권장 사항과 함께, 하이브리드 AD 환경의 특권 액세스 관리를 효율적으로 도와주는 원 아이덴티티의 액티브 롤(Active Roles)에 대해서 알아보겠습니다.




퀘스트소프트웨어코리아(주)

서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600

전자 메일 KoreaMarketing@quest.com 


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB


퀘스트소프트웨어코리아(주) 서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600 | 전자 메일 KoreaMarketing@quest.com


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB