자료실

AD 마이그레이션의 주요 보안 고려 사항 – 1부



AD 마이그레이션의 주요 보안 고려 사항 – 1부


여러분의 관리자가 “걱정하지 말고 AD(Active Directory) 마이그레이션에 필요한 만큼 시간을 써도 좋다”라고 말합니다. 제대로 들은 것인지 귀가 의심될 것입니다. 지금까지 수행한 AD 마이그레이션 작업에서는 원했던 만큼 시간을 가져본 적이 한 번도 없었기 때문입니다. 이번이라고 다를 이유가 있을까요? 제대로 하고자 했던 일은 항상 많았지만 그럴 시간이 없었습니다. 


그러나 상사의 말이 진심이었다면 처음부터 새롭게, 제대로 된 AD 보안을 실현할 수 있는 기회입니다. 모든 IT 관리자들에게 솔깃한 이야기입니다. 여러분은 새로운 AD를 지금보다 어떻게 더 안전하게 만들 방법을 생각하기 시작합니다. 


그러나 상사와 한 가지 소소한 사항을 확실히 짚고 넘어가야 합니다. 


“그 말을 문서로 남겨 주실 수 있나요?” 


AD 마이그레이션의 5가지 수준

물론 실제로 그런 문서를 받을 수는 없고, 필요한 만큼 시간을 써도 좋다는 말도 진짜 그렇다는 뜻은 아닙니다. 하지만 마이그레이션을 수행하는 데 필요한 시간이 정말 충분히 제공된다면 어떨까요? 과거 하고싶었지만 시간이 없어서 못했던 일은 무엇인가요? 


지난해 필자는 조 샤머와 함께 “AD 마이그레이션 시 보안 고려 사항”을 주제로 전문가 컨퍼런스를 주최했습니다. 우리는 AD 마이그레이션 보안을 다음과 같은 5가지 수준에서 점검했습니다. 


1) ID 

2) 그룹 

3) 애플리케이션 

4) 데이터 

5) 디바이스 


컨퍼런스에서 필자와 샤머는 AD 마이그레이션이 보안 상태를 개선하는 최선의 기회인 이유를 제시했습니다. 이번 글에서는 각 이유를 살펴보면서 다음 마이그레이션에서 참고할 수 있는 구체적인 팁을 드리도록 하겠습니다. 


우선, 왜 마이그레이션하는가?

대부분 마이그레이션은 다음 3가지 범주 중 하나에 속합니다. 


인수합병. 회사가 다른 회사를 인수하는 상황으로, 속도가 무엇보다 중요합니다. 경영진은 2개의 조직을 최대한 빠르게 하나로 합칠 것을 요구합니다. 경영진은 “일은 컴퓨터가 다 한다. IT 부서에 시간이 필요해봤자 얼마나 필요하겠나?”라고 말합니다. 


보안. 여러분 혹은 신임 상사 또는 신임 CIO가 기존 디렉토리의 내역을 윈도우 NT 4.0까지 거슬러 추적합니다. AD 마이그레이션은 AD의 보안 태세를 새롭게 정비하고 오래된 요소가 AD를 취약하게 만드는 상황을 방지할 수 있는 좋은 기회입니다. 


간편함. 일부 조직은 다수보다 하나의 포리스트 또는 도메인 관리를 선호합니다. 이들은 현대화라는 이름을 내걸고 마이그레이션을 합니다.


마이그레이션하려는 이유가 무엇이든 공격을 받는 데 있어 예외는 없습니다. 따라서 AD 보안을 5가지 초점에서 맞춰야 합니다. 


1. ID - 사용자가 무엇을 할 수 있고, 무엇에 액세스할 수 있는가? 

ID는 인증과 권한 부여의 핵심입니다. ID는 NTFS 권한, 쉐어포인트, SQL 서버, 그리고 AD 도메인의 모든 리소스에 대한 액세스와 관련됩니다. 


클린 소스 원칙(The Clean Source Principle)이 요구하는 것은 ID 같은 모든 보안 종속성이 모든 보호 대상 개체(서버, 도메인, 디바이스)만큼 신뢰할 수 있어야 한다는 것입니다. AD 마이그레이션 시에는 처음부터 누가 해당 개체에 액세스할 수 있는지에 대해 생각해야 합니다. 이런 권한 집합이 AD 마이그레이션 도중 타겟으로 넘어갈 때 액세스도 함께 이전되기 때문입니다. 


· 팁 : 보안 태세를 개선하기 위해 마이그레이션을 할 때는 AD를 백지상태의 대상에 마이그레이션하는 방법을 고려하십시오. 이렇게 하면 오래되거나 알 수 없는 종속성을 새 AD로 옮길 일이 없습니다. 암호는 ID의 큰 부분이므로 마이그레이션에 앞서 소스 환경에서 누가 암호에 액세스할 수 있는지 파악하는 것이 중요합니다. 그림 1에서 볼 수 있듯이 AD 도메인 수준에 설정된 권한에는 디렉토리 변경 모두 복제(Replicating Directory Changes All)가 포함됩니다(그림 1에서는 3가지 항목).




1. 그림 1 - AD의 도메인 수준에서 설정된 권한 


디렉토리 변경 모두 복제 권한은 암호 해시를 얻기 위해 필요합니다. 이 권한을 가진 사람은 누구든 골든 티켓을 생성 시 가장 얻기 어려운 정보인 krbtgt 해시를 구할 수 있습니다. 오래된 블랙베리 계정 또는 이 권한을 생성한 셀프 서비스 암호 관리자 유틸리티가 있을 수 있습니다. 


· 팁 : 소스 환경에서 암호 해시를 얻을 권한을 가진 사람이 누구인지 파악하십시오. 이 권한을 가진 사용자와 개체는 골든 티켓을 생성하는 데 필요한 정보를 가지고 있을 수 있습니다. 골든 티켓까지 무심코 새 환경으로 마이그레이션하기를 바라는 사람은 아무도 없을 것입니다. 


krbtgt 암호를 가장 최근에 바꾼 시점이 언제입니까? 속성에서 그림 2에서 볼 수 있는 pwdLastSet 같은 속성이 보입니까?


그림 2 - krbtgt 속성  


krbtgt 암호를 변경하는 것은 소스 환경에 존재할 수 있는 골든 티켓을 물리치는 좋은 방법입니다. 


· 팁 : krbtgt 암호를 최소 일 년에 2번 변경할 계획을 세워야 합니다. 암호 변경 프로세스를 자동화하는 마이크로소프트의 스크립트를 사용하고 마이그레이션 전에 이 스크립트를 실행하는 것도 좋습니다. 그러나 빠르게 연속으로 2번 변경하지 않도록 주의하십시오. 이 경우 환경에 존재하는 모든 케베로스(Kerberos) 티켓이 무효가 될 수 있습니다. 침해가 발생했고 환경의 통제력을 되찾아야 하는 경우에 한해서만 단기간에 2번 변경하십시오. 


AD 마이그레이션은 시스템 계정과 사용자 계정에 대한 암호 정책을 되돌아볼 좋은 기회입니다. 필요한 글자 수는 몇 개인가요? 특수 문자가 허용되나요? 사용자가 얼마나 자주 암호를 변경해야 하나요? 필요한 암호의 강도는 어느 정도인가요? 


· 팁 : 마이그레이션 전에 사용자에게 암호 변경을 요구하십시오. 침해되었을 가능성이 있는 암호를 무작정 마이그레이션하는 데 따르는 보안 문제에 비하면 사소한 귀찮음에 불과합니다. 


지금까지 AD 마이그레이션을 수행할 때 ID 수준에서 고려해야 하는 보안 요소와 구체적인 팁을 소개했습니다. 2부에서는 나머지 4가지 수준(그룹, 애플리케이션, 데이터, 디바이스)에서 고려해야 하는 보안 요소를 살펴보겠습니다.


AD 마이그레이션과 관련 솔루션에 대해 궁금한 점이 있으시면 언제든 퀘스트소프트웨어 코리아로 문의주시기 바랍니다.



퀘스트소프트웨어코리아(주)

서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600

전자 메일 KoreaMarketing@quest.com 


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB


퀘스트소프트웨어코리아(주) 서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600 | 전자 메일 KoreaMarketing@quest.com


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB