Quick Overview 랜섬웨어 공격의 주요 시발점은 엔드포인트이므로 대응 역시 엔드포인트 중심으로 이뤄져야 합니다. 하지만 외부의 공격을 차단하기 위한 보안만으로는 충분하지 않습니다. 엔드포인트 침해를 방지하기 위한 접근 통제를 갖추고 공유 디렉토리에 대한 접근 통제 정책이 필요합니다. 또한, 정책 기반 감사를 통해 랜섬웨어를 실시간으로 탐지 및 대응하는 것도 중요합니다. Quick Ov |
1부에서 설명한 TA505 사례에서 알 수 있듯이 랜섬웨어 공격의 시발점은 엔드포인트이며, 따라서 랜섬웨어 대응은 엔드포인트를 중심으로 이뤄져야 합니다. 최신 패치 업데이트를 통해 엔드포인트를 항상 최신 상태로 관리해 알려진 보안 위협 차단하기, 의심스러운 이메일 첨부파일 열지 않기, 신뢰할 수 없는 USB 드라이브를 PC에 연결하지 않기 등 일반적인 보안 유의 사항은 모두 엔드포인트 보안에 포함됩니다.
여기에 더해 중앙화된 엔드포인트 보안 정책 관리가 필요합니다. AD의 대표적인 기능인 GPO(Group Policy Objects)가 바로 이런 역할을 수행하는데, GPO는 AD에 연결된 사용자, 즉 엔드포인트의 보안 정책을 중앙에서 손쉽게 통합 관리해서 효율적인 정책 관리를 지원합니다. 예를 들어, 임시 인력이 사용하는 PC에서는 제어판이 보이지 않게 하거나 소프트웨어를 설치하지 못하게 하는 등 보안에 필요한 설정과 정책을 강제 적용해서 위험을 최소화하는 것입니다.
이 외에 비트라커(BitLocker)나 윈도우 디펜더(Windows Defender) 같은 윈도우 보안 서비스와 DRM(Digital Rights Management), DLP(Data Loss Prevention), EDR(Endpoint Detection and Response) 등 전문 툴을 사용하는 것도 엔드포인트를 보호하기 위해 널리 사용하는 방법입니다.
엔드포인트 기반 접근 통제로 시작하는 AD 보안
하지만 외부의 공격을 차단하기 위한 보안만으로는 충분하지 않습니다. 언제든 엔드포인트가 침해될 가능성이 있음을 염두에 두고 침해된 엔드포인트가 악성 활동을 하지 못하게 차단하는 접근 통제를 갖춰야 합니다.
AD의 서비스 영역인 sysvol 같은 공유 디렉토리는 접근 통제가 이루어져야 하는 대표적인 요소입니다. 공유 디렉토리는 보통 관리자가 특정 파일을 AD에 연결된 전체 엔드포인트에 적용할 때 사용하는 공간으로, 악성 파일이 올라가면 순식간에 연결된 엔드포인트 전체로 퍼지게 됩니다. 따라서 허용된 엔드포인트나 계정으로만 해당 디렉토리에 쓰기가 가능하도록 하는 접근 통제 정책이 적용되어야 합니다. 또한 통제 정책에 대한 위반 감사도 필요합니다.
그렇다면 관리자의 엔드포인트와 계정이 탈취되면 어떻게 해야 할까요? 공격자가 가장 먼저 노리는 것은 AD 서버의 ‘계정 정보’나 ‘GPO 정보’입니다. 권한이 없는 계정에 특별 권한을 부여하거나, AD에 연결된 모든 엔드포인트의 보안 상태를 취약하게 할 수 있기 때문입니다.
일반적으로 많이 사용되는 방법은 관리자 전용 엔드포인트인 PAW(Privileged Access Workstation)를 사용해 이런 중요 정보의 수정이 가능하도록 하는 것입니다. PAW는 인터넷 연결이나 불필요한 소프트웨어 설치가 불가능해 악성코드 침해 가능성이 매우 적습니다. AD 서버에 액세스하려면 권한이 있는 사람(관리자 계정)이 악성코드 감염 위험이 없는 깨끗한 엔드포인트(PAW)로 접속해야 한다는 클린 소스(Clean Source) 원칙에 기반한 정책입니다.
정책 기반 감사로 랜섬웨어 실시간 탐지
엔드포인트 기반의 접근 통제로 모든 랜섬웨어를 차단할 수 있다면 이상적이겠지만, 현실은 그렇지 않습니다. 그렇기 때문에 랜섬웨어가 시스템에 침투했는지 빠르게 탐지하고 적절하게 대응하는 것이 무엇보다 중요합니다. 일반적으로 방화벽 같은 인프라 보안 툴이 이런 목적에서 사용됩니다. TA505 사례처럼 이미 분석이 끝난 보안 위협에 대해서는 이들이 사용한 악성코드, 공격 패턴 등이 보안 툴에 업데이트돼 침투를 즉각 인지하고 차단할 수 있습니다.
하지만 보안 툴에 업데이트되지 않은 새로운 보안 위협은 늘 등장하고 최근에는 정상적인 행위를 가장해 보안 툴을 우회하는 악성코드도 자주 목격되고 있습니다. 대표적인 것이 윈도우의 디스크 암호화 기능인 비트로커를 가장하는 사례인데, 비트로커와 비트로커를 가장한 랜섬웨어의 차이는 사용자가 암호를 아느냐 모르느냐입니다. 디스크 암호화 자체는 정상 행위이므로 보안 툴이 이를 차단할 수 없습니다.
그래서 ‘감사’가 필요합니다. 특정 작업을 수행하기 위한 조건을 사전에 정의하고, 이를 위반하면 즉시 대응하는 것입니다. 예를 들어, 비트로커를 가장하는 공격에서는 공격자가 가짜 계정을 만들고 관리자 권한을 부여하는데, 관리자 계정 다수의 동의를 얻어야 한다는 정책을 사전 설정해 두면 동의한 기록이 없는 관리자 계정이 생성되는 경우 공격으로 가정하고 즉각 차단할 수 있습니다.
이런 감사에서 필요한 것이 AD 환경에 대해 완전한 시야를 확보하는 것입니다. AD 환경에서 어떤 일이 벌어지고 있는지 정확히 알아야 비정상적인 활동도 걸러낼 수 있기 때문입니다. 윈도우에는 네이티브 감사 기능이 있지만 실시간 대응이 어렵습니다. 로그 수집을 위해 수작업을 많이 해야 하고 로그 자체가 알아보기 어렵고 불완전해서 해석에만 몇 시간이 걸리기 때문입니다.
AD 환경에 대한 전체적인 가시성을 확보하는 방법은 무엇일까요? 적절한 도구를 사용하면 온프레미스 AD와 애저 AD(Azure AD)가 혼재하는 하이브리드 환경에서도 AD를 하나의 뷰로 감사할 수 있습니다. ‘AD 보안 중심의 효과적인 랜섬웨어 방어 전략 - 3부’에서는 AD에 대해 완벽한 가시성을 제공하는 감사 솔루션을 소개합니다.
AD 관리 및 보호에 어려움을 겪고 계시거나 관련 솔루션에 대해 궁금한 점이 있으시면 언제든 퀘스트소프트웨어코리아로 문의주시기 바랍니다.
Quick Overview
랜섬웨어 공격의 주요 시발점은 엔드포인트이므로 대응 역시 엔드포인트 중심으로 이뤄져야 합니다. 하지만 외부의 공격을 차단하기 위한 보안만으로는 충분하지 않습니다. 엔드포인트 침해를 방지하기 위한 접근 통제를 갖추고 공유 디렉토리에 대한 접근 통제 정책이 필요합니다. 또한, 정책 기반 감사를 통해 랜섬웨어를 실시간으로 탐지 및 대응하는 것도 중요합니다.
Quick Ov
1부에서 설명한 TA505 사례에서 알 수 있듯이 랜섬웨어 공격의 시발점은 엔드포인트이며, 따라서 랜섬웨어 대응은 엔드포인트를 중심으로 이뤄져야 합니다. 최신 패치 업데이트를 통해 엔드포인트를 항상 최신 상태로 관리해 알려진 보안 위협 차단하기, 의심스러운 이메일 첨부파일 열지 않기, 신뢰할 수 없는 USB 드라이브를 PC에 연결하지 않기 등 일반적인 보안 유의 사항은 모두 엔드포인트 보안에 포함됩니다.
여기에 더해 중앙화된 엔드포인트 보안 정책 관리가 필요합니다. AD의 대표적인 기능인 GPO(Group Policy Objects)가 바로 이런 역할을 수행하는데, GPO는 AD에 연결된 사용자, 즉 엔드포인트의 보안 정책을 중앙에서 손쉽게 통합 관리해서 효율적인 정책 관리를 지원합니다. 예를 들어, 임시 인력이 사용하는 PC에서는 제어판이 보이지 않게 하거나 소프트웨어를 설치하지 못하게 하는 등 보안에 필요한 설정과 정책을 강제 적용해서 위험을 최소화하는 것입니다.
이 외에 비트라커(BitLocker)나 윈도우 디펜더(Windows Defender) 같은 윈도우 보안 서비스와 DRM(Digital Rights Management), DLP(Data Loss Prevention), EDR(Endpoint Detection and Response) 등 전문 툴을 사용하는 것도 엔드포인트를 보호하기 위해 널리 사용하는 방법입니다.
엔드포인트 기반 접근 통제로 시작하는 AD 보안
하지만 외부의 공격을 차단하기 위한 보안만으로는 충분하지 않습니다. 언제든 엔드포인트가 침해될 가능성이 있음을 염두에 두고 침해된 엔드포인트가 악성 활동을 하지 못하게 차단하는 접근 통제를 갖춰야 합니다.
AD의 서비스 영역인 sysvol 같은 공유 디렉토리는 접근 통제가 이루어져야 하는 대표적인 요소입니다. 공유 디렉토리는 보통 관리자가 특정 파일을 AD에 연결된 전체 엔드포인트에 적용할 때 사용하는 공간으로, 악성 파일이 올라가면 순식간에 연결된 엔드포인트 전체로 퍼지게 됩니다. 따라서 허용된 엔드포인트나 계정으로만 해당 디렉토리에 쓰기가 가능하도록 하는 접근 통제 정책이 적용되어야 합니다. 또한 통제 정책에 대한 위반 감사도 필요합니다.
그렇다면 관리자의 엔드포인트와 계정이 탈취되면 어떻게 해야 할까요? 공격자가 가장 먼저 노리는 것은 AD 서버의 ‘계정 정보’나 ‘GPO 정보’입니다. 권한이 없는 계정에 특별 권한을 부여하거나, AD에 연결된 모든 엔드포인트의 보안 상태를 취약하게 할 수 있기 때문입니다.
일반적으로 많이 사용되는 방법은 관리자 전용 엔드포인트인 PAW(Privileged Access Workstation)를 사용해 이런 중요 정보의 수정이 가능하도록 하는 것입니다. PAW는 인터넷 연결이나 불필요한 소프트웨어 설치가 불가능해 악성코드 침해 가능성이 매우 적습니다. AD 서버에 액세스하려면 권한이 있는 사람(관리자 계정)이 악성코드 감염 위험이 없는 깨끗한 엔드포인트(PAW)로 접속해야 한다는 클린 소스(Clean Source) 원칙에 기반한 정책입니다.
정책 기반 감사로 랜섬웨어 실시간 탐지
엔드포인트 기반의 접근 통제로 모든 랜섬웨어를 차단할 수 있다면 이상적이겠지만, 현실은 그렇지 않습니다. 그렇기 때문에 랜섬웨어가 시스템에 침투했는지 빠르게 탐지하고 적절하게 대응하는 것이 무엇보다 중요합니다. 일반적으로 방화벽 같은 인프라 보안 툴이 이런 목적에서 사용됩니다. TA505 사례처럼 이미 분석이 끝난 보안 위협에 대해서는 이들이 사용한 악성코드, 공격 패턴 등이 보안 툴에 업데이트돼 침투를 즉각 인지하고 차단할 수 있습니다.
하지만 보안 툴에 업데이트되지 않은 새로운 보안 위협은 늘 등장하고 최근에는 정상적인 행위를 가장해 보안 툴을 우회하는 악성코드도 자주 목격되고 있습니다. 대표적인 것이 윈도우의 디스크 암호화 기능인 비트로커를 가장하는 사례인데, 비트로커와 비트로커를 가장한 랜섬웨어의 차이는 사용자가 암호를 아느냐 모르느냐입니다. 디스크 암호화 자체는 정상 행위이므로 보안 툴이 이를 차단할 수 없습니다.
그래서 ‘감사’가 필요합니다. 특정 작업을 수행하기 위한 조건을 사전에 정의하고, 이를 위반하면 즉시 대응하는 것입니다. 예를 들어, 비트로커를 가장하는 공격에서는 공격자가 가짜 계정을 만들고 관리자 권한을 부여하는데, 관리자 계정 다수의 동의를 얻어야 한다는 정책을 사전 설정해 두면 동의한 기록이 없는 관리자 계정이 생성되는 경우 공격으로 가정하고 즉각 차단할 수 있습니다.
이런 감사에서 필요한 것이 AD 환경에 대해 완전한 시야를 확보하는 것입니다. AD 환경에서 어떤 일이 벌어지고 있는지 정확히 알아야 비정상적인 활동도 걸러낼 수 있기 때문입니다. 윈도우에는 네이티브 감사 기능이 있지만 실시간 대응이 어렵습니다. 로그 수집을 위해 수작업을 많이 해야 하고 로그 자체가 알아보기 어렵고 불완전해서 해석에만 몇 시간이 걸리기 때문입니다.
AD 환경에 대한 전체적인 가시성을 확보하는 방법은 무엇일까요? 적절한 도구를 사용하면 온프레미스 AD와 애저 AD(Azure AD)가 혼재하는 하이브리드 환경에서도 AD를 하나의 뷰로 감사할 수 있습니다. ‘AD 보안 중심의 효과적인 랜섬웨어 방어 전략 - 3부’에서는 AD에 대해 완벽한 가시성을 제공하는 감사 솔루션을 소개합니다.
AD 관리 및 보호에 어려움을 겪고 계시거나 관련 솔루션에 대해 궁금한 점이 있으시면 언제든 퀘스트소프트웨어코리아로 문의주시기 바랍니다.