mobile background

자료실

최신 AD 공격 트렌드와 AD 보안 개선 방안 – 2부


Quick Overview  

Active Directory(AD)는 비즈니스와 관련한 대부분 작업에 필수적인 인증 및 권한 부여 서비스를 제공하므로 사이버 공격에서 보호해야 할 핵심 요소입니다. 여기서는 최근 발생한 주요 AD 공격 사례를 분석하고 이를 통해 얻을 수 있는 교훈을 살펴봅니다.


AD(Active Directory) 보안에 취약점이 존재하면 악의적인 행위자가 민감 데이터를 암호화 또는 유출하거나 DC(Domain Controller)를 아예 지워서 비즈니스를 완전히 멈추게 할 수 있습니다. AD 보안은 지금까지 많이 다룬 주제이지만, 여기서는 지난 몇 개월 사이 발생한 주요 AD 공격을 분석하고 해당 사건을 통해 얻은 교훈에 대해 논의합니다.  


‘최신 AD 공격 트렌드와 AD 보안 개선 방안 – 1부’에서는 ▲라스트패스에 대한 사이버 공격 ▲공급망 공격 ▲바라쿠다 ESG 어플라이언스 침해 사건에 대해 알아보았습니다. 여기서는 다른 5가지 사례를 살펴봅니다.  

 


스위프트슬라이서 

2023년 1월, 우크라이나의 국영 통신사가 파일을 파기하고 전체 윈도우 도메인을 다운시키도록 설계된 데이터 와이퍼 맬웨어인 스위프트슬라이서(SwiftSlicer)의 공격을 받았습니다. 공격자는 러시아의 후원을 받는 샌드웜(Sandworm)이라는 그룹으로 밝혀졌습니다. 

 

빠른 AD 보안 팁 : 그룹 정책을 보호하십시오. 

 

샌드웜은 AD 그룹 정책을 악용해서 네트워크의 컴퓨터에 맬웨어를 배포했습니다. 이들은 이전의 공격에서도 동일한 전략을 사용하여 헤르메틱와이퍼(HermeticWiper), 캐디와이퍼(CaddyWiper) 등 다른 와이퍼 맬웨어 배포를 계획했습니다. 

 

AD 보안을 강화하는 중요한 방법은 그룹 정책을 보호해서 부적절한 변경이 발생하지 않도록 하는 것입니다. 일부 변경 관리 솔루션은 GPO(Group Policy Object)에 대한 변경과 특권 보안 그룹과 같은 다른 민감한 개체에 대한 변경을 사전에 차단하는 기능을 제공합니다. 


 

볼트 타이푼 

최근 공격 사례를 보면서 이 사건이 AD 보안에서 무엇을 의미하는지 살펴봅시다. 2023년 5월, 마이크로소프트는 국가의 후원을 받아 움직이는 중국 소재 조직 볼트 타이푼(Volt Typhoon)의 악의적 활동을 언급하며 이들이 “미국과 아시아 지역 간의 핵심 통신 인프라를 중단시킬 수 있는 역량”을 개발하는 것을 목표로 하고 있다고 전했습니다. 이 캠페인은 통신, 제조, 유틸리티, 교통, 건설, 정부, 정보 기술, 교육을 포함한 다양한 섹터의 조직에 영향을 미쳤습니다.  

 

요점 : 공격자는 탐지를 피하기 위해 노력합니다. 

 

사이버 공격이라고 하면 보통 화면에 표시되는 몸값 요구나 서비스 장애와 같은 최종적인 결과 측면에서 생각합니다. 그러나 사실 많은 사이버 공격에서 공격자들은 임무를 완수하는 데 필요한 액세스 권한을 얻기 위해 며칠, 몇 주, 길게는 몇 달에 걸쳐 작전을 전개합니다. 그 시간 동안 공격자들은 발각되지 않기 위해 은닉에 많은 노력을 기울입니다. 

 

볼트 타이푼이 대표적인 예입니다. 마이크로소프트 분석에 따르면 볼트 타이푼은 자급자족(Living-Off-The-Land, LOTL) 기법을 광범위하게 사용했습니다. 즉, 자체 코드나 스크립트를 설치하지 않고 환경에 이미 있는 툴을 이용했습니다. 예를 들어 로컬 보안 인증 하위 시스템 서비스(Local Security Authority Subsystem Service, LSASS)를 악용해서 자격 증명을 덤프하고 명령줄 툴 Ntdsutil.exe를 사용해 DC(Domain Controller)에서 설치 미디어를 만들었습니다. 

 

AD 보안 팁 : 의심스러운 활동을 감사하십시오. 


따라서 진행 중인 공격의 징후와 침해 지표(Indicators of Compromise, IOC)를 찾기 위한 효과적인 AD 감사가 모든 AD 보안의 중심 축이 합니다. 예를 들어 비정상적인 도메인 복제 활동은 누군가 DCSync 또는 다른 수법을 사용해서 비밀번호 해시를 훔치는 중이라는 신호일 수 있으며, 이는 골든 티켓(Golden Ticket) 공격이 임박했음을 나타낼 수 있습니다. 


볼트 타이푼에 사용된 전술 중 하나는 AD 데이터베이스(NTDS.dit)의 복사본 추출이었습니다. 이 파일에는 AD 계정 비밀번호 해시 등 AD 도메인과 그 안에 있는 개체에 대한 정보가 포함됩니다. dit 파일의 복사본을 훔친 공격자는 해시를 추출한 다음 오프라인에서 느긋하게 해시를 크랙해서 계정을 침해할 수 있습니다. 또는 PtH(Pass the Hash)와 같은 방법으로 해시를 그대로 사용할 수도 있습니다. 이와 같은 의심스러운 활동을 조기에 발견하고 즉각 대응하면 공격자가 공격을 완전히 전개하지 못하도록 할 수 있습니다. 

 


스톰-0558 

2023년 7월, 마이크로소프트는 중국 해킹 그룹인 스톰-0558(Storm-0558)이 미국 정부 기관의 이메일 시스템에 액세스했다고 공개했습니다. 이 공격으로 인해 주중 미국 대사, 국무부 동아시아 담당 차관보 및 기타 고위 관료들의 이메일을 포함한 수십만 개의 메시지가 유출된 것으로 추정되었습니다. 미국 당국자들은 이 공격을 스파이 활동으로 규정했습니다. 실제로 공격이 이뤄진 시점을 보면 해커들은 미국 국무장관의 예정된 베이징 방문을 앞두고 정보를 입수하려 한 것으로 보입니다. 

 

공격자들은 입수한 마이크로소프트 서명 키를 사용해서 계정에 대한 애저 AD 액세스 토큰을 위조했습니다. 유출된 키는 원드라이브, 셰어포인트, 팀즈와 같은 다른 마이크로소프트 서비스, 그리고 고객이 만든 서드파티 앱의 액세스 토큰을 만드는 데도 사용되었을 가능성이 있습니다. 

 

요점 : 마이크로소프트는 앞으로 훨씬 더 많은 신호를 공개할 예정이며, 이로 인해 AD 보안 감사는 더욱 어려워질 것입니다. 


CISA에 따르면 스톰-0558 캠페인은 한 고객이 감사 로그에서 비정상적인 MailItemsAccessed 이벤트를 발견하면서 드러났습니다. 이 이벤트는 마이크로소프트의 최상위 티어(가장 값비싼) 라이선스를 보유한 고객만 사용할 수 있는 이벤트였습니다. 운 좋게도 이 조직은 E5 라이선스를 채택한 상태였습니다. 


당연히 마이크로소프트는 이 사건으로 많은 비판을 받았습니다. 마이크로소프트는 고객에게 추가 비용 없이 더 광범위한 클라우드 보안 로그에 대한 액세스 권한을 제공할 것이라고 발표했습니다. 


AD 보안 팁 : 중요한 부분에 감사를 집중해서 경고 피로를 방지하십시오. 


AD 보안팀이 위협을 찾기 위해 처리해야 할 데이터는 이미 많은데, 앞으로는 신호가 한층 더 늘어나게 됩니다. 데이터에 매몰되지 않기 위해서는 무엇에 주의를 기울여야 하는지를 알아야 합니다. 


우선 사이버 공격의 목적이 핵심 시스템과 데이터에 도달하는 것이며, 이를 위해 환경에서 가장 강력한 계정을 침해하는 경우가 많다는 것을 알아야 합니다. 이러한 계정을 티어 제로(Tier 0) 자산, 또는 제어 영역(control plane)이라고 합니다. 여기에는 DC와 기타 강력한 서버, 그리고 포리스트와 도메인 또는 DC에 대한 직간접적 관리 제어 권한을 갖는 모든 계정이 포함됩니다. 아마 IT 전문가의 계정이 가장 먼저 떠오를 것입니다. 그러나 승격된 권한이 부여된 서비스 계정도 일반적인 예입니다. 


위에서 ‘직간접적 제어’라고 표현한 부분을 주목하십시오. 도메인 관리자 멤버십과 같이 승격된 권한을 얻을 수 있는 계정 역시 찾아야 할 중요한 계정입니다. 이 프로세스와 관련된 일련의 작업을 공격 경로라고 하며, 공격에서는 숨겨진 권한, 중첩된 그룹 멤버십, AD 아키텍처에 내재된 보안 간극과 같은 요소를 악용하는 경우가 많습니다. 조직에는 이러한 공격 경로가 흔히 수백, 수천 개 존재하며 그 중 상당수는 소수의 단계만으로 이뤄져 있습니다. 또한 공격자는 블러드하운드(BloodHound)라는 오픈소스 툴을 사용하여 이러한 공격 경로의 세부적인 지도를 그릴 수 있습니다. 

 

티어 제로 자산을 정확히 파악하면 중요한 부분에 감사를 집중할 수 있습니다. 또한 이러한 자산의 수를 줄이기 위한 조치도 취할 수 있습니다. 예를 들어 공격 경로 관리를 사용하면 승격된 권한을 얻으려는 공격자를 차단할 수 있습니다. 또한 애플리케이션의 서비스 계정에 도메인 관리자와 같은 강력한 보안 그룹의 멤버십이 필요하다고 주장하는 벤더가 있다면 경계하는 것이 좋습니다. 모니터링해야 하는 티어 제로 자산이 적을수록 면밀히 주시하고 진짜 위협을 발견하기가 더 쉽다는 점을 기억하십시오. 

 


nOAuth 

2023년 4월 마이크로소프트는 OAuth(Open Authorization) 프로세스와 관련된 문제로, 고객을 계정 탈취 및 데이터 손실 위험에 노출시키는 nOAuth에 대한 알림을 받았습니다. 공격자는 결함을 악용하기 위해 애저 AD 관리자 계정을 만들고 이메일 주소를 표적의 주소로 수정했습니다. 이렇게 하면 취약한 앱 또는 웹사이트의 싱글사인온(Single Sign On, SSO)을 활용할 수 있습니다. 앱이 검증 없이 사용자 계정을 병합할 경우 공격자는 피해자 계정을 완전히 장악하게 됩니다. 


요점 : 공격자들은 결국 네트워크에 침입합니다. 사실, 이미 네트워크 안에 들어와 있습니다. 

 

AD 보안 전문가들은 침해를 전제하는 사고방식을 권장합니다. nOAuth 공격이 작동하려면 조직이 이메일 클레임을 액세스 토큰의 고유 식별자로 사용했어야 합니다. 이 구성은 모범 사례와 마이크로소프트 문서 내용에 위배되지만 연구원들은 이 공격에 취약한 여러 조직을 신속하게 찾을 수 있었습니다. 

 

여러분의 조직이 이 구성 실수를 저지르지 않았다고 해서 너무 성급하게 스스로를 칭찬할 필요는 없습니다. 다른 어떤 베스트 프랙티스를 현재 위반하고 있나요? 찾아서 수정하지 못한 취약점은 무엇인가요? 최소한 여러분이 이용하는 벤더는 제로 데이, 즉 말 그대로 이전에 발견된 적이 없는 취약점에 악용될 것입니다. 


외부 공격자가 네트워크에 침입하지 못한다고 보장할 수 있는 조직은 없습니다. 게다가 악의적인 의도 또는 태만이나 교육 부족으로 인해 발생할 수 있는 내부자 위협에 따른 위험도 상존합니다. 예를 들어 2023년 6월, 미 공군 경비대원이 기밀 국방 정보를 소셜 미디어에 게시한 혐의로 기소되었습니다. 이 군인은 심사를 통해 일급 기밀을 취급하도록 허가를 받았는데, 이 신뢰가 결국 잘못된 것으로 드러난 사건입니다. 동기가 악의적인지 아닌지에 관계없이 문서는 유출되었습니다. 


AD 보안 팁 : 최소 권한 원칙을 시행하십시오. 


최소 권한 원칙이 핵심적인 AD 보안 베스트 프랙티스인 데는 충분한 이유가 있습니다. 각 계정에 업무 수행에 필요한 액세스 권한만 부여하면 합법적인 계정 소유자든 계정을 탈취한 공격자든 해당 계정을 사용하는 사람이 미칠 수 있는 피해를 최소화할 수 있습니다. 

 

최소 권한 원칙은 계정이 액세스할 수 있는 데이터에 국한되지 않습니다. 계정이 할 수 있는 모든 작업에 적용됩니다. 예를 들어 파워셸 실행 권한은 업무 수행에 필요한 극소수의 개인으로 엄격하게 제한해야 합니다. 또한 일반 사용자가 애저 AD 앱에 동의할 수 있는 권한도 반드시 제한해야 합니다. 이는 마이크로소프트가 제공하는 자동화된 관리자 승인 워크플로우를 사용하면 손쉽게 할 수 있습니다. 


 

망고 샌드스톰 

2023년 4월, 마이크로소프트 위협 인텔리전스는 이란 정보보안국과 연루된 위협 행위자인 망고 샌드스톰(Mango Sandstorm. 머큐리(Mercury) 또는 머디워터(Muddywater)로도 알려짐)이 감행한 일련의 파괴적인 공격을 감지했습니다. 이 공격은 또 다른 그룹인 DEV-1084(지금은 Storm-1084로 지칭)과 협력하여 수행되었을 가능성이 높습니다. 위협 행위자들은 공격 활동을 일반적인 랜섬웨어 캠페인처럼 위장하려고 했지만 궁극적인 목적은 사실 파괴와 혼란이었습니다. 이들은 서버 팜, 스토리지 계정, 가상 머신과 가상 네트워크를 파괴했습니다. 또한 이전의 망고 샌드스톰 공격이 온프레미스 환경을 표적으로 삼았던 것과 달리 이번 공격에서는 클라우드 리소스도 파괴했습니다. 


요점 : 언론을 장식하는 것은 랜섬웨어지만, 파괴적 공격은 여전히 현존하는 뚜렷한 위험입니다. 


2023년 들어 현재까지 지불된 총 랜섬웨어 비용은 지난 몇 년에 비하면 낮은 것으로 보입니다. 좋은 소식이라고 생각할 수 있지만, 깊이 분석해 보면 사실 그렇지 않습니다. 몸값 지급액이 줄어든 것은 사이버 범죄자들이 갈취 금액을 낮췄기 때문이 아니라 초점을 옮겼기 때문입니다. 이제는 데이터를 장악해 몸값을 요구하기보다 데이터를 훔치거나 파괴하는 공격에 더 집중하고 있습니다. 


AD 보안 팁 : 사이버 회복탄력성에 초점을 두십시오. 

 

AD 보안에 있어 가장 중요한 교훈은 사이버 회복탄력성에 집중하라는 것입니다. 사이버 회복탄력성의 목표는 두 가지입니다. IT 환경을 최대한 정상 가동 상태로 유지하고, 중단이 발생할 경우 신속하게 정상으로 되돌리는 것입니다. 

 

이를 위해서는 여러 구성요소가 포함된 심층 방어 접근 방법이 필요합니다. 다음을 포함한 이러한 구성요소 중 상당수는 위에서 언급했습니다. 

 

  • 공격 표면을 줄이기 위한 사이버보안 위험 관리 

  • 강력한 PIM를 포함한 최소 권한 원칙을 실행하기 위한 ID 거버넌스와 관리 

  • 효과적인 AD 감사, 변경 관리, 공격 경로 관리를 포함한 하이브리드 AD 보안 및 관리 

  • 파괴적인 공격에 대한 준비를 포함한 종합적인 백업 및 재해 복구 전략 

 

결론 

불과 15년 전만 해도 고도로 복잡한 공격을 실행할 수 있는 주체는 미국, 러시아, 이스라엘, 중국과 같은 강대국의 국가 안보 기관 등 한 손으로 셀 수 있을 정도로 소수였습니다. 지금은 국가뿐만 아니라 랜섬웨어 조직 및 ‘기업’도 그러한 공격을 실행합니다. 

 

게다가 서비스형 랜섬웨어와 같은 옵션, AI과 같은 기술 발전으로 거의 누구나 사이버 범죄 행위에 가담할 수 있게 되었습니다. 마이크로소프트가 ‘시민 개발자’라는 말을 할 때마다 그 말을 ‘시민 해커’로 바꿔서 들으십시오. 

 

이런 추세로 인해 AD 보안의 중요성은 어느 때보다 커졌습니다. 조직에 영향을 미치는 사이버 공격을 분석하면 진정으로 효과적인 AD 보안 전략을 수립하기 위한 가장 중요한 요소를 발견할 수 있습니다. 

 

AD 관리에 어려움을 겪고 계시거나 관련 솔루션에 대해 궁금한 점이 있으시면 언제든 퀘스트소프트웨어코리아로 문의주시기 바랍니다. 





퀘스트소프트웨어코리아(주)

서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600

전자 메일 KoreaMarketing@quest.com 


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB


퀘스트소프트웨어코리아(주) 서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600 | 전자 메일 KoreaMarketing@quest.com


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB