Quick Overview AD(Active Directory) 포리스트의 복구는 중요하지만 경시되는 경우가 많습니다. AD는 기업의 IT 인프라에서 핵심적인 역할을 하며, 포리스트의 다운은 비즈니스에 직접적인 영향을 미치므로 견고한 AD 포리스트 복구 계획은 기업에 매우 중요합니다. 비즈니스 연속성을 유지하는 핵심 요소인 AD 포리스트 복구에 대해 알아봅니다 |
AD(Active Directory) 포리스트 복구는 중요함에도 불구하고 큰 관심을 두지 않는 경우가 너무 많습니다. 사실 AD는 IT 인프라의 심장 역할을 하면서 핵심 비즈니스 프로세스 대부분을 위한 필수적인 인증 및 권한 부여 서비스를 제공합니다. 결과적으로 AD 포리스트가 다운되는 시간만큼 비즈니스도 함께 다운됩니다.
따라서 AD 포리스트 복구는 모든 기업의 사이버보안 전략에서 핵심 요소가 되어야 합니다. 그렇다면 견고한 AD 포리스트 복구 계획에는 무엇이 필요할까요? 전략을 수립할 때 피해야 하는 일반적인 실수는 무엇일까요? 이번 포스팅에서는 이런 중요한 질문에 대한 답과 그 외의 몇 가지 내용을 살펴봅니다.
AD 포리스트 복구란?
AD 포리스트 복구는 사이버 공격, 하드웨어 장애, 자연 재해 또는 관리자 실수와 같은 재해가 발생한 이후 AD 포리스트를 정상적으로 동작하는 상태로 복원하는 프로세스입니다.
간단히 정리하면 AD 포리스트의 계층 구조는 포리스트 > 트리 > 도메인입니다. 즉, AD 포리스트는 디렉토리 스키마와 글로벌 카탈로그, 애플리케이션 정보 및 구성 객체를 공유하는 하나 이상의 AD 트리의 집합체입니다(글로벌 카탈로그에는 포리스트의 모든 객체가 나열되며, 스키마는 포리스트에 있는 각 객체의 클래스와 속성을 정의합니다). 각 트리는 계층 구조로 이뤄진 하나 이상의 도메인으로 구성되며 도메인 간에 인접한 네임스페이스와 전이적 신뢰(transitive trust) 관계를 갖습니다.
각 AD에는 하나 이상의 포리스트가 있고, 모든 포리스트에는 하나 이상의 도메인이 있고, 각 도메인에는 하나 이상의 도메인 컨트롤러(Domain Controller, DC)가 있습니다. DC는 일반적으로 "Active Directory"로 통하는 AD 도메인 서비스(Active Directory Domain Service, AD DS)를 실행하는 서버입니다.
따라서 AD 포리스트 복구는 곧 도메인 컨트롤러 복원과 직결됩니다. 가장 간단한 경우라면 포리스트의 한 도메인에 있는 단일 DC일 것입니다. 그러나 대부분의 기업에서는 포리스트의 단일 도메인에 있는 여러 DC를 복원하거나, 포리스트의 여러 도메인 각각에 있는 여러 DC를 복원하게 됩니다.
AD 포리스트 복구가 중요한 이유
AD는 오늘날 대부분 기업에 필수적인 ID 서비스를 제공하는 만큼 오랫동안 사이버 공격의 주된 표적이 되어왔습니다. 공격자는 AD 공격 기술을 계속해서 발전시키고 있습니다. 실제로 일부 랜섬웨어 공격은 몇 분, 심지어 몇 초 만에 AD 포리스트를 다운시킬 수 있습니다. 위험은 사이버 공격에 국한하지 않습니다. 모든 AD 포리스트는 자연 재해와 소프트웨어 장애, 인간의 실수 및 기타 사고에도 취약합니다.
AD는 IT 생태계에서 핵심적인 역할을 하므로 포리스트 다운타임은 곧 비즈니스 손실로 이어집니다. AD를 사용할 수 없는 시간 동안 직원은 업무를 수행할 수 없고 고객은 주문을 할 수 없으며 거의 모든 다른 비즈니스 프로세스도 멈추게 됩니다.
포리스트 다운타임에 따르는 비용은 빠르게 누적됩니다. 퀘스트가 포레스터 컨설팅에 의뢰한 토탈 이코노믹 임팩트(Total Economic Impact) 연구에서는 AD가 오프라인 상태일 때 시간당 매출 손실액이 73만 달러(약 9억 6,000만 원)에 이르는 것으로 계산됐습니다. 다른 연구에서도 기업 40%가 다운타임 1시간당 지출 비용이 100만 달러(약 13억 1,800만 원)에서 500만 달러(약 65억 8,900만 원) 이상이라고 답했습니다. 최악의 시나리오라면 손실은 분당 수 백만 달러에 이를 수도 있습니다.
간단히 말해 AD 포리스트 복구는 그냥 중요한 정도가 아니라, 어떤 원인에 의한 것이든 재해가 발생한 이후 비즈니스를 원래 상태로 되돌리기 위해 필수적인 요소입니다.
AD 포리스트를 백업하는 방법
모든 AD 포리스트 복구 전략의 첫 단추는 복구할 안정적인 백업을 갖추는 것입니다. 정기적인 AD 백업을 수행하고 백업을 테스트해서 유효한지 확인하고 안전한 곳에 보관해야 합니다. 마이크로소프트는 3-2-1 규칙을 따를 것을 권장합니다. 데이터의 백업 3개를 2개의 서로 다른 스토리지 유형에 유지하고 그 중에서 1개 이상의 백업을 오프사이트에 저장하는 것입니다. 또한 백업의 일부라도 에어 갭 상태로 보관하는 것이 좋습니다. 이렇게 하면 공격자가 접근할 방법이 없으므로 포리스트를 복원하기 위해 필요할 때 언제든 이 백업을 사용할 수 있습니다.
백업의 유형
AD 포리스트 복구 전략을 설계할 때 알아야 할 백업 유형은 여러 가지입니다. 네이티브 옵션은 다음과 같습니다.
시스템 상태 백업 : 이 백업에는 AD 요소뿐 아니라 거의 전체 운영 체제가 포함됩니다. 따라서 시스템 상태 백업에서 복원하는 경우 맬웨어에 감염되었거나 제로 데이 취약점이 있는 구성요소까지 복원할 위험이 커지므로 재해 발생 시 최선의 선택이라고 하기는 어렵습니다.
베어 메탈 복구(Bare metal recovery, BMR) 백업 : BMR 백업은 다양한 하드웨어 인스턴스에 DC를 복원할 수 있게 해주며, 이는 DC가 물리적으로 손상된 경우 특히 유용합니다. 시스템 상태 백업과 마찬가지로 BMR 백업에는 AD 복구에 필요한 것보다 더 많은 데이터가 포함되므로 복원 프로세스의 속도가 늦어지고 위험이 증가합니다.
일부 서드파티 재해 복구 솔루션은 다음과 같은 부가적인 백업 옵션을 제공합니다.
AD 백업 : 이 백업에는 AD 관련 구성요소 즉 NTDS 디렉토리, SYSVOL(그룹 정책 및 로그온 스크립트 포함), 그리고 AD와 관련된 레지스트리 요소만 포함됩니다.
애저 AD 백업 : 하이브리드 AD 환경에서는 마이크로소프트 365 라이선스 및 애플리케이션 역할 할당, 오피스 365 및 애저 AD 그룹, 애저 B2B 및 B2C 계정과 같은 클라우드 전용 사용자, 애저 MFA 설정, 조건부 액세스 정책과 같은 클라우드 전용 객체 및 속성을 위한 백업 전략도 필요합니다. 비즈니스를 위한 이런 핵심 객체와 속성은 네이티브 마이크로소프트 툴로는 충분히 보호되지 않으며 이를 제대로 다루는 온프레미스 전용 백업 솔루션도 없습니다.
AD 포리스트 복구에 포함되는 작업
AD 포리스트 복구에는 단순히 백업에서 DC를 복원하는 것 이상의 과정이 포함됩니다. 이 작업에는 준비, 복원 수행, 각 DC를 복제 파트너와 동기화하고 다시 사용할 수 있도록 하기 등 많은 단계의 세심한 조율이 필요합니다.
프로세스의 세부적인 부분은 수행한 백업의 유형과 사용 중인 복구 툴에 따라 달라집니다. AD 포리스트 복구 방법의 두 가지 주요 유형은 베어 메탈 복구와 클린 운영체제 복구입니다.
엔터프라이즈 백업 및 복구 솔루션에서만 사용할 수 있는 클린 OS 복구는 랜섬웨어 공격을 포함한 대부분의 상황에서 BMR보다 유리합니다. 가장 큰 이유는 BMR은 부트 섹터, 프로그램 파일 디렉토리, 윈도우 및 WinSXS 디렉토리와 같이 AD에 속하지 않은 파일을 포함한 전체 볼륨(디스크 파티션)을 복원한다는 데 있습니다. 그만큼 맬웨어가 숨을 수 있는 장소가 많으므로 복구 작업 후에 재감염 위험이 있습니다.
반면 클린 OS 복구는 AD 구성요소만 복원하므로 맬웨어가 숨을 수 있는 장소가 대폭 줄어듭니다. 게다가 BMR을 수행하기 위해서는 대상 시스템의 물리적 디스크 레이아웃이 원본 DC와 동일하고 용량도 같거나 커야 합니다. 그래야 같은 파티션을 이전과 동일한 레이아웃으로 복구할 수 있기 때문입니다. 또한 부트 크리티컬 드라이버, 명령줄 네트워크 구성 주입 등에서 대해서도 신경을 써야 합니다.
BMR이 더 적절한 예외적인 경우는 BMR 백업에 저장된 부가적인 데이터가 실제로 필요한 경우입니다. 예를 들어 도메인 컨트롤러가 AD에 통합되지 않은 DNS 구역 호스팅, 인증 기관(Certificate Authority) 실행 또는 파일 및 인쇄 서비스 실행 등 AD와 무관한 서비스에 사용되는 경우 BMR이 필요할 수 있습니다.
여기까지 AD 포리스트 복구와 관련한 기본적인 사항을 살펴보았습니다. 2부에서는 AD 포리스트 복구를 수행하려면 어떻게 해야하는지를 단계별로 살펴보고 복구 계획 시 저지를 수 있는 실수를 알아봅니다.
AD 관리에 어려움을 겪고 계시거나 관련 솔루션에 대해 궁금한 점이 있으시면 언제든 퀘스트소프트웨어코리아로 문의주시기 바랍니다. 😊
Quick Overview
AD(Active Directory) 포리스트의 복구는 중요하지만 경시되는 경우가 많습니다. AD는 기업의 IT 인프라에서 핵심적인 역할을 하며, 포리스트의 다운은 비즈니스에 직접적인 영향을 미치므로 견고한 AD 포리스트 복구 계획은 기업에 매우 중요합니다. 비즈니스 연속성을 유지하는 핵심 요소인 AD 포리스트 복구에 대해 알아봅니다
AD(Active Directory) 포리스트 복구는 중요함에도 불구하고 큰 관심을 두지 않는 경우가 너무 많습니다. 사실 AD는 IT 인프라의 심장 역할을 하면서 핵심 비즈니스 프로세스 대부분을 위한 필수적인 인증 및 권한 부여 서비스를 제공합니다. 결과적으로 AD 포리스트가 다운되는 시간만큼 비즈니스도 함께 다운됩니다.
따라서 AD 포리스트 복구는 모든 기업의 사이버보안 전략에서 핵심 요소가 되어야 합니다. 그렇다면 견고한 AD 포리스트 복구 계획에는 무엇이 필요할까요? 전략을 수립할 때 피해야 하는 일반적인 실수는 무엇일까요? 이번 포스팅에서는 이런 중요한 질문에 대한 답과 그 외의 몇 가지 내용을 살펴봅니다.
AD 포리스트 복구란?
AD 포리스트 복구는 사이버 공격, 하드웨어 장애, 자연 재해 또는 관리자 실수와 같은 재해가 발생한 이후 AD 포리스트를 정상적으로 동작하는 상태로 복원하는 프로세스입니다.
간단히 정리하면 AD 포리스트의 계층 구조는 포리스트 > 트리 > 도메인입니다. 즉, AD 포리스트는 디렉토리 스키마와 글로벌 카탈로그, 애플리케이션 정보 및 구성 객체를 공유하는 하나 이상의 AD 트리의 집합체입니다(글로벌 카탈로그에는 포리스트의 모든 객체가 나열되며, 스키마는 포리스트에 있는 각 객체의 클래스와 속성을 정의합니다). 각 트리는 계층 구조로 이뤄진 하나 이상의 도메인으로 구성되며 도메인 간에 인접한 네임스페이스와 전이적 신뢰(transitive trust) 관계를 갖습니다.
각 AD에는 하나 이상의 포리스트가 있고, 모든 포리스트에는 하나 이상의 도메인이 있고, 각 도메인에는 하나 이상의 도메인 컨트롤러(Domain Controller, DC)가 있습니다. DC는 일반적으로 "Active Directory"로 통하는 AD 도메인 서비스(Active Directory Domain Service, AD DS)를 실행하는 서버입니다.
따라서 AD 포리스트 복구는 곧 도메인 컨트롤러 복원과 직결됩니다. 가장 간단한 경우라면 포리스트의 한 도메인에 있는 단일 DC일 것입니다. 그러나 대부분의 기업에서는 포리스트의 단일 도메인에 있는 여러 DC를 복원하거나, 포리스트의 여러 도메인 각각에 있는 여러 DC를 복원하게 됩니다.
AD 포리스트 복구가 중요한 이유
AD는 오늘날 대부분 기업에 필수적인 ID 서비스를 제공하는 만큼 오랫동안 사이버 공격의 주된 표적이 되어왔습니다. 공격자는 AD 공격 기술을 계속해서 발전시키고 있습니다. 실제로 일부 랜섬웨어 공격은 몇 분, 심지어 몇 초 만에 AD 포리스트를 다운시킬 수 있습니다. 위험은 사이버 공격에 국한하지 않습니다. 모든 AD 포리스트는 자연 재해와 소프트웨어 장애, 인간의 실수 및 기타 사고에도 취약합니다.
AD는 IT 생태계에서 핵심적인 역할을 하므로 포리스트 다운타임은 곧 비즈니스 손실로 이어집니다. AD를 사용할 수 없는 시간 동안 직원은 업무를 수행할 수 없고 고객은 주문을 할 수 없으며 거의 모든 다른 비즈니스 프로세스도 멈추게 됩니다.
포리스트 다운타임에 따르는 비용은 빠르게 누적됩니다. 퀘스트가 포레스터 컨설팅에 의뢰한 토탈 이코노믹 임팩트(Total Economic Impact) 연구에서는 AD가 오프라인 상태일 때 시간당 매출 손실액이 73만 달러(약 9억 6,000만 원)에 이르는 것으로 계산됐습니다. 다른 연구에서도 기업 40%가 다운타임 1시간당 지출 비용이 100만 달러(약 13억 1,800만 원)에서 500만 달러(약 65억 8,900만 원) 이상이라고 답했습니다. 최악의 시나리오라면 손실은 분당 수 백만 달러에 이를 수도 있습니다.
간단히 말해 AD 포리스트 복구는 그냥 중요한 정도가 아니라, 어떤 원인에 의한 것이든 재해가 발생한 이후 비즈니스를 원래 상태로 되돌리기 위해 필수적인 요소입니다.
AD 포리스트를 백업하는 방법
모든 AD 포리스트 복구 전략의 첫 단추는 복구할 안정적인 백업을 갖추는 것입니다. 정기적인 AD 백업을 수행하고 백업을 테스트해서 유효한지 확인하고 안전한 곳에 보관해야 합니다. 마이크로소프트는 3-2-1 규칙을 따를 것을 권장합니다. 데이터의 백업 3개를 2개의 서로 다른 스토리지 유형에 유지하고 그 중에서 1개 이상의 백업을 오프사이트에 저장하는 것입니다. 또한 백업의 일부라도 에어 갭 상태로 보관하는 것이 좋습니다. 이렇게 하면 공격자가 접근할 방법이 없으므로 포리스트를 복원하기 위해 필요할 때 언제든 이 백업을 사용할 수 있습니다.
백업의 유형
AD 포리스트 복구 전략을 설계할 때 알아야 할 백업 유형은 여러 가지입니다. 네이티브 옵션은 다음과 같습니다.
시스템 상태 백업 : 이 백업에는 AD 요소뿐 아니라 거의 전체 운영 체제가 포함됩니다. 따라서 시스템 상태 백업에서 복원하는 경우 맬웨어에 감염되었거나 제로 데이 취약점이 있는 구성요소까지 복원할 위험이 커지므로 재해 발생 시 최선의 선택이라고 하기는 어렵습니다.
베어 메탈 복구(Bare metal recovery, BMR) 백업 : BMR 백업은 다양한 하드웨어 인스턴스에 DC를 복원할 수 있게 해주며, 이는 DC가 물리적으로 손상된 경우 특히 유용합니다. 시스템 상태 백업과 마찬가지로 BMR 백업에는 AD 복구에 필요한 것보다 더 많은 데이터가 포함되므로 복원 프로세스의 속도가 늦어지고 위험이 증가합니다.
일부 서드파티 재해 복구 솔루션은 다음과 같은 부가적인 백업 옵션을 제공합니다.
AD 백업 : 이 백업에는 AD 관련 구성요소 즉 NTDS 디렉토리, SYSVOL(그룹 정책 및 로그온 스크립트 포함), 그리고 AD와 관련된 레지스트리 요소만 포함됩니다.
애저 AD 백업 : 하이브리드 AD 환경에서는 마이크로소프트 365 라이선스 및 애플리케이션 역할 할당, 오피스 365 및 애저 AD 그룹, 애저 B2B 및 B2C 계정과 같은 클라우드 전용 사용자, 애저 MFA 설정, 조건부 액세스 정책과 같은 클라우드 전용 객체 및 속성을 위한 백업 전략도 필요합니다. 비즈니스를 위한 이런 핵심 객체와 속성은 네이티브 마이크로소프트 툴로는 충분히 보호되지 않으며 이를 제대로 다루는 온프레미스 전용 백업 솔루션도 없습니다.
AD 포리스트 복구에 포함되는 작업
AD 포리스트 복구에는 단순히 백업에서 DC를 복원하는 것 이상의 과정이 포함됩니다. 이 작업에는 준비, 복원 수행, 각 DC를 복제 파트너와 동기화하고 다시 사용할 수 있도록 하기 등 많은 단계의 세심한 조율이 필요합니다.
프로세스의 세부적인 부분은 수행한 백업의 유형과 사용 중인 복구 툴에 따라 달라집니다. AD 포리스트 복구 방법의 두 가지 주요 유형은 베어 메탈 복구와 클린 운영체제 복구입니다.
엔터프라이즈 백업 및 복구 솔루션에서만 사용할 수 있는 클린 OS 복구는 랜섬웨어 공격을 포함한 대부분의 상황에서 BMR보다 유리합니다. 가장 큰 이유는 BMR은 부트 섹터, 프로그램 파일 디렉토리, 윈도우 및 WinSXS 디렉토리와 같이 AD에 속하지 않은 파일을 포함한 전체 볼륨(디스크 파티션)을 복원한다는 데 있습니다. 그만큼 맬웨어가 숨을 수 있는 장소가 많으므로 복구 작업 후에 재감염 위험이 있습니다.
반면 클린 OS 복구는 AD 구성요소만 복원하므로 맬웨어가 숨을 수 있는 장소가 대폭 줄어듭니다. 게다가 BMR을 수행하기 위해서는 대상 시스템의 물리적 디스크 레이아웃이 원본 DC와 동일하고 용량도 같거나 커야 합니다. 그래야 같은 파티션을 이전과 동일한 레이아웃으로 복구할 수 있기 때문입니다. 또한 부트 크리티컬 드라이버, 명령줄 네트워크 구성 주입 등에서 대해서도 신경을 써야 합니다.
BMR이 더 적절한 예외적인 경우는 BMR 백업에 저장된 부가적인 데이터가 실제로 필요한 경우입니다. 예를 들어 도메인 컨트롤러가 AD에 통합되지 않은 DNS 구역 호스팅, 인증 기관(Certificate Authority) 실행 또는 파일 및 인쇄 서비스 실행 등 AD와 무관한 서비스에 사용되는 경우 BMR이 필요할 수 있습니다.
여기까지 AD 포리스트 복구와 관련한 기본적인 사항을 살펴보았습니다. 2부에서는 AD 포리스트 복구를 수행하려면 어떻게 해야하는지를 단계별로 살펴보고 복구 계획 시 저지를 수 있는 실수를 알아봅니다.
AD 관리에 어려움을 겪고 계시거나 관련 솔루션에 대해 궁금한 점이 있으시면 언제든 퀘스트소프트웨어코리아로 문의주시기 바랍니다. 😊