
액티브 디렉토리 환경을 보호하는 8가지 방법 – 2부
액티브 디렉토리(Active Directory, AD) 보호 조치를 취하는 것은 과거 어느 때보다 중요해졌습니다. AD는 사용자의 네트워크 접근 권한을 감독하는 역할을 합니다. 적절한 통제 수단을 구현하지 않으면 큰 피해를 유발하는 침해와 장기간 다운타임의 위험이 급격히 높아집니다.
폭넓은 AD 보안을 구현하는 데 도움이 되는 8가지 권장 사항이 있습니다. 1부에서 살펴본 4가지는 ▲IT 환경을 정리하고 깨끗하게 유지하기 ▲최소 권한 원칙 강제하기 ▲권한이 높은 계정에 특히 주의하기 ▲공격 경로 관리 및 공격 경로 모니터링 구현하기 등입니다. 나머지 4가지는 무엇일까요?
5. 여러 소스에서 감사 데이터를 수집해 통합하기
1부에서 설명한 전략을 사용하면 공격 표면을 비약적으로 줄여 AD 보호를 강화할 수 있습니다. 그러나 최선의 방어 전략이라고 해도 공격자의 네트워크 침투, 또는 내부자의 의도적인 특권 오남용이나 다운타임 또는 데이터 손실로 이어지는 심각한 실수를 완벽하게 차단할 수는 없습니다.
따라서 IT 환경 전반의 활동에 관한 포괄적인 감사 데이터도 수집해야 합니다. 마이크로소프트 로그에는 유용한 정보가 많이 포함돼 있지만 AD를 보호하기에는 부족합니다. 시스템이 제공하는 로그에는 포착되지 않는 중요한 감사 정보도 수집해야 합니다. 예를 들어, 네이티브 로그는 대부분 변경이 발생했다는 사실은 기록하지만 누가/언제/무엇을 변경했는지에 관한 정보와 사용된 워크스테이션에 관한 세부 정보, 변경 전과 후의 값 등은 기록하지 않습니다.
게다가 이벤트의 모든 단계에 걸쳐 위협을 신속하고 정확하게 포착하고 철저한 포렌식 분석에 필요한 컨텍스트를 제공하려면 이 모든 데이터를 통합하고 정규화해야 합니다. 온프레미스와 클라우드에서 여러 사용자와 리소스에 걸쳐 모든 관련 활동에 관한 명확한 360도 시야를 갖추기 위해서는 시스템이 제공하는 로그의 수수께끼 같은 데이터를 간소하고 정규화된 형식으로 변환해서 부가적인 감사 정보와 결합해야 합니다.
기본 툴의 감사 공백에 대한 포스팅은 ‘애저 AD와 오피스 365 감사 기능의 원리와 기본 툴의 한계’를 참고하십시오.
6. 의심스러운 활동을 즉각 찾아서 조사하기
감사 데이터 수집/통합/정규화의 목적은 적시에 위협을 발견해서 조치를 취해 조직에 입히는 피해를 차단하거나 최소화하는 데 있습니다. 위에 언급한 다른 권장 사항과 마찬가지로 이를 위해 자동화가 필수적입니다. 아주 작은 AD 환경이라 해도 매우 많은 활동이 일어나므로 수작업으로 위협을 파악하는 방법은 효과적이지 않습니다. 따라서 AD를 보호하도록 설계된 AD 감사 솔루션이 필요합니다.
특히 눈여겨봐야 할 의심스러운 활동 유형 중은 특권 승격 시도입니다. 공격자가 승격된 권한을 획득하는 일반적인 방법은 관리자 그룹의 멤버가 되는 것입니다. 가장 권한이 큰 그룹은 엔터프라이즈 관리자(Enterprise Admins), 스키마 관리자(Schema Admins), 도메인 관리자(Domain Admins)입니다. 그러나 관리자(Administrators), 백업 운영자(Backup Operators), 고급 사용자(Power Users), 하이퍼V 관리자(Hyper-V Administrators)와 같은 로컬 윈도우 시스템 수준의 그룹에도 주의를 기울여야 합니다. 공격자는 특권 그룹을 직접 변경하는 방법(네이티브 보안 로그에서 추적 가능)뿐 아니라 중첩된 그룹에 자신을 멤버로 추가하는 방법(윈도우 서버에 기록되지 않는 활동)으로도 권한을 승격시킵니다. 최소한 이런 그룹에 대한 멤버십 변경이 발생하는 경우 실시간 알림을 받도록 해야 합니다. 이상적인 방법은 애초에 누구도 변경하지 못하도록 차단하는 솔루션을 도입하는 것입니다.
특권 승격 외에 살펴야 할 의심스러운 활동은 다음과 같습니다.
정상 업무 시간이 끝난 후 민감한 서버로의 비정상적인 로그인
계정 잠김, 여러 번의 실패 후 성공한 로그인
새 AD 계정 생성
강력하거나 민감한 계정의 암호 변경
한 사용자에게 직접적으로 관리 권한 부여
수명이 긴 커버로스(Kerberos) 티켓 사용
과도한 LDAP(Lightweight Directory Access Protocol) 쿼리
암호 해시가 저장된 NTDS.dit 파일의 복사본을 획득하려는 시도
레지스트리 설정 변경
위협을 발견할 때는 항상 신속하게 조사하고 적절히 대응할 준비가 되어 있어야 합니다. 침해의 진원지가 어디인지, 어떻게 전개되었는지, 정확히 어느 시스템과 데이터가 관련되었는지 신속하게 파악할 수 있어야 합니다. 그렇게 해야 개인에게 행동에 대한 책임을 묻고 향후 비슷한 사고를 예방하기 위한 조치를 취해 AD를 더 견고하게 보호할 수 있습니다.
7. 그룹 정책에 각별한 주의 기울이기
AD를 보호하는 방법을 이야기하면서 지금까지 그룹 정책에 관한 내용이 나오지 않은 점을 의아하게 여기실 수 있습니다. 물론 위의 설명에 포함할 수도 있었지만, 그룹 정책은 매우 강력한 기능인만큼 전체 섹션을 따로 할애하는 것이 더 낫다고 판단했습니다.
그룹 정책은 AD의 필수적인 부분으로, IT 관리자가 도메인 전체의 사용자와 컴퓨터를 중앙에서 관리할 수 있도록 해줍니다. 예를 들어, IT 관리자는 그룹 정책 개체(Group Policy Objects, GPO)를 사용해 강력한 암호 정책을 의무화하고 분실할 수 있는 미디어 드라이브 사용을 금지하고 소프트웨어를 배포하고 약한 인증 프로토콜을 비활성화하고 컴퓨터 시작 또는 종료 시 특정 스크립트를 실행할 수 있습니다. 사실 AD 보호에 사용할 수 있는 설정은 수천 가지에 이릅니다.
이처럼 강력한 그룹 정책은 생산성을 높이고 보안을 강화하는 유용한 툴인 동시에 해커들의 주요 공격 대상이기도 합니다. 해커는 GPO를 악용해 가치 있는 데이터를 훔치고 맬웨어를 배포하고 이후 활동의 흔적을 없앱니다. 예를 들어, GPO의 한 부분을 변경하는 것만으로도 사용자가 시스템에 USB 드라이브를 삽입하도록 허용해서 랜섬웨어를 침투시킬 수 있습니다.
AD는 모든 사용자가 현재의 정책과 그 정책이 어디에 적용되며, 누구에게 액세스 권한이 있는지 볼 수 있도록 만들어졌다는 면에서 본질적으로 취약합니다. 또한 IT팀은 관리를 간소화하기 위해 GPO에 알아보기 쉬운 이름을 할당하는 경우가 많은데, 이는 공격을 노리는 해커에게는 선물과도 같습니다.
물론 위험을 낮추기 위한 검증된 전략도 있습니다. 효과적인 그룹 정책 관리의 시작은 GPO에 대한 면밀한 검토입니다. GPO가 명확하고 체계적으로 구성돼 있는지 확인하십시오. 특히 중복되거나 충돌하는 설정을 적극적으로 찾아서 정리해야 합니다. 또 특정 사용자에게 일회성 권한을 직접 할당하는 것을 피해야 하듯이, 특정 컴퓨터의 특정 사용자에만 설정을 적용하는 GPO도 만들지 말아야 합니다. 이런 복잡성으로 인해 그룹 정책이 원래 해야 할 역할과 실제로 하는 역할을 이해하기가 더 어려워지기 때문입니다.
GPO는 사이트, 도메인 또는 조직 단위(Organizational Unit) 같은 AD 컨테이너에 연결되기 전까지는 아무런 역할도 하지 않으므로 GPO의 영향을 알기 위해서는 GPO가 어디에 연결되어 있는지 확인해야 합니다.
그룹 정책 검토는 한 번 하고 끝나는 작업이 아닙니다. 정기적으로, 조직 IT 생태계에 중대한 변화가 있을 때마다 GPO를 면밀하게 검토해야 합니다. 그리고 정확히 누가 GPO를 만들고 수정하고 삭제할 수 있는지도 알아내야 합니다. 도메인 관리자 및 엔터프라이즈 관리자 그룹의 모든 멤버에게 이런 작업을 수행할 권한이 있지만, 대부분 조직은 GPO 관리를 서버팀 또는 데스크톱팀과 같은 다른 관리자에게 위임합니다. 이 같은 모든 계정은 1부의 3번째 권장 사항에 설명된 대로 면밀히 관리하고 추적해야 합니다.
마지막으로, 그룹 정책을 체계적으로 유지하고 AD를 보호하려면 모든 변경의 승인과 정확성 보장에 도움이 되는 승인 기반 그룹 정책 워크플로우를 구축해야 합니다. 부적절하거나 승인되지 않은 변경을 신속하게 찾아 되돌릴 방법도 마련해야 합니다. 이상적인 방법은 가장 중요한 GPO에 대한 모든 변경을 차단하는 것입니다.
8. 견고한 AD 백업 및 복구 전략을 구축하기
세분화된 복구
AD를 보호하기 위해 아무리 많은 조치를 취해도 문제는 필연적으로 발생합니다. 성급한 관리자가 실수로 중요한 사용자 계정을 수정하거나 삭제해서 긴급한 비즈니스 작업이 중단될 수 있습니다. 또는 공격자가 네트워크에 침입해서 중요한 GPO를 변경하거나 자신을 도메인 관리자 그룹에 추가해서 보안을 위험에 빠트릴 수도 있습니다. 따라서 특정 개체와 특성을 세분화해서 신속하고 효율적으로 복원할 수 있는 역량을 갖추어야 합니다.
네이티브 툴도 도움 될 수 있지만, 완전한 솔루션은 아닙니다. AD 휴지통은 일부 삭제된 AD 개체를 신속하게 복원하기 위한 쉽고 빠른 방법을 제공합니다. 그러나 포괄적인 AD 복구 전략으로 설계된 기능은 아닙니다. 예를 들어, 중요한 고객 회의가 열리기 직전인데 CEO의 사용자 계정이 삭제가 아닌 변경된 상황에서는 휴지통이 시간에 맞춰 계정을 복원하는 데 도움이 되지 않습니다. 계정이 삭제되고 30일이 지난 경우에도 문제가 됩니다. 직원이 휴가에서 복귀해서 계정을 처음부터 새로 구축하고 그사이 지연에 따르는 피해를 감수할 수밖에 없습니다. 따라서 AD를 보호하고 비즈니스 연속성을 보장하려면 빠른 세분화된 복구를 지원하는 서드파티 솔루션이 필요합니다.
재해 복구
로그인을 하지 못해 화가 난 CEO의 전화도 부담스럽지만, 그보다 훨씬 나쁜 상황도 있습니다. 예를 들어, 일반적인 비즈니스 애플리케이션에 숨은 맬웨어는 전체 네트워크를 몇 분 만에 다운시킬 수 있습니다. 이는 악명높은 낫페트야(NotPetya) 공격을 받은 통합 물류 기업 머스크(Maersk)에서 실제로 일어난 일입니다. 또는 과로에 지친 사용자가 보안 인식 교육에서 배운 내용을 잊고 피싱 이메일의 첨부 파일을 클릭해 랜섬웨어가 순식간에 도메인 컨트롤러(Domain Controller, DC)를 암호화하는 상황이 발생할 수도 있습니다. 자연재해 또는 성급한 관리자의 치명적 실수에 의해서도 AD 포리스트 전체가 다운될 수 있습니다.
AD는 인증과 권한 부여에서 중요한 역할을 합니다. AD가 작동 불능 상태에 빠지면 비즈니스도 똑같이 작동 불능이 됩니다. 이로 인한 비용은 엄청나게 불어날 수 있습니다. 엔터프라이즈의 40%는 다운타임 1시간당 100만~500만 달러 이상의 비용이 발생한다고 말합니다. 최악의 경우 분당 수백만 달러의 손실이 발생할 수도 있습니다.
효과적인 AD 재해 복구 전략은 어떤 전략일까요? 수동 복구도 가능은 하지만 너무 느려서 실용성이 없습니다. 실제로 마이크로소프트의 AD 복구 절차에는 복구하려는 각 DC에서 순서에 따라 수행해야 하는 단계가 40개 이상이며, 이 프로세스를 포리스트 전반에 걸쳐 조율해야 합니다. 또한 많은 단계가 AD 관리자에게 익숙하지 않은 작업입니다. 단조롭고 명령줄에서 해야 하는 경우가 많아 실수가 발생할 가능성이 큰데, 실수가 발생하면 처음부터 다시 작업을 시작해야 합니다.
따라서 포괄적인 AD 재해 복구 솔루션은 매우 큰 가치를 발휘합니다. 단순히 개별 DC를 복구할 뿐 아니라 여러 DC에 걸쳐 구성 작업을 조율하여 복구 이후 AD가 올바르게 동작하도록 보장하는 데 이르기까지 복구 프로세스를 최대한 자동화해야 합니다.
또한 솔루션은 다양한 백업 옵션을 제공해야 합니다. AD 관련 구성요소만 포함하는 백업 기능을 제공하는 솔루션이 좋습니다. 네이티브 시스템 상태 또는 BMR(Bare Metal Recovery) 백업의 다른 많은 구성요소를 제외하면 복구 프로세스 이후 맬웨어에 의한 재감염 위험을 크게 낮춰 AD를 안전하게 보호할 수 있습니다. 또한 하이브리드 AD 환경에서는 마이크로소프트 365 라이선스, 애플리케이션 역할 할당, 오피스 365 및 애저 그룹, 애저 AD MFA(Multi-Factor Authentication) 설정, 조건부 액세스 정책과 같은 클라우드 전용 개체 및 속성에 대한 백업 전략도 필요합니다.
또한 단계별 복구, 깨끗한 OS로의 복원, BMR 등 상황에 맞는 최선의 방법을 선택할 수 있도록 복구 옵션이 유연한지도 확인해야 합니다. 물리적 시스템, 온프레미스 가상 머신 또는 클라우드에 호스팅되는 VM을 불문하고 어떤 시스템에서나 깨끗한 OS로 복원할 수 있는지 확인하십시오. AD를 한층 더 안전하게 보호하려면 복구된 DC에 감염된 파일이 다시 유입될 위험을 최소화하는 자동 맬웨어 탐지 기능이 있는 솔루션을 선택해야 합니다.
결론
이 포스팅에서 소개한 권장 사항을 따르면 AD를 안전하게 보호하는 데 도움이 될 것입니다. 단, 보안은 지속적인 과정임을 기억하십시오. 의심스러운 활동을 적극적으로 감사하는 것 외에 보안 그룹의 멤버십을 정기적으로 검토하고 사용되지 않거나 비활성 상태인 계정을 정리하고 최신 패치와 적절한 구성을 유지하고 환경의 공격 경로를 파악해 교정해야 합니다. AD 보호를 더욱 강화하고자 한다면 제로 트러스트 모델 구현을 고려하십시오.
효율적이고 포괄적인 AD 관리 및 백업, 재해 복구에 어려움을 겪고 계시거나 궁금한 점이 있으시면 퀘스트소프트웨어 코리아로 언제든 문의 주시기 바랍니다.
액티브 디렉토리 환경을 보호하는 8가지 방법 – 2부
액티브 디렉토리(Active Directory, AD) 보호 조치를 취하는 것은 과거 어느 때보다 중요해졌습니다. AD는 사용자의 네트워크 접근 권한을 감독하는 역할을 합니다. 적절한 통제 수단을 구현하지 않으면 큰 피해를 유발하는 침해와 장기간 다운타임의 위험이 급격히 높아집니다.
폭넓은 AD 보안을 구현하는 데 도움이 되는 8가지 권장 사항이 있습니다. 1부에서 살펴본 4가지는 ▲IT 환경을 정리하고 깨끗하게 유지하기 ▲최소 권한 원칙 강제하기 ▲권한이 높은 계정에 특히 주의하기 ▲공격 경로 관리 및 공격 경로 모니터링 구현하기 등입니다. 나머지 4가지는 무엇일까요?
5. 여러 소스에서 감사 데이터를 수집해 통합하기
1부에서 설명한 전략을 사용하면 공격 표면을 비약적으로 줄여 AD 보호를 강화할 수 있습니다. 그러나 최선의 방어 전략이라고 해도 공격자의 네트워크 침투, 또는 내부자의 의도적인 특권 오남용이나 다운타임 또는 데이터 손실로 이어지는 심각한 실수를 완벽하게 차단할 수는 없습니다.
따라서 IT 환경 전반의 활동에 관한 포괄적인 감사 데이터도 수집해야 합니다. 마이크로소프트 로그에는 유용한 정보가 많이 포함돼 있지만 AD를 보호하기에는 부족합니다. 시스템이 제공하는 로그에는 포착되지 않는 중요한 감사 정보도 수집해야 합니다. 예를 들어, 네이티브 로그는 대부분 변경이 발생했다는 사실은 기록하지만 누가/언제/무엇을 변경했는지에 관한 정보와 사용된 워크스테이션에 관한 세부 정보, 변경 전과 후의 값 등은 기록하지 않습니다.
게다가 이벤트의 모든 단계에 걸쳐 위협을 신속하고 정확하게 포착하고 철저한 포렌식 분석에 필요한 컨텍스트를 제공하려면 이 모든 데이터를 통합하고 정규화해야 합니다. 온프레미스와 클라우드에서 여러 사용자와 리소스에 걸쳐 모든 관련 활동에 관한 명확한 360도 시야를 갖추기 위해서는 시스템이 제공하는 로그의 수수께끼 같은 데이터를 간소하고 정규화된 형식으로 변환해서 부가적인 감사 정보와 결합해야 합니다.
기본 툴의 감사 공백에 대한 포스팅은 ‘애저 AD와 오피스 365 감사 기능의 원리와 기본 툴의 한계’를 참고하십시오.
6. 의심스러운 활동을 즉각 찾아서 조사하기
감사 데이터 수집/통합/정규화의 목적은 적시에 위협을 발견해서 조치를 취해 조직에 입히는 피해를 차단하거나 최소화하는 데 있습니다. 위에 언급한 다른 권장 사항과 마찬가지로 이를 위해 자동화가 필수적입니다. 아주 작은 AD 환경이라 해도 매우 많은 활동이 일어나므로 수작업으로 위협을 파악하는 방법은 효과적이지 않습니다. 따라서 AD를 보호하도록 설계된 AD 감사 솔루션이 필요합니다.
특히 눈여겨봐야 할 의심스러운 활동 유형 중은 특권 승격 시도입니다. 공격자가 승격된 권한을 획득하는 일반적인 방법은 관리자 그룹의 멤버가 되는 것입니다. 가장 권한이 큰 그룹은 엔터프라이즈 관리자(Enterprise Admins), 스키마 관리자(Schema Admins), 도메인 관리자(Domain Admins)입니다. 그러나 관리자(Administrators), 백업 운영자(Backup Operators), 고급 사용자(Power Users), 하이퍼V 관리자(Hyper-V Administrators)와 같은 로컬 윈도우 시스템 수준의 그룹에도 주의를 기울여야 합니다. 공격자는 특권 그룹을 직접 변경하는 방법(네이티브 보안 로그에서 추적 가능)뿐 아니라 중첩된 그룹에 자신을 멤버로 추가하는 방법(윈도우 서버에 기록되지 않는 활동)으로도 권한을 승격시킵니다. 최소한 이런 그룹에 대한 멤버십 변경이 발생하는 경우 실시간 알림을 받도록 해야 합니다. 이상적인 방법은 애초에 누구도 변경하지 못하도록 차단하는 솔루션을 도입하는 것입니다.
특권 승격 외에 살펴야 할 의심스러운 활동은 다음과 같습니다.
정상 업무 시간이 끝난 후 민감한 서버로의 비정상적인 로그인
계정 잠김, 여러 번의 실패 후 성공한 로그인
새 AD 계정 생성
강력하거나 민감한 계정의 암호 변경
한 사용자에게 직접적으로 관리 권한 부여
수명이 긴 커버로스(Kerberos) 티켓 사용
과도한 LDAP(Lightweight Directory Access Protocol) 쿼리
암호 해시가 저장된 NTDS.dit 파일의 복사본을 획득하려는 시도
레지스트리 설정 변경
위협을 발견할 때는 항상 신속하게 조사하고 적절히 대응할 준비가 되어 있어야 합니다. 침해의 진원지가 어디인지, 어떻게 전개되었는지, 정확히 어느 시스템과 데이터가 관련되었는지 신속하게 파악할 수 있어야 합니다. 그렇게 해야 개인에게 행동에 대한 책임을 묻고 향후 비슷한 사고를 예방하기 위한 조치를 취해 AD를 더 견고하게 보호할 수 있습니다.
7. 그룹 정책에 각별한 주의 기울이기
AD를 보호하는 방법을 이야기하면서 지금까지 그룹 정책에 관한 내용이 나오지 않은 점을 의아하게 여기실 수 있습니다. 물론 위의 설명에 포함할 수도 있었지만, 그룹 정책은 매우 강력한 기능인만큼 전체 섹션을 따로 할애하는 것이 더 낫다고 판단했습니다.
그룹 정책은 AD의 필수적인 부분으로, IT 관리자가 도메인 전체의 사용자와 컴퓨터를 중앙에서 관리할 수 있도록 해줍니다. 예를 들어, IT 관리자는 그룹 정책 개체(Group Policy Objects, GPO)를 사용해 강력한 암호 정책을 의무화하고 분실할 수 있는 미디어 드라이브 사용을 금지하고 소프트웨어를 배포하고 약한 인증 프로토콜을 비활성화하고 컴퓨터 시작 또는 종료 시 특정 스크립트를 실행할 수 있습니다. 사실 AD 보호에 사용할 수 있는 설정은 수천 가지에 이릅니다.
이처럼 강력한 그룹 정책은 생산성을 높이고 보안을 강화하는 유용한 툴인 동시에 해커들의 주요 공격 대상이기도 합니다. 해커는 GPO를 악용해 가치 있는 데이터를 훔치고 맬웨어를 배포하고 이후 활동의 흔적을 없앱니다. 예를 들어, GPO의 한 부분을 변경하는 것만으로도 사용자가 시스템에 USB 드라이브를 삽입하도록 허용해서 랜섬웨어를 침투시킬 수 있습니다.
AD는 모든 사용자가 현재의 정책과 그 정책이 어디에 적용되며, 누구에게 액세스 권한이 있는지 볼 수 있도록 만들어졌다는 면에서 본질적으로 취약합니다. 또한 IT팀은 관리를 간소화하기 위해 GPO에 알아보기 쉬운 이름을 할당하는 경우가 많은데, 이는 공격을 노리는 해커에게는 선물과도 같습니다.
물론 위험을 낮추기 위한 검증된 전략도 있습니다. 효과적인 그룹 정책 관리의 시작은 GPO에 대한 면밀한 검토입니다. GPO가 명확하고 체계적으로 구성돼 있는지 확인하십시오. 특히 중복되거나 충돌하는 설정을 적극적으로 찾아서 정리해야 합니다. 또 특정 사용자에게 일회성 권한을 직접 할당하는 것을 피해야 하듯이, 특정 컴퓨터의 특정 사용자에만 설정을 적용하는 GPO도 만들지 말아야 합니다. 이런 복잡성으로 인해 그룹 정책이 원래 해야 할 역할과 실제로 하는 역할을 이해하기가 더 어려워지기 때문입니다.
GPO는 사이트, 도메인 또는 조직 단위(Organizational Unit) 같은 AD 컨테이너에 연결되기 전까지는 아무런 역할도 하지 않으므로 GPO의 영향을 알기 위해서는 GPO가 어디에 연결되어 있는지 확인해야 합니다.
그룹 정책 검토는 한 번 하고 끝나는 작업이 아닙니다. 정기적으로, 조직 IT 생태계에 중대한 변화가 있을 때마다 GPO를 면밀하게 검토해야 합니다. 그리고 정확히 누가 GPO를 만들고 수정하고 삭제할 수 있는지도 알아내야 합니다. 도메인 관리자 및 엔터프라이즈 관리자 그룹의 모든 멤버에게 이런 작업을 수행할 권한이 있지만, 대부분 조직은 GPO 관리를 서버팀 또는 데스크톱팀과 같은 다른 관리자에게 위임합니다. 이 같은 모든 계정은 1부의 3번째 권장 사항에 설명된 대로 면밀히 관리하고 추적해야 합니다.
마지막으로, 그룹 정책을 체계적으로 유지하고 AD를 보호하려면 모든 변경의 승인과 정확성 보장에 도움이 되는 승인 기반 그룹 정책 워크플로우를 구축해야 합니다. 부적절하거나 승인되지 않은 변경을 신속하게 찾아 되돌릴 방법도 마련해야 합니다. 이상적인 방법은 가장 중요한 GPO에 대한 모든 변경을 차단하는 것입니다.
8. 견고한 AD 백업 및 복구 전략을 구축하기
세분화된 복구
AD를 보호하기 위해 아무리 많은 조치를 취해도 문제는 필연적으로 발생합니다. 성급한 관리자가 실수로 중요한 사용자 계정을 수정하거나 삭제해서 긴급한 비즈니스 작업이 중단될 수 있습니다. 또는 공격자가 네트워크에 침입해서 중요한 GPO를 변경하거나 자신을 도메인 관리자 그룹에 추가해서 보안을 위험에 빠트릴 수도 있습니다. 따라서 특정 개체와 특성을 세분화해서 신속하고 효율적으로 복원할 수 있는 역량을 갖추어야 합니다.
네이티브 툴도 도움 될 수 있지만, 완전한 솔루션은 아닙니다. AD 휴지통은 일부 삭제된 AD 개체를 신속하게 복원하기 위한 쉽고 빠른 방법을 제공합니다. 그러나 포괄적인 AD 복구 전략으로 설계된 기능은 아닙니다. 예를 들어, 중요한 고객 회의가 열리기 직전인데 CEO의 사용자 계정이 삭제가 아닌 변경된 상황에서는 휴지통이 시간에 맞춰 계정을 복원하는 데 도움이 되지 않습니다. 계정이 삭제되고 30일이 지난 경우에도 문제가 됩니다. 직원이 휴가에서 복귀해서 계정을 처음부터 새로 구축하고 그사이 지연에 따르는 피해를 감수할 수밖에 없습니다. 따라서 AD를 보호하고 비즈니스 연속성을 보장하려면 빠른 세분화된 복구를 지원하는 서드파티 솔루션이 필요합니다.
재해 복구
로그인을 하지 못해 화가 난 CEO의 전화도 부담스럽지만, 그보다 훨씬 나쁜 상황도 있습니다. 예를 들어, 일반적인 비즈니스 애플리케이션에 숨은 맬웨어는 전체 네트워크를 몇 분 만에 다운시킬 수 있습니다. 이는 악명높은 낫페트야(NotPetya) 공격을 받은 통합 물류 기업 머스크(Maersk)에서 실제로 일어난 일입니다. 또는 과로에 지친 사용자가 보안 인식 교육에서 배운 내용을 잊고 피싱 이메일의 첨부 파일을 클릭해 랜섬웨어가 순식간에 도메인 컨트롤러(Domain Controller, DC)를 암호화하는 상황이 발생할 수도 있습니다. 자연재해 또는 성급한 관리자의 치명적 실수에 의해서도 AD 포리스트 전체가 다운될 수 있습니다.
AD는 인증과 권한 부여에서 중요한 역할을 합니다. AD가 작동 불능 상태에 빠지면 비즈니스도 똑같이 작동 불능이 됩니다. 이로 인한 비용은 엄청나게 불어날 수 있습니다. 엔터프라이즈의 40%는 다운타임 1시간당 100만~500만 달러 이상의 비용이 발생한다고 말합니다. 최악의 경우 분당 수백만 달러의 손실이 발생할 수도 있습니다.
효과적인 AD 재해 복구 전략은 어떤 전략일까요? 수동 복구도 가능은 하지만 너무 느려서 실용성이 없습니다. 실제로 마이크로소프트의 AD 복구 절차에는 복구하려는 각 DC에서 순서에 따라 수행해야 하는 단계가 40개 이상이며, 이 프로세스를 포리스트 전반에 걸쳐 조율해야 합니다. 또한 많은 단계가 AD 관리자에게 익숙하지 않은 작업입니다. 단조롭고 명령줄에서 해야 하는 경우가 많아 실수가 발생할 가능성이 큰데, 실수가 발생하면 처음부터 다시 작업을 시작해야 합니다.
따라서 포괄적인 AD 재해 복구 솔루션은 매우 큰 가치를 발휘합니다. 단순히 개별 DC를 복구할 뿐 아니라 여러 DC에 걸쳐 구성 작업을 조율하여 복구 이후 AD가 올바르게 동작하도록 보장하는 데 이르기까지 복구 프로세스를 최대한 자동화해야 합니다.
또한 솔루션은 다양한 백업 옵션을 제공해야 합니다. AD 관련 구성요소만 포함하는 백업 기능을 제공하는 솔루션이 좋습니다. 네이티브 시스템 상태 또는 BMR(Bare Metal Recovery) 백업의 다른 많은 구성요소를 제외하면 복구 프로세스 이후 맬웨어에 의한 재감염 위험을 크게 낮춰 AD를 안전하게 보호할 수 있습니다. 또한 하이브리드 AD 환경에서는 마이크로소프트 365 라이선스, 애플리케이션 역할 할당, 오피스 365 및 애저 그룹, 애저 AD MFA(Multi-Factor Authentication) 설정, 조건부 액세스 정책과 같은 클라우드 전용 개체 및 속성에 대한 백업 전략도 필요합니다.
또한 단계별 복구, 깨끗한 OS로의 복원, BMR 등 상황에 맞는 최선의 방법을 선택할 수 있도록 복구 옵션이 유연한지도 확인해야 합니다. 물리적 시스템, 온프레미스 가상 머신 또는 클라우드에 호스팅되는 VM을 불문하고 어떤 시스템에서나 깨끗한 OS로 복원할 수 있는지 확인하십시오. AD를 한층 더 안전하게 보호하려면 복구된 DC에 감염된 파일이 다시 유입될 위험을 최소화하는 자동 맬웨어 탐지 기능이 있는 솔루션을 선택해야 합니다.
결론
이 포스팅에서 소개한 권장 사항을 따르면 AD를 안전하게 보호하는 데 도움이 될 것입니다. 단, 보안은 지속적인 과정임을 기억하십시오. 의심스러운 활동을 적극적으로 감사하는 것 외에 보안 그룹의 멤버십을 정기적으로 검토하고 사용되지 않거나 비활성 상태인 계정을 정리하고 최신 패치와 적절한 구성을 유지하고 환경의 공격 경로를 파악해 교정해야 합니다. AD 보호를 더욱 강화하고자 한다면 제로 트러스트 모델 구현을 고려하십시오.
효율적이고 포괄적인 AD 관리 및 백업, 재해 복구에 어려움을 겪고 계시거나 궁금한 점이 있으시면 퀘스트소프트웨어 코리아로 언제든 문의 주시기 바랍니다.