Active Directory(AD)는 처음 등장한 시점부터 해커의 주 표적이었습니다. 워낙 광범위하게 사용되고 거의 모든 부분에 연결되어 있어 대부분 기업에서 사실상 표준 인증 방법으로 사용합니다. 그러나 유연성이 뛰어나고 배포가 용이한 만큼 공격 위험도 함께 따라옵니다. 공격자가 AD에 대해 관리자 수준의 액세스 권한을 얻게 되면 AD에 연결된 시스템을 간단히 이동하면서 시스템 전반의 무수히 많은 비즈니스 크리티컬 데이터를 얻을 수 있습니다. 랜섬웨어를 배포하기도 매우 쉬워집니다. 이런 이유로 기업은 특권 액세스를 적시(Just-In-Time, JIT)에만 부여하는 솔루션이 필요합니다.
위험 파악하기
일반적으로 기업에는 도메인, 엔터프라이즈, 스키마 관리자 등 AD에 대한 지속적인 액세스 권한을 부여하는 특수한 계정을 가진 소수의 신뢰받는 관리자가 있습니다. 이 같은 특권 프로필은 최상위 수준의 관리 권한을 제공하지만, 취약성도 매우 큽니다. 공격자가 특권 프로필에 대한 액세스 권한을 획득하게 되면 기업 전체를 장악할 수 있습니다.
침해를 차단하기 위해서는 침해의 근본 원인을 파악하는 것이 중요합니다. 랜섬웨어 공격은 AD의 영구 특권 계정을 악용해 기업 전체를 침해할 수 있습니다. JIT 액세스의 목표는 이 같은 공격자의 표적을 제거하는 것입니다. JIT 액세스는 승인되지 않은 동작이 기업에 해를 입히기 전에 탐지하고 차단합니다.
원 아이덴티티(One Identity) 통합 ID 보안 플랫폼(Unified Identity Platform)에서 제공되는 JIT 프리빌리지(Just-In-Time Privilege)는 중요한 보안 문제를 해결하도록 설계된 솔루션으로, 필요할 때만 관리자에게 특권 액세스 권한을 부여합니다. 계정이 사용되지 않거나 로그아웃되면 계정을 비활성화하고 모든 특권 그룹에서 제거합니다. 또한 제로 트러스트 최소 권한 모델에 따라 암호를 바꾸고 안전하게 저장합니다. 이와 같은 방법으로 JIT 프리빌리지는 침해 또는 무단 액세스에서 계정을 보호합니다.
취약점 줄이기
원 아이덴티티 JIT 프리빌리지는 다음과 같은 여러 이점을 제공해 데이터 도난의 위험을 낮춥니다.
공격 벡터 제거
AD는 기업에서 간편한 사용자 경험을 제공하도록 만들어진 싱글사인온 솔루션이라고 할 수 있습니다. 그러나 다른 소프트웨어와 마찬가지로 AD 역시 저장된 데이터를 보호하기 위해 적절하고 안전하게 사용해야 합니다. AD를 사용할 때 유의해야 할 점은 다음과 같습니다.
AD에서 인증된 모든 사용자는 기본적으로 거의 모든 것을 볼 수 있습니다. 즉, AD에서 할당된 특권이 없는 표준 사용자도 어느 계정이 특권 계정인지 확인할 수 있습니다. 공격에서 이것은 이른바 ‘열거(enumeration)’ 단계에 속합니다. 이 단계에서 공격자는 어느 계정이 기업을 장악할 수 있는지 알아냅니다.
모든 것을 소유한 그룹 또는 그런 그룹과 중첩된 그룹에 속한 특권 계정(즉 도메인 관리자, 엔터프라이즈 관리자, 스키마 관리자)이 극히 취약하며, 모든 AD 공격의 주요 표적입니다.
JIT 프리빌리지는 계정이 사용되지 않을 때 계정에서 승격된 특권을 제거합니다. 공격자가 핵심 엔터프라이즈 그룹을 열거할 때 JIT 특권으로 관리되는 계정은 특권 계정으로 표시되지 않습니다.
특권 사용 간소화 및 추적
관리자는 특권 계정 외에 표준 사용자 계정도 보유합니다. 일상적인 업무에는 일반 계정을, 관리 작업에는 특권 계정을 사용해야 합니다. 그러나 당면한 작업에 높은 수준의 권한이 필요하지 않아도 대부분 관리자는 특권 계정을 사용합니다. 감사 정책에 따라 상황이 다를 수 있고 이벤트가 로깅될 수도 있지만, 제대로 된 통제와 감사가 이뤄지는 경우는 거의 없습니다. 관리자는 모든 것에 대한 무제한 액세스 권한을 갖는 데 익숙합니다. 그 계정은 오직 자신만 사용하며, 침해되지 않았다고 확신합니다.
관리자가 새로 AD에 연결된 시스템에 로그인하면 자격 증명이 로컬에 캐시되고 저장됩니다. 공격자는 이런 흔적, 즉 해시를 마이닝하고 사용해서 계정에 다시 로그인하는 방식으로 이런 취약점을 이용할 수 있습니다(MFA가 필요한 경우에도 마찬가지). JIT 프리빌리지를 사용하면 계정이 다시 로그인될 때 암호가 즉각 바뀌므로 이와 같은 흔적은 쓸모가 없어집니다. 흔적 자체는 그대로 남아 있지만, 공격자에게 아무런 효용성이 없습니다.
JIT 프리빌리지는 계정을 사용할 수 없도록 할 뿐만 아니라 다음과 같은 기능도 제공합니다.
관리자는 더 이상 자신의 부재중에 특권 계정이 사용되었는지 여부에 대해 신경 쓰거나 걱정을 할 필요가 없습니다.
안전하고 간단한 프로세스로 시간 절약
IT 관리자는 JIT 프리빌리지를 사용해 관리자 액세스 및 특권 자격 부여를 자동화할 수 있습니다. IT팀은 손쉽게 워크플로우를 승인하고 특권 계정 사용을 검토할 수 있으므로 특권을 모니터링하고 부여하는 프로세스가 간소화됩니다. 일상적으로 특권 계정 액세스가 필요한 관리자는 보안 부서 또는 경영진의 워크플로우 승인 없이 자격 증명을 체크아웃할 수 있습니다. 자동화는 액세스를 간소화, 능률화하므로 솔루션의 안정성이 높아지고 완전한 감사가 이뤄지게 됩니다.
보안 정책과 베스트 프랙티스 준수
AD를 중심으로 하는 대규모 기업은 특권 그룹을 자주 감사합니다. 이때 누가 이런 그룹의 계정을 소유하는지 파악하고 그룹 멤버십을 최소한으로 유지해 취약점을 줄이는 것이 중요합니다. JIT 프리빌리지는 특권이 사용 중일 때만 특권 그룹 멤버십을 적용합니다. 감사자는 “누가 특권 그룹에 있는가?”에서 “누가 AD에서 특권 액세스 권한을 가졌는가?”로 질문을 바꿔야 합니다. 더 강력한 보안을 위한 간단한 변화입니다. 이런 변화를 통해 감사자는 특권 AD 계정에 대한 액세스 권한을 가진 사람이 누구인지 알 수 있을 뿐 아니라 장기간에 걸쳐 이런 특권을 사용한 사람이 누구인지도 알 수 있습니다. 이를 통해 불필요한 특권 액세스를 더 철저히 제거할 수 있습니다.
요약
엔터프라이즈를 보호할 방법을 고려할 때는 AD 특권이라는 명확한 문제를 짚고 넘어가는 것이 중요합니다.
취약한 ID와 프로세스를 보호할 방법을 찾는 것은 애초에 취약성을 없애는 것보다 더 세밀함을 요구하는 작업일 수 있습니다. 원 아이덴티티의 JIT 프리빌리지는 현재 특권을 사용하지 않는 멤버를 제거함으로써 AD의 중요한 엔터프라이즈 그룹을 보호하도록 설계되었습니다. 계정이 사용되지 않을 때는 계정을 비활성화하고, 관리자와 감사자에게 필요할 때 필요한 부분에 대해서만 간단한 액세스 권한을 부여하는 방식으로 AD 자격 증명 악용을 거의 없애 줍니다.
퀘스트의 보안 사업부 원 아이덴티티는 규모와 관계없이 모든 기업이 통합 ID 보안 솔루션으로 시스템과 데이터를 보호하도록 지원합니다. 원 아이덴티티의 JIT 프리빌리지는 액티브 롤의 강력한 AD 관리 기능과 세이프가드(Safeguard)의 탁월한 암호 관리 기능을 결합해 특권 계정에 대한 사이버 공격 위험을 대폭 낮춥니다.
JIT 프리빌리지는 고객이 전체적인 사이버 보안 태세를 강화하고 비즈니스에 필수적인 사람과 애플리케이션, 데이터를 보호할 수 있게 해주는 통합 ID 플랫폼의 일부입니다. 통합 ID 플랫폼은 ID 거버넌스 및 관리(Identity Governance and Administration, IGA), 액세스 관리(Access Management, AM), 특권 액세스 관리(Privileged Access Management, PAM), AD 관리를 위한 동종 최고의 기능을 종합해 ID 보안에 대한 단편화된 접근 방식을 전체적인 접근 방식으로 전환하도록 지원합니다.
AD 및 ID 관리에 어려움을 겪고 계시거나 관련 솔루션에 대해 궁금한 점이 있으시면 퀘스트소프트웨어 코리아로 언제든 문의주시기 바랍니다.
Active Directory(AD)는 처음 등장한 시점부터 해커의 주 표적이었습니다. 워낙 광범위하게 사용되고 거의 모든 부분에 연결되어 있어 대부분 기업에서 사실상 표준 인증 방법으로 사용합니다. 그러나 유연성이 뛰어나고 배포가 용이한 만큼 공격 위험도 함께 따라옵니다. 공격자가 AD에 대해 관리자 수준의 액세스 권한을 얻게 되면 AD에 연결된 시스템을 간단히 이동하면서 시스템 전반의 무수히 많은 비즈니스 크리티컬 데이터를 얻을 수 있습니다. 랜섬웨어를 배포하기도 매우 쉬워집니다. 이런 이유로 기업은 특권 액세스를 적시(Just-In-Time, JIT)에만 부여하는 솔루션이 필요합니다.
위험 파악하기
일반적으로 기업에는 도메인, 엔터프라이즈, 스키마 관리자 등 AD에 대한 지속적인 액세스 권한을 부여하는 특수한 계정을 가진 소수의 신뢰받는 관리자가 있습니다. 이 같은 특권 프로필은 최상위 수준의 관리 권한을 제공하지만, 취약성도 매우 큽니다. 공격자가 특권 프로필에 대한 액세스 권한을 획득하게 되면 기업 전체를 장악할 수 있습니다.
침해를 차단하기 위해서는 침해의 근본 원인을 파악하는 것이 중요합니다. 랜섬웨어 공격은 AD의 영구 특권 계정을 악용해 기업 전체를 침해할 수 있습니다. JIT 액세스의 목표는 이 같은 공격자의 표적을 제거하는 것입니다. JIT 액세스는 승인되지 않은 동작이 기업에 해를 입히기 전에 탐지하고 차단합니다.
원 아이덴티티(One Identity) 통합 ID 보안 플랫폼(Unified Identity Platform)에서 제공되는 JIT 프리빌리지(Just-In-Time Privilege)는 중요한 보안 문제를 해결하도록 설계된 솔루션으로, 필요할 때만 관리자에게 특권 액세스 권한을 부여합니다. 계정이 사용되지 않거나 로그아웃되면 계정을 비활성화하고 모든 특권 그룹에서 제거합니다. 또한 제로 트러스트 최소 권한 모델에 따라 암호를 바꾸고 안전하게 저장합니다. 이와 같은 방법으로 JIT 프리빌리지는 침해 또는 무단 액세스에서 계정을 보호합니다.
취약점 줄이기
원 아이덴티티 JIT 프리빌리지는 다음과 같은 여러 이점을 제공해 데이터 도난의 위험을 낮춥니다.
공격 벡터 제거
AD는 기업에서 간편한 사용자 경험을 제공하도록 만들어진 싱글사인온 솔루션이라고 할 수 있습니다. 그러나 다른 소프트웨어와 마찬가지로 AD 역시 저장된 데이터를 보호하기 위해 적절하고 안전하게 사용해야 합니다. AD를 사용할 때 유의해야 할 점은 다음과 같습니다.
AD에서 인증된 모든 사용자는 기본적으로 거의 모든 것을 볼 수 있습니다. 즉, AD에서 할당된 특권이 없는 표준 사용자도 어느 계정이 특권 계정인지 확인할 수 있습니다. 공격에서 이것은 이른바 ‘열거(enumeration)’ 단계에 속합니다. 이 단계에서 공격자는 어느 계정이 기업을 장악할 수 있는지 알아냅니다.
모든 것을 소유한 그룹 또는 그런 그룹과 중첩된 그룹에 속한 특권 계정(즉 도메인 관리자, 엔터프라이즈 관리자, 스키마 관리자)이 극히 취약하며, 모든 AD 공격의 주요 표적입니다.
JIT 프리빌리지는 계정이 사용되지 않을 때 계정에서 승격된 특권을 제거합니다. 공격자가 핵심 엔터프라이즈 그룹을 열거할 때 JIT 특권으로 관리되는 계정은 특권 계정으로 표시되지 않습니다.
특권 사용 간소화 및 추적
관리자는 특권 계정 외에 표준 사용자 계정도 보유합니다. 일상적인 업무에는 일반 계정을, 관리 작업에는 특권 계정을 사용해야 합니다. 그러나 당면한 작업에 높은 수준의 권한이 필요하지 않아도 대부분 관리자는 특권 계정을 사용합니다. 감사 정책에 따라 상황이 다를 수 있고 이벤트가 로깅될 수도 있지만, 제대로 된 통제와 감사가 이뤄지는 경우는 거의 없습니다. 관리자는 모든 것에 대한 무제한 액세스 권한을 갖는 데 익숙합니다. 그 계정은 오직 자신만 사용하며, 침해되지 않았다고 확신합니다.
관리자가 새로 AD에 연결된 시스템에 로그인하면 자격 증명이 로컬에 캐시되고 저장됩니다. 공격자는 이런 흔적, 즉 해시를 마이닝하고 사용해서 계정에 다시 로그인하는 방식으로 이런 취약점을 이용할 수 있습니다(MFA가 필요한 경우에도 마찬가지). JIT 프리빌리지를 사용하면 계정이 다시 로그인될 때 암호가 즉각 바뀌므로 이와 같은 흔적은 쓸모가 없어집니다. 흔적 자체는 그대로 남아 있지만, 공격자에게 아무런 효용성이 없습니다.
JIT 프리빌리지는 계정을 사용할 수 없도록 할 뿐만 아니라 다음과 같은 기능도 제공합니다.
워크플로우 프로세스를 통한 계정 사용 승인
계정에 로그인한 사용자, 사용 시간, 사용 이유에 관한 종합적인 기록
계정에서 로그아웃한 시간 정보
관리자는 더 이상 자신의 부재중에 특권 계정이 사용되었는지 여부에 대해 신경 쓰거나 걱정을 할 필요가 없습니다.
안전하고 간단한 프로세스로 시간 절약
IT 관리자는 JIT 프리빌리지를 사용해 관리자 액세스 및 특권 자격 부여를 자동화할 수 있습니다. IT팀은 손쉽게 워크플로우를 승인하고 특권 계정 사용을 검토할 수 있으므로 특권을 모니터링하고 부여하는 프로세스가 간소화됩니다. 일상적으로 특권 계정 액세스가 필요한 관리자는 보안 부서 또는 경영진의 워크플로우 승인 없이 자격 증명을 체크아웃할 수 있습니다. 자동화는 액세스를 간소화, 능률화하므로 솔루션의 안정성이 높아지고 완전한 감사가 이뤄지게 됩니다.
보안 정책과 베스트 프랙티스 준수
AD를 중심으로 하는 대규모 기업은 특권 그룹을 자주 감사합니다. 이때 누가 이런 그룹의 계정을 소유하는지 파악하고 그룹 멤버십을 최소한으로 유지해 취약점을 줄이는 것이 중요합니다. JIT 프리빌리지는 특권이 사용 중일 때만 특권 그룹 멤버십을 적용합니다. 감사자는 “누가 특권 그룹에 있는가?”에서 “누가 AD에서 특권 액세스 권한을 가졌는가?”로 질문을 바꿔야 합니다. 더 강력한 보안을 위한 간단한 변화입니다. 이런 변화를 통해 감사자는 특권 AD 계정에 대한 액세스 권한을 가진 사람이 누구인지 알 수 있을 뿐 아니라 장기간에 걸쳐 이런 특권을 사용한 사람이 누구인지도 알 수 있습니다. 이를 통해 불필요한 특권 액세스를 더 철저히 제거할 수 있습니다.
요약
엔터프라이즈를 보호할 방법을 고려할 때는 AD 특권이라는 명확한 문제를 짚고 넘어가는 것이 중요합니다.
취약한 ID와 프로세스를 보호할 방법을 찾는 것은 애초에 취약성을 없애는 것보다 더 세밀함을 요구하는 작업일 수 있습니다. 원 아이덴티티의 JIT 프리빌리지는 현재 특권을 사용하지 않는 멤버를 제거함으로써 AD의 중요한 엔터프라이즈 그룹을 보호하도록 설계되었습니다. 계정이 사용되지 않을 때는 계정을 비활성화하고, 관리자와 감사자에게 필요할 때 필요한 부분에 대해서만 간단한 액세스 권한을 부여하는 방식으로 AD 자격 증명 악용을 거의 없애 줍니다.
퀘스트의 보안 사업부 원 아이덴티티는 규모와 관계없이 모든 기업이 통합 ID 보안 솔루션으로 시스템과 데이터를 보호하도록 지원합니다. 원 아이덴티티의 JIT 프리빌리지는 액티브 롤의 강력한 AD 관리 기능과 세이프가드(Safeguard)의 탁월한 암호 관리 기능을 결합해 특권 계정에 대한 사이버 공격 위험을 대폭 낮춥니다.
JIT 프리빌리지는 고객이 전체적인 사이버 보안 태세를 강화하고 비즈니스에 필수적인 사람과 애플리케이션, 데이터를 보호할 수 있게 해주는 통합 ID 플랫폼의 일부입니다. 통합 ID 플랫폼은 ID 거버넌스 및 관리(Identity Governance and Administration, IGA), 액세스 관리(Access Management, AM), 특권 액세스 관리(Privileged Access Management, PAM), AD 관리를 위한 동종 최고의 기능을 종합해 ID 보안에 대한 단편화된 접근 방식을 전체적인 접근 방식으로 전환하도록 지원합니다.
AD 및 ID 관리에 어려움을 겪고 계시거나 관련 솔루션에 대해 궁금한 점이 있으시면 퀘스트소프트웨어 코리아로 언제든 문의주시기 바랍니다.