Quick Overview Active Directory(AD)는 비즈니스와 관련한 대부분 작업에 필수적인 인증 및 권한 부여 서비스를 제공하므로 사이버 공격에서 보호해야 할 핵심 요소입니다. 여기서는 최근 발생한 주요 AD 공격 사례를 분석하고 이를 통해 얻을 수 있는 교훈을 살펴봅니다. |
Active Directory(AD) 보안이 중요한 이유는 한 가지입니다. AD 자체가 중요하기 때문입니다. AD는 비즈니스 관련 작업 대부분에 필수적인 인증 및 권한 부여 서비스를 제공합니다. AD 보안에 취약점이 존재하면 악의적인 행위자가 민감 데이터를 암호화 또는 유출하거나 DC(Domain Controller)를 아예 지워서 비즈니스를 완전히 멈추게 할 수 있습니다.
AD 보안은 그동안 많이 다룬 주제지만, 오늘은 다른 각도에서 접근해 지난 몇 개월 사이 발생한 주요 AD 공격을 분석하고 거기서 얻을 수 있는 교훈에 대해 논의해 보려고 합니다. 이번 포스팅을 통해 AD 환경을 강화하는 구체적인 방법을 파악할 수 있기를 바랍니다.
AD 보안이 어느 때보다 중요한 이유
자세한 내용으로 들어가기 전에, AD 보안이 과거 어느 때보다 더 중요한 이유를 살펴보겠습니다. 필자는 최근 발생한 사이버 공격을 검토하면서 AD 보안과 관련성이 높은 몇 가지 중요한 추세를 발견했습니다.
마이크로소프트가 클라우드 보안에 투자를 이어 나가자 공격자는 온프레미스 환경을 노리기 시작했습니다.
마이크로소프트는 마이크로소프트 365 및 애저 AD(이제 엔트라 ID(Entra ID))에서 견고한 기본 보안을 구축하는 것이 얼마나 중요한지 인식하고 있습니다. 그에 따라 클라우드 생태계 보호에 도움이 되는 기술과 정책을 꾸준히 내놓고 있습니다. 예를 들어, 애저 AD MFA(Multi-factor Authentication)는 전화 통화, 문자 메시지, 모바일 앱 알림 또는 오스(OAuth) 토큰과 같은 보조 인증 방법을 요구함으로써 훔친 자격 증명을 쓸모없게 만듭니다. 또한 애저 역할 기반 액세스 제어(Role-based Access Control, RBAC)는 적절한 역할 할당을 통해 사용자에게 허용되는 액세스 수준을 세부적으로 제어할 수 있게 해줍니다.
그러나 클라우드 환경으로 들어가는 문을 굳게 잠근다고 해도 공격자는 쉽게 포기하지 않습니다. 이들은 네트워크 내부로 침투할 다른 길을 찾는데, 대부분은 온프레미스 환경에 대한 공격을 의미합니다. 이번 포스팅에서 다룰 만한 온프레미스 AD 공격 사례는 실제로도 얼마든지 찾을 수 있었습니다. 즉, AD 보안은 기업이 가장 초점을 맞춰야 할 여전히 중요한 영역입니다.
랜섬웨어 시장의 글로벌화가 진행되고 있습니다.
AD 보안과 관련한 또 다른 중요한 추세는 공격의 진원지입니다. 상업용 랜섬웨어 운영 또는 서비스형 랜섬웨어(Ransomware-as-a-Service, RaaS)라고 하면 보통 동유럽권을 떠올립니다. 공격의 기원을 정확히 파악하기는 항상 어렵지만 다른 지역, 특히 중남미 및 중동 지역에서 비롯되는 사이버 공격이 증가하고 있다는 점은 분명합니다. 이런 추세는 현재 관측되는 사이버 공격의 규모와 다양성, 두 가지 모두에 영향을 미치고 있습니다.
사이버 범죄, 특히 랜섬웨어는 이제 비즈니스가 되었습니다.
현재 사이버 범죄자는 수백만 달러 규모의 연합으로 활동하고 있습니다. 연합 추세를 보여주는 대표적인 사례가 바로 러시아와 연루된 사이버 범죄 집단인 록빗(LockBit)입니다. 록빗은 영국의 우편 및 택배 기업인 로열 메일(Royal Mail)을 표적으로 랜섬웨어 공격을 실행해 8,000만 달러(약 1,043억 원)의 막대한 몸값을 요구했습니다. 록빗이 공개한 것으로 추정되는 대화 녹취록에 따르면, 록빗 측은 “협상”이라는 용어를 반복적으로 사용하며 “나도 당신과 마찬가지로 돈을 벌고 싶다. 당신이나 나나 돈에 관한 동기는 똑같고, 당신의 일은 가격을 최대한 낮추는 것이고 내 일은 최대한 많은 금액을 받는 것”이라고 말했습니다. 이들은 로열 메일 측에 “반대 제안을 해보라”라고 권하기까지 했습니다.
록빗의 비즈니스적 사고방식은 다른 사건에서도 볼 수 있습니다. 록빗은 소아 의료에 중점을 둔 캐나다 토론토 소재의 교육 및 연구 병원인 HSC(Hospital for Sick Children)를 표적으로 랜섬웨어 공격을 감행했습니다. 그런데 공격이 보도되고 얼마 지나지 않아 록빗은 공격에 대해 사과하고 병원 측에 해독 키를 제공했습니다. 전례 없는 일이었습니다.
이들이 발표한 성명서에는 비즈니스적 표현이 가득했습니다. 록빗 측은 공격자가 “파트너”이며, “파트너가 규칙을 위반했다”라면서 더 이상 “록빗 제휴 프로그램의 일원”이 아니라고 발표했습니다. 록빗 같은 사이버 범죄 집단에도 양심은 있다는 이야기도 있지만, 이들이 전략적 의사 결정을 내린 것이라는 설명도 있습니다. 병원을 대상으로 한 공격은 정부 및 기타 방어자가 랜섬웨어 “산업”에 대해 조치를 취하도록 자극하는 경향이 있으므로 비즈니스 측면에서 좋지 않기 때문입니다.
사이버 범죄는 정치적 도구가 되고 있습니다.
AD 보안팀이 걱정해야 할 위협은 이윤을 추구하는 사이버 범죄 집단만이 아닙니다. 지난 몇 년 동안 스턱스넷(Stuxnet) 및 낫페트야(NotPetya)를 포함해 국가 주도의 많은 사이버 공격이 일어났습니다. 이런 공격의 빈도와 강도, 정교함은 갈수록 높아지고 있습니다.
이런 활동에 가담하는 행위자의 수도 증가하고 있습니다. 미국 CISA(Cybersecurity and Infrastructure Security Agency)는 현재 중국, 러시아, 북한, 이란의 국가 후원 사이버 위협에 대한 정보를 다루는 웹페이지를 운영하고 있습니다. 그러나 인도, 베트남, 벨라루스, 아랍에미리트연합, 사우디아라비아를 포함한 다른 국가와의 공격 연관성을 보여주는 증거도 있습니다.
이제 AD에 대한 최근의 공격에서 우리가 배울 수 있는 AD 보안 교훈은 무엇인지 살펴봅시다.
라스트패스에 대한 사이버 공격
비밀번호 관리자 제공업체인 라스트패스(LastPass)는 공격자가 라스트패스 제품의 소스 코드 및 기타 사유 기술 정보에 대한 액세스 권한을 획득한 다음 라스트패스가 사용하는 서드파티 클라우드 스토리지 서비스의 일부 고객 정보에 액세스한 두 건의 침해를 공개했습니다.
라스트패스에 따르면, 공격자들은 회사 개발자 중 한 명의 집에 있는 컴퓨터를 노려 취약한 미디어 소프트웨어를 이용해 원격으로 코드를 실행하는 방법으로 공격의 초기 발판을 마련했습니다. 위협 행위자들은 키로거 맬웨어를 배포함으로써 직원이 MFA로 인증한 후 입력하는 마스터 비밀번호를 캡처하고, 이를 통해 개발자의 라스트패스 회사 볼트에 대한 액세스 권한을 획득했습니다.
AD 보안 팁 : 특권 액세스 워크스테이션(Privileged Access Workstations, PAW)을 사용하십시오.
특권 액세스에 대해 MFA를 요구하는 것은 AD 보안의 필수적인 부분이지만, 이것으로 충분하지 않습니다. 공격자는 특권 계정을 끊임없이 노립니다. 특권 계정은 승격된 액세스 권한을 제공하기 때문입니다. 따라서 또 다른 핵심적인 베스트 프랙티스는 사용자가 특권 자격 증명을 사용해 로그인할 수 있는 유일한 장소로서 강화된 시스템인 특권 액세스 워크스테이션(Privileged Access Workstations, PAW)을 사용하는 것입니다. PAW는 홈 미디어 소프트웨어와 같은 취약한 애플리케이션 실행을 허용하지 않으므로 공격자가 침해하기 훨씬 어렵습니다.
또한 PAW를 사용하면 다른 시스템에서는 특권 자격 증명 사용이 금지되므로 관리자는 이메일을 확인하거나 웹사이트를 방문할 때 자신의 일반 사용자 계정을 사용해야 합니다. 이렇게 하면 일반 사용자 시스템의 로컬 보안 인증 하위 시스템(Local Security Authority Subsystem, LSASS) 프로세스 메모리에 특권 계정의 비밀번호 해시가 저장되고 공격자가 이를 수집하여 악용하는, AD 보안 침해에 빈번하게 사용되는 수법의 위험도 사라집니다.
공급망 공격
악용할 만한 대상을 찾을 때까지 여러 조직 사이를 이동할 수 있는 공급망 연결 고리를 노리는 추세도 꾸준히 관찰되고 있습니다. 주된 표적은 기업 공급망으로, 가장 유명한 사례가 솔라윈즈(SolarWinds) 침해 사건입니다. 국가의 지원을 받는 것으로 추정되는 해커들은 솔라윈즈의 IT 모니터링 및 관리 소프트웨어에 악성 코드를 배포해 수천 명의 솔라윈즈 고객뿐 아니라 고객의 고객과 파트너의 데이터, 네트워크, 시스템을 손상시켰습니다. 또 다른 대표적 사례는 자바를 사용하는 거의 모든 조직에서 사실상 사용하는 라이브러리인 Log4j 취약점 악용입니다. 2023년 사례로는 위협 행위자가 무브잇(MOVEit)이라는 관리형 파일 전송 애플리케이션의 제로데이 취약점을 악용해 해당 파일 전송 서비스를 사용하는 1,000개 이상의 조직에서 데이터를 훔쳤고 이로 인해 6,000만 명 이상의 개인이 피해를 입은 사건이 있습니다.
식품 및 에너지를 포함한 개인 공급망에도 영향을 미쳤습니다. 2023년 2월 돌푸드(Dole Foods)가 랜섬웨어 공격을 받으면서 식료품점에서 신선 식품 재고가 부족해지는 상황이 발생했고, 5월에는 미국 최대 송유관 업체 콜로니얼 파이프라인(Colonial Pipeline)에 대한 공격으로 인해 주유소의 연료 비축분이 부족해져 사재기와 가격 급상승이 일어나기도 했습니다. 2021년에는 브라질의 육류 공급업체 JBS를 표적으로 한 조직적인 사이버 공격으로 인해 JBS의 소고기 및 돼지고기 도축장 가동이 중단되면서 미국, 캐나다, 오스트레일리아의 시설이 피해를 입었습니다.
빠른 AD 보안 팁 : 강력한 공급망 관리를 구현하십시오.
이런 침해 사건이 계속 뉴스 헤드라인을 장식하면서 공급망에 대한 고객들의 질문 역시 늘어날 것입니다. 고객은 여러분의 회사가 침해된 제품 또는 기술 사용 여부를 캐물을 것입니다. 이런 질문에 답할 수 있어야 합니다. 또한 그 질문에 “예”라고 대답할 수 있도록 위험을 줄여야 합니다.
이를 위해서는 공급망 전체를 포함하도록 AD 보안에 대한 이해의 폭을 넓혀야 합니다. 사용 중인 써드 파티 제품 및 서비스를 인벤토리화하는 것이 중요합니다. 또한 공급망에 속한 기업의 보안 관행을 면밀히 조사하고, 이 정보에 근거하여 어느 조직과 함께 비즈니스를 할지를 결정해야 합니다.
바라쿠다 ESG 어플라이언스 침해
2023년 6월, 바라쿠다의 ESG(Email Security Gateway) 어플라이언스가 침해되면서 BIOS를 수정할 수 있는 서명 키가 영향을 받았습니다. 바라쿠다 측은 해당 시스템을 깨끗하고 안전한 상태로 되돌릴 수 있을지 보장할 수 없다면서 영향받은 고객에게 침해된 모든 어플라이언스를 교체할 것을 권장했습니다. 바라쿠다는 현재 새 어플라이언스를 무상으로 제공하고 있습니다.
빠른 AD 보안 팁 : 유연한 복구 옵션을 마련해야 합니다.
교체 작업은 분명히 번거로웠지만 매우 간단했습니다. 데이터센터에서 바라쿠다 ESG 어플라이언스 박스를 구분하는 것이 쉽기 때문입니다. 하지만 공격자가 이와 비슷한 공격을 특정 브랜드의 메인보드를 대상으로 감행했다고 생각해 보십시오. 정확히 어느 시스템에 해당 업체의 메인보드가 장착돼 있는지 구분할 수 있을까요? 대부분 사람은 그렇게 하지 못합니다.
이런 공격에 대비하려면 AD 보안 전략에 유연한 복구 옵션을 제공하는 견고한 재해 복구 계획을 포함하는 것이 중요합니다. 특히 물리적 인프라가 침해되어 하드웨어를 신뢰할 수 없다면 클라우드로 복원할 수 있어야 합니다.
지금까지 3가지 주요 AD 공격 사례와 보안 강화 팁을 알아보았습니다. 다음 2부에서는 5가지 사례를 더 살펴보겠습니다. AD 관리에 어려움을 겪고 계시거나 궁금한 점이 있으시면 언제든 퀘스트소프트웨어코리아로 문의주시기 바랍니다.
Quick Overview
Active Directory(AD)는 비즈니스와 관련한 대부분 작업에 필수적인 인증 및 권한 부여 서비스를 제공하므로 사이버 공격에서 보호해야 할 핵심 요소입니다. 여기서는 최근 발생한 주요 AD 공격 사례를 분석하고 이를 통해 얻을 수 있는 교훈을 살펴봅니다.
Active Directory(AD) 보안이 중요한 이유는 한 가지입니다. AD 자체가 중요하기 때문입니다. AD는 비즈니스 관련 작업 대부분에 필수적인 인증 및 권한 부여 서비스를 제공합니다. AD 보안에 취약점이 존재하면 악의적인 행위자가 민감 데이터를 암호화 또는 유출하거나 DC(Domain Controller)를 아예 지워서 비즈니스를 완전히 멈추게 할 수 있습니다.
AD 보안은 그동안 많이 다룬 주제지만, 오늘은 다른 각도에서 접근해 지난 몇 개월 사이 발생한 주요 AD 공격을 분석하고 거기서 얻을 수 있는 교훈에 대해 논의해 보려고 합니다. 이번 포스팅을 통해 AD 환경을 강화하는 구체적인 방법을 파악할 수 있기를 바랍니다.
AD 보안이 어느 때보다 중요한 이유
자세한 내용으로 들어가기 전에, AD 보안이 과거 어느 때보다 더 중요한 이유를 살펴보겠습니다. 필자는 최근 발생한 사이버 공격을 검토하면서 AD 보안과 관련성이 높은 몇 가지 중요한 추세를 발견했습니다.
마이크로소프트가 클라우드 보안에 투자를 이어 나가자 공격자는 온프레미스 환경을 노리기 시작했습니다.
마이크로소프트는 마이크로소프트 365 및 애저 AD(이제 엔트라 ID(Entra ID))에서 견고한 기본 보안을 구축하는 것이 얼마나 중요한지 인식하고 있습니다. 그에 따라 클라우드 생태계 보호에 도움이 되는 기술과 정책을 꾸준히 내놓고 있습니다. 예를 들어, 애저 AD MFA(Multi-factor Authentication)는 전화 통화, 문자 메시지, 모바일 앱 알림 또는 오스(OAuth) 토큰과 같은 보조 인증 방법을 요구함으로써 훔친 자격 증명을 쓸모없게 만듭니다. 또한 애저 역할 기반 액세스 제어(Role-based Access Control, RBAC)는 적절한 역할 할당을 통해 사용자에게 허용되는 액세스 수준을 세부적으로 제어할 수 있게 해줍니다.
그러나 클라우드 환경으로 들어가는 문을 굳게 잠근다고 해도 공격자는 쉽게 포기하지 않습니다. 이들은 네트워크 내부로 침투할 다른 길을 찾는데, 대부분은 온프레미스 환경에 대한 공격을 의미합니다. 이번 포스팅에서 다룰 만한 온프레미스 AD 공격 사례는 실제로도 얼마든지 찾을 수 있었습니다. 즉, AD 보안은 기업이 가장 초점을 맞춰야 할 여전히 중요한 영역입니다.
랜섬웨어 시장의 글로벌화가 진행되고 있습니다.
AD 보안과 관련한 또 다른 중요한 추세는 공격의 진원지입니다. 상업용 랜섬웨어 운영 또는 서비스형 랜섬웨어(Ransomware-as-a-Service, RaaS)라고 하면 보통 동유럽권을 떠올립니다. 공격의 기원을 정확히 파악하기는 항상 어렵지만 다른 지역, 특히 중남미 및 중동 지역에서 비롯되는 사이버 공격이 증가하고 있다는 점은 분명합니다. 이런 추세는 현재 관측되는 사이버 공격의 규모와 다양성, 두 가지 모두에 영향을 미치고 있습니다.
사이버 범죄, 특히 랜섬웨어는 이제 비즈니스가 되었습니다.
현재 사이버 범죄자는 수백만 달러 규모의 연합으로 활동하고 있습니다. 연합 추세를 보여주는 대표적인 사례가 바로 러시아와 연루된 사이버 범죄 집단인 록빗(LockBit)입니다. 록빗은 영국의 우편 및 택배 기업인 로열 메일(Royal Mail)을 표적으로 랜섬웨어 공격을 실행해 8,000만 달러(약 1,043억 원)의 막대한 몸값을 요구했습니다. 록빗이 공개한 것으로 추정되는 대화 녹취록에 따르면, 록빗 측은 “협상”이라는 용어를 반복적으로 사용하며 “나도 당신과 마찬가지로 돈을 벌고 싶다. 당신이나 나나 돈에 관한 동기는 똑같고, 당신의 일은 가격을 최대한 낮추는 것이고 내 일은 최대한 많은 금액을 받는 것”이라고 말했습니다. 이들은 로열 메일 측에 “반대 제안을 해보라”라고 권하기까지 했습니다.
록빗의 비즈니스적 사고방식은 다른 사건에서도 볼 수 있습니다. 록빗은 소아 의료에 중점을 둔 캐나다 토론토 소재의 교육 및 연구 병원인 HSC(Hospital for Sick Children)를 표적으로 랜섬웨어 공격을 감행했습니다. 그런데 공격이 보도되고 얼마 지나지 않아 록빗은 공격에 대해 사과하고 병원 측에 해독 키를 제공했습니다. 전례 없는 일이었습니다.
이들이 발표한 성명서에는 비즈니스적 표현이 가득했습니다. 록빗 측은 공격자가 “파트너”이며, “파트너가 규칙을 위반했다”라면서 더 이상 “록빗 제휴 프로그램의 일원”이 아니라고 발표했습니다. 록빗 같은 사이버 범죄 집단에도 양심은 있다는 이야기도 있지만, 이들이 전략적 의사 결정을 내린 것이라는 설명도 있습니다. 병원을 대상으로 한 공격은 정부 및 기타 방어자가 랜섬웨어 “산업”에 대해 조치를 취하도록 자극하는 경향이 있으므로 비즈니스 측면에서 좋지 않기 때문입니다.
사이버 범죄는 정치적 도구가 되고 있습니다.
AD 보안팀이 걱정해야 할 위협은 이윤을 추구하는 사이버 범죄 집단만이 아닙니다. 지난 몇 년 동안 스턱스넷(Stuxnet) 및 낫페트야(NotPetya)를 포함해 국가 주도의 많은 사이버 공격이 일어났습니다. 이런 공격의 빈도와 강도, 정교함은 갈수록 높아지고 있습니다.
이런 활동에 가담하는 행위자의 수도 증가하고 있습니다. 미국 CISA(Cybersecurity and Infrastructure Security Agency)는 현재 중국, 러시아, 북한, 이란의 국가 후원 사이버 위협에 대한 정보를 다루는 웹페이지를 운영하고 있습니다. 그러나 인도, 베트남, 벨라루스, 아랍에미리트연합, 사우디아라비아를 포함한 다른 국가와의 공격 연관성을 보여주는 증거도 있습니다.
이제 AD에 대한 최근의 공격에서 우리가 배울 수 있는 AD 보안 교훈은 무엇인지 살펴봅시다.
라스트패스에 대한 사이버 공격
비밀번호 관리자 제공업체인 라스트패스(LastPass)는 공격자가 라스트패스 제품의 소스 코드 및 기타 사유 기술 정보에 대한 액세스 권한을 획득한 다음 라스트패스가 사용하는 서드파티 클라우드 스토리지 서비스의 일부 고객 정보에 액세스한 두 건의 침해를 공개했습니다.
라스트패스에 따르면, 공격자들은 회사 개발자 중 한 명의 집에 있는 컴퓨터를 노려 취약한 미디어 소프트웨어를 이용해 원격으로 코드를 실행하는 방법으로 공격의 초기 발판을 마련했습니다. 위협 행위자들은 키로거 맬웨어를 배포함으로써 직원이 MFA로 인증한 후 입력하는 마스터 비밀번호를 캡처하고, 이를 통해 개발자의 라스트패스 회사 볼트에 대한 액세스 권한을 획득했습니다.
AD 보안 팁 : 특권 액세스 워크스테이션(Privileged Access Workstations, PAW)을 사용하십시오.
특권 액세스에 대해 MFA를 요구하는 것은 AD 보안의 필수적인 부분이지만, 이것으로 충분하지 않습니다. 공격자는 특권 계정을 끊임없이 노립니다. 특권 계정은 승격된 액세스 권한을 제공하기 때문입니다. 따라서 또 다른 핵심적인 베스트 프랙티스는 사용자가 특권 자격 증명을 사용해 로그인할 수 있는 유일한 장소로서 강화된 시스템인 특권 액세스 워크스테이션(Privileged Access Workstations, PAW)을 사용하는 것입니다. PAW는 홈 미디어 소프트웨어와 같은 취약한 애플리케이션 실행을 허용하지 않으므로 공격자가 침해하기 훨씬 어렵습니다.
또한 PAW를 사용하면 다른 시스템에서는 특권 자격 증명 사용이 금지되므로 관리자는 이메일을 확인하거나 웹사이트를 방문할 때 자신의 일반 사용자 계정을 사용해야 합니다. 이렇게 하면 일반 사용자 시스템의 로컬 보안 인증 하위 시스템(Local Security Authority Subsystem, LSASS) 프로세스 메모리에 특권 계정의 비밀번호 해시가 저장되고 공격자가 이를 수집하여 악용하는, AD 보안 침해에 빈번하게 사용되는 수법의 위험도 사라집니다.
공급망 공격
악용할 만한 대상을 찾을 때까지 여러 조직 사이를 이동할 수 있는 공급망 연결 고리를 노리는 추세도 꾸준히 관찰되고 있습니다. 주된 표적은 기업 공급망으로, 가장 유명한 사례가 솔라윈즈(SolarWinds) 침해 사건입니다. 국가의 지원을 받는 것으로 추정되는 해커들은 솔라윈즈의 IT 모니터링 및 관리 소프트웨어에 악성 코드를 배포해 수천 명의 솔라윈즈 고객뿐 아니라 고객의 고객과 파트너의 데이터, 네트워크, 시스템을 손상시켰습니다. 또 다른 대표적 사례는 자바를 사용하는 거의 모든 조직에서 사실상 사용하는 라이브러리인 Log4j 취약점 악용입니다. 2023년 사례로는 위협 행위자가 무브잇(MOVEit)이라는 관리형 파일 전송 애플리케이션의 제로데이 취약점을 악용해 해당 파일 전송 서비스를 사용하는 1,000개 이상의 조직에서 데이터를 훔쳤고 이로 인해 6,000만 명 이상의 개인이 피해를 입은 사건이 있습니다.
식품 및 에너지를 포함한 개인 공급망에도 영향을 미쳤습니다. 2023년 2월 돌푸드(Dole Foods)가 랜섬웨어 공격을 받으면서 식료품점에서 신선 식품 재고가 부족해지는 상황이 발생했고, 5월에는 미국 최대 송유관 업체 콜로니얼 파이프라인(Colonial Pipeline)에 대한 공격으로 인해 주유소의 연료 비축분이 부족해져 사재기와 가격 급상승이 일어나기도 했습니다. 2021년에는 브라질의 육류 공급업체 JBS를 표적으로 한 조직적인 사이버 공격으로 인해 JBS의 소고기 및 돼지고기 도축장 가동이 중단되면서 미국, 캐나다, 오스트레일리아의 시설이 피해를 입었습니다.
빠른 AD 보안 팁 : 강력한 공급망 관리를 구현하십시오.
이런 침해 사건이 계속 뉴스 헤드라인을 장식하면서 공급망에 대한 고객들의 질문 역시 늘어날 것입니다. 고객은 여러분의 회사가 침해된 제품 또는 기술 사용 여부를 캐물을 것입니다. 이런 질문에 답할 수 있어야 합니다. 또한 그 질문에 “예”라고 대답할 수 있도록 위험을 줄여야 합니다.
이를 위해서는 공급망 전체를 포함하도록 AD 보안에 대한 이해의 폭을 넓혀야 합니다. 사용 중인 써드 파티 제품 및 서비스를 인벤토리화하는 것이 중요합니다. 또한 공급망에 속한 기업의 보안 관행을 면밀히 조사하고, 이 정보에 근거하여 어느 조직과 함께 비즈니스를 할지를 결정해야 합니다.
바라쿠다 ESG 어플라이언스 침해
2023년 6월, 바라쿠다의 ESG(Email Security Gateway) 어플라이언스가 침해되면서 BIOS를 수정할 수 있는 서명 키가 영향을 받았습니다. 바라쿠다 측은 해당 시스템을 깨끗하고 안전한 상태로 되돌릴 수 있을지 보장할 수 없다면서 영향받은 고객에게 침해된 모든 어플라이언스를 교체할 것을 권장했습니다. 바라쿠다는 현재 새 어플라이언스를 무상으로 제공하고 있습니다.
빠른 AD 보안 팁 : 유연한 복구 옵션을 마련해야 합니다.
교체 작업은 분명히 번거로웠지만 매우 간단했습니다. 데이터센터에서 바라쿠다 ESG 어플라이언스 박스를 구분하는 것이 쉽기 때문입니다. 하지만 공격자가 이와 비슷한 공격을 특정 브랜드의 메인보드를 대상으로 감행했다고 생각해 보십시오. 정확히 어느 시스템에 해당 업체의 메인보드가 장착돼 있는지 구분할 수 있을까요? 대부분 사람은 그렇게 하지 못합니다.
이런 공격에 대비하려면 AD 보안 전략에 유연한 복구 옵션을 제공하는 견고한 재해 복구 계획을 포함하는 것이 중요합니다. 특히 물리적 인프라가 침해되어 하드웨어를 신뢰할 수 없다면 클라우드로 복원할 수 있어야 합니다.
지금까지 3가지 주요 AD 공격 사례와 보안 강화 팁을 알아보았습니다. 다음 2부에서는 5가지 사례를 더 살펴보겠습니다. AD 관리에 어려움을 겪고 계시거나 궁금한 점이 있으시면 언제든 퀘스트소프트웨어코리아로 문의주시기 바랍니다.