mobile background

자료실

AD를 감사할 때 반드시 추적해야 하는 활동 9가지


AD를 감사할 때 반드시 추적해야 하는 활동 9가지

AD(Active Directory)는 IT 환경으로 들어가는 열쇠를 통제하는 만큼 적절한 감사가 중요합니다. 실제로 AD 주변의 활동을 적절히 모니터링하는 것은 비즈니스 연속성, 사용자 생산성, 보안 및 규정 준수를 포함한 여러 측면에서 매우 필수적입니다. 그런데 정확히 어떤 요소가 AD 감사에 포함되고 어떤 활동을 추적해야 할까요? 또한 한정된 IT 리소스에 부담을 주거나 예산을 초과하지 않으면서 효과적이고 안정적인 감사를 구현하려면 어떻게 해야 할까요? 이런 질문에 대한 답과 그 외의 몇 가지 내용을 살펴보겠습니다. 


AD 감사가 필요한 이유 

AD는 업무 수행과 비즈니스 프로세스 실행을 위해 필수적인 인증 및 권한 부여 서비스를 제공합니다. AD 보안 그룹과 기타 기능은 IT 생태계와 그 리소스에 대한 액세스 권한을 통제하며, AD 그룹 정책(Group Policy)은 소프트웨어 설치부터 강제 재부팅 및 암호 요구 사항과 인증 프로토콜에 이르기까지 모든 것을 감독합니다. 


따라서 조직은 AD가 정상적이고 안전한 상태를 유지하도록 해야 합니다. AD 감사는 IT 환경의 AD 구성 및 활동에 대한 데이터를 수집하고 분석함으로써 이런 목표 달성에 기여합니다. 예를 들어, AD를 효과적으로 감사하면 특권 보안 그룹의 멤버십, 또는 핵심 GPO(Group Policy Object)에 대한 변경이 값비싼 대가를 치르는 비즈니스 중단, 사용자 불편, 보안 침해, 규정 준수 위반과 같은 피해로 이어지기 전에 포착할 수 있습니다. 



AD 감사에 필요한 것 

효과적인 AD 감사 프로그램에는 다음과 같은 요소가 모두 필요합니다. 


  • 철저하고 시기적절한 데이터 수집 : 위협을 즉각적으로 포착, 조사하고 대응하려면 각 이벤트에 대한 ‘5W(누가, 무엇을, 언제, 어디서, 어느 워크스테이션으로)’를 포함해 관련된 모든 세부 정보를 확보해야 합니다. 

  • 데이터 정규화 : 다양한 네이티브 로그, 그리고 AD 활동에 대한 기타 데이터 소스는 서로 다른 방식으로 정보를 저장합니다. 이런 정보를 모두 활용하려면 공통된 형식으로 데이터를 표준화해야 합니다. 

  • 연계와 분석 : 위협을 포착하고 사고의 더 넓은 맥락을 파악하려면 각 시스템 활동을 개별적으로 살펴보는 것으로는 부족합니다. 여러 시스템 전반에 걸쳐 정확히 활동을 연계하고 분석할 수 있어야 합니다. 예를 들어, 특정 사용자가 미치는 위협의 정도를 이해하려면 IT 생태계 전반에서 해당 사용자의 모든 활동을 평가할 수 있어야 합니다. 

  • 정돈되고 효율적인 보고 : 정규화된 데이터와 분석을 활용하려면 유효한 권한, DC(Domain Controller) 구성, GPO 변경 등을 명확하게 보여주는 보고서를 손쉽게 만들 수 있어야 합니다. 

  • 실시간 경보 : 우수한 AD 감사 솔루션은 관리자가 보고서를 실행하거나 대시보드를 살펴보기 전에 위협에 대해 선제적으로 알리고, 대응과 피해 억제에 필요한 주요 세부 정보를 제공합니다. 

  • 선제적 수단 : 일부 AD 감사 툴은 여기서 그치지 않고 핵심 개체(중요한 GPO 및 특권 그룹)에 대한 변경을 차단하고 위협 패턴에 대한 자동화된 대응을 설정합니다. 예를 들어, 랜섬웨어와 관련된 활동을 수행하는 계정을 비활성화하는 것이 대표적인 자동화 대응입니다. 


AD에서 변경을 감사하는 방법 

마이크로소프트는 2가지 유형의 감사 정책 설정을 제공합니다. 


  • 기본 감사 설정 : ‘Security Settings\Local Policies\Audit Policy’에서 제공되는 9가지 설정입니다. 계정 로그온 이벤트, 계정 관리, 디렉토리 서비스 액세스, 로그온 이벤트, 개체 액세스, 정책 변경, 특권 사용, 프로세스 추적 및 시스템 이벤트에 대한 감사를 제어할 수 있게 해줍니다. 

  • 고급 정책 설정 : ‘Security Settings\Advanced Audit Policy Configuration’의 53가지 설정으로, AD 감사에 대해 훨씬 세분화된 정책을 정의할 수 있게 해줍니다. 예를 들어, 그룹 관리자가 금융 정보가 포함된 서버의 설정을 변경할 때 감사하는 것입니다. 이 같은 설정에 액세스하려면 로컬 기기의 로컬 보안 정책 스냅인(secpol.msc)을 통하거나 그룹 정책을 사용합니다.
     

※주의 : 마이크로소프트는 2가지 옵션을 함께 사용하지 않을 것을 권장합니다. 함께 사용할 경우 감사 보고에서 “예기치 못한 결과”가 발생할 수 있기 때문입니다. 



AD를 감사할 때 추적해야 하는 이벤트 

AD 감사 목표는 조직에 위협이 될 수 있는 활동을 포착하는 것입니다. 그러나 조직마다 우선순위, 위험 용인 수준, 전략, 인력 현황 등이 다르므로 정확히 어떤 이벤트를 감사해야 하는지, 정확히 어떻게 고급 정책 설정을 구성해야 하는지에 관한 확고한 목록은 없습니다. 마이크로소프트는 고급 감사 정책 설정을 필요에 맞게 구성하는 가이드를 제공합니다. 


AD 감사 프로세스의 범위에 포함해야 할 주요 항목은 다음과 같습니다.

  1. 그룹 정책 변경 : GPO에 대한 승인되지 않거나 부정확한 변경은 조직의 보안, 규정 준수 및 비즈니스 연속성을 해칠 수 있습니다. 가령 하나의 부적절한 변경으로 인해 공격자가 강력한 권한을 가진 관리자 계정 접근을 무제한으로 시도하거나, 식별되지 않은 사용자가 규제 대상 데이터가 저장된 네트워크 공유에 연결하거나, 랜섬웨어를 퍼뜨릴 수 있는 USB 사용이 허용될 수 있습니다. 

  2. 특권 그룹에 대한 변경 : AD에는 엔터프라이즈 관리자, 도메인 관리자와 같이 구성원에게 IT 환경에 대한 높은 권한을 부여하는 여러 기본 특권 그룹이 포함됩니다. 또한 조직은 민감 데이터와 애플리케이션 및 기타 IT 자산에 대한 액세스를 통제하기 위해 자체 특권 그룹을 만들 수도 있습니다. 따라서 특권 그룹 멤버십 또는 강력한 권한을 가진 그룹의 권한에 대한 변경을 모니터링하는 것이 중요합니다. 

  3. 특권 계정의 활동 : 관리자와 특권 사용자는 자신의 계정을 우발적/의도적으로 오용해 조직에 심각한 피해를 입힐 수 있습니다. 또한 특권 계정은 공격자가 주로 노리는 표적이기도 합니다. 승격된 권한을 가진 모든 서비스 계정의 활동도 감사해야 한다는 것을 기억하십시오. 

  4. 사용자 계정 잠금 : 사용자 계정 잠금은 대부분 위협을 나타내는 신호는 아니지만, 비즈니스 프로세스에 지장을 초래할 수 있습니다. 계정 잠금이 급증한다는 것은 네트워크를 대상으로 한 무차별 대입 공격의 신호일 수도 있습니다. 

  5. 신규 사용자 계정 생성 : 성장하거나 변화하는 조직에서는 많은 정상적인 계정 프로비저닝 활동이 일어날 수 있습니다. 그러나 새로운 AD 사용자 계정 생성은 IT 환경에 접근하는 문을 여는 행위이므로 승인되지 않은 활동이 일어나지 않는지 잘 살펴야 합니다. 

  6. DC 변경 : DC는 AD가 실제로 실행되는 위치이므로 이런 서버의 부적절한 변경은 인증 속도 저하부터 막대한 피해를 유발하는 가동 중단에 이르기까지 온갖 문제로 이어질 수 있습니다. AD 사용자와 그룹, 컴퓨터, 암호 해시, 디렉토리 구성에 관한 중요한 데이터가 저장된 NTDS.dit 파일을 호스팅하는 DC에 주의를 기울여 데이터의 유출 시도를 감시해야 합니다. 

  7. 인증 활동 : 사용자의 로그온/로그오프 활동을 추적하면 정상적인 사용자 행동을 식별하고 위협에 해당하는 비정상적인 활동을 포착할 수 있습니다. 오래되고 더 위험한 NTLM 인증 프로토콜 사용을 모니터링하고 골든 티켓(Golden Ticket) 및 패스 더 티켓(Pass the Ticket)을 나타낼 수 있는 커버로스(Kerberos) 취약점 악용 시도를 포착하는 것도 중요합니다. 

  8. 애저 AD 사인인 : 하이브리드 환경에서는 애저 AD의 사인인/사인오프 활동을 추적하는 것도 중요합니다. 이 활동을 온프레미스 로그인/로그오프 이벤트와 연계해서 더 복잡한 위협을 드러낼 수 있는 일관된 그림을 제공하는 것이 이상적입니다. 

  9. 애저 AD 역할 변경 : 사용자에게 애저 AD 역할을 할당하면 그 사용자는 중요한 리소스에 액세스하고 관리할 수 있습니다. 역할 멤버십 또는 특권에 대한 무단 변경은 공격자가 IT 환경에서 자신의 권한을 승격하려는 시도일 수 있으므로 이런 활동을 즉시 포착하는 것이 중요합니다. 



어떤 경보를 설정해야 할까? 

IT 생태계는 매일 수백만 건의 이벤트가 발생할 수 있는 매우 바쁜 환경입니다. 고급 감사 정책을 설정하면 모니터링할 행동을 세밀하게 조정할 수 있어 도움이 됩니다. 예를 들어, 우려되는 활동 혹은 지나치게 많은 로그 이벤트를 생성하는 활동을 모니터링하는 것입니다. 하지만 방대한 감사 데이터에서 실질적인 위협을 나타낼 수 있는 고위험 비정상 이벤트, 광범위한 활동 또는 일련의 이벤트를 개별적으로 찾기란 어렵습니다. 


예를 들어, 엔터프라이즈 관리자 같은 막강한 권한의 보안 그룹에 대한 변경은 본질적으로 위험하며, 극히 드물게 일어나는 일이므로 이런 그룹에 대한 변경에는 경보를 설정하는 것이 좋습니다. 그러나 영업팀에 새 멤버가 추가될 때마다 경보를 생성하는 것은, 그 활동이 AD 공격의 일부로 이뤄지는 특권 승격을 나타내는 더 큰 이벤트 패턴의 일부가 아닌 한 적절치 않습니다. 마찬가지로, 파일 공유 시 발생하는 콘텐츠 삭제 활동을 모두 살펴봐야 한다면 IT팀의 업무량은 과부하 상태가 될 것입니다. 그러나 파일 삭제의 급증은 랜섬웨어 공격이 진행 중이거나 불만을 품은 내부자가 비즈니스에 피해를 입히려 하는 상황을 나타내는 신호일 수 있으므로 경보를 생성하는 것이 좋습니다. 


유연성이 높을수록 좋습니다. 고급 감사 정책을 맞춤 구성하고 활동에 대한 맥락을 보여주며, 맞춤화된 경보를 제공하는 AD 감사 솔루션을 사용하면 경보로 인한 피로를 줄이고 진짜 위협에만 집중할 수 있습니다.


네이티브 감사의 한계 

마이크로소프트는 몇 가지 유용한 AD 감사 기능을 무료로 제공하지만, 다음과 같은 중요한 제약 및 단점도 있습니다.



  • 감사 로그가 분산됨. 감사가 활성화된 각 DC에서 개별적인 보안 이벤트 로그를 가져와 취합해야 합니다. 

  • 감사 데이터가 불완전함. 네이티브 로그는 AD의 중요한 측면까지 완전히 캡처하지 못합니다. 가령 발생하는 GPO 변경 이벤트는 로깅하지만, 구체적으로 어떤 설정이 수정되었는지는 기록하지 않습니다. 

  • 로그에 잡음이 많고 해석이 어려움. 하나의 이벤트가 여러 로그 항목을 생성할 수 있으며, 이벤트에 인식할 수 있는 개체 이름이 아닌 GUID 같이 관련성 없거나 불명확한 정보가 포함되는 경우가 많습니다. 

  • 로그 데이터 보존 기간이 부족함. 보안 이벤트 로그는 매우 많이 생성되므로 덮어쓰기가 빈번하게 발생합니다. 

  • 분석 기능이 제한적임. 윈도우 이벤트 뷰어(Windows Event Viewer)를 사용하면 감사 데이터를 검토하고 기간/출처/사용자와 같은 특정 조건으로 필터링할 수 있습니다. 로그 항목에서 그 외의 다른 데이터를 활용하려면 XML 쿼리를 작성하거나 파워셸(PowerShell)을 사용해야 합니다. 

  • 보고 및 경보가 제한적임. 보고 및 경보 설정이 유연하지 않고 설정하기 어려우며, 온프레미스와 클라우드 워크로드에서 일관적이지 않습니다. 

  • 하이브리드 환경을 파악하려면 수동 연계 작업이 필요함. 하이브리드 환경에서 위협을 포착하기 위해서는 IT 생태계 전반의 활동을 전체적으로 이해하는 것이 필수입니다. 네이티브 옵션을 사용한다면 이를 위해 일반적으로 DC의 로그와 마이크로소프트 365 감사 스트림, 2가지 감사 시스템의 활동을 수동으로 연계해야 합니다. 



서드파티 AD 감사 솔루션에서 확인해야 할 부분 

많은 조직이 AD 감사를 위한 전용 솔루션에 투자합니다. 위에 나열된 네이티브 툴의 한계를 극복하는 솔루션을 찾아야 합니다. 예를 들어, 네이티브 로그에서 누락된 감사 데이터를 캡처하는 독립적인 데이터 수집 기능, IT 환경 내 활동을 정확히 파악하는 작업을 간소화하는 사전 구축된 대시보드와 보고서, 그리고 손쉽게 구성할 수 있고 의심스러운 활동을 실시간으로 알려주는 경보 기능을 제공해야 합니다. 


하이브리드 IT 환경을 운영하는 경우 온프레미스 로그와 마이크로소프트 365 통합 감사 로그 모두에서 감사 이벤트를 수집해 정규화 및 결합하고 전체 IT 생태계에 대한 통합된 시야를 제공할 수 있는 툴을 찾는 것이 좋습니다. 


그 외에도 경보 피로를 방지하고 진정한 위협에 신속하게 초점을 맞출 수 있도록 도와주는 솔루션을 찾아야 합니다. 앞서 언급한 파일 삭제의 급증은 랜섬웨어를 나타낼 수도 있지만, 관리자가 오래된 파일을 정리하면서 나타나는 정상적인 결과일 수도 있습니다. 신규 계정 생성은 일상적인 일일 수도 있고 공격자가 무단 백도어 계정을 만드는 것일 수도 있습니다. 따라서 활동의 승인 여부를 반영하는 경보가 매우 유용합니다.


또 원치 않는 변경을 신속하게 롤백하거나 중요한 AD 개체(도메인 관리자와 같은 권한이 큰 그룹 등)에 대한 변경을 선제적으로 차단할 수 있는 솔루션인지 확인하십시오. 


마지막으로 모든 시스템 로그인, 구성 또는 작업에 대한 모든 변경, 모든 레코드 삭제 시도가 포함된 완전한 기록을 포함하고 침해/오용에서 시스템을 견고하게 보호하는 AD 감사 솔루션을 찾아야 합니다. 



결론 

AD 감사는 보안, 비즈니스 연속성, 사용자 생산성, 규정 준수 및 기타 조직적 목표를 위해 필수적입니다. 마이크로소프트는 AD 감사 기능 몇 가지를 제공하지만, 적절한 서드파티 솔루션에 대한 투자는 귀중한 IT 전문가의 시간과 노력을 덜 소비하면서 더 정확하고 빠르게 위협을 탐지할 수 있는 역량을 제공합니다. 결과적으로 조직은 많은 비용을 초래하는 침해, 다운타임, 규정 준수 벌금을 예방할 수 있습니다. 


AD 관리 및 감사 솔루션에 대해 궁금한 점이 있으시면 언제든 퀘스트소프트웨어 코리아로 문의주시기 바랍니다.




퀘스트소프트웨어코리아(주)

서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600

전자 메일 KoreaMarketing@quest.com 


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB


퀘스트소프트웨어코리아(주) 서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600 | 전자 메일 KoreaMarketing@quest.com


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB