AD는 중앙에서 계정/정책관리, 접근권한 관리, 시스템 정보수집을 한다는 점에서 매우 효율적인 체계임에는 틀림없다. 하지만 이 효율적인 체계가 중앙에 집중된다는 것은 그 만큼 위험성이 커질 수 있다는 것을 의미하며 그에 대한 관리는 매우 중요하다.
2019년 2월 27일에 한국 인터넷 진흥원에서 발표한 “AD관리자 계정 탈취를 통한 기업 내부망 장악 사례와 대응방안” 보고서에 따르면, 우리나라에서도 그 심각성이 인지되기 시작했다는 것을 알 수 있다. 한국 인터넷 진흥원이 분석하여 발표한 실재 AD해킹 공격 흐름은 다음과 같다.
자료 : 한국 인터넷 진흥원, 전체 공격 흐름도
이 흐름은 마이크로소프트사가 발표한 Attack Kill Chain과 같은 공격흐름이라는 것을 알 수 있으며, 마이크로소프트사는 “AD는 그 공격흐름의 모든 단계에서 중심이다”고 한다. 다른 표현으로는 “AD는 기업의 IT인프라 신경계의 중심이다”고 한다.
한국 인터넷 진흥원이 발표한 사고 개요를 보면, 해커는 우선 취약한 업무 연동서버에 접속한 후, 사내에 채널링 테스트 서버를 거점으로 만들고, 내부정찰과 침투했다. 이후 관리자 계정을 탈취한 후 악성코드를 전파하여 내부정보를 유출하고 랜섬웨어를 감염시켜 증거 인멸했다.
이런 침해에 대하여 한국 인터넷 진흥원은 AD보안을 위한 대응방식으로 “계정 관리 강화, 접근통제 보안 강화, 이상징후 탐지 및 대응 강화”의 3가지 대응방안과 방법을 제시했다. 이번 사고는 분석을 시작한 2018년 11월 7일 이전에 일어난 것으로 판단되나, 이전 시스템 로그가 존재하지 않아 주요 사고 원인이 된 로컬 관리자 계정탈취 부분을 확인하지 못한 아쉬움이 있으며, AD환경을 노린 유사 유형의 해킹 공격은 지속적으로 증가하고 있다고 발표했다.
실재 국내에서 일어난 AD보안사고를 토대로 한 이 보고서를 통해 AD보안의 전반에 대하여 다음과 같은 사실을 알 수 있다. 첫째, AD는 “Cyber Kill Chain의 중심” 이며, “횡면공격(Lateral Movement)의 중심”이라는 점 둘째, AD관련 보안 분석을 위해 수 많은 시스템의 로그를 분석해야만 하는 높은 “사이버 보안 피로도(Cyber security fatigue)를 가지게 된다”는 것과 해커는 “핵심적 로그를 제거해 버린다”는 점 셋째, 적절한 대응을 위해서는 양성이 어려운 AD 전문인력에 의한 “AD보안의 Best Practice”를 수행하고 “지속적으로 모니터링” 하여야 한다는 점 마지막으로 합법적인 계정탈취 공격은 “최적의 사전대응(Proactive) 방식”을 가지기 어렵다는 점이다.
그렇다면, 기업의 인프라를 효과적으로 개선할 수 있는 AD에 대한 보안은 어쩔 수 없는 한계를 가지게 되는 양날의 검이 될 수밖에 없는가?
문제제기의 답을 우리는 마이크로소프트가 새로운 보안 패러다임으로 발표한 IATP(Azure AD Identity Protection and Azure ATP) 서비스에서 찾을 수 있다. 이 서비스는 AD보안을 위해 AD로 향하는 모든 트래픽을 분석함으로써 해결할 수 있다는 것을 말하고 있다.
즉, 과거의 기존 접근제어 솔루션들이 주요 자산 앞에 프락시처럼 설치되어 접속에 대한 관리와 모니터링을 수행하였다면, 모든 윈도우 시스템을 중앙에서 관리하는 것이 AD환경이기 때문에 그에 대한 보안도 AD를 중심으로 함으로써, 특정 자산이 아닌 기업의 IT인프라 전반에 걸쳐 가장 정확하고 효과적인 보안을 적용하고 수행할 수 있다는 것이다.
새로운 보안 패러다임의 중심에 있는 솔루션으로 ㈜신우티엔에스(대표 박범준)를 단독 총판으로 세우고 한국 시장 진출을 본격화하고 있는 Preempt Security 사의 “Preempt 플랫폼”이 있다. 이 분야의 선두주자인 Preempt 플랫폼은 다음과 같은 중요한 특징을 갖는다.
첫째, 모든 도메인 컨트롤러에 스니핑 모드와 인라인 모드를 지원하는 센서를 배치하여 AD관련된 모든 인증과 자격증명을 수집하고 분석하여 대응한다. 특히 인라인 모드는 업계에서 유일하다. 둘째, 발전된 지도기계학습(Advanced Supervised Machine Learning)을 통해 사용자 프로파일링을 정확하고 지속적으로 수행한다. 셋째, 기존의 보안 인프라로부터 인증관련 로그를 수집함으로써, 사용자 프로파일을 더욱 정밀하게 구축한다. 마지막으로, 온 프레미스와 클라우드에 걸쳐 기업의 인증시스템과 연동함으로써, 현대의 하이브리드 인프라 전반에 걸쳐 적용형 대응(Adaptive Response)과 조건부 접근(Conditional Access)을 수행하는 사전대응(Proactive) 방식을 구축한다는 것이다.
자료 : Preempt Security, Preempt Platform
이러한 새로운 보안 패러다임인 Preempt 플랫폼의 특징으로 인해 지난 수십년간 유일한 해법처럼 적용되었던, 특정 이벤트에 따른 이분법적(허용과 차단) 위협 대응방식을 다양한 선제적인 대응방식으로의 변화를 가져올 수 있게 되었다.
명확한 공격(공격 툴에 의한 활동 및 설정된 정책 위반)은 선제적으로 차단하고, 합법적인 권한 활동에 대하여서는 구축된 사용자 프로파일을 토대로 비교 분석하여 리스크 스코어링과 이상징후를 정확히 산출해 낼 수 있게 되었다. 이러한 리스크 스코어와 이상징후에 대응하기 위해 사용자의 능동적인 참여를 유도하여, “다중 인증 유도, 패스워드 변경 강제 요구, 재 인증절차 수행 유도, 격리 조치 등”을 수행하게 함으로써 머신에 의한 위협을 원천적으로 차단하는 효과를 가지며, 사용자 체감 향상과 사용자 보안인식 고취, 그리고 기업의 비즈니스에 영향이 없는 보안 조치를 안전하게 할 수 있도록 한다.
결론적으로 새로운 보안 패러다임의 탄생은 기업의 통합 AD계정 시스템 도입을 통한 효과적인 체계 구축과 더불어 그 동안 해소되지 못했던 횡면공격(Lateral movement) 방어와 선제적 보안 적용을 가능하게 할 수 있게 됐다.
새로운 보안 패러다임의 탄생으로 더 이상 AD도입과 AD보안의 문제는 양날의 검이 되지 못한다.
/김동호 기자 dongho@sedaily.com