[기고] 단말 및 AD 서버에 대한 사이버 보안 강화가 중요한 이유

채홍소 퀘스트소프트웨어 컨설턴트
채홍소 퀘스트소프트웨어 컨설턴트

랜섬웨어 위협은 1989년 시작된 이례로 꾸준히 증가하고 있으며, 수법도 다양해지고 있다. 초기에 단순한 파일 암호화 수준에서 최근에는 유출된 데이터로 협박하는 형태에 더해서 랜섬디도스(RDDos) 랜서마이너(Rasominer)라는 새로운 형태의 공격이 생겨났다.

여기에서 주목할 부분은 데이터이고 이러한 데이터에는 기업의 중요한 정보, 시스템접근 계정 정보, 개인정보 등이 포함되어 있다. 그런데 데이터들로 수익창출이 가능하다면 앞으로 랜섬웨어는 지속적으로 증가하고 수법도 다양해질 것으로 예상된다.

기업들은 오래전부터 랜섬웨어에 대응해왔으며 새로운 형태의 위협 대응을 위해 기존 체계를 고도화 하거나 새로운 방어체계를 구축하고 있다. 일반적인 다층 방어체계는 아래와 같이 구분할 수 있다.

일반적인 기업의 다층 방어체계
일반적인 기업의 다층 방어체계

이러한 다층방어 체계에서 기본이면서 핵심은 위협을 방지하는 것이다. 그래서 대부분의 보안영역이 여기에 집중되어 있고 대부분의 기업에서 많은 비용이 여기에 사용되고 있다.

단말 환경에서 보안을 위해 개선해야할 점

위협방지는 중요성만큼 전문화된 솔루션들을 통해서 잘 대응되고 있는 영역이지만 최근 단말 환경이 윈도우10으로 변화하면서 몇 가지 부분들은 보안강화 측면에서 좀더 개선이 필요한 부분이 있다.

첫번째는 GPO기반 OS Hardening인데 윈도우 10 단말에 대해서 대부분의 국가들이 컴플라이언스로 GPO기반 Hardening을 하고 있는데 아직 국내는 이에 대한 대비가 안되고 있다. Windows 10 기반 단말환경이라면 이에 대해서 적극적인 대응이 필요하다.

두번째는 패치관리이다. 패치관리는 오래전부터 운영되고 있는 영역으로 새삼스럽게 이야기할 필요가 없을 만큼 누구나 중요하다고 생각하고 있다. 그러나 많은 기업들이 컴플라이언스를 만족하기 위한 솔루션으로 인식하면서 컴플라이언스라는 최소의 요건을 만족하는 형태로만 운영되고 있다. 패치는 사전에 보안위협을 제거하는 가장 확실하면서 기본이 되는 요건임으로 컴플라이언스라는 틀이 아닌 보다 적극적인 보안강화라는 측면에서 접근이 필요하다.

랜섬웨어 하면 복구 솔루션이 주요한 영역으로 인식되고 있고 실제로도 많은 조사에서 랜섬웨어 대응에 핵심 영역으로 백업/복구를 고려하고 있는 것으로 조사된다. 물론 백업/복구는 중요한 영역이지만 최근의 랜섬웨어 형태에 효율적으로 대응하려면 탐지가 선제적으로 검토되어야 한다. 백업/복구는 암호화된 파일 복구에는 유용하지만 데이터 탈취를 통한 협박에는 대응하지 못하기 때문이다.

이런 것들을 대응하기 위한 탐지는 내부에서의 위협이 전파되는 것을 탐지하여 피해를 최소화하는 것이다. 여기에서의 중요한 것은 단말이다. 즉 대부분의 랜섬웨어는 단말간 이동을 통해서 내부로 전파됨으로 단말간 전파를 탐지하는 것이 탐지의 핵심이라고 볼 수 있다.

AD 보안의 중요성

그럼 이러한 전파를 위해서 반드시 필요한 정보는 무엇일까? 단말간 전파에서 가장 필요한 정보는 접속을 하기 위한 계정 및 권한이 필수적이고 필요에 따라서 단말의 보안을 무력화 하기 위한 수단도 필요로 된다.
이러한 요건에 주요한 공격대상이 되는 것이 AD(Active Directory)이다. AD는 모든 단말에 대한 정보, 접속계정, 권한 및 GPO라고 하는 보안설정에 대한 관리도 제공하고 있다. 즉, AD는 랜섬웨어뿐만 아니라 모든 보안위협에서 주요한 공격대상이 될 수 밖에 없다.

일반적인 랜섬웨어 전파경로를 보면 아래와 같다.

랜섬웨어 전파경로
랜섬웨어 전파경로

그동안 AD는 보안영역에서 환영 받지 못하는 미운오리새끼 와 같은 존재였다. 그러나 단말 환경이 바뀌고 재택근무와 같은 근무환경의 변화로 보안취약성이 증가하면서 그동안 드러나지 않았던 AD에 대한 보안취약성들이 나타나고 있다.

이에 대한 시작은 AD에 대한 관리프로세스에서의 보안 취약점에서부터 시작한다. 여기에서 이야기하는 관리프로세스의 보안 취약점은 허용되지 않은 접근이나 변경이 통제되고 최소권한관리를 통하여 필요한 권한만을 할당하여 추가적인 권한부여로 인하여 발생하는 문제를 사전에 차단하는 개념이다. 이는 AD가 제공하는 기능의 한계(접근제어, 세분화된 권한할당 등)와 AD를 운영관점에서만 바라보게 되면서 좀더 강력한 보안측면에서의 관리프로세스가 만들어지지 못하였다고 보여 진다.

또한 AD에서 발생하는 변경들에 대한 가시성을 가져야만 효율적인 실시간 감시체계 구축이 가능하다. 당연히 복구는 어떤 형태로든 필수적인 요소라고 볼 수 있다. 이러한 복구에서 고려되어야 할 요소는 AD의 특성에 맞는 백업/복구 모델을 제공하는 것이다.

이렇게 3가지 영역이 AD 보안의 핵심영역으로 AD 보안의 글로벌 리더이자 국내에 처음 AD 보안 개념을 소개한 퀘스트소프트웨어는 보호 관점에서 관리프로세스에서의 접근통제 및 통합관리 솔루션인 GPOAdmin과 Active Roles를, 탐지 관점에서 내/외부 위협에 대한 실시간 탐지를 위한 Change Auditor, 복구 관점에서 온라인 기반 AD 전문 복구 솔루션인 Recovery Manager for AD 제공하고 있다. 여기에서 보호 영역에서의 AD의 핵심 2가지 데이터인 GPO을 위한 GPOAdmin과 계정정보를 위한 Active Roles로 구분된다.

AD를 통한 위협의 전파는 대부분 정상적인 관리 프로세스와 구분하기 어려운 형태로 진행되므로 일반적인 보안 제품들로는 이를 효율적으로 보안하기 어렵고 이로 인한 피해가 막대해 전문적인 솔루션이나 관리 방법론이 필요하다. 퀘스트소프트웨어는 AD 서비스에 최적화된 솔루션을 보호, 탐지, 복구 전 영역에 제공하고 있다. 기업들이 AD 보안을 강화하고 기업 비즈니스 연속성을 유지하기 위한 최적의 선택지가 될 것이다.

AD 보안에 최적화된 퀘스트소프트웨어 솔루션
AD 보안에 최적화된 퀘스트소프트웨어 솔루션

채홍소 퀘스트소프트웨어 컨설턴트, 검색엔진, 그룹웨어, SSO, Framework 솔루션 및 애플리케이션 및 인프라 아키텍처를 개발했다. 다양한 성능관리 통합 솔루션 컨설팅 및 구축 경험으로 네트워크 트래픽 기반 성능 및 보안 솔루션과 계정 및 마이크로소프트 기반 플랫폼 보안 솔루션 컨설턴트로 활동하고 있다.