기업 노리는 새로운 사이버 위협 ‘AD 탈취’ 보안대책 집중해부

출처 : https://www.boannews.com/media/view.asp?idx=86125

기업 노리는 새로운 사이버 위협 ‘AD 탈취’ 보안대책 집중해부

한국인터넷진흥원(KISA)는 기업에서 사용하는 중앙관리서버(AD서버)에 침투해 랜섬웨어를 감염시키는 신종 공격이 확산되고 있어 기업 보안담당자의 각별한 주의가 필요하다고 긴급 공지했다. KISA는 공격자가 윈도우 서버를 타깃으로 침투한 후, 기업 내부망과 연결된 백업서버의 자료를 손상시키는 랜섬웨어를 유포시킨다고 설명하면서, 특히 기업의 중앙전산자원 관리서버(AD서버)를 주요 타깃으로 공격을 감행하고 있다고 덧붙였다. 

 

보안기업 SK인포섹은 2019년 7월 이메일을 이용해 기업 시스템에 침투한 뒤 피해를 확산시키기 위해 AD서버를 장악하는 시도가 늘고 있다고 밝혔다. AD를 이용하면 다수 시스템의 관리자 계정과 설정, 정책 배포 등을 효율적으로 관리할 수 있다. 반면에 AD서버가 공격자에게 장악될 경우에는 내부망 권한도 함께 넘겨주게 된다. 권한을 확보한 공격자는 윈도우 파일 공유 프로토콜(SMB) 기능을 이용해 악성파일을 여러 곳에 전파할 수 있다. SK인포섹은 최초 이메일로 침투해 AD서버를 장악하고, 윈도우SMB 기능을 통해 여러 시스템으로 악성파일을 전파하는 행위가 공식처럼 이뤄지고 있다면서, AD서버가 장악되는 것은 마치 도둑에게 아파트 전 세대의 출입문 키를 통째로 넘겨주는 것과 같다고 설명했다.

 

상황이 이렇게 심각해지자 KISA는 2019년 4월 안전한 AD 운영을 위한 ‘AD 관리자가 피해야할 6가지 AD 운영사례’를 긴급 발표하고 사용자 주의 및 점검방안을 소개했다. KISA는 피해원인 분석 및 재발방지를 위해 사고 분석을 진행하면서 AD 환경에 존재하는 관리적 취약점으로 인해 랜섬웨어가 전파된 것을 확인했다고 밝혔다. 예를 들면, KISA는 2019년 2월 22일 ‘보안공지’로 ‘AD서버를 공격하는 랜섬웨어(CLOP) 주의’를 발표했다.

---

AD계정 보호를 위한 다섯 가지 대책

 

①계정관리 및 접근통제 강화_ 단말기 보안 강화

다양한 단말 보안의 방법 중 비용대비 높은 효과를 보여주는 것이 단말기에서 Admin계정을 제거해 침해 사고를 미연에 방지하는 것

 

②계정관리 및 접근통제 강화_ 접근통제 강화

강화된 접근통제는 일반적인 ID/Password를 통한 접근이 아니라 승인기반의 접속(관리자에 의해 허용된 접속만 가능)이나 허용된 IP에서의 접속만을 허용하는 것

 

③가시성 및 감사 엔터프라이즈리포터(Enterprise Reporter)는 보안팀에서 보안 가시성을 확보해 사전에 운영단계에서 검증하기 어려운 보안 취약점을 보안감사 차원에서 손쉽게 확인 가능한 리포트를 제공

 

④이상 징후 탐지 및 대응_ 이상 징후 탐지
보안관점에서 체계적인 관리가 되더라도 서비스 운영 중에는 예측되지 않은 보안 이슈들이 발생함으로써 실시간 보안관제가 필요하게 되는데, 이때 필요한 제품이 체인지 오디터(Change Auditor)

 

⑤이상 징후 탐지 및 대응_ 이상 징후 대응

 

---

액티브디렉터리로 조직을 쉽게 운영할 수 있지만 관리자 계정을 탈취하면 모든 권한을 탈취할 수 있는 것이나 마찬가지이기 때문에 권한 탈취를 막기위한 보안성을 강화해야한다. AD를 대상으로 공격하는 공격자들이 많아지고 있고 심각성이 나타나고 있다.