1. 액티브 디렉토리(AD) 보안의 중요성
액티브 디렉토리(AD)는 마이크로소프트 윈도 환경에서 사용되는 서비스로, 디렉터리 내 사용자, 그룹, 서버 등에 대한 정보를 저장해 관리자가 네트워크 자원의 접근과 권한을 관리할 수 있도록 하는 서비스입니다. 그러나 AD는 해커의 공격 대상이 되기 쉽습니다. 최근 기업과 공공기관을 대상으로 AD 보안 사고가 빈번하게 일어나고 있습니다.
LG CNS가 만든 보안팀 ‘퍼플랩’은 각 기업 보안 담당자들에게 액티브 디렉토리(AD) 보안 사고와 관련해 경각심을 주기 위해 팔을 걷어 부쳤습니다. 퍼플랩은 대다수 해킹 사례에서 AD 도메인 관리자 권한을 얻기 위한 공격이 진행돼 각 기업들과 공공기관에서 이를 대비해야 한다는 점을 알리기 위해 보고서도 발행했습니다.
2. AD 보안 사고의 빈번함
국내 방산 기업 80여 곳을 조사한 결과, 대기업 방산업체 등 10여 곳이 기술 자료 탈취 등 피해를 본 것으로 알려졌습니다. 또한, 지난 2022년 11월 해킹 피해를 입었음에도 올해까지 모르고 있었던 사례도 있었다. 이러한 사고는 AD 네트워크 보안 침해를 막기 위한 퍼플랩의 역할과 AD가 취약한 공격 루트를 공개했다.
3. 퍼플랩의 역할과 방법
퍼플랩은 레드팀과 블루팀을 합쳐 대응하는 보안팀을 의미합니다. 레드팀은 화이트해커 20여 명으로 구성돼 있으며, 블루팀은 24시간 365일 스마트 보안관제센터를 운영하는 방어조를 뜻합니다.
퍼플랩은 가상의 AD 공격 시나리오로 레드팀과 블루팀의 역할을 나눠 임무를 수행했습니다. 레드팀은 모니커링크 취약점을 활용해 주요 타겟에게 공격 코드가 포함된 메일을 발송하며 초기 침투를 시도했습니다. 반면 블루팀은 초기 침투의 주 통로가 되는 모니커링크 취약점을 탐지·방어하는 데 주력했습니다.
3.1 레드팀의 공격 방법
레드팀은 초기 공격에 성공할 경우 디시싱크(DCSync)·실버티켓·골든티켓 공격을 통해 AD 정보를 탈취했습니다. 디시싱크 공격은 해커가 도메인 컨트롤러(DC)와 동일한 권한을 갖고 있는 것처럼 행동해 기업의 민감 정보에 접근을 시도하는 것을 뜻합니다. 해커의 공격 성공 시 기업의 민감한 정보를 복제할 수 있고 AD 네트워크 내 모든 계정 정보를 해커가 얻는 것이 가능합니다.
3.2 블루팀의 방어 방법
블루팀은 초기 보안 패치 설치가 대단히 중요하며 계정 탈취 과정에서 생기는 ‘티켓. 키어비(ticket.kirbi)’라는 이름의 골든 티켓 파일을 모니터링해서 찾아야 한다고 보고했습니다. 또한, 실버 티켓과 골든 티켓에 대해 놀이동산의 ‘자유이용권’ 같은 존재라고 비유했습니다. 실버 티켓이 생기면 해커는 서비스 계정의 권한에 접근할 수 있으며 골든 티켓 공격에 성공하면 AD 환경의 모든 리소스를 접근할 수 있어 보안에 구멍이 생기기 때문입니다.
4. AD 보안 취약점 진단 및 모의 침투 테스트
LG CNS 보안·솔루션사업부 배민 상무는 “해커들의 공격 대상이 내부망인 AD로 변화하는 추세”라며 “‘AD 보안 취약점 진단 컨설팅’ 및 ‘모의 침투 테스트’ 서비스를 통해 기업 고객들에게 사이버보안 전략을 제공하고 있다”고 말했다.
4.1 AD 보안 취약점 진단
AD 보안 취약점 진단은 기업이 AD 네트워크의 취약점을 발견하고 해결할 수 있도록 도와주는 서비스입니다. 이 서비스를 통해 기업은 AD 네트워크의 보안을 강화하고 해커의 공격을 예방할 수 있습니다.
4.2 모의 침투 테스트
모의 침투 테스트는 실제 해킹 공격을 시뮬레이션하여 기업이 보안 시스템의 취약점을 발견하고 보안을 강화할 수 있도록 도와주는 서비스입니다. 이 서비스를 통해 기업은 AD 네트워크의 보안을 강화하고 해커의 공격을 예방할 수 있습니다.
FAQ
Q1: 액티브 디렉토리(AD) 보안의 중요성은 무엇인가요?
A1: 액티브 디렉토리(AD)는 마이크로소프트 윈도 환경에서 사용되는 서비스로, 디렉터리 내 사용자, 그룹, 서버 등에 대한 정보를 저장해 관리자가 네트워크 자원의 접근과 권한을 관리할 수 있도록 하는 서비스입니다. 그러나 AD는 해커의 공격 대상이 되기 쉽습니다. 최근 기업과 공공기관을 대상으로 AD 보안 사고가 빈번하게 일어나고 있습니다.
Q2: 퍼플랩이란 무엇인가요?
A2: 퍼플랩은 레드팀과 블루팀을 합쳐 대응하는 보안팀을 의미합니다. 레드팀은 화이트해커 20여 명으로 구성돼 있으며, 블루팀은 24시간 365일 스마트 보안관제센터를 운영하는 방어조를 뜻합니다.
Q3: AD 보안 취약점 진단 및 모의 침투 테스트는 어떻게 작동하나요?
A3: AD 보안 취약점 진단은 기업이 AD 네트워크의 취약점을 발견하고 해결할 수 있도록 도와주는 서비스입니다. 이 서비스를 통해 기업은 AD 네트워크의 보안을 강화하고 해커의 공격을 예방할 수 있습니다. 모의 침투 테스트는 실제 해킹 공격을 시뮬레이션하여 기업이 보안 시스템의 취약점을 발견하고 보안을 강화할 수 있도록 도와주는 서비스입니다.