Home > 전체기사
기업 노리는 새로운 사이버 위협 ‘AD 탈취’ 보안대책 집중해부
  |  입력 : 2020-02-03 13:51
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
AD 관리자가 피해야할 6가지 AD 운영사례 살펴보니
퀘스트소프트웨어코리아, AD계정 보호를 위한 5가지 대책 제시


[보안뉴스 원병철 기자] 지난해부터 보안담당자들에게 떠오르는 이슈가 하나 있다. 바로 AD(Active Directory)다. AD는 마이크로소프트 서버를 이용할 때 사용하는 하나의 프로그램이자 서비스로, ID와 패스워드 등 계정관리와 정책 배포 등 다수의 시스템을 효율적으로 관리할 수 있도록 도와준다. 다수의 윈도우 시스템을 관리할 수 있는 편리성 때문에 많은 기업들이 AD 서비스를 찾지만, 이는 반대로 AD 권한만 탈취할 수 있으면 내부망을 장악할 수 있다는 말도 된다. 그리고 실제로 이러한 문제들이 필드에서 발생했다.

[이미지=Dreamstime]


2018년부터 2019년 사이 국내외 주요 제조사들을 노린 랜섬웨어가 기승을 부리면서 상당수의 공장들이 큰 피해를 입는 사건들이 연이어 발생했다. 사이버공격을 감행한 범죄그룹들은 다양한 방법으로 랜섬웨어를 퍼트렸는데, 대표적인 방법이 바로 이메일과 AD(Active Directory)를 노려 피해를 확산시키는 것이었다.

AD 서버 노린 공격 급증
한국인터넷진흥원(KISA)는 기업에서 사용하는 중앙관리서버(AD서버)에 침투해 랜섬웨어를 감염시키는 신종 공격이 확산되고 있어 기업 보안담당자의 각별한 주의가 필요하다고 긴급 공지했다. KISA는 공격자가 윈도우 서버를 타깃으로 침투한 후, 기업 내부망과 연결된 백업서버의 자료를 손상시키는 랜섬웨어를 유포시킨다고 설명하면서, 특히 기업의 중앙전산자원 관리서버(AD서버)를 주요 타깃으로 공격을 감행하고 있다고 덧붙였다. 더욱이 CLOP 랜섬웨어는 인터넷 또는 내부망에 연결된 윈도우 운영체제 기반 백업 서버도 공격해 복구가 불가능하도록 손상시키고 있다.

안티랜섬웨어 전문기업 체크멀도 국내 기업을 표적으로 한 악성 메일을 통해 사전에 백도어를 설치해 내부 시스템 정보를 확인한 후, CLOP 랜섬웨어 공격을 추가적으로 진행하여 피해를 주고 있다고 밝혔다. CLOP 랜섬웨어는 2019년 2월부터 국내 AD 서버 감염을 통해 피해를 주기 시작했으며, 5월까지 유사한 공격을 감행했다. 특히, 한글로 작성한 메일에 첨부된 MS 엑셀 문서 파일을 실행하여 매크로(Macro) 기능을 활성화할 경우 백도어를 설치하여 공격을 준비하는 특징이 있다고 체크멀은 설명했다.

보안기업 SK인포섹은 2019년 7월 이메일을 이용해 기업 시스템에 침투한 뒤 피해를 확산시키기 위해 AD서버를 장악하는 시도가 늘고 있다고 밝혔다. AD를 이용하면 다수 시스템의 관리자 계정과 설정, 정책 배포 등을 효율적으로 관리할 수 있다. 반면에 AD서버가 공격자에게 장악될 경우에는 내부망 권한도 함께 넘겨주게 된다. 권한을 확보한 공격자는 윈도우 파일 공유 프로토콜(SMB) 기능을 이용해 악성파일을 여러 곳에 전파할 수 있다. SK인포섹은 최초 이메일로 침투해 AD서버를 장악하고, 윈도우SMB 기능을 통해 여러 시스템으로 악성파일을 전파하는 행위가 공식처럼 이뤄지고 있다면서, AD서버가 장악되는 것은 마치 도둑에게 아파트 전 세대의 출입문 키를 통째로 넘겨주는 것과 같다고 설명했다.

국내외 주요 기업들 노린 랜섬웨어+AD 공격
△2018년 11월_국외 지사 PC에서 시작된 AD계정 탈취 사건

2018년 11월 A기업에서 AD계정 탈취로 인한 랜섬웨어 감염사고가 발생했다고 KISA는 밝혔다. 국외 지사의 단말PC를 통해 AD 서버의 Admin 계정을 탈취해 기업 시스템 전체를 장악해 내부 정보를 빼내고 AD서버를 통해 랜섬웨어를 전체 PC로 확산시킨 사례다. 실제 침해사고는 7일 전으로 추측되나 당시 시스템에서는 아무런 로그가 존재하지 않아 단말 PC의 정확한 침해 경로는 파악되지 않았다.

△2019년 2월_기업 임직원 해킹한 뒤 AD 서버를 해킹한 사건
러시아에 기반을 둔 사이버 범죄그룹 ‘TA505’는 2019년 상반기 CLOP 랜섬웨어를 국내에 유포시켰다고 보안기업 NSHC는 밝혔다. 특히, 2019년 2월 한국 특정기업의 임직원을 대상으로 스피어피싱 이메일을 발송했고, 기업 내부망을 해킹했다. 이들은 최종적으로 AD서버를 해킹해 기업 내부 네트워크 전체를 장악했으며, CLOP 랜섬웨어를 AD서버에서 유포해 네트워크와 연결된 수많은 PC가 감염됐다.

2019년 3월_대만 대표 기업 에이수스(ASUS)의 공급망 해킹 사건
2019년 3월에는 CLOP/CIOP 랜섬웨어 공격과 대만 컴퓨터 제조사인 에이수스(ASUS)의 공급망 해킹사고가 있었다. SK인포섹은 “CLOP 랜섬웨어는 메일의 첨부 파일에 삽입된 매크로(Flawed Ammyy RAT) 기능을 통해 유포된다”면서, “먼저 AD 구성 상태를 검증하고, AD가 구성 중인 경우에만 랜섬웨어가 유포되고 악성행위를 시작한다”고 설명했다.

주목할 점은 기업에서 AD를 많이 사용한다는 점을 이용해 기업을 대상으로 CLOP 랜섬웨어를 유포한 사실이다. 에이수스 공급망 해킹사고는 에이수스의 소프트웨어 펌웨어 업데이트 서버가 해킹돼 업데이트 파일로 위장한 악성코드가 업로드되면서 시작됐다. 100만 명이 넘는 고객이 위장된 악성코드를 내려받은 것으로 알려졌으며, 실제 표적이 된 장비는 600여대 정도인 것으로 확인됐다.

AD 관리자가 피해야할 6가지 AD 운영사례
상황이 이렇게 심각해지자 KISA는 2019년 4월 안전한 AD 운영을 위한 ‘AD 관리자가 피해야할 6가지 AD 운영사례’를 긴급 발표하고 사용자 주의 및 점검방안을 소개했다. KISA는 피해원인 분석 및 재발방지를 위해 사고 분석을 진행하면서 AD 환경에 존재하는 관리적 취약점으로 인해 랜섬웨어가 전파된 것을 확인했다고 밝혔다. 예를 들면, KISA는 2019년 2월 22일 ‘보안공지’로 ‘AD서버를 공격하는 랜섬웨어(CLOP) 주의’를 발표했다.

연이은 AD 관리자 계정 탈취를 통한 내부망사고 대응을 통해 확인한 공격기법과 AD 서버 관리방안을 담은 ‘AD 관리자 계정 탈취 침해사고 분석 기술 보고서’도 공개됐다.

AD 환경에서 Administrator 계정은 기본적으로 △Domain Admins △Enterprise Admins △Group Policy Creator Owners △Schema Admins이라는 AD 그룹에 속해 있다. 해당 그룹에 속해있음으로써 해당 도메인에 대한 관리 권한을 얻게 된다. 이 때문에 Administrator 계정을 4개 그룹에서 모두 제외시키면 관리자로써 권한을 잃게 된다. 이 중 Domain Admins와
Enterprise Admins 그룹은 도메인에 대한 전체 권한을 갖고 있으며, 나머지 두 그룹은 계정과 도메인에 대한 권한을 갖고 있지만 앞의 두 그룹보다는 제한적으로 권한을 갖고 있다.

특히, AD 환경에서 악성코드가 전파되는 사고 대부분이 ‘관리자 그룹’ 계정이 탈취돼 발생했다고 판단한 KISA는 취약한 AD 관리 사례들을 총 6가지로 정리했다.

①발급된 모든 계정이 AD ‘관리자 그룹’에 포함되어 있는 경우
AD에 연결된 서버와 PC 중 한 대만 해킹당하더라도 AD 관리자 그룹 계정이 유출될 수 있다. 이를 점검하기 위해서는 ‘도구 - Active Directory 사용자 및 컴퓨터 - Users - ‘관리자 그룹’ 내 구성원(계정) 확인’을 해야 한다.

②관리자가 AD ‘관리자 그룹’ 계정으로 각 서버에 로그온해서 관리하는 경우
각 서버 및 PC에 일반 사용자 계정을 발급하더라도 서비스 관리 등의 이유로 AD ‘관리자 그룹’ 계정으로 접속한 이력이 있는 시스템이 해킹 될 경우 AD ‘관리자 그룹’ 계정이 유출될 수 있다. 이를 점검하기 위해서는 AD ‘관리자 그룹’ 계정으로 로그온 하는 서버를 확인해야 한다.

③AD에 Join된 서버에 AD ‘관리자 그룹’ 계정으로 실행되는 서비스 존재
AD에 Join돼 있는 서버에 일반 사용자 계정으로 로그온 하더라도 그룹웨어 솔루션이나 백업 솔루션 등의 서비스를 AD ‘관리자 그룹’ 계정으로 실행하기 위해 권한 상승한 이력이 있는 경우 해당 서버 해킹만으로 AD ‘관리자 그룹’ 계정이 유출될 수 있다. 이 경우, 재부팅을 하더라도 서비스가 올라오면서 해당 서비스를 동작시키는 계정의 권한을 인증하는 과정을 거치기 때문에 계정 정보가 메모리에 남게 된다. 이에 불가피하게 AD ‘관리자 그룹’ 권한이 필요한 서버인 경우 더욱 철저한 보안관리가 필요하다. 점검 방법은 작업 관리자에서 동작중인 프로세스 사용자 이름이 ‘관리자 그룹’ 계정인지 확인하면 된다.

④AD ‘관리자 그룹’ 계정의 비밀번호 변경이 어려운 환경인 경우
AD에 Join 된 각 서버에서 AD ‘관리자 그룹’ 권한이 필요한 서비스를 운영하는 중 AD ‘관리자 그룹’ 계정 유출이 의심되어 비밀번호를 변경해야 하는 상황을 가정해보면, 서버 운영방식에 따라 다를 수 있지만 AD ‘관리자 그룹’ 계정 비밀번호를 정적으로 설정하는 경우 개별 서버마다 접근해서 수동으로 변경해줘야 한다. 이때 비밀번호를 신속하게 변경할 수 있는 체계가 갖추어져 있지 않는 경우 비밀번호 변경 자체를 포기해 더 큰 피해가 발생할 수 있다.

⑤백업 서버가 AD에 Join 되어 있는 경우
랜섬웨어에 감염되는 경우 복구를 위해서는 백업 서버의 역할이 중요하다. 하지만 관리자 권한이 탈취된 AD에 백업 서버가 Join 되어 있는 경우 같이 감염 복구가 불가능하게 될 수 있다. 백업 서버가 AD에 Join돼 있는지 확인하는 방법은 시스템 설정에서 소속그룹(도메인)을 확인하거나, IP 설정에서 DNS 서버 IP를 확인하면 된다.

⑥AD에 Join된 서버들 중에 최신 보안 업데이트가 돼있지 않은 서버가 있는 경우
AD ‘관리자 그룹’ 권한 이상의 권한으로 로그온 하는 서버가 최신 보안 업데이트가 되어 있지 않은 경우 공격자가 취약점을 악용해 AD ‘관리자 그룹’ 권한을 탈취할 수 있다. 점검방법은 AD ‘관리자 그룹’으로 하는 서버들의 운영체제 업데이트 현황을 확인하면 된다.

KISA는 AD가 관리자 입장에서 다수의 윈도우 시스템들을 관리하기에 편리한 서비스이지만, 모든 하위 시스템과 연결돼 있다는 점에서 보안 측면에서는 더 위험하다고 설명했다. 특히, AD DC(Domain Controller)의 경우 통신하는 트래픽 양이 상당해 서버에 드러나는 흔적이 확인되지 않는 한 침해여부를 확인하기 어렵다고 강조했다. 또한, 공격자는 악성코드 전파와 같은 행위를 위해 ‘관리자 그룹’ 권한 이상의 권한을 필요로 하기 때문에 계정 관리가 더욱 중요하다. 이를 위해 ‘관리자 그룹’의 권한으로 로그온하거나, 관리하는 서버들을 최소화하는 것이 좋다.

▲AD 보안을 위한 구성 예시[자료=퀘스트소프트웨어코리아]


AD계정 보호를 위한 다섯 가지 대책
국내의 환경과 AD의 서비스 영역의 확대와 맞물려서 증가하고 있는 AD보안 사건들에 대해 보안기업 퀘스트소프트웨어코리아(이하 퀘스트)는 해결책을 제시했다. AD보안 사건에서 가장 중요한 보안 이슈는 AD계정 탈취가 이뤄졌다는 점이다. 일단 AD계정의 탈취는 모든 시스템에 접근이 가능하게 된다는 것을 의미하기 때문에 AD계정의 탈취를 사전에 차단하고 실시간으로 이를 감지 및 대응체계를 만드는 것이 AD보안의 핵심이다. 퀘스트는 이러한 KISA 권고안과 관련해 3개 영역에 대한 전문화된 제품을 통해서 AD보안을 획기적으로 개선해 준다.

①계정관리 및 접근통제 강화_ 단말기 보안 강화
기업 내에서 보안에 가장 취약한 부분은 단말이며, 이러한 단말 보안을 강화하는 것은 기업 보안 강화의 핵심요소이다. 다양한 단말 보안의 방법 중 비용대비 높은 효과를 보여주는 것이 단말기에서 Admin계정을 제거해 침해 사고를 미연에 방지하는 것이다. 이는 국내에서 금융 컴플라이언스 대상이기도 하다. 프리빌리지 매니저 포 윈도우(Privilege Manager for windows)는 비용효율적으로 단말기에서 Admin 계정 제거에 따라 사용자의 권한 축소로 인해 발생할 수 있는 사용상의 불편사항을 해소시켜 주며, 보안성을 한층 높여 준다.

②계정관리 및 접근통제 강화_ 접근통제 강화
AD와 같이 특별하게 중요한 시스템은 일반적인 시스템과 다르게 강화된 접근통제가 필요하다. 즉, 강화된 접근통제는 일반적인 ID/Password를 통한 접근이 아니라 승인기반의 접속(관리자에 의해 허용된 접속만 가능)이나 허용된 IP에서의 접속만을 허용하는 것을 의미한다. 또한, 필요하면 AD시스템에 접속하는 모든 작업은 녹화돼 향후 원인 분석에 사용돼야 하고, 민감한 서비스(서비스 중지 가능한 화면에 접근, AD Group Policy 편집 화면 접근 등)를 사용할 때는 관리자에게 실시간 알람이 가능하게 구성돼 AD 시스템의 이상 접근으로 인한 계정 탈취가 불가능에 가깝게 운영돼야 한다. 이러한 운영은 세이프가드(Safeguard)를 통해 가능하다.

③가시성 및 감사 엔터프라이즈리포터(Enterprise Reporter)는 보안팀에서 보안 가시성을 확보해 사전에 운영단계에서 검증하기 어려운 보안 취약점을 보안감사 차원에서 손쉽게 확인 가능한 리포트를 제공한다. 별도의 회사 보안정책들에 대해서도 별도의 사용자 정의 리포트를 생성해 손쉽게 감사가 가능하다.

▲다양한 AD 보안 기능[자료=퀘스트소프트웨어코리아]


④이상 징후 탐지 및 대응_ 이상 징후 탐지
보안관점에서 체계적인 관리가 되더라도 서비스 운영 중에는 예측되지 않은 보안 이슈들이 발생함으로써 실시간 보안관제가 필요하게 되는데, 이때 필요한 제품이 체인지 오디터(Change Auditor)다. 체인지 오디터는 실시간으로 로그인 및 보안 이슈와 연관된 변경내역들에 대한 실시간 알람을 제공해 보안 이슈의 즉각적인 대응이 가능하게 한다. 이때 실시간 보안관제 대상에는 윈도우 이벤트들도 포함되는데, 이 경우 인트러스트(InTrust)를 통해서 통합 실시간 이벤트 관제 구성이 가능하다.

⑤이상 징후 탐지 및 대응_ 이상 징후 대응
보안이슈가 발생되면 가장 먼저 분석이 필요한 것이 개별 윈도우 시스템의 이벤트 내역이다. 이러한 이벤트는 인트러스트를 통해서 중앙에 취합돼 장기간 보관돼 손쉽고 빠르게 원인 분석이 가능해진다. 데이터의 이상 변경, 서비스, 시스템의 손상이 발생해 서비스에 문제가 발생하게 되면, 이는 단순히 AD서비스의 장애가 아니라 연결된 시스템의 접속이나 권한문제로 인해 업무 및 보안이슈가 발생한다. 이에 대한 대응으로 AD전문 복구 솔루션인 리커버리 매니저 포 AD(Recovery Manager for AD)가 있으며, 이를 통해서 완벽한 복구체계 구성이 가능하다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)