Active Directory가 도입된 이후 25년 이상 동안 다양한 Active Directory 보안 모범 사례가 제시되었습니다. 여기에는 최소 권한 원칙의 엄격한 적용, 의심스러운 활동 모니터링, 정기적인 보안 인식 교육 실시 등 모든 ID 시스템에 적용되는 핵심 사례가 포함됩니다. 그룹 정책 을 면밀히 준수하고, 공격 경로 관리 및 공격 경로 모니터링을 도입하고 , 세분화된 복구와 재해 복구를 모두 포함하는 견고한 Active Directory 백업 및 복구 전략을 구축하는 등 Active Directory에 특화된 다른 모범 사례도 있습니다 . Quest는 수년간 IT 전문가가 Active Directory 보안 모범 사례를 이해하고 구현할 수 있도록 이 블로그 게시물 과 이 전자책을 포함한 다양한 리소스를 제공해 왔습니다.

 

이러한 Active Directory 보안 모범 사례는 여전히 필수적이지만, 오늘날 위협 행위자들은 신원 정보에 점점 더 집중하고 있습니다. Active Directory는 전 세계 기업의 90% 이상에서 주요 인증 및 권한 부여 디렉터리로 사용되고 있기 때문에 사이버 공격의 주요 표적이 되고 있습니다. 외부 보안을 강화한다고 해서 AD 보안이 보장되는 것은 아닙니다. AD 보안에 대한 가장 큰 위협은 내부에서 발생하며, 내부자 오용의 절반 이상이 권한 남용과 관련이 있기 때문입니다.

 

따라서 이 글에서는 ID 위협과 특별히 관련된 5가지 주요 Active Directory 보안 모범 사례에 대해 자세히 살펴보겠습니다.

 

배경

먼저 Active Directory 보안이 정확히 무엇인지, 견고한 AD 보안 태세가 왜 중요한지, 그리고 조직이 Active Directory 보안 모범 사례를 구현하여 방어해야 할 위협 유형이 무엇인지 살펴보겠습니다.

 

Active Directory 보안이란 무엇인가요?

　Active Directory 보안은 조직의 Active Directory 환경을 공격자의 무단 접근, 내부자의 오용, 데이터 유출 및 기타 사이버 위협으로 부터 보호하는 데 사용되는 전략, 도구, 구성 및 모범 사례를 의미합니다. Active Directory 보안은 인증, 권한 부여, 액세스 제어, 활동 모니터링 및 감사, 알림 및 자동 응답, 취약성 관리 등 광범위한 영역을 포괄합니다.

　Active Directory는 ID 및 권한 정보를 저장하고 대부분의 비즈니스 프로세스를 지원하는 서비스를 제공하기 때문에 AD 침해는 심각한 결과를 초래할 수 있습니다. Active Directory 보안은 일회성 절차나 구성이 아니라 빠르게 변화하는 위협 환경에서 역동적인 IT 생태계를 보호하기 위한 지속적인 프로세스라는 점을 이해하는 것이 중요합니다.

 

Active Directory를 보호하는 것이 왜 중요한가요?

　Active Directory는 Microsoft 365와 같은 클라우드 워크로드를 도입한 기업을 포함하여 대부분의 조직에서 여전히 중요한 인프라 구성 요소입니다. 실제로 Active Directory는 온프레미스 및 하이브리드 Microsoft 기반 IT 환경 모두에서 거의 모든 사용자와 시스템의 자격 증명과 권한을 보관하기 때문에 "왕국의 열쇠"라고 불리기도 합니다. 이러한 핵심적인 역할 때문에 Active Directory는 위협 행위자에게 매우 중요한 표적이 되며, 전 세계 조직에서 Active Directory 보안 모범 사례를 최우선 과제로 삼고 있습니다.

　AD에 대한 무단 접근은 마치 도난당한 카드 키를 소지한 것과 같습니다. 공격자가 건물 안으로 들어오면 엘리베이터를 타고 사무실을 돌아다니고, 책상을 열고, 서랍을 뒤질 수 있습니다. 실제로 공격자는 더 이상 방화벽과 같은 경계 제어를 우회하여 네트워크에 침투하지 않습니다. 피싱 등의 수법을 통해 훔치거나 다크웹에서 구매한 합법적인 AD 자격 증명을 사용하여 로그인합니다. 이러한 초기 발판을 바탕으로 공격자는 다른 시스템으로 이동하여 권한을 확대하고, 잠재적으로 AD 도메인을 완전히 제어할 수 있습니다. 이러한 활동은 모든 인증된 사용자가 전체 Active Directory 구조를 읽을 수 있도록 허용하는 Active Directory의 설계 덕분에 가능합니다.

　더욱이, 온프레미스 Active Directory를 침해하는 공격자는 조직의 클라우드 환경으로도 침투할 수 있는 경우가 많습니다. 대부분의 조직은 사용자에게 리소스에 대한 원활한 액세스를 제공하기 위해 하이브리드 구성에서 Active Directory를 Entra ID와 동기화하기 때문입니다.

 

Active Directory에 대한 일반적인 위협은 무엇입니까?

 

오늘날 적대 세력은 Active Directory에 침투하여 목표를 달성하기 위해 기본적인 공격부터 정교한 캠페인까지 광범위한 전술을 사용합니다.

 

초기 접근을 위한 전략은 다음과 같습니다.

• 비밀번호 스프레이, 자격 증명 채우기, 무차별 대입 공격과 같은 비밀번호 관련 전략

• 피싱 , 소셜 엔지니어링, AI 기반 딥페이크를 사용하여 사용자를 속여 자격 증명을 포기하게 함

 

특권 확대 및 수평 이동을 위한 전술은 다음과 같습니다.

• 보안이 취약한 자격 증명 저장소를 악용하는 Pass-the-Hash 및 Pass-the-Ticket 공격

• Kerberoasting 은 Active Directory에서 서비스 계정 티켓을 추출하여 오프라인으로 크랙하여 권한이 있는 계정에 액세스하는 것을 말합니다.

• 골든 티켓 공격은 공격자가 KRBTGT 계정 해시를 사용하여 Kerberos 인증 티켓을 위조하여 AD 도메인에 무제한으로 액세스하는 공격입니다.

• 제한 없는 위임, 과도한 권한, 레거시 암호화 및 인증 프로토콜 사용과 같은 Active Directory의 잘못된 구성 악용

• 그룹 정책 남용

 

현대의 다양한 사이버 위협으로부터 Active Directory를 보호하기 위한 모범 사례는 무엇입니까?

이러한 배경 지식을 바탕으로 오늘날 가장 흔한 공격 유형인 ID 관련 위협을 방어하기 위한 주요 Active Directory 보안 모범 사례로 넘어가 보겠습니다.

 

모범 사례 #1: 계층형 관리 모델을 사용하세요.

계층형 액세스 모델은 앞으로 논의할 모든 Active Directory 보안 모범 사례의 기반을 제공합니다. 엔터프라이즈 액세스 모델이라고도 하는 이 모델은 시스템의 중요도에 따라 여러 수준으로 구분합니다. 원래 계층형 모델은 온프레미스 환경을 위해 설계되었지만, 최신 버전은 하이브리드 IT 생태계 전반의 액세스 보안을 지원합니다.

계층 수에 대한 정의된 제한은 없지만 핵심 모델은 세 가지 계층을 정의합니다.

 

• Tire 0 에는 공격자가 도메인을 완전히 장악할 수 있는 모든 중요 자산이 포함됩니다. 1단계의 주요 자산은 다음과 같습니다.

o 도메인 관리자 및 백업 운영자와 같은 권한이 있는 계정 및 강력한 보안 그룹

o 중요한 애플리케이션이나 중요한 콘텐츠를 호스팅하는 도메인 컨트롤러 (DC) 및 서버와 같은 강력한 머신

o 주요 그룹 정책 개체

o Active Directory 도메인 또는 포리스트 간 트러스트

• Tire 1 에는 0계층을 관리하거나 상호 작용하지만 덜 중요한 시스템이 포함됩니다. 예를 들어 이메일 서버, 파일 서버, 관리 서버와 이러한 서버에 대한 관리 권한을 가진 모든 계정이 포함됩니다.

• Tire 2에는 서비스를 사용하지만 표준 비즈니스 사용자의 계정 및 노트북과 같은 중요 인프라를 관리하지 않는 애플리케이션, 사용자 및 기기가 포함됩니다. 또한 기본 헬프데스크 기술자와 같이 2계층 자산에 대한 관리자 권한이 있는 계정도 포함됩니다.

 

모범 사례 #2: 모든 Tier 0 자산을 이해하고 보호하세요.

적대 세력은 조직의 가장 강력하고 민감한 IT 자산을 손상시키는 데 주력하고 있으므로, 두 번째 중요 Active Directory 보안 모범 사례는 Tier 0을 보호하는 데 중점을 둡니다.

 

Tier 0을 보호하는 가장 기본적인 방법은 특정 계층의 자산이 더 중요한 계층의 자산에 접근하지 못하도록 차단하는 것입니다. 이러한 명확한 경계를 설정하면 공격자가 네트워크를 가로질러 이동하여 중요 시스템에 접근하는 것을 방지할 수 있습니다. 계층화의 기본 규칙은 다음과 같습니다.

 

• 더 높은 권한이 있는 계층의 자격 증명은 하위 계층 시스템에 노출되어서는 안 됩니다. 특히, 계층 0 계정의 자격 증명은 계층 0이 아닌 시스템에 노출되어서는 안 되며, 계층 0에 속하지 않는 자산은 계층 0에서 제공하는 서비스를 사용할 수 없어야 합니다. 예를 들어, 관리자는 도메인 관리자 자격 증명을 사용하여 비즈니스 사용자 워크스테이션에 로그온해서는 안 됩니다.

• 하위 계층 자격 증명은 상위 계층에서 제공하는 서비스를 사용할 수 있지만, 그 반대는 불가능합니다. 예를 들어, Tier 0을 관리할 수 있는 관리자는 Tier 1 또는 Tier 2의 시스템을 관리할 권한이 없어야 하며, Tier 2 시스템은 Tier 0과 Tier 1의 사용자를 인증하고 서비스를 사용할 수 있지만, 관리할 수는 없습니다.

• 더 높은 권한이 있는(번호가 낮은) 계층을 관리할 수 있는 모든 시스템이나 사용자 계정은 의도한 대로든 아니든 해당 계층의 구성원이 됩니다.

 

또한 특정 유형의 Tier 0 자산에 대해 Active Directory 보안 모범 사례를 준수하십시오. 예를 들어, 물리적 및 네트워크 액세스를 제한하고, 최신 상태로 유지하고 패치를 적용하며, 불필요한 소프트웨어를 모두 제거하여 도메인 컨트롤러를 보호하는 것이 중요합니다. 관리 자격 증명을 보호하려면 네트워크의 나머지 부분과 분리되어 웹브라우징 및 이메일 사용으로부터 보호되는 강화된 시스템인 권한 액세스 워크스테이션(PAW)에서만 해당 자격 증명을 사용할 수 있도록 허용하십시오.

 

모범 사례 #3: 가능한 모든 중요한 Tier 0 자산을 잠그세요.

일부 Tier 0 자산은 매우 활발하게 활동합니다. 예를 들어, 도메인 컨트롤러는 사용자가 비밀번호를 업데이트하거나 새 시스템 또는 애플리케이션에 대한 액세스 권한을 부여받을 때마다 수정됩니다. 따라서 Tier 0 전체를 잠그면 비즈니스 운영이 완전히 중단될 수 있습니다.

 

하지만 엄격한 승인 절차 없이는 절대 변경해서는 안 되는 매우 민감한 Active Directory 개체가 여러 개 있습니다. 여기에는 도메인 관리자와 같은 강력한 보안 그룹 뿐만 아니라 허용 가능한 인증 프로토콜, 계정 잠금 정책, 이동식 미디어 사용 제한 등을 제어하는 중요한 GPO도 포함됩니다.

 

이 Active Directory 보안 모범 사례를 네이티브 도구로 구현하는 것은 쉽지 않습니다. 그러나 일부 타사 변경 관리 솔루션을 사용하면 중요하다고 판단되는 AD 개체의 변경을 차단할 수 있을 뿐만 아니라, 지정된 IP 주소 범위에서만 AD 계정 변경을 허용하는 등 더욱 유연한 제약 조건을 정의할 수 있습니다.

 

모범 사례 #4: Tier 0을 모니터링하고 원치 않는 변경 사항을 되돌릴 준비를 하세요.

가장 중요한 Active Directory 보안 모범 사례 중 하나는 의심스러운 활동을 모니터링하는 것이며, 특히 Tier 0 자산에 중요합니다. 위협을 감지하는 방법은 여러 가지가 있습니다. 먼저, 알려진 공격 전술과 침해 지표(IOC)를 주의 깊게 살펴보십시오. 골든 티켓 공격과 관련된 활동, mimikatz와 같은 해킹 도구 사용, AD 데이터베이스 복사 시도 등이 그 예입니다. 또한, 정상적인 동작의 기준을 설정하고 비정상적인 DC 복제, 중요 서버 접근 시도 또는 그룹 정책 수정 시도와 같은 의심스러운 활동을 면밀히 감시하십시오.

 

이 Active Directory 보안 모범 사례의 두 번째 구성 요소는 계층 0 개체의 원치 않는 변경 사항을 빠르고 정확하게 되돌릴 수 있도록 하는 것입니다. Microsoft AD 휴지통은 특정 유형의 개체 삭제만 감지하고 개체 수정은 감지하지 못하기 때문에 이 작업에 도움이 되지 않습니다. 따라서 조직에는 변경된 내용을 정확히 파악하고 개체를 알려진 정상 상태로 세부적으로 복원할 수 있는 강력한 백업 및 복구 솔루션이 필요합니다.

 

모범 사례 #5: 위협이 진행 중일 때 Tier 0 전체를 일시적으로 잠글 수 있어야 합니다.

이는 최신 Active Directory 보안 모범 사례 중 하나입니다. 최근에야 구현이 가능해졌기 때문입니다. 앞서 언급했듯이 특정 중요 객체는 변경되지 않도록 보호할 수 있지만, 모든 Tier 0 자산을 잠글 수는 없습니다. 모든 Tier 0 자산을 잠그면 공격자의 목표 달성은 막을 수 있지만, 비즈니스 프로세스는 제대로 작동하지 못하게 됩니다.

 

대신, 조직에 필요한 것은 능동적인 위협이 감지되면 모든 중요 자산의 접근을 즉시 차단할 수 있는 능력입니다. 이를 통해 공격자의 목표 달성을 막고, 장시간의 다운타임부터 막대한 비용의 재구축, 법적 및 규정 준수 관련 문제까지, 본격적인 보안 사고로 인한 막대한 피해를 피할 수 있습니다.

이러한 Active Directory 보안 모범 사례는 기본 제공 Active Directory 컨트롤을 사용해서는 달성할 수 없으며, PowerShell 기반 해결 방법조차도 ID 수준에서 진정한 즉각적인 잠금을 시행할 수 없습니다. 그러나 이제 한 가지 보안 솔루션이 버튼 하나만 누르면 Tier 0 자산에 대한 포괄적인 보호를 제공합니다. 비상 상황이 해결되면 일반적인 관리 제어도 마찬가지로 쉽게 복원할 수 있습니다.

 

결론

Active Directory 보안 모범 사례를 이해하고 구현하는 것은 값비싼 데이터 유출, 다운타임 및 규정 준수 위반을 방지하는 데 필수적입니다. 최근 위협 행위자들이 신원 정보에 점점 더 집중하는 상황에서, 조직은 계층형 관리 모델을 구현하고 Tier 0 자산을 엄격하게 보호함으로써 여기에 제시된 Active Directory 보안 모범 사례들을 우선적으로 적용하는 것을 고려해야 합니다.