[아이티데일리] IT 인프라의 ‘중앙 신경망’인 액티브 디렉토리(Active Directory, 이하 AD)가 랜섬웨어 등 사이버 공격의 표적이 되고 있다. 공격자들은 AD를 장악하면 시스템 전체가 멈춘다는 사실을 알고 더욱 정교한 공격을 펼치고 있다. 하지만 국내 기업 대다수는 AD에 대한 전담 인력조차 두지 않은 채 방치하고 있다.

보안 사각지대에 놓인 AD를 지키기 위해 굿모닝아이텍과 네오아이앤이가 손을 잡았다. 두 회사는 셈페리스(Semperis), 실버포트(Silverfort) 등 글로벌 솔루션을 바탕으로 다층적 보안 체계를 제공한다는 계획이다. 굿모닝아이텍 장재혁 이사와 네오아이앤이 채홍소 상무를 만나 두 회사가 그려가는 AD 보안의 청사진을 들어 봤다.

공격자의 표적이 된 ‘AD’

AD는 마이크로소프트(MS)에서 제공하는 윈도우(Windows) 운영체제(OS) 기반의 중앙 집중 관리 서비스다. 기업은 이 서비스를 활용해 사용자 계정, 컴퓨터, 프린터 등 네트워크상 모든 단말과 정보를 하나의 체계로 운영할 수 있다. AD 하나만으로도 서버, 클라이언트에 공통 정책(Group Policy, GPO)을 배포하거나 계정별로 다른 접근 권한을 부여하는 일이 가능하다.

하지만 이러한 편의성은 양날의 검이기도 하다. 공격자는 취약한 단말을 통해 AD 계정을 탈취하고, 이 계정의 권한을 관리자 수준으로 높이는 작업을 거쳐 내부 네트워크를 장악할 수 있다. AD를 손에 쥔 공격자는 내부망을 돌아다니며 침해를 지속적으로 일으키며 작동 중인 보안 솔루션을 무력화 할 수도 있다.

네오아이앤이 채홍소 상무는 “AD에는 모든 단말 계정이 담겨 있다. 공격자는 이를 악용해 특정 단말에 침투한 뒤에 AD를 통해 다른 서버로 옮겨 다니며 네트워크 전체로 피해를 확산할 수 있다”며 “최근 들어 백도어(Backdoor) 악성코드를 설치하고 공격을 지속하는 사례가 늘고 있다. 이 경우 모든 단말과 연결된 AD는 표적이 되기 십상이다”라고 설명했다.

잇단 랜섬웨어 피해…정작 국내 대응은 미흡

실제 2019년 AD를 사용하는 기업을 표적으로 ‘클롭(CLOP)’ 랜섬웨어가 기승을 부렸다. 공격자들은 피싱 이메일로 악성 매크로가 담긴 문서 파일을 유포했다. 이 매크로를 통해 원격제어 악성코드를 AD 시스템에 설치하고, 취약점을 이용해 실행 권한을 관리자 수준까지 상승시켰다. 그다음 AD와 연결된 시스템에 작업 스케줄을 통해 클롭 랜섬웨어를 배포함으로써 기업 내부를 마비시켰다.

이러한 심각한 위협에도 국내 많은 기업에서 AD는 보안 사각지대에 놓여 있다. AD를 위한 명확한 역할과 책임이 없는 경우가 많은 데다, 그마저도 보안팀이 아닌 운영팀이 관리하다 보니 편의성이 우선시되고 있다.

채홍소 상무는 “기업은 방화벽, 침입방지시스템(IPS) 등 각 영역에 보안 담당자를 지정한다. 그런데 국내에서 AD는 보통 운영팀이 담당할뿐더러 보안을 관리하는 책임도 부여되지 않은 편”이라며 “방치된 AD는 시한폭탄이다. 일단 침해당하면 기업 시스템 전반이 마비되는 위험에 처할 수 있어 대비가 필요하다”고 지적했다.

“셈페리스·실버포트로 AD 보안 수준 높인다”

이런 상황에서 굿모닝아이텍은 네오아이앤이와 손잡고 국내 AD 보안 사업 강화에 나섰다. 그 중심에 ‘셈페리스(Semperis)’가 있다. 셈페리스는 온프레미스(On-premise)와 클라우드 환경을 아우르는 하이브리드 AD 보안 전문기업이다.

굿모닝아이텍과 네오아이앤이는 셈페리스 제품군 중 ‘디렉터리 서비스 프로텍터(Directory Serivces Protector, 이하 DSP)’와 ‘액티브 디렉터리 포레스트 리커버리(Active Directory Forest Recovery, 이하 ADFR)’을 국내에 공급하고 있다. DSP는 하이브리드 AD 환경에 대한 실시간 모니터링과 위협 탐지 기능을 제공한다. ADFR은 침해된 시스템을 복구하는 데 특화된 솔루션으로 악성코드 재감염을 방지하기 위한 클린 OS 복구 기능 등을 지원한다.

두 회사는 셈페리스와 함께 ID 보안 플랫폼 실버포트(Silverfort)로 신원 기반 위협 탐지 및 대응 역량도 강화하고 있다. 실버포트는 전체 인증에 대한 가시성을 제공하며, 비정상 행위를 실시간 감시해 선제적으로 차단할 수 있다.

특히 실버포트는 AD의 도메인 컨트롤러(Domain Controller)에 어댑터를 설치해 별도의 에이전트나 프록시 변경 없이 레거시 애플리케이션에서도 다중 인증(MFA)을 구현한다. 도메인 컨트롤러는 AD에서 사용자 인증, 권한 부여 등을 관리하는 마스터 서버다.

굿모닝아이텍 장재혁 이사는 “셈페리스, 실버포트 같은 글로벌 솔루션을 국내에 선보이며 AD 보안의 저변을 넓히고 있다”며 “네오아이앤이와 손잡고 국내 AD 시장을 선도하는 리더가 되는 것이 목표”라고 강조했다.

“예방·탐지·대응 아우르는 다층적 보안 체계 구현”

Q. 셈페리스 DSP가 제공하는 강점은 무엇인지.

장재혁: “셈페리스 DSP는 AD에 대해 예방하고 탐지하며 대응할 수 있다. 취약점을 진단해 위험을 사전에 막고, AD 내 변경 사항을 모니터링하는 기능을 갖추고 있다. 악의적 사용자가 침투해 망가뜨리거나 아니면 내부 직원이 실수로 계정을 삭제하는 일도 발생할 수 있다. DSP는 실시간으로 AD 객체를 복구하는 기능을 제공한다.”

“셈페리스 DSP는 하이브리드 AD 관리 역량이 강점이다. 기업은 온프레미스(On-premise) 환경뿐 아니라 MS 애저(Azure)를 비롯한 클라우드 환경에서도 업무를 처리한다. MS는 클라우드 기반 ID 및 접근 관리 서비스인 ‘엔트라 ID(Entra ID)’를 제공하고 있다. MS 365 같은 서비스형 소프트웨어(SaaS)는 엔트라 ID를 통해 계정을 관리한다. 셈페리스 DSP는 온프레미스, 클라우드를 모두 포괄하는 AD 보안을 지원한다.”

채홍소: “MS에서도 AD 보안 솔루션을 제공하고 있다. 하지만 클라우드에 집중하고 있으며 온프레미스는 상대적으로 약한 편이다. 다양한 인프라 환경에 걸쳐 AD를 보호하기 위해서는 셈페리스처럼 하이브리드 AD 보안을 제공하는 솔루션이 필요하다.”

Q. AD 복구를 위해 셈페리스 ADFR처럼 전문화된 솔루션이 필요한 이유는.

채홍소: “AD는 각기 다른 ‘보안 식별자(Security Idnetifier, SID)’를 갖고 있어 복구 과정이 까다롭다. 보안 식별자는 사용자, 그룹에 부여되는 고유 식별번호다. AD 환경에서 권한을 관리하고 자원에 대한 접근을 제어하는 데 중요한 역할을 한다.”

“AD를 복원하는 과정에서 SID 값을 살리지 못한다면 본래 역할을 하지 못하게 된다. 일반적인 백업 솔루션은 AD의 SID 값을 복원하지 못한다. 이름, 정보 등을 이전과 같은 상태로 돌려놓아도 SID 값은 복구하지 못하는 것이다. 이 때문에 겉보기에는 동일한 개체 같지만 실제로는 작동하지 않는 문제가 발생한다. 전문적인 AD 복구 솔루션이 필요한 이유다.”

“셈페리스 ADFR은 SID를 비롯해 AD에서 신뢰 관계를 구성하는 ‘포레스트(Forest)’ 전체를 되살린다. OS를 새롭게 설치하는 과정을 거침으로써 AD가 악성코드에 재감염될 우려를 불식한다. 또한 자동화된 복구 프로세스로 기존 백업 솔루션 대비 90% 정도 빠른 속도를 자랑한다.”

Q. 또 다른 핵심 솔루션인 ‘실버포트’는 어떻게 AD를 보호하는지.

채홍소: “실버포트는 인증 단계에서 발생하는 모든 행위를 실시간으로 감시하고 위협을 탐지 및 차단하는 AD 보안 솔루션이다. 공격자는 대개 비정상적 인증 과정을 통해 시스템에 침투한다. 이러한 위협을 막기 위해서는 시스템에서 이뤄지는 인증을 모두 볼 수 있어야 한다. 실버포트는 인증에 대한 가시성을 확보하는 모니터링 체계를 제공한다.”

“나아가 AD 시스템 앞단에서 비정상 접근을 다중 인증(MFA)으로 한 차례 걸러내는 역할도 수행한다. 에이전트나 프록시 없이 레거시 애플리케이션에서도 MFA를 지원하도록 구현해 보안 수준을 한층 높였다. 모든 인증이 거쳐 가는 관문 역할을 하는 만큼 보안이 더욱 중요하다. 실버포트는 MS와 공동으로 솔루션 개발 및 테스트를 수행해 안정성을 높였다.”

Q. 셈페리스와 실버포트를 함께 활용했을 때 어떤 효과가 있는지.

채홍소: “기업들은 셈페리스 DSP·ADFR, 그리고 실버포트로 예방, 탐지, 대응에 이르는 다층적 방어 체계를 세울 수 있다. 셈페리스 DSP는 취약점 제거와 AD 객체 관리에 강점이 있다. 셈페리스 DSP로 시스템에 산재한 위협 노출 지표(IoE)와 침해 지표(IoC)를 관리한다. 취약점을 보완하더라도 채워지지 않는 지점이 있기 마련이다. 실버포트는 모든 인증에 대한 가시성을 확보하고 접근을 실시간 통제해 강력한 방패 역할을 한다.”

“완전한 보안이란 없다. 셈페리스 DSP가 내부 체계를 강화하고 실버포트로 외부 접속을 관리할 수 있지만, 공격자들은 다양한 수법으로 잘 갖춰진 보안 솔루션마저 무력화하기도 한다. 셈페리스 ADFR은 이러한 최악의 상황에 대비하는 최후의 보루다. 셈페리스 ADFR은 AD 환경 일체를 빠른 속도로 복구함으로써 서비스 장애를 최소화하는 데 기여한다.”

“아직 생소한 AD…취약점 진단 등 저변 확대 힘쓴다”

Q. 양사가 운영하는 ‘원데이 AD 진단 서비스’에 대해 소개해 달라.

장재혁: “굿모닝아이텍과 네오아이앤이는 기업이 AD 보안 실태를 확인할 수 있도록 ‘원데이 AD 진단 서비스’를 지난 4월부터 제공하고 있다. 이 서비스는 전문 컨설턴트가 신청 기업을 방문해 총 6개 카테고리에서 120여 개 항목을 중심으로 시스템을 진단한다. 구체적으로 △위협 요소 △계정 관리 △서비스 현황 △그룹 정책 관리(GPO) △인증 프로토콜 △클라우드 기반 엔트라 ID가 주된 점검 대상이다. 비정상적으로 많은 권한이 부여된 AD 객체가 있는지, SMB v1 프로토콜처럼 오래전에 개발돼 보안이 취약한 기술이 쓰이진 않는지 등을 살펴본다.”

“진단에 오랜 시간이 걸리지 않는다. 단말에서 진단 도구를 실행하면 10~15분 만에 결과를 점수로 확인할 수 있다. 위험 항목에 대한 상세 정보를 설명하는 보고서도 함께 제공된다. 이후 발견된 취약점은 무엇이며 어떤 조치가 필요한지를 컨설턴트가 안내한다. 일련의 과정은 1시간 내외 정도면 마무리된다.”

Q. ‘원데이 AD 진단 서비스’를 받은 기업들의 반응은 어떤지.

장재혁: “지금까지 30여 개 기업에 서비스를 제공했다. 100점 만점에 60점을 기록하는 곳이 여럿이었고, 예상보다 낮은 점수에 충격을 받은 곳도 있었다. 세부 항목은 위험도에 따라 크리티컬(Critical), 하이(High), 미디움(Medium) 등으로 분류되는데 가장 위험한 크리티컬에 해당하는 문제도 자주 발견됐다. 참여 기업들은 AD 진단 서비스를 계기로 경각심을 갖고 개선에 나서고 있다. 굿모닝아이텍에서도 이러한 노력을 뒷받침하고자 항목별로 대응 방법을 안내하고 있다.”

채홍소: “진단 도구는 셈페리스에서 마이터 어택(MITRE ATT&CK) 프레임워크 등 글로벌 표준을 참조해 만든 것이다. 소요 시간은 짧아도 결과의 정확도는 높다고 자신한다. 또한 AD를 개발한 MS에서 권고하는 보안 지침은 무엇이며, 그와 비교할 때 기업의 현재 상황은 어느 정도인지도 살펴볼 수 있다.”

“기업들이 진단 결과를 확인한 뒤 바로 대응하는 것은 아니다. 기업 내부적으로 다시 한번 논의하고 검토하는 시간이 필요하다. 그래도 일부 기업에서 셈페리스나 실버포트 도입을 문의하거나 AD 보안 전반을 재정립하기 위해 도움을 요청하는 등 성과가 조금씩 확인되고 있다.”

Q. 솔루션 도입 외에 기업이 해야 할 노력은 무엇이 있는가.

채홍소: “현재 상황을 파악하는 일부터 시작해야 한다. 시스템이 어떤 위험에 노출될 수 있으며, 이에 대한 준비 수준은 어느 정도인지 확인하는 일이 급선무다. 원데이 AD 진단 서비스처럼 외부 전문가를 통한 시스템 점검도 한 가지 방법이다.”

“조직 차원에서는 AD 보안 전담팀을 마련할 필요가 있다. 많은 국내 기업은 AD를 보안팀이 아니라 운영팀에서 관리하며, 그마저도 담당자가 없는 경우가 많다. 이러한 문제로 인해 AD는 아무도 신경 쓰지 않는 사각지대에 놓이게 된다. 기업이 AD 보안을 강화하기 위해선 이 사각지대를 없애는 작업이 조직적으로 이뤄져야 한다.”

Q. AD 보안 시장에서 이룩하고자 하는 목표는.

장재혁: “굿모닝아이텍과 네오아이앤이는 국내 AD 보안에 표준을 제시하고 전반적인 수준을 향상하기 위해 노력하고 있다. 셈페리스, 실버포트처럼 국내에선 생소하나 전 세계적으로 인정받는 솔루션을 알리는 한편, 취약점을 진단하고 보안 컨설팅을 제공함으로써 AD 보안의 저변을 확대하는 활동을 지속할 예정이다.”

채홍소: “AD 보안의 ‘우수 사례’를 제시하고자 한다. 많은 기업이 AD 보호의 중요성을 이해하지 못하거나, 필요성에는 공감하지만 구체적인 방법을 찾지 못하는 경우가 많기 때문이다. 굿모닝아이텍과 네오아이앤이는 셈페리스, 실버포트 등 여러 솔루션을 활용해 AD 보안을 위한 청사진을 제공하는 데 주력하고 있다.”

“국내 보안 수준을 높이는 데에도 깊은 책임감을 느낀다. 이러한 방향성에서 원데이 AD 진단 서비스를 시작했다. 때로는 비용이 들더라도 AD 보안이 얼마나 중요한지 기업 스스로 깨닫게 하는 것이 우선이라고 판단했다. 저변이 확대되고 인식이 개선될 때 비로소 시장이 건강하게 성장할 수 있다. 그것이 양사가 추구하는 지향점이다.”