[아이티데일리] 윈도우(Windows) 운영체제(OS)에서 제공하는 계정 관리 서비스 ‘액티브 디렉토리(Active Directory, AD)’가 랜섬웨어 위협에 노출되고 있어 주의가 필요하다.

18일 정보보호 업계에 따르면, 공격자들은 AD 계정을 탈취해 내부 네트워크를 장악하고 랜섬웨어 감염을 일으키고 있다.

AD는 윈도우 OS 기반의 중앙 집중 관리 서비스다. 네트워크상 모든 장치에 그룹 정책(GPO)을 배포하거나 계정별로 접근 권한을 제어할 수 있어 많은 기업에서 AD를 사용 중이다. 글로벌 시장조사기관 프로스트 앤드 설리번(Frost & Sullivan)에 따르면, 포춘(Fortune) 선정 1,000대 기업 중 약 90%가 계정 인증 및 권한 부여에 AD를 활용 중인 것으로 나타났다.

AD가 제공하는 중앙 통제는 공격자에게도 유용한 도구다. 공격자는 AD 계정 하나만 탈취해도 내부 네트워크 전체를 장악하고 피해를 확산할 수 있다. 이는 AD가 모든 단말 계정과 연결돼 있기 때문이다.

실제 지난 2019년 AD를 사용하는 기업에서 ‘클롭(CLOP)’ 랜섬웨어 감염이 잇따랐다. 공격자는 악성 매크로가 담긴 피싱 이메일을 유포했다. 그다음 AD 계정을 탈취해 관리자 권한까지 획득했고 내부망에 랜섬웨어를 퍼뜨렸다.

한 보안업계 관계자는 “AD에는 모든 단말 계정이 연결돼 있다. 공격자는 특정 단말을 공격한 뒤 AD를 통해 네트워크 전반으로 악성코드를 퍼뜨릴 수 있다”며 “AD가 침해당하면 기업 시스템이 마비되는 상황으로 이어질 수 있다”고 말했다.

이러한 위험은 현재 진행형이다. 많은 기업은 VM웨어의 서버 가상화 솔루션 ‘브이스피어(vSphere)’와 AD를 연결해 사용자 접근 및 권한 관리를 간소화하고 있다. 하지만 구글 위협 인텔리전스 그룹(GTIG)은 지난달 24일 브이스피어와 AD를 통합하는 관행이 랜섬웨어 위험을 키운다고 지적하는 내용의 보고서를 발표했다.

GTIG에 따르면 브이스피어의 하이퍼바이저 ‘ESXi’는 AD 계정으로 로그인할 때 다중 인증(MFA)을 지원하지 않는다. AD 자격 증명을 탈취한 공격자는 추가 인증 없이 브이스피어와 관련된 관리자 권한까지 넘볼 수 있게 된다. GPO 등 AD에 제공하는 보안 정책이 ESXi에 적용되지 않는다는 문제도 있다.

GTIG는 “브이스피어를 겨냥한 랜섬웨어는 가상 디스크 파일(VMDK)을 암호화해 전체 인프라를 마비시키고 수십 개의 가상 머신을 한꺼번에 비활성화할 수 있다”며 “브이스피어 ESXi 전용 랜섬웨어는 2022년 약 2%에서 2024년 10% 이상으로 증가하는 등 위험은 현실화되고 있다”고 경고했다.

최근 사이버 범죄 조직 ‘스캐터드 스파이더(Scattered Spider)’는 AD와 VM웨어 브이스피어 간 통합을 악용해 기업들을 공격했다. 이 조직은 기업 내 IT 지원 부서 직원에게 접근한 뒤 사회 공학적 공격으로 속여 AD 계정을 탈취했다. 이를 통해 VM웨어 브이스피어에 접속해 ESXi 하이퍼바이저로 데이터를 유출하고 랜섬웨어를 배포할 수 있는 경로를 마련했다.

AD에 대한 랜섬웨어 위협을 막기 위해선 전용 보안 솔루션이 필요하다. 가령 실버포트(Silverfort)는 AD 환경을 관리하는 ‘도메인 컨트롤러(Domain Controller)’에서 작동하며 에이전트 없이도 MFA를 제공한다. 브이스피어처럼 MFA를 지원하지 않는 장비에서도 실버포트로 보안 수준을 높일 수 있다.

셈페리스(Semperis)는 AD에 대한 직접적인 공격에 대응하는 솔루션이다. ‘디렉터리 서비스 프로텍터(DSP)’로 온프레미스, 클라우드 등 AD 환경 전반에 대한 모니터링과 위협 감지를 제공한다. 파괴된 AD를 복구하는 데 특화된 기능을 갖춘 ‘AD 포레스트 리커버리(ADFR)’도 지원한다.

보안업계 관계자는 “국내 기업 중 상당수는 AD를 전담 관리하는 보안 조직이 없다. 이러한 문제로 인해 AD가 보안 사각지대에 노출될 수 있다”며 “솔루션 도입뿐 아니라 조직 차원에서 내부 AD 보안 상황을 점검하고 체계를 정비하는 노력이 함께해야 한다”고 조언했다.