LG CNS 퍼플랩의 모의 해킹 공격과 방어 훈련 담은 첫 결과물
글로벌 사이버 위협 관련 빅데이터를 기반으로 해커들의 AD 공격 기법 분석
AD 해킹 유형 ‘커버로스팅’, ‘디시싱크’, ‘모니커링크’ 등 10개로 분류 및 대응방안 제시
[보안뉴스 김영명 기자] DX전문기업 LG CNS(대표 현신균)가 오는 9월 26일 웨비나를 열고 ‘보안 취약점 심층분석 보고서’를 공개한다고 밝혔다. 현재 LC CNS는 온라인으로 웨비나 참여 신청을 받고 있다.
▲LG CNS가 오는 9월 26일 웨비나를 열고 ‘보안 취약점 심층분석 보고서’를 공개한다고 밝혔다[사진=LG CNS]
LG CNS의 사내조직으로 사이버 공간에서 활동하는 ‘퍼플랩(Purple Lab)’은 이 보고서에서 글로벌 위협 인텔리전스(Threat Intelligence, TI) 빅데이터를 참고한 10개의 대표 액티브 디렉터리(Active Directory, AD) 공격 기법을 분류했다. LG CNS는 이를 토대로 레드팀(Red Team)이 공격하고 블루팀(Blue Team)이 방어하는 모의훈련을 진행해 10개의 시나리오와 시나리오별 보안 대응책을 보고서에 담았다.
LG CNS는 특히 이번 보고서에서 많은 해커가 공격 대상으로 삼는 AD 취약점에 대해 다뤘다. AD는 전 세계 수많은 기업이 효율적으로 인프라와 구성원을 관리하기 위해 사용하고 있는 서비스다. 기업들은 AD를 활용해 기업 내부 구성원들의 사용자 계정과 권한을 중앙에서 관리할 수 있다. 해커가 AD를 장악하게 되면, 기업 구성원들의 계정을 도용해 내부 기밀 데이터를 손쉽게 탈취할 수 있다. 또한 해커는 AD 정보로 기업의 여러 시스템에 침투해 바이러스를 심고 시스템을 중단시킬 수도 있다. 이처럼 AD 해킹 공격은 기업에 치명적인 피해를 줄 수 있어 보안 중요도가 높다.
LG CNS가 꼽은 주요 AD 공격 기법은 △커버로스팅(Kerberoasting) 공격 △디시싱크(DCSync) 공격 △모니커링크(Moniker Link) 취약점 공격 △패스더해시(Pass-the-Hash) 공격 △골든티켓(Golden Ticket) 공격 등 10개다.
‘커버로스팅(Kerberoasting) 공격’은 AD 네트워크에서 공유폴더, 데이터베이스 등의 서비스를 이용하기 위해 사용자가 발급받는 티켓(허가권)을 공격, 취약한 계정의 비밀번호를 획득하는 공격이다. 티켓은 사용자 계정의 비밀번호를 조합해 만들어진다. 이를 스마트폰 도난 상황에 비유하면, A가 B의 스마트폰을 탈취해(커버로스 티켓 발급 요청) 스마트폰 잠금 해제를 시도하고(해커의 티켓 공격) 비밀번호를 알아내면 스마트폰 데이터에 접근(계정 권한으로 시스템 접근)하는 것과 같다. 이 공격을 방어하기 위해서는 △대문자, 특수기호 등을 포함한 8자리 이상의 복잡한 비밀번호 사용 △최소한 90일마다 주기적인 비밀번호 변경 △비밀번호 취약점 지속 모니터링 등이 필요하다.
‘디시싱크(DCSync) 공격’은 해커가 도메인 컨트롤러(윈도 서버 도메인 안에서 로그인 및 이용권한 확인 등 보안 인증 요청에 응답하는 서버)와 같은 권한을 갖고 있는 것처럼 행동해 도메인 컨트롤러 간 동기화 요청을 수행하고, 기업의 민감 정보에 접근을 시도하는 것을 뜻한다. 도메인 컨트롤러는 사용자 자격 증명 업데이트와 같은 변경 사항을 동기화하기 때문에 도메인 복제 권한을 갖고 있다. 이는 해커의 타깃이 되는 이유이기도 하다. 해커가 디시싱크(DCSync) 공격을 하게 되면 도메인 컨트롤러로 가장해 기업의 민감 정보를 복제하고, 모든 도메인 유저의 계정 정보를 획득하게 될 수 있다. 보안 전문가가 해커의 공격 흔적을 찾아 후속 공격을 방어하기 위해서는 △주체 계정 △개체 서버 △이벤트로그 속성까지 모두 검토해야 한다.
일반적으로 해커들은 여러 개의 취약점을 동시에 공격한다. LG CNS는 보고서에서 해커들의 지능화된 AD 공격으로 발생할 수 있는 기업 내부 데이터 유출 위험성에 대해 경고하고 있다. 복잡하고 동시다발적인 해커들의 AD 공격을 방어하기 위해서 기업들은 보안기업에 의뢰해 컨설팅을 받고, 모의 해킹 방어훈련도 주기적으로 해야 한다.
LG CNS는 이번 웨비나를 통해 ‘보안 취약점 심층분석 보고서’를 상세 소개하고, AD 보안 강화 전략을 수립하는 방법에 대해 논의할 예정이다. 이번 보고서는 9월 26일부터 LG CNS 홈페이지에서 내려받을 수 있다.
LG CNS 퍼플랩은 해킹 공격에 대한 심층분석과 방어 전략을 통합해 보안 수준을 한 단계 높이기 위한 목적으로 올해 신설됐다. 퍼플랩은 기존의 레드팀과 블루팀 멤버들로 구성되어 있다. 레드팀은 시스템을 모의 해킹하고 공격하는 역할을 수행하며, 스마트 보안관제센터를 365일 24시간 운영하는 블루팀은 방어조를 담당한다.
퍼플랩 인력 대다수는 한국인터넷진흥원(KISA) ‘K쉴드’와 ‘SW보안약점진단원’, 한국정보기술연구원(KITRI) ‘베스트 오브 더 베스트(BOB)’ 등 정부기관의 인증을 받은 보안 전문가들이다. 이들은 기업 고객의 서버·시스템·애플리케이션 등을 클라우드 환경에 유사하게 구축한 가상대결 공간인 해킹랩(Hacking LAB)에서 모의해킹 공격, 방어 훈련을 하면서 침투 예상 시나리오를 다양화하고 대비책을 만든다.
LG CNS 배민 보안·솔루션사업부장(상무)은 “해커들의 공격 대상이 내부망인 AD로 변화하는 추세”라며 “LG CNS는 ‘AD 보안 취약점 진단 컨설팅’ 및 ‘모의침투 테스트’ 서비스를 통해 기업 고객들에게 차별적인 사이버 보안 전략을 제공하고 있다”고 강조했다.
[김영명 기자(boan@boannews.com)]
글로벌 사이버 위협 관련 빅데이터를 기반으로 해커들의 AD 공격 기법 분석
AD 해킹 유형 ‘커버로스팅’, ‘디시싱크’, ‘모니커링크’ 등 10개로 분류 및 대응방안 제시
[보안뉴스 김영명 기자] DX전문기업 LG CNS(대표 현신균)가 오는 9월 26일 웨비나를 열고 ‘보안 취약점 심층분석 보고서’를 공개한다고 밝혔다. 현재 LC CNS는 온라인으로 웨비나 참여 신청을 받고 있다.
▲LG CNS가 오는 9월 26일 웨비나를 열고 ‘보안 취약점 심층분석 보고서’를 공개한다고 밝혔다[사진=LG CNS]
LG CNS의 사내조직으로 사이버 공간에서 활동하는 ‘퍼플랩(Purple Lab)’은 이 보고서에서 글로벌 위협 인텔리전스(Threat Intelligence, TI) 빅데이터를 참고한 10개의 대표 액티브 디렉터리(Active Directory, AD) 공격 기법을 분류했다. LG CNS는 이를 토대로 레드팀(Red Team)이 공격하고 블루팀(Blue Team)이 방어하는 모의훈련을 진행해 10개의 시나리오와 시나리오별 보안 대응책을 보고서에 담았다.
LG CNS는 특히 이번 보고서에서 많은 해커가 공격 대상으로 삼는 AD 취약점에 대해 다뤘다. AD는 전 세계 수많은 기업이 효율적으로 인프라와 구성원을 관리하기 위해 사용하고 있는 서비스다. 기업들은 AD를 활용해 기업 내부 구성원들의 사용자 계정과 권한을 중앙에서 관리할 수 있다. 해커가 AD를 장악하게 되면, 기업 구성원들의 계정을 도용해 내부 기밀 데이터를 손쉽게 탈취할 수 있다. 또한 해커는 AD 정보로 기업의 여러 시스템에 침투해 바이러스를 심고 시스템을 중단시킬 수도 있다. 이처럼 AD 해킹 공격은 기업에 치명적인 피해를 줄 수 있어 보안 중요도가 높다.
LG CNS가 꼽은 주요 AD 공격 기법은 △커버로스팅(Kerberoasting) 공격 △디시싱크(DCSync) 공격 △모니커링크(Moniker Link) 취약점 공격 △패스더해시(Pass-the-Hash) 공격 △골든티켓(Golden Ticket) 공격 등 10개다.
‘커버로스팅(Kerberoasting) 공격’은 AD 네트워크에서 공유폴더, 데이터베이스 등의 서비스를 이용하기 위해 사용자가 발급받는 티켓(허가권)을 공격, 취약한 계정의 비밀번호를 획득하는 공격이다. 티켓은 사용자 계정의 비밀번호를 조합해 만들어진다. 이를 스마트폰 도난 상황에 비유하면, A가 B의 스마트폰을 탈취해(커버로스 티켓 발급 요청) 스마트폰 잠금 해제를 시도하고(해커의 티켓 공격) 비밀번호를 알아내면 스마트폰 데이터에 접근(계정 권한으로 시스템 접근)하는 것과 같다. 이 공격을 방어하기 위해서는 △대문자, 특수기호 등을 포함한 8자리 이상의 복잡한 비밀번호 사용 △최소한 90일마다 주기적인 비밀번호 변경 △비밀번호 취약점 지속 모니터링 등이 필요하다.
‘디시싱크(DCSync) 공격’은 해커가 도메인 컨트롤러(윈도 서버 도메인 안에서 로그인 및 이용권한 확인 등 보안 인증 요청에 응답하는 서버)와 같은 권한을 갖고 있는 것처럼 행동해 도메인 컨트롤러 간 동기화 요청을 수행하고, 기업의 민감 정보에 접근을 시도하는 것을 뜻한다. 도메인 컨트롤러는 사용자 자격 증명 업데이트와 같은 변경 사항을 동기화하기 때문에 도메인 복제 권한을 갖고 있다. 이는 해커의 타깃이 되는 이유이기도 하다. 해커가 디시싱크(DCSync) 공격을 하게 되면 도메인 컨트롤러로 가장해 기업의 민감 정보를 복제하고, 모든 도메인 유저의 계정 정보를 획득하게 될 수 있다. 보안 전문가가 해커의 공격 흔적을 찾아 후속 공격을 방어하기 위해서는 △주체 계정 △개체 서버 △이벤트로그 속성까지 모두 검토해야 한다.
일반적으로 해커들은 여러 개의 취약점을 동시에 공격한다. LG CNS는 보고서에서 해커들의 지능화된 AD 공격으로 발생할 수 있는 기업 내부 데이터 유출 위험성에 대해 경고하고 있다. 복잡하고 동시다발적인 해커들의 AD 공격을 방어하기 위해서 기업들은 보안기업에 의뢰해 컨설팅을 받고, 모의 해킹 방어훈련도 주기적으로 해야 한다.
LG CNS는 이번 웨비나를 통해 ‘보안 취약점 심층분석 보고서’를 상세 소개하고, AD 보안 강화 전략을 수립하는 방법에 대해 논의할 예정이다. 이번 보고서는 9월 26일부터 LG CNS 홈페이지에서 내려받을 수 있다.
LG CNS 퍼플랩은 해킹 공격에 대한 심층분석과 방어 전략을 통합해 보안 수준을 한 단계 높이기 위한 목적으로 올해 신설됐다. 퍼플랩은 기존의 레드팀과 블루팀 멤버들로 구성되어 있다. 레드팀은 시스템을 모의 해킹하고 공격하는 역할을 수행하며, 스마트 보안관제센터를 365일 24시간 운영하는 블루팀은 방어조를 담당한다.
퍼플랩 인력 대다수는 한국인터넷진흥원(KISA) ‘K쉴드’와 ‘SW보안약점진단원’, 한국정보기술연구원(KITRI) ‘베스트 오브 더 베스트(BOB)’ 등 정부기관의 인증을 받은 보안 전문가들이다. 이들은 기업 고객의 서버·시스템·애플리케이션 등을 클라우드 환경에 유사하게 구축한 가상대결 공간인 해킹랩(Hacking LAB)에서 모의해킹 공격, 방어 훈련을 하면서 침투 예상 시나리오를 다양화하고 대비책을 만든다.
LG CNS 배민 보안·솔루션사업부장(상무)은 “해커들의 공격 대상이 내부망인 AD로 변화하는 추세”라며 “LG CNS는 ‘AD 보안 취약점 진단 컨설팅’ 및 ‘모의침투 테스트’ 서비스를 통해 기업 고객들에게 차별적인 사이버 보안 전략을 제공하고 있다”고 강조했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
