[보안뉴스 문가용 기자] 액티브 디렉토리는 오랜 시간 사이버 범죄자들이 노려 왔던 요소로, 공격자들에게 대단히 유용한 공격 경로가 된다. 따라서 방어자들도 오랜 시간 액티브 디렉토리를 경계하고 연구해 왔다. 보안 업체 맨디언트 컨설팅(Mandiant Consulting)의 아누락 칸나(Anurag Khanna)와 티루말라이 나타라잔 무티아(Thirumalai Natarajan Muthiah) 역시 이런 연구자들로 무려 10년을 액티브 디렉토리 연구에 할애했다.
[이미지 = Pixabay]
액티브 디렉토리는 윈도 2000부터 도입된 요소다. 하지만 사이버 공격과 보안의 관점에서 관심을 받기 시작한 건 비교적 최근의 일이다. 칸나는 “액티브 디렉토리와 비슷하거나 대체할 만한 기술이 등장하긴 했지만 아직도 대다수 조직들이 액티브 디렉토리를 주요 아이덴티티로서 사용하고 있는 상황”이라고 설명한다. “그리고 최근 들어 클라우드나 원격 근무가 활성화 되면서 이 ‘아이덴티티’는 보다 중요한 문제가 되었죠.”
칸나와 무티아는 그 동안의 연구를 통해 “공격자들이 횡적으로 움직이고 계속해서 피해자의 환경 내에 머무르기 위해 가장 많이 사용하는 공격 기법이 ‘권한 상승’”임을 파악해 냈다. “그런데 액티브 디렉토리에 백도어를 심어두거나, 환경 설정 오류를 남겨둘 경우 공격자들은 장시간 동안 권한 상승의 효과를 누릴 수 있게 됩니다. 그래서 랜섬웨어 공격자들조차 어떤 경우 도메인 전체에 랜섬웨어를 뿌리기 위해 액티브 디렉토리를 남용하기도 합니다.”
공격의 방법론이라는 측면에서, 침투에 성공한 자들에게 주어지는 ‘옵션’은 여러 가지다. 어떤 공격자들은 소셜엔지니어링이나 피싱 공격을 선호한다. 반면 취약점이나 환경 설정 오류를 찾아내 익스플로잇 하는 걸 선호하는 공격자들도 있다. 액세스 디렉토리에 대한 접근법도 마찬가지다. 칸나는 “레지스트리를 건드려 액티브 디렉토리 시스템 계정이 자주 바뀌지 않도록 함으로써 공격 기간을 충분히 확보한 뒤 비밀번호 해시를 훔쳐내는 공격자도 보았다”고 말한다.
“결국 공격자는 피해자 측에서 갑작스럽게 조치를 취하지 않는 한 1년이고 2년이고 액티브 디렉토리를 통해 피해자의 시스템에 계속해서 접근할 수 있게 된다는 뜻입니다. 공격자가 오랜 시간 머물면 머물수록 피해가 커지는 건 당연한 일이고요.” 그렇기 때문에 칸나는 “블루팀이 ‘사건이 터지기만을 기다리는 건’ 좋은 방어법이 아니”라고 강조한다. “액티브 디렉토리를 통해 잠입한 공격자들은 트리거를 건드리지 않거든요. 자연스럽게, 네트워크 일부인 것처럼 녹아들어 있죠.”
그러면서 무티아는 “이렇게 은밀히 존재해 있는 악성 요소들을 잡아낸다는 건 대단히 어려운 일”이라고 말한다. 그래서 MS도 그 동안 액티브 디렉토리를 보호하기 위한 방법들을 조금씩 추가해 왔다. 하지만 모든 조직들이 이러한 업그레이드에 대한 비용이나 자원을 투자할 수 있는 것도 아니고, 그렇기 때문에 액티브 디렉토리에 대한 근본적인 보안 대책이 되기 힘들다고 무티아는 설명한다. “심지어 오래된 윈도를 중점적으로 사용하는 조직도 아직 많습니다. MS에 돈만 지불하면 된다는 게 보안 대책이 될 수는 없습니다.”
칸나는 “위협 사냥(threat hunting) 혹은 능동적 취약점 탐지 및 해결이 액티브 디렉토리 보안의 근본적 방법론”이라고 주장한다. “여기에 더해 다중인증 시스템을 도입하는 것도 필수적이고요. 이 두 가지만 하더라도 액티브 디렉토리에 몰래 잠입해 오랜 시간 악성 행위를 하는 공격자들을 꽤나 곤란하게 만들 수 있습니다.” 그러면서 칸나는 로컬 액티브 디렉토리 관리자 계정의 비밀번호를 제각각 달리 하는 것도 중요하다고 덧붙였다.
무티아는 “이런 단순하고 간단한 보안 장치들만으로도 액티브 디렉토리의 보안 상태가 매우 강력해질 수 있다”며 “분명한 차이를 만드는 방법”이라고 주장했다. “액티브 디렉토리는 이제 오래된 기술로 꼽힙니다. 많은 기업들이 액티브 디렉토리 보안에 일가견이 있다고 스스로들 생각합니다. 10년 전에 비하면 나아진 것이 맞습니다만, 아직 가야할 길이 더 남았습니다. 그리고 그 길은 위협 사냥, 다중인증, 관리자 계정별 비밀번호 설정과 같은 기본에서부터 출발합니다.”
3줄 요약
1. 액티브 디렉토리는 상당히 오랜 기간 공격자들의 사랑을 받아온 공격 통로.
2. 액티브 디렉토리 통해 잠입할 경우, 마치 네트워크의 정상적인 일부 요소인 것처럼 활동할 수 있게 됨.
3. 그렇기에 사건이 터진 후 수습하는 방식으로는 제대로 보호할 수 없음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>