1. 개요

보안담당자 혼자서 1,000대의 Windows 시스템에 동일한 보안 설정(ex - 패스워드 정책)을 변경 해야 하는 작업을 한다고 가정해 보자. 과연 얼만큼의 작업시간이 소요될까? 대략 PC 1대당 10분이 소요된다고 가정했을 때, 최소 10,000분이라는 큰 시간이 소요될 것이다.

이러한 관리적 문제를 해결하기 위해 요즘 기업들은 사용자 계정, 사용자 그룹, 네트워크, 자원 등의 정보들을 통합 관리 할 수 있는 Active Directory Server(이하: AD 서버)를 많이 운영하고 있다. 

관리적인 장점들로 인해 AD 서버를 운영하는 곳이 갈수록 늘어나고 있으나, 이에 비례하여 공격자가 AD 서버를 악용해 침해사고를 야기하는 사례도 많아지고 있다. AD 서버는 다수의 시스템과 보안 설정을 중앙에서 효율적으로 관리할 수 있는 장점이 있지만, 시스템 관리 권한이 중앙으로 집중되어 있기 때문에 악의적인 목적을 가진 공격자에게 AD 서버가 장악되었을 경우 AD 서버와 연결된 시스템에 높은 피해 영향을 끼칠 수 있기 때문이다. 

그렇다면 편리한 AD 서버를 보다 더 안전하게 운영할 수 있는 방안에는 무엇이 있는지 알아보자.

2. Active Directory란 무엇인가?

Active Directory는 Microsoft 사가 윈도우 환경에서 사용하기 위해 개발한 LDAP 디렉터리 서비스의 기능으로서 회사 직원들의 계정 정보(ID, Password)와 컴퓨터에 대한 정보, 그리고 회사에서 강제하고자 하는 정책들(ex- 패스워드를 최소 9자리에 30일마다 변경, 5분 이상 미사용 시 화면보호기 설정 등)에 대한 정보를 저장하고 있는 일종의 데이터베이스라고 생각하면 쉽다.

또한 네트워크상의 모든 리소스에 관한 정보(사용자 및 컴퓨터, 그룹 등)를 논리적 계층 구조로 중앙 저장소에 저장하여 네트워크상에서 인증을 통해서 언제 어디서라도 그 리소스를 검색하고, 액세스 할 수 있게 해주는 디렉터리 서비스이다.

 

[그림 1] Active Directory 운영 방식

3. Active Directory의 장점과 단점

AD 서버의 장단점은 다음 [표 1]과 같다. 

[표 1] Active Directory 서버의 장단점

장단점에서 가장 눈에 띄는 것은 AD 서버의 장점이자 단점이 중앙관리형 환경이라는 것이다.

먼저 중앙관리형 환경이기 때문에 나타나는 장점은 다수의 인프라에 대한 보안 정책을 중앙에서 효율적으로 관리할 수 있다는 것이다. 이에 반해 시스템 관리 권한이 중앙으로 집중되어 있기 때문에 악의적인 목적을 가진 공격자에게 AD 서버가 장악되었을 경우 해당 서버와 연결된 시스템에 높은 악영향을 끼칠 수 있다는 단점이 존재한다.

중앙관리형 환경에 따른 대표적인 공격 사례로는 3.20 사이버 테러 및 Clop 랜섬웨어 등이 있다.

4. AD 서버를 안전하게 운영하는 방안

장단점을 비교해보면 AD 서버를 사용하는 것에 이점이 더 많은 것은 분명하다.

하지만 AD 서버의 관리자 계정이 탈취되어 악용될 경우 모든 하위 시스템들이 랜섬웨어 감염이나 정보 유출 등의 위험에 노출될 수 있다. 

그렇다면 AD 서버를 안전하게 운영하기 위해서는 어떤 방안들이 있을까?

① 계정 관리를 강화하는 방안

AD 관리자 계정은 별도로 관리하여 일반 업무용 AD 계정과는 분리하여 사용하며, 추가로 평소 관리자 계정을 사용하지 않는 기간에는 계정을 비활성하고 필요한 경우만 활성화하여 사용한다.

또한 모든 계정에 대해서는 최대 암호 기간 설정, 이전에 사용한 패스워드 재사용 불가 조건, 계정 잠금  임계값, 패스워드 규칙 설정 등을 통해 계정 정책을 강화한다.

② 접근통제를 강화하는 방안

먼저 도메인 컨트롤러 단말기는 망 분리 환경으로 구성한다. 물리적인 망 분리 구성이 어렵다면 가상머신을 활용하여 망 분리하여 사용할 수 있도록 한다.

또한, 관리자 접속은 인증된 시스템에서만 접속을 허용해야 하고 중요 시스템 로그나 계정 관련 로그를 수집, 모니터링하여 이상징후에 대한 탐지 및 대응 강화를 해야 한다.

AD 서버는 다수의 윈도우 시스템을 중앙에서 관리하기 위해 사용되는 효율적인 체계이므로 AD 서버를 사용하는 기업들이 갈수록 늘어날 것으로 예상된다. 따라서 기업의 AD 서버를 노리는 사이버 공격도 지속해서 증가하고 있으며 운영에 따른 여러 위험이 따르지만, 안전 운영 방안들을 통해 보안을 강화하여 운영한다면 위험을 감수할 정도의 가치를 느낄 만큼 편리한 서비스라고 생각한다. 

마지막으로 안전 운영 방안 외에 AD 서버에서 관리하는 내부 사용자들에 대해서도 내부에 대한 침입을 최소화하기 위해 악성 메일 대응 방법 등의 교육을 통해 보안 의식 제고에도 힘써야 할 것이다.

5. 참고자료

1) [한국인터넷진흥원(KISA)] 당신의 AD는 안녕하십니까? AD(Active Directory) 관리자 계정 탈취를 통한 기업 내부망 장악 사례와 대응방안 - https://www.krcert.or.kr/filedownload.do?attach_file_seq=2146&attach_file_id=EpF2146.pdf

2) Active Directory란? - http://i-bada.blogspot.com/2012/08/active-directory.html

3) 위키피디아 – 액티브 디렉토리 https://ko.wikipedia.org/wiki/%EC%95%A1%ED%8B% B0%EB%B8%8C_%EB%94%94%EB%A0%89%ED%84%B0%EB%A6%AC

4) AD Active Directory 핵심 정리 - https://winapp81.tistory.com/38

5) Active Directory Advantages and Disadvantages - https://a201165.wordpress.com/ 2013/05/21/active-directory-advantages-and-disadvantages/

​