AD란 무엇인가 - AD 보안 및 컴플라이언스의 이해

​

<AD(Active Directory)란 무엇인가?> 에서는 AD와 그 용도에 대해 알아봤고, 그 다음 포스팅인 <AD란 무엇인가 - AD 관리의 이해>에서는 AD 관리 방법에 대해서 알아봤습니다. 오늘은 AD의 보안과 컴플라이언스(규정 준수)에 대해 자세히 알아보겠습니다. 환경의 보안과 컴플라이언스를 유지하려면 무엇을 해야 할까요?

​

AD 보안 및 컴플라이언스 : 환경 평가

AD는 모든 마이크로소프트 환경에서 핵심적인 역할을 하므로 보안을 무엇보다 중시해야 합니다. 가장 중요한 AD 보안 베스트 프랙티스 중 하나는 정기적으로 마이크로소프트 환경의 상태를 검토하고 잠재적인 보안 및 컴플라이언스 문제를 찾는 것입니다. 특히, 시스템 구성 설정을 점검하고 이를 알려진 정상 상태와 비교해 잘못된 부분을 찾아 교정해야 합니다.

​

이 검토 작업의 핵심은 그룹 정책입니다. 그룹 정책에 대해서는 이전 AD 관리 관련 포스팅에서 설명했습니다. 그러나 그룹 정책은 AD 보안과 컴플라이언스에도 큰 영향을 미칩니다. 예를 들어, 의도적이거나 우발적인 GPO 변경으로 인해 사용자의 USB 드라이브 삽입이 허용되고, 이를 통해 시스템으로 맬웨어가 침투해서 기밀 정보를 훔칠 수 있습니다. 따라서 GPO가 정상적으로 작동하는지 확인하고, 부적절한 또는 허가 받지 않은 GPO 변경을 신속하게 발견하고 되돌릴 수 있어야 합니다.

​

AD 보안 및 컴플라이언스 : 사용자 및 관리자 권한 제어

IT 보안의 가장 기초적인 베스트 프랙티스 중 하나는 최소 권한 원칙입니다. 각 사용자에게 업무를 완수하는 데 필요한 액세스 권한을 넘치지도, 모자라지도 않게 부여하는 것입니다. 각 리소스에 대한 각 사용자 권한을 개별적으로, 수동으로 할당하고 사용자의 입사와 퇴사, 조직 내에서의 역할 변경에 따라 이러한 권한을 최신 상태로 유지하는 경우 담당 부서는 과중한 업무에 직면하게 되고 조직 차원에서는 데이터 침해와 컴플라이언스 실패의 위험이 높아지게 됩니다.

​

다행히 AD는 더 나은 방법을 제공합니다. 비슷한 역할을 가진 사용자들을(예를 들어, 헬프데스크 관리자 또는 모든 HR 담당자) AD 보안 그룹에 넣어 함께 관리하는 방법입니다. 예를 들어, 새 영업 사원을 채용할 경우 영업 보안 그룹에 추가해서 적절한 리소스에 대한 액세스 권한을 부여할 수 있습니다. 마찬가지로, 각 사용자마다 한 명씩 액세스 권한을 추가하는 대신 영업 그룹에 공유에 대한 액세스 권한을 부여하는 것만으로 모든 영업 사원에게 새 파일 공유에 대한 액세스 권한을 부여할 수 있습니다. 예를 들어, 사용자는 프로젝트 기반 그룹과 같은 여러 AD 그룹의 구성원인 경우가 많습니다. 이 접근 방법은 관리자에게 편리할 뿐만 아니라, 프로비저닝의 오류를 줄이고 권한 구조의 복잡성을 최소화해 보안도 강화하므로 누그에게 무엇에 대한 액세스 권한이 있는지 더욱 쉽게 확인할 수 있습니다.

​

특히, 매우 강력한 엔터프라이즈 관리자, 도메인 관리자, 스키마 관리자 그룹과 같이 관리자 수준의 특권을 부여하는 AD 보안 그룹에 신경을 써야 합니다. 조직은 이런 그룹에 포함되는 사람을 엄격히 통제하고, 데이터 침해를 비롯한 보안 사고의 원인이 될 수 있는 멤버십 변경에 대해 경보를 받도록 해야 합니다.

​

AD 보안 및 컴플라이언스 : 사용자 및 관리자 활동을 면밀히 관찰

사용자 권한이 올바르게 할당되고 그 상태를 유지하도록 하는 것 외에, 사람들이 이러한 권한을 사용해서 실제로 하는 작업이 무엇인지 모니터링도 해야 합니다. 일반 사용자와 관리자 모두 의도적으로 또는 실수로 자신의 권한을 오용하거나, 기밀 파일 읽기와 같은 허가되지 않은 작업을 시도할 수 있습니다. 특히 최종 사용자는 무지나 부주의로 인해, 또는 편의를 위해 AD 보안 베스트 프랙티스를 지키지 않는 경우가 많습니다. 예를 들어 피싱 이메일을 클릭하거나 조직 외부의 수신자에게 민감한 파일을 이메일로 전송할 수 있습니다. 관리자의 부적절한 행동은 더욱 심각한 결과를 일으킵니다. 데이터 침해 또는 다운타임이 발생하거나 심할 경우 전체 AD 포리스트의 손상 또는 파괴로 이어질 수도 있습니다.

​

또한 모든 사용자 또는 관리자 계정은 조직 내부 또는 외부의 누군가에게 악용될 수 있습니다. 계정을 탈취하기 위한 공격자의 수법은 다크 웹에서 인증 정보 구매하기, 소셜 엔지니어링을 통한 수집, 무차별 대입 공격 등 매우 다양합니다. 각 계정에 대해 정상적인 활동의 기준을 정립하고, 예를 들어 사용자가 이전에는 액세스한 적이 없는 파일에 액세스하거나 일상적이지 않은 시간 또는 새로운 위치에서 로그인하는 등 이 기준을 벗어나는 활동을 감시할 수 있게 되면 보안 위협을 신속하게 파악하고 차단하는 데 도움이 됩니다.

​

AD 보안 및 컴플라이언스 : 보안 사고 조사와 복구

사고 예방 대책을 아무리 잘 세워도 보안 사고는 발생하게 되므로 신속하게 사고를 조사하고 적절히 대응할 준비를 해야 합니다. 침해가 처음 시작된 곳이 어디인지, 어떤 방법으로 진행됐고 정확히 무엇을 건드렸는지를 신속하게 파악해야 합니다. 이전 블로그 포스트에서 설명했던 엔터프라이즈 AD 백업 및 복구 전략은 비즈니스를 원상복구하기 위한 필수적인 요소입니다.

​

AD 보안 및 컴플라이언스 : 컴플라이언스 보장

많은 조직은 내부 보안 정책 또는 GDPR, HIPAA, SOX, PCI-DSS와 같은 외부 규정의 영향을 받습니다. 앞서 설명한 단계에 따라 조치를 취하면 규정을 준수하는 데 많은 도움이 되지만 구체적인 요구 사항을 실제로 충족하도록 보장하고 감사자에게 준수를 입증할 수 있어야 합니다.

​

또한 많은 규정은 데이터 침해와 같은 보안 사고 발생 시 규제 기관과 영향을 받는 모든 사람에게 알리기 위한 특정 단계에 따를 것을 요구합니다. 따라서 AD 규정 준수에서는 적절한 보고가 큰 비중을 차지합니다. 관련 내용에 대해서는 AD 보고를 다룬 이 시리즈의 지난 블로그 포스트에서 자세히 설명했습니다.

​

AD 보안 및 컴플라이언스 도움 받기

지금까지의 내용을 보면 해야 할 일이 무척 많게 느껴지고 실제로도 그렇습니다. 여기서 적절한 툴이 큰 도움이 됩니다. 퀘스트는 AD 보안 및 규정 준수용 솔루션을 포함한 AD 솔루션 분야에서 가장 유력한 업체입니다. 주요 특징은 다음과 같습니다.

​

● 액티브 어드미니스트레이터(Active Administrator)를 사용하면 한 곳에서 AD를 효과적으로 관리할 수 있습니다. 그러나 관리 못지않게 보안도 개선됩니다. 특히 승인 기반 워크플로를 통해 권한을 엄격하게 관리하여 최소 권한 원칙을 시행하고 계정 소유자가 조직에서 나갈 때 해당 계정이 적절히 비활성화 또는 삭제되도록 할 수 있습니다. 또한 GPO의 변경 사항을 한눈에 파악하고 모든 GPO를 알려진 정상 상태로 신속하게 롤백하고 AD 관리 작업을 세부적으로 위임해서 관리자가 각자의 영역 내에 머물도록 할 수 있습니다.

​

● AD용 체인지 오디터(Change Auditor)는 사용자 활동과 AD 환경의 변화를 실시간으로 추적하고 중요한 변경을 알려 신속하게 대응할 수 있게 해주며 모든 중대한 세부 사항이 포함된 알아보기 쉬운 보고서를 제공합니다. 가장 중요한 AD 개체의 변경을 아예 처음부터 차단할 수도 있습니다.

​

● 또한 GDPR, SOX, PCI-DSS, HIPAA, FISMA, GLBA 및 기타 규정을 준수하고 이를 입증할 수 있는 포괄적인 보고서를 생성할 수 있습니다.

​

● 체인지 오디터 위협 탐지(Change Auditor Threat Detection)는 개별 사용자 행동 패턴을 모델링하고 이 기준을 사용해서 악의적 내부자 또는 침해된 계정의 신호일 수 있는 이상 행동을 탐지하는 방법으로 사전에 위협을 탐지합니다. 구체적으로, 퀘스트의 독자적인 고급 학습 기술인 사용자 및 개체 행동 분석(UEBA)과 정교한 점수 알고리즘을 사용해서 사용자 활동을 분석하고 조직 관점에서 위험성이 가장 높은 사용자를 찾습니다.

​

● IT Security Search는 구글과 비슷한 IT 검색 엔진으로, 신속하게 보안 사고에 대응하고 이벤트 포렌식을 분석할 수 있게 해줍니다. 웹 기반 인터페이스는 많은 소스의 개별 IT 데이터를 하나의 콘솔로 연계해서 문제 해결, 조사, 교정의 속도를 높입니다.

​

● 엔터프라이즈 리포터 스위트(Enterprise Reporter Suite)는 사용자, 보안 그룹, 권한을 포함한 AD에 대한 심층적인 시야를 제공합니다. 또한 포함된 시큐리티 익스플로러(Security Explorer)를 사용하면 엔터프라이즈 리포터 사용자 인터페이스 내에서 신속하게 조치를 취해 부적절한 권한을 제거할 수 있습니다. 그 외에도 Security Explorer는 중앙 위치에서 권한을 부여, 회수, 복제, 수정, 재정의하는 기능과 같은 부가적인 다양한 보안 기능을 제공합니다. 보고와 교정의 이러한 조합은 보안 및 규정 준수를 촉진하여 보안 취약점에 선제적으로 대응해 침해를 차단할 수 있게 해줍니다.

​

엔터프라이즈 리포터의 보고 기능에 대해서는 이 시리즈의 5번째 포스트에서 자세히 다룰 예정입니다.

​

AD 보안과 컴플라이언스에 대해 궁금한 내용이 있으시면 언제든 퀘스트 소프트웨어 코리아로 문의 주시기 바랍니다.

​

[ 영문 기사 원문을 보려면 아래 링크를 클릭해주세요. ]

What is Active Directory? Part 3: Active Directory Security and Compliance

​