​

여기에서 가장 중요한 보안 이슈는 AD계정 탈취가 이루어 졌다는 점입니다.

​

일단 AD계정의 탈취는 모든 시스템에 접근 가능하게 된다는 것을 의미하기 때문에 AD계정의 탈취를 사전에 차단하고 실시간으로 이를 감지

및 대응체계를 만드는 것이 AD 보안의 핵심이다.

​

퀘스트는 이러한 KISA권고안에 대해서 아래와 같이 3개의 영역에 대해서 전문화된 제품을 통해서 AD보안을 획기적으로 개선하여 줍니다.

​

​

KISA 권고안에 대응하는 퀘스트의 보안 강화 솔루션

​

​

1. 계정관리 및 접근통제 강화 – 계정 관리 강화

사전에 보안 취약점을 제거하는 가장 기본적이고 중요한 것은 운영과정에서 보안을 고려해 관리를 쉽게 하는 것입니다. 액티브 롤(Active Roles)은 운영자가 사용하는 제품으로 자동화된 계정 및 권한 관리가 가능하고 보안 이슈들을 관리자가 손쉽게 확인하여 관리할 수 있도록 합니다.

​

2. 계정관리 및 접근통제 강화 – 접근통제 강화

AD와 같이 특별하게 중요한 시스템은 일반적인 시스템과 다르게 강화된 접근통제가 필요합니다. 즉 강화된 접근통제는 일반적인 ID/Password를 통합 접근이 아니라 승인기반의 접속 (관리자에 의하여 허용된 접속만 가능)이나 허용된 IP에서의 접속만을 허용하는 것을 의미합니다. 또한 필요하면 AD시스템에 접속하는 모든 작업은 녹화되어 향후 원인분석에 사용되어야 하고 민감한 서비스(서비스중지 가능한 화면에 접근, AD Group Policy편집 화면 접근 등)를 사용할 때는 관리자에게 실시간 알람이 가능하게 구성되어 AD시스템의 이상 접근으로 인한 계정 탈취가 불가능에 가깝게 운영되어야 합니다. 이러한 운영은 세이프가드(Safeguard)를 통해 가능합니다.

​

3. 가시성 및 감사

엔터프라이즈 리포터(Enterprise Reporter)는 보안팀에서 보안 가시성을 확보하여 사전에 운영단계에서 검증하기 어려운 보안 취약점을 보안감사 차원에서 손쉽게 확인 가능한 리포트를 제공합니다. 별도의 회사 보안정책들에 대해서도 별도의 사용자 정의 리포트를 생성하여 손쉽게 감사가 가능합니다.

​

4. 이상징후 탐지 및 대응 – 이상징후 탐지

보안관점의 체계적인 관리가 되더라도 항상 서비스 운영 중에는 예측되지 않은 보안 이슈들이 발생함으로 실시간 보안관제가 필요하게 되는데 이때 필요한 제품이 체인지 오디터(Change Auditor)입니다. 체인지 오디터는 실시간으로 로그인 및 보안 이슈와 연관된 변경내역들에 대한 실시간 알람을 제공하여 보안 이슈에 대한 즉각적인 대응이 가능하게 합니다. 이때 실시간 보안관제 대상에는 윈도우 이벤트들도 포함되는데 이 경우, 인트러스트(InTrust)를 통해서 통합 실시간 이벤트 관제 구성이 가능합니다.

​

5. 이상징후 탐지 및 대응 – 대응

보안이슈가 발생하게 되면 가장 먼저 분석이 필요한 것이 개별 윈도우 시스템의 이벤트 내역입니다. 이러한 이벤트는 인트러스트를 통해서 중앙에 취합되어 장기간 보관되어 손쉽고 빠르게 원인 분석이 가능하게 됩니다. 데이터의 이상 변경, 서비스, 시스템의 손상이 발생하여 서비스에 문제가 발생하게 되면 이는 단순히 AD서비스의 장애가 아니라 연결된 시스템의 접속이나 권한문제로 인하여 업무 및 보안이슈가 발생함으로 이에 대한 대응으로 AD전문 복구 솔루션이 리커버리 매니저 포 AD(Recovery Manager for AD)이며, 이를 통해서 완벽한 복구 체계 구성이 가능합니다.

​

​

퀘스트의 전문 제품을 통한 AD보안 강화가 이루어지면 초기침투와 거점 확보 시점에 3단계 대응이 가능해져서 KISA의 질문에 자신감 있게 “예”라고 이야기할 수 있을 것입니다.

​

여러분의 AD는 안녕하십니까?

​

AD 보안 강화가 필요하시다면, 언제든 퀘스트소프트웨어 코리아로 문의 주시기 바랍니다.