AD DR, 백업 솔루션으로 커버 어려운 AD 환경 DR 안정적으로 도와
[데이터넷] 인증 서비스와 단말 통합 서비스를 제공하는 액티브 디렉토리(AD)는 이제 기업 비즈니스의 핵심 솔루션으로 자리 잡았으나 제대로 된 보안 혹은 재해복구(DR) 환경이 갖춰진 곳이 거의 없다는 것이 문제점으로 지적된다. 이에 비즈니스 연속성을 확보하는 차원에서 AD 보안과 DR에 신경을 써야 한다는 지적이다.
채홍소 퀘스트소프트웨어 코리아 이사는 9일 열린 ‘제22회 차세대 보안 비전 2023’에서 ‘AD 중심의 계정 침해 대응 및 DR 전략’을 주제로 발표하며 AD 보안과 DR의 중요성을 강조했다.
AD의 주요 특징으로는 신뢰(Trust)와 복제(Replication)를 꼽는다. AD 환경에서 단말과 AD 서버는 신뢰로 연결되며, 그럴 경우 SMB를 비롯한 여러 프로토콜이 열리며 연결된다. 하나의 데이터센터에서 계정이 삭제되면 연결된 다른 데이터센터의 계정 역시 삭제되며, 그렇기에 랜섬웨어 등의 공격이 발생할 경우 손쉽게 공격이 전파돼 결과적으로 모든 데이터센터가 감염된다.
채홍소 이사는 “불과 몇 년 전만 해도 AD에 대해 기업들의 관심은 낮았다. 그래서 일부 부서나 서비스만 AD를 활용했는데, 이제는 AD의 중요성이 높아지면서 많은 기업에서 AD를 활용하고 있다”며 “그러나 AD 국내 금융사, 엔터프라이즈, 대형 그룹사 등에서도 제대로 AD 보안을 갖춘 곳을 찾기 힘들며, 공격자는 AD를 주요한 공격 루트로 삼고 있다”고 설명했다.
탈취된 AD 계정서 공격 시작
대부분의 기업들은 단말에서 기업 시스템에 직접 접근하는 것을 보안상 제한하고 있다. 또 하나의 단말에서 다른 단말로 전파하는 공격 역시 쉽지 않다. 그러나 AD 계정을 탈취할 경우 연결된 모든 시스템 계정을 탈취하는 것과 같은 효과를 얻는다. AD를 통해 타 단말로 이동하고 주요 시스템 접근에도 용이하다.
채 이사는 “2019년부터 AD에 연결된 단말 환경이 침해를 당하면 100% AD 계정을 탈취당하고 다른 단말로의 전파와 시스템에 접근하는 방식의 공격이 이뤄지고 있다”며 AD 보안이 필요하다고 밝혔다.
퀘스트소프트웨어의 AD 보안은 단말을 통한 보안위협과 랜섬웨어의 내부 전파에 대한 보호, 실시간 탐지, 익스체인지·VDI·VPN 등을 위한 통합 인증기반에 대한 보안감사를 지원해 고객이 컴플라이언스에 대응할 수 있게 한다.
퀘스트소프트웨어는 AD 보안을 위해 예방, 보호, 탐지, 분석의 4단계를 제시한다. AD에서 발생할 수 있는 위험 내포 행위들을 사전에 찾아 방지하고(예방), 일반 계정이 관리자 권한을 갖는 행위를 원천 차단하며(보호), 알려진 위협 등을 통한 공격을 실시간으로 탐지해 피해를 최소화하고(탐지), 운영 과정에서의 분석과 위협발생에 대한 원인 분석을 위한 데이터 및 검색 체계(분석)를 갖춰야 한다는 것이다.
채 이사는 “AD 보안의 핵심은 계정이 탈취되지 않도록 막는 것이 필요하다. 즉 예방이 상당히 중요하다”고 당부했다.
완벽한 AD 환경 복구 지원
AD 환경이 침해를 당하면 복구가 필요하다. 그러나 많은 기업들이 기업용 백업 솔루션을 사용 중이며, 여러 서버로 구성돼 있기에 DR이 가능하다고 생각하지만 사실은 그렇지 않다. 백업 솔루션들은 OS 관점의 백업 체계이기에 제한적인 복구만 가능하며, 여러 서버로 구성된 환경은 이중화 시스템이 구현된 것이지 DR로 기능하는 것은 아니기 때문이다.
AD 또한 데이터가 중요하기에 데이터 중심 체계 복구가 필요하다. 이에 ▲비즈니스 영향도 분석 ▲현재 복구 시스템 분석 ▲AD DR 체크리스트의 대응 범위 분석 ▲기존 체계의 보완이나 별도 시스템 검토 순으로 AD DR 체계를 구축할 것이 권장된다.
퀘스트소프트웨어의 AD DR 솔루션은 완벽한 AD 복구 기능을 제공한다. 온라인 기반 객체/속성 단위 복구와 더불어 OS/데이터 복구를 지원한다. 3단계의 멀웨어 탐지, 이뮤터블 백업 데이터 보호 기능을 제공해 보안성 역시 뛰어나다. 여기에 자동화된 테스트 환경 구성, 서비스 이중화 지원, 패스워드 변경 등 복구 과정에서 추가 작업 수행 등 AD 환경에 특화된 기능들도 강점이다.
특히 데이터로 서비스를 복구하는 클린 OS 복구 기능은 OS만으로 AD를 복구할 수 있는 퀘스트소프트웨어만의 핵심이기도 하다. 단말 및 중요 서비스 인증이 AD로 연결돼 있던 한 기업은 전 세계 17개 데이터센터가 랜섬웨어 공격으로 전체 단말 및 데이터센터에 손상을 받았지만, 클린 OS 복구를 통해 1시간 만에 메인 데이터센터를 복구하고 서비스를 재가동할 수 있었다. 비록 랜섬웨어 공격 시점을 특정할 수 없어 OS 복구가 불가능했지만, 별도의 OS 시스템에 데이터만으로 서비스를 복구한 사례로 업계의 주목을 받고 있다.
채홍소 이사는 “퀘스트소프트웨어는 글로벌 AD 보안 솔루션의 리더로, 가트너가 제시하는 AD 11개 카테고리 모든 영역의 솔루션을 제공하는 유일한 기업이며, 침해 시에도 완벽한 데이터 복구를 지원한다”고 말했다.
