Active Directory 취약점, 보안 사고 사례

Active Directory = AD 

• 마이크로소프트에서 정의한 윈도우 기반의 서비스
• 중앙관리 시스템 

AD 보안의 취약점

• 공격자가 취약점을 악용해 AD 환경에 침투하는 경우 

1. 계정 보안 : 약한 비밀번호, 과도한 관리자 권한 부여
2. 패치 관리 실패 : 오래된 소프트웨어로 인해 악성코드 감염 가능성 증가 (보안 업데이트 미시행)
3. 네트워크 구성 문제 : 과도하게 열린 포트, 방화벽 규칙 부족

• 공격자가 높은 권한을 가진 계정의 자격을 도용해 시스템에 접근하는 경우

1. 영구적으로 권한이 부여된 계정 ex) 개발자
2. 도메인 컨트롤러 (AD 환경에서 도메인을 관리하는 핵심 서버, 네트워크에서 사용자, 컴퓨터, 리소스에 대한 인증과  권한 부여하는 핵심 서버)
3. 중요한 데이터에 접근할 수 있는 VIP 계정

실제 AD 관련 보안사고 사례

사례1) 중국 해킹 그룹 storm-0558의 미국 정부기관 이메일 시스템 해킹 사건

- 사건 개요

: 2023년 7월, 공격자가 마이크로 소프트 서명키 입수함

→ 서명키를 사용해 계정에 대한 AD 액세스 토큰을 위조함 

      *토큰 : 시스템에서 사용하는 디지털 인증서 

 → 토큰을 이용해 정상 사용자로 위장해 다양한 시스템에 몰래 들어감 

- 취약점

서명 키 관리 제대로 하지 못함   

→ 서명 시스템의 오류로 크래시 덤프에 서명 키가 있다는 것을 탐지하지 못함 

     * 크래시 덤프 : 컴퓨터 프로그램, 운영체제가 비정상적으로 종료될 때 해당 시점의 정보를 기록한 파일 

→ 마이크로소프트의 보안 장비에서도 서명키를 발견하지 못함  

→ 디버깅 팀으로 넘어감

→ 디버깅 팀이 사용하던 컴퓨터가 인터넷에 연결되어 있었음  

→ 디버깅 환경이 인터넷에 연결되어 있어 공격 가능성 높하짐  

→ storm-0558 공격자가 마이크로소프트 소속 엔지니어 계정을 침해함  

→ 크래시 덤프에 숨겨져있던 서명 키 발견

 

사례2) 대만 기업 ASUS 공급망 해킹 사건

- 사건 개요

: 2019년 3월, 공격자가 Clop 랜섬웨어 공격으로 ASUS의 업데이트 서버 공격

 → 업데이트 파일을 변조해 전세계 100만대 이상의 PC 감염 

* Clop 랜섬웨어 : 랜섬웨어의 한 종류, AD 서버를 주 공격대상으로 삼음,

이메일로 악성코드를 유포하고 감염에 성공하면 AD 서버에 접근해 PC와 외부에서 접근할 수 있는 루트를 생성해 내부 시스템을 지속적으로 침해함. 

기존 랜섬웨어는 개인을 노리고, Clop랜섬웨어는 기업을 노림. 

- 취약점

이메일 보안 취약했음

 → 업데이트 서버 보호되지 않음

 → AD서버 보안이 취약해 내부 시스템 침해가 쉽게 이루어졌음

 → 변조된 업데이트 파일을 검증하지 못함

 

사례3) 대법원 내부망 해킹

- 사건 개요

: 2021년 1월~2023년 2월까지 북한 해커조직 '라자루스' 가 해당 AD 서버 관리자 계정 해킹

 → 개인정보 등이 포함된 자료 14GB를 빼냄

- 취약점

비밀번호가 password였음 

→ 망 분리를 하지 못함 (AD 서버가 내부망뿐만 아니라 외부와 연결됨) 

→ 보안 로그 모니터링, 경고 체계 등 침입 탐지를 하지 못함

→ 자료의 암호화가 적용되지 않음 

 

AD 보안 대응 방안 

1. 강력한 비밀번호 사용 : 최소 12자 이상, 대/소/특수문자 포함, 90일마다 변경 요구

2. 비활성화된 계정 삭제 : 90일 이상 사용하지 않는 계정 자동 비활성화 및 삭제

3. 관리자 및 주요 사용자 계정에 다중 인증을 적용해 계정 탈취 방지

4. 많은 사람에게 관리자 권한 부여 방지

5. 망 분리 적용 : 인터넷과 내부망을 분리해 침해 확산 방지 

6. 방화벽 규칙 설정 강화 : AD 서버가 사용하는 포트 외 불필요한 포트 차단

7. 침입 탐지 및 예방 시스템 (IDS/IPS)도입

8. 비정상적인 로그가 있는지 주기적으로 점검 

9. 정기적인 AD 백업 수행

10. 데이터 암호화 적용 

등등등. . .