기사 제공처 : 아이티인사이트 / 등록기자: 최현웅 [기자에게 문의하기]  0 /  0

해당 기사에 관련하여 문의하기에 남겨주시면 "최현웅"기자에게 전송됩니다

 이름

 연락처

- -

 이메일

 확인

Active Directory(AD)는 기업 인프라의 심장으로, 사용자 인증부터 권한 관리, 리소스 접근 제어까지 핵심 기능을 담당합니다. 하지만 AD의 강력한 권한은 역설적으로 공격자들의 주요 표적이 되고 있습니다. 2024년 페트리(Petri) 보고서에 따르면, AD는 랜섬웨어 공격의 가장 빈번한 표면으로 지목되고 있으며, 국내에서는 북한 해킹 그룹 라자루스(Lazarus), 안다리엘(Andariel), 김수키(Kimsuky)가 방산 업체를 대상으로 AD 취약점을 악용해 기술 유출에 성공한 사례가 보고되었습니다.

AD를 겨냥한 공격 기법은 점차 정교해지고 있습니다. 크리덴셜 탈취(Pass-the-Hash, Kerberoasting), 권한 상승(DCSync), Mimikatz를 이용한 메모리 해시 추출 등이 대표적입니다. 이는 단순히 개별 시스템의 침해를 넘어, 도메인 전체를 장악하는 "Keystorm" 공격으로 이어질 수 있습니다. 

2023년 마이크로소프트는 AD 보안 강화를 위해 LDAP 암호화 기본 적용, NTLM 단계적 폐지 등의 조치를 발표했으나, 여전히 많은 기업이 올바른 구성 관리와 실시간 모니터링 체계 부재로 위험에 노출되어 있습니다.

이 글에서는 진화된 AD 보안 2.0의 세 가지 축-가시성(Visibility), 위협 스코어링(Scoring), 제로트러스트 2.0(Zero Trust 2.0)을 중심으로, 최근 공격 트렌드와 기술적 대응 전략을 다룹니다. 또한 AD의 구조적 취약점을 이해하고, 진화하는 위협에 선제적으로 대응하는 방법을 제시합니다.

1. Visibility : 인증 및 위협 시각화

AD 보안의 첫걸음은 ‘보이지 않는 것은 보호할 수 없다’는 원칙에서 출발합니다. 과거에는 단순히 이벤트 로그를 모니터링하는 것만으로도 어느 정도의 위협 탐지가 가능했습니다. 그러나 오늘날의 공격자들은 Kerberoasting, DCSync, Golden Ticket 등 AD의 구조적 약점을 교묘하게 이용하며, 네트워크 내에서 눈에 띄지 않게 lateral movement를 시도하고 권한을 은밀하게 상승시킵니다.

이런 공격을 효과적으로 탐지하려면, 단순 로그 수집을 넘어선 실시간 트래픽 분석과 인증 기반 이상 탐지가 필요합니다. 예를 들어, Kerberos, NTLM, LDAP와 같은 인증 프로토콜의 트래픽을 분석하면 정상적인 인증과 비정상적인 인증 시도를 구분할 수 있습니다. 또한 UEBA(User & Entity Behavior Analytics)와 같은 기술을 적용하면, 평상시와 다른 시간이나 장소에서의 로그인, 갑작스러운 그룹 멤버십 변경, 대량의 AD 쿼리 등 비정상 행위를 실시간으로 감지할 수 있습니다.

오늘날 침해 위협은 더 이상 단순 패스워드 크래킹에 머물지 않습니다.

• Kerberoasting: 서비스 계정의 SPN(Service Principal Name) 티켓을 탈취해 오프라인에서 크래킹
• DCSync: 공격자가 도메인 컨트롤러의 복제 권한을 탈취해 전체 해시를 추출
• Golden Ticket/Pass-the-Ticket: Kerberos 티켓 위조를 통한 장기적 권한 유지
• Shadow Admin 및 Stealthy Privilege Escalation:  비공식적 관리자 권한 경로 은닉

이러한 침해를 탐지하려면 단순 이벤트 로그 모니터링을 넘어, 실시간 트래픽 분석, 인증 기반 이상 탐지, 실시간 인증 현황 시각화가 필요합니다.

각각의 기술 적용 방안을 간단히 살펴보면,

• Agentless 방식 기술 적용: 별도의 에이전트 설치나 시스템 수정 없이, 네트워크 인증 트래픽을 분석해 모든 시스템에 보안 정책을 적용하는 혁신적인 접근 방식입니다. 이를 통해 기존 보안 솔루션으로는 보호가 어려웠던 다양한 환경까지 손쉽게 적용할 수 있습니다
•  
• 인증 기반 이상 탐지: 정상 사용자/디바이스의 행위 패턴을 학습하고, 비정상 인증 시도(새로운 위치, 시간, 디바이스), 갑작스러운 그룹 멤버십 변경, 대량의 AD 쿼리 등 이상 행위를 탐지합니다. 4624(로그온 성공), 4625(실패), 4672(특권 할당), 4769(티켓 요청) 등 이벤트 간 상관분석을 제공합니다.
•  
• 실시간 인증 현황 시각화: AD 내에서 발생하는 다양한 인증을 실시간 그래프로 시각화하여, 공격자가 lateral movement로 DA(도메인 관리자)에 도달하는 과정 및 침해 행위를 실시간으로 탐지하고 차단합니다.
•  
• Kerberoasting, DCSync, Golden Ticket 등 위험 요소를 자동 식별 및 차단합니다.

AD 보안 2.0에서 가시성은 단순 모니터링을 넘어 공격 표면 최소화의 핵심입니다. 실시간 트래픽 분석, 인증 기반 이상 탐지, 실시간 인증 현황 시각화를 결합해 조직은 랜섬웨어, 내부자 위협, 권한 남용 등 복잡한 공격에 선제적으로 대응할 수 있습니다. 이제 AD 보안은 "보이지 않는 위협"을 "보이는 위험"으로 전환하는 기술적 역량이 좌우합니다.

2. Scoring : 객관적 지표 기반 스코어링

AD 보안 환경은 복잡한 권한 구조, 수많은 계정, 지속적으로 발견되는 취약점으로 인해 **"어디부터 보호해야 하는가"**라는 근본적 질문에 직면합니다. 전통적인 정성적 평가는 보안 담당자의 경험에 의존해 우선순위를 선정하다 보니, 리소스 분배의 비효율성과 탐지 지연으로 이어집니다. 2025년 현재, BlackSuit 랜섬웨어 그룹의 AD 표적 공격처럼 위협이 진화함에 따라, 데이터 기반의 정량적 위험 평가는 더 이상 선택이 아닌 필수 전략입니다.

AD 공격자는 이제 단순한 크리덴셜 탈취를 넘어, Kerberoasting, DCSync, Golden Ticket 등 복잡한 기법을 통해 권한 상승과 지속성을 확보합니다. 2022년 Microsoft 보안 리포트에 따르면, AD 관련 공격의 67%가 권한 상승 취약점(CVE-2021-42287, CVE-2022-26923 등)을 악용합니다. 하지만 수천 개의 로그 이벤트와 설정 항목 중에서 실제 위협을 식별하는 것은 어렵습니다.

기존의 CVSS(Common Vulnerability Scoring System)는 취약점 심각도를 점수화하지만, **AD 특화 컨텍스트(예: 계정 권한 구조, 인증 프로토콜 설정)**를 반영하지 못해 한계가 있습니다. 예를 들어, 동일한 CVSS 점수의 취약점이라도 AD 환경에서의 실제 공격 가능성은 사용자 그룹 멤버십, 인증서 템플릿 설정 등에 따라 크게 달라집니다.

스코어링의 기술적 구성 요소

AD 보안 2.0의 스코어링은 다음 세 가지 축을 기반으로 합니다.

• 구성 취약점 평가: 각 취약점은 심각도(severity), 악용 난이도(ease of exploitation), 발생 빈도(prevalence), 보안·가용성·성능에 미치는 영향 등 다양한 요소를 고려해 점수화됩니다. 점수는 전체 보안 상태뿐 아니라, 카테고리별(예: Kerberos, 계정 보안, 그룹 정책 등) 세부 점수로도 제공되어, 특정 영역의 위험도를 한눈에 확인할 수 있습니다.
•  
• 실시간 위협 인텔리전스 업데이트: 최신 보안 지표(Indicators of Exposure, IOEs)를 자동으로 환경에 반영합니다. 이 지표들은 Kerberoasting, DCSync, Golden Ticket 등 실제 공격에 악용되는 취약점과 공격 벡터를 포함하며, 새로운 위협 트렌드에 맞춰 자동으로 업데이트됩니다.
•  
• 머신러닝 기반 공격 패턴 분석: 인텔리전스와 머신러닝 모델을 결합하여, 비정상 인증 시도, 패스워드 스프레이, Kerberos 공격 등 고도화된 공격 패턴을 실시간으로 감지합니다. ML 기반 탐지는 단순 이벤트 매칭이 아닌, 실제 공격 흐름과 행위의 이상 징후를 분석하여, 기존 보안 솔루션이 놓치기 쉬운 위협까지 포착합니다.
•  

스코어링의 운영적 가치

이 시스템은 단순한 점수 생성이 아닌 행동 유도를 목표로 합니다.

• 대시보드 기반 우선순위 제시: 전체 AD 환경의 위험을 3단계 이상으로 시각화해, 패치 주기 최적화 및 리소스 할당의 기준이 됩니다.
• 자동화된 대응 연계: 임계치 초과 시 계정 비활성화, 권한 회수, 관리자 알림 등 SOAR 플랫폼과 연동한 신속한 조치를 가능케 해줍니다. 이처럼 AD 보안 2.0의 스코어링은 “숫자로 보는 보안”을 실현함으로써, 복잡한 환경에서도 과학적 의사결정을 가능하게 해줍니다.

3. Zero Trust 2.0 : 제로트러스트 기반 접근 인증 강화

진화하는 위협과 제로트러스트의 한계를 넘어서

기존 제로트러스트(Zero Trust) 모델은 "절대 신뢰하지 말고, 지속적으로 검증하라"는 원칙으로 사이버 보안 패러다임을 재정의했습니다. 그러나 2025년 현재, 랜섬웨어 그룹의 AD 권한 탈취 공격, AI 기반 사회공학 기법, 하이브리드 환경에서의 정교한 lateral movement 등 새로운 위협은 단순한 초기 인증 중심의 접근 방식만으로는 대응이 불가능해졌습니다. 이에 제로트러스트 2.0은 "동적 검증"과 "컨텍스트 기반 적응형 정책"을 핵심으로 한 진화된 모델로 부상했습니다.

과학기술정보통신부의 **『제로트러스트 가이드라인 2.0』**은 기존 모델의 한계를 극복하기 위해 4단계 성숙도 모델과 52개 세부 역량을 제시하며, 특히 실시간 위험 평가와 자동화된 정책 적용을 강조합니다. 예를 들어, 미국 국방부는 제로트러스트 2.0 프레임워크를 도입해 내부 네트워크 보호 수준을 70% 이상 향상시켰으며, 구글의 BeyondCorp는 세션 지속 모니터링을 통해 인증 후 발생하는 이상 행위를 실시간 차단하고 있습니다.

이러한 변화는 단순한 기술적 개선을 넘어, 보안의 사고방식 자체를 전환해야 함을 의미합니다. AD 환경에서의 Zero Trust 2.0은 사용자/디바이스의 신뢰 수준을 동적으로 평가하고, 네트워크·애플리케이션·데이터 계층 전반에 걸쳐 최소 권한 원칙을 엄격히 적용함으로써 공격자의 탐지 회피 전략을 근본적으로 차단합니다.

진화된 제로트러스트의 기술적 핵심

• 모든 자원에 대한 통합 가시성: 에이전트 없는 플랫폼
  Zero Trust 2.0의 첫 번째 원칙은 네트워크 경계에 관계없이 모든 접근을 일관되게 제어하는 것입니다. Active Directory, Entra ID, LDAP, RADIUS 등 기존 IAM 시스템과 네이티브로 통합되어야 하며, 에이전트나 프록시 없이도 레거시 애플리케이션, 파일 서버, 산업제어시스템(ICS) 등 보호 사각지대까지 인증 통제를 확장합니다.
• 
  Kerberos, NTLM, SAML 등 다양한 인증 프로토콜을 실시간 모니터링하고, 온프레미스와 클라우드, SaaS까지 모든 인증 이벤트를 단일 대시보드에서 가시화합니다. 이를 통해 조직은 최소 권한 원칙을 모든 자원에 일관되게 적용할 수 있으며, 서비스 계정이나 관리자 계정의 권한 남용 시도도 즉시 탐지할 수 있습니다.
•  
• AI 기반 적응형 인증: 컨텍스트 기반 동적 정책
• 
  Zero Trust 2.0의 두 번째 축은 지속적 신뢰 평가와 동적 인증 정책입니다. 150개 이상의 위험 지표를 바탕으로 사용자·디바이스의 위치, 접근 빈도, 인증 프로토콜 패턴 등 다양한 컨텍스트 정보를 AI로 분석합니다.
  예를 들어, 평소와 다른 위치에서의 RDP 접근, 갑작스러운 대량 파일 접근 등 비정상 행위가 감지되면 위험 점수가 자동으로 조정되고, 그에 따라 추가 인증(MFA)이나 세션 차단 등 적응형 정책이 실시간으로 적용됩니다.
  이 과정에서 기존의 MFA 솔루션(Entra ID, Okta 등)과도 연동이 가능해, 조직의 생산성을 저해하지 않으면서도 보안을 대폭 강화할 수 있습니다.
•  
• 실시간 위협 차단과 공격 표면 최소화
• 
  Zero Trust 2.0의 마지막 축은 공격자의 lateral movement(측면 이동)와 랜섬웨어 등 고도화된 위협을 실시간으로 차단하는 것입니다. RDP, SSH, PsExec, PowerShell 등 원격 관리 도구를 통한 접근 시에도 MFA를 강제 적용하고, NTLM Relay, Pass-the-Hash 등 AD 특화 공격을 사전에 탐지하여 Kerberos 티켓 발급을 차단합니다.
  정책 기반 차단 기능을 통해 다양한 조건(사용자, 장치, 위치, 시간, 위험도 등)에 따라 세밀하게 접근을 통제하고, 실시간으로 위험을 차단하여 보안 수준을 크게 강화합니다. 이러한 정책은 기존 환경을 변경하지 않고도 광범위하게 적용할 수 있어, 기존 보안 솔루션의 한계를 뛰어넘는 통합적이고 유연한 시스템 보호를 제공하며 조직의 공격 표면을 최소화합니다.
•  

결론

AD 보안 2.0은 단순한 기술 업그레이드가 아닙니다.

• 가시성: 실시간 트래픽 분석, 행위 기반 이상 탐지, 권한 구조 시각화로 공격 경로를 사전에 차단
• 스코어링: 취약점, 권한, 행위 등 다양한 요소를 정량화해 대응 우선순위를 명확히 진화된 제로트러스트: 컨텍스트 기반의 지속적 검증과 최소 권한 원칙 자동화로 lateral movement, 권한 남용을 근본적으로 차단
•  

이제는 방어의 시야를 넓히고, 위험을 수치화하며, 신뢰를 끊임없이 검증하는 ‘AD 보안 2.0’ 체계가 조직의 생존을 좌우합니다. 진화하는 위협에 맞서, AD 보안 2.0을 실현할 때입니다.

[칼럼제공]
NEOINE 네오아이앤이
채홍소 상무 / AD 보안 컨설턴트

010-9176-7669
taejeon.kim@neoine.co.kr
https://www.neoine.co.kr/