![AD 보안 전략 TOP 3, 가시성, 스코어링, 제로트러스트 2.0으로 진화하는 위협 차단하기 [네오아이앤이 보안칼럼]](https://www.ehom.kr/news/2025/05/21/d2b5ca33bd970f64a6301fa75ae2eb22100134.png)
“기업 인프라의 심장”이자 해커의 첫 번째 목표 – AD(Active Directory)의 위상은 양날의 검과도 같다.
기업 환경에서 AD는 사용자 인증, 권한 관리, 리소스 접근 제어 등 모든 인프라의 중심에 위치한다. 하지만 그 중요성은 동시에 공격자에게 매력적인 타깃이 된다는 뜻이기도 하다. 2024년 페트리 보고서에 따르면 AD는 랜섬웨어 공격자들이 가장 선호하는 침투 지점이며, 국내에서도 북한 해킹 조직이 AD 취약점을 활용해 방산기술 유출에 성공한 사례가 보고됐다.
문제는 공격 기법이 점점 정교해지고 있다는 점이다. 단순한 패스워드 크래킹은 과거의 일이다. 이제는 Kerberoasting, DCSync, Golden Ticket 발급, Shadow Admin 생성 등 고도화된 기술로 AD의 핵심을 공략한다. 이런 위협에 맞서기 위해 기업들은 단순한 방화벽이나 안티바이러스가 아닌, AD 자체의 보안을 위한 전략적 대응이 필요하다.
1. 가시성 확보 – 보이지 않으면 방어도 불가능하다
"보이지 않는 것은 보호할 수 없다." AD 보안의 첫 걸음은 네트워크 안의 모든 인증과 접근 흐름을 ‘시각화’하는 데 있다. Kerberos, NTLM, LDAP 등 인증 트래픽을 실시간으로 분석해 비정상적인 로그인 시도, 그룹 멤버십 변경, 대량 쿼리 요청 등 이상 징후를 조기에 탐지해야 한다.
특히 에이전트 없는 방식의 트래픽 분석 기술은 기존 시스템 변경 없이도 전사적 보안 가시성을 확보할 수 있다. 실시간 인증 흐름을 그래프로 시각화하면 공격자의 lateral movement나 권한 상승 과정도 조기에 차단할 수 있다.
2. 스코어링 기반 대응 – AD 보안도 '숫자'로 판단한다
AD 환경은 복잡한 권한 구조와 무수한 계정, 다층적 설정들로 인해 어떤 취약점이 진짜 위험한지 판단하기 어렵다. 이에 ‘위험 점수화’를 통해 과학적인 대응 전략을 수립하는 스코어링 시스템이 주목받고 있다.
2022년 마이크로소프트 보고서에 따르면 AD 공격의 67%는 권한 상승 취약점을 악용하며, CVSS 점수만으로는 그 위험을 정확히 반영하지 못한다. AD 특화 스코어링 시스템은 계정 권한, 인증 설정, 행위 패턴 등 맥락 정보를 반영해 실제 위험도를 정량화한다. 이렇게 수치화된 결과는 보안 리소스를 우선순위에 따라 분배하고, 자동화된 대응까지 연계할 수 있다.
3. Zero Trust 2.0 – 신뢰하지 말고, 지속적으로 검증하라
기존 제로트러스트 모델은 ‘검증 후 접근’이라는 원칙을 바탕으로 하였지만, 지금의 위협은 그 이상을 요구한다. AI 기반의 사회공학 공격, 인증 후 lateral movement, 하이브리드 환경의 비인가 접근 등을 막기 위해선 ‘지속적 신뢰 평가’와 ‘동적 정책’이 필수다.
과기정통부의 제로트러스트 가이드라인 2.0은 위험 기반 접근 통제, 실시간 위협 탐지, MFA 기반 인증을 핵심 역량으로 강조하고 있다. 구글, 미 국방부 등은 이미 이를 통해 보안 수준을 비약적으로 향상시킨 바 있다. AD 환경에서도 세션 지속 모니터링, 컨텍스트 기반 인증 정책, 관리 계정 보호를 통해 공격자의 이동 경로를 실시간 차단해야 한다.
AD 보안은 더 이상 선택이 아닌 생존의 문제다. 가시성을 통해 보이지 않는 위협을 드러내고, 스코어링으로 대응의 우선순위를 수립하며, 제로트러스트 2.0으로 ‘지속적 검증’을 실현해야 한다.
여러분의 조직은 지금 AD 보안 2.0 시대에 얼마나 준비되어 있는가?
[칼럼제공]
NEOINE 네오아이앤이
채홍소 상무 / AD 보안 컨설턴트
010-9176-7669
taejeon.kim@neoine.co.kr
https://www.neoine.co.kr/