“당신의 회사는 도메인 컨트롤러를 안전하게 보호하고 있습니까?”
이 질문은 이제 보안 담당자에게는 선택이 아닌 생존의 기준이 되고 있다. 최근 급증하는 랜섬웨어 공격에서 가장 먼저 노리는 목표가 바로 Active Directory(AD)라는 사실은 더 이상 보안 업계 내부만의 이야기가 아니다. ID와 패스워드, 시스템 접근 권한까지 모든 것이 연결된 AD가 무너지면, 조직 전체가 무너지기 때문이다.
지난 10월 29일, 여의도 63빌딩에서 열린 '제38회 Learn & Dine IT 트렌드 세미나'에서 이 주제는 다시 한번 화두가 되었다. 이날 네오아이앤이(NEOINE)의 채홍 상무는 “랜섬웨어 핵심공격대상 Active Directory(AD) 보안전략”을 주제로 한 발표에서, AD가 어떻게 사이버 공격의 최전선에 서 있는지를 실증적 데이터와 함께 설명했다. Microsoft의 위협 인텔리전스 보고서에 따르면, 인간이 개입하는 랜섬웨어 공격의 약 78%에서 공격자는 도메인 컨트롤러(DC)를 성공적으로 침해한 것으로 나타났다. 그만큼 AD는 ‘공격자가 반드시 거쳐 가는 길목’인 셈이다.
AD는 기업 내부에서 사용자 계정과 권한, 정책을 통제하는 중추적인 역할을 한다. 다시 말해, AD는 조직의 디지털 신분증과 같은 존재다. 그런데 바로 그 신분증 시스템이 해커들의 먹잇감이 되고 있다. 김태전 네오아이앤이 전무는 “이제 AD 보안은 단순한 기술적 문제가 아니라 기업 전체 리스크 관리의 핵심 사안으로 다뤄져야 한다”고 강조한다.
사례는 충분히 많다. 국내 자동차 회사의 유럽 사무소가 블랙바스타(BlackBasta)라는 악명 높은 랜섬웨어 그룹에 공격당해, 3TB의 내부 데이터를 유출당한 사건은 AD 보안의 중요성을 극명하게 보여준다. AD가 뚫린 순간, 내부 시스템은 마치 문을 활짝 연 채 외부의 침입을 그대로 허용하는 것과 다름없다. 더 심각한 문제는, AD를 사용하는 기업의 90% 이상이 이미 유사한 공격 위협에 노출되어 있다는 점이다.
그렇다면 해법은 무엇인가? 핵심은 '제로 트러스트(Zero Trust)' 보안 전략의 도입이다. 이는 기본적으로 누구도 믿지 않고, 모든 접근을 검증하고 제한하는 모델이다. 김태전 전무는 "공격 표면을 최소화하고, 권한 있는 계정의 접근을 통제하며, 실시간 위협을 차단할 수 있는 강력한 인증 체계를 구축해야 한다"고 말한다. 이를 위해 멀티팩터 인증(MFA)의 적용은 더 이상 옵션이 아니다. 동시에 사용자의 행위를 지속적으로 분석하여 비정상적인 접근을 실시간 탐지해야 한다.
실행 가능한 솔루션도 이미 존재한다. 네오아이앤이는 AD 보안 강화를 위해 Semperis DSP와 Silverfort 솔루션의 결합을 제안하고 있다. 이 두 솔루션은 사용자 행동 기반 위협 탐지, 실시간 차단, 계정 통제 기능을 통해 AD 환경을 철저하게 보호한다. 여기에 1일 AD 보안 진단 서비스까지 더해지면, 기업은 자신의 AD 환경에 어떤 위협이 존재하는지를 명확하게 인식하고 빠르게 대응할 수 있다. 특히 이 서비스는 글로벌 보안 표준을 기반으로 AD 보안 수준을 평가하기 때문에, 객관적인 지표를 통해 내부 보안 체계를 점검할 수 있다는 장점이 있다.
보안은 ‘문제가 생기기 전에 대비하는 것’이 핵심이다. 그러나 AD 보안은 아직 많은 기업에게 미뤄진 숙제로 남아 있다. 문제는 시간이다. 공격자는 기다리지 않는다. 이미 당신의 AD를 노리고 있는 중일 수 있다.
보안 사고 후에야 대응책을 마련하는 것이 아니라, 그 전에 행동에 나설 수는 없을까?
AD 보안 진단이 필요한 지금, 당신의 기업은 어떤 준비가 되어 있는가?
[칼럼제공]
NEOINE 네오아이앤이 김태전 전무
010-9176-7669
taejeon.kim@neoine.co.kr
https://www.neoine.co.kr/
){kind=small}
){kind=small}
){kind=small}
){kind=small}