본문 바로가기

1Day 1News

[보안뉴스] 기업 노리는 새로운 사이버 위협 ‘AD 탈취’ 보안대책 집중해부

Source for https://www.boannews.com/media/view.asp?idx=86125

 

기업 노리는 새로운 사이버 위협 ‘AD 탈취’ 보안대책 집중해부

지난해부터 보안담당자들에게 떠오르는 이슈가 하나 있다. 바로 AD(Active Directory)다. AD는 마이크로소프트 서버를 이용할 때 사용하는 하나의 프로그램이자 서비스로, ID와 패스워드 등 계정관리와 정책 배포 등 다수의 시스템을 효율적으로 관리할 수 있도록 도와준다. 다수의 윈도우 시스템을 관리할 수 있는 편리성 때문에 많은 기업들이 AD 서비스를 찾지만, 이는 반대로 AD 권한만 탈취할 수 있으면 내부망을 장악할 수 있다는 말도 된다. 그리

www.boannews.com

AD 관리자가 피해야할 6가지 AD 운영사례 살펴보니
퀘스트소프트웨어코리아, AD계정 보호를 위한 5가지 대책 제시


지난해부터 보안담당자들에게 떠오르는 이슈가 하나 있다. 바로 AD(Active Directory)다. AD는 마이크로소프트 서버를 이용할 때 사용하는 하나의 프로그램이자 서비스로, ID와 패스워드 등 계정관리와 정책 배포 등 다수의 시스템을 효율적으로 관리할 수 있도록 도와준다. 다수의 윈도우 시스템을 관리할 수 있는 편리성 때문에 많은 기업들이 AD 서비스를 찾지만, 이는 반대로 AD 권한만 탈취할 수 있으면 내부망을 장악할 수 있다는 말도 된다. 그리고 실제로 이러한 문제들이 필드에서 발생했다.

[이미지=Dreamstime]

2018년부터 2019년 사이 국내외 주요 제조사들을 노린 랜섬웨어가 기승을 부리면서 상당수의 공장들이 큰 피해를 입는 사건들이 연이어 발생했다. 사이버공격을 감행한 범죄그룹들은 다양한 방법으로 랜섬웨어를 퍼트렸는데, 대표적인 방법이 바로 이메일과 AD(Active Directory)를 노려 피해를 확산시키는 것이었다.

AD 서버 노린 공격 급증
한국인터넷진흥원(KISA)는 기업에서 사용하는 중앙관리서버(AD서버)에 침투해 랜섬웨어를 감염시키는 신종 공격이 확산되고 있어 기업 보안담당자의 각별한 주의가 필요하다고 긴급 공지했다. KISA는 공격자가 윈도우 서버를 타깃으로 침투한 후, 기업 내부망과 연결된 백업서버의 자료를 손상시키는 랜섬웨어를 유포시킨다고 설명하면서, 특히 기업의 중앙전산자원 관리서버(AD서버)를 주요 타깃으로 공격을 감행하고 있다고 덧붙였다. 더욱이 CLOP 랜섬웨어는 인터넷 또는 내부망에 연결된 윈도우 운영체제 기반 백업 서버도 공격해 복구가 불가능하도록 손상시키고 있다.

안티랜섬웨어 전문기업 체크멀도 국내 기업을 표적으로 한 악성 메일을 통해 사전에 백도어를 설치해 내부 시스템 정보를 확인한 후, CLOP 랜섬웨어 공격을 추가적으로 진행하여 피해를 주고 있다고 밝혔다. CLOP 랜섬웨어는 2019년 2월부터 국내 AD 서버 감염을 통해 피해를 주기 시작했으며, 5월까지 유사한 공격을 감행했다. 특히, 한글로 작성한 메일에 첨부된 MS 엑셀 문서 파일을 실행하여 매크로(Macro) 기능을 활성화할 경우 백도어를 설치하여 공격을 준비하는 특징이 있다고 체크멀은 설명했다.

보안기업 SK인포섹은 2019년 7월 이메일을 이용해 기업 시스템에 침투한 뒤 피해를 확산시키기 위해 AD서버를 장악하는 시도가 늘고 있다고 밝혔다. AD를 이용하면 다수 시스템의 관리자 계정과 설정, 정책 배포 등을 효율적으로 관리할 수 있다. 반면에 AD서버가 공격자에게 장악될 경우에는 내부망 권한도 함께 넘겨주게 된다. 권한을 확보한 공격자는 윈도우 파일 공유 프로토콜(SMB) 기능을 이용해 악성파일을 여러 곳에 전파할 수 있다. SK인포섹은 최초 이메일로 침투해 AD서버를 장악하고, 윈도우SMB 기능을 통해 여러 시스템으로 악성파일을 전파하는 행위가 공식처럼 이뤄지고 있다면서, AD서버가 장악되는 것은 마치 도둑에게 아파트 전 세대의 출입문 키를 통째로 넘겨주는 것과 같다고 설명했다.

국내외 주요 기업들 노린 랜섬웨어+AD 공격
△2018년 11월_국외 지사 PC에서 시작된 AD계정 탈취 사건

2018년 11월 A기업에서 AD계정 탈취로 인한 랜섬웨어 감염사고가 발생했다고 KISA는 밝혔다. 국외 지사의 단말PC를 통해 AD 서버의 Admin 계정을 탈취해 기업 시스템 전체를 장악해 내부 정보를 빼내고 AD서버를 통해 랜섬웨어를 전체 PC로 확산시킨 사례다. 실제 침해사고는 7일 전으로 추측되나 당시 시스템에서는 아무런 로그가 존재하지 않아 단말 PC의 정확한 침해 경로는 파악되지 않았다.

△2019년 2월_기업 임직원 해킹한 뒤 AD 서버를 해킹한 사건
러시아에 기반을 둔 사이버 범죄그룹 ‘TA505’는 2019년 상반기 CLOP 랜섬웨어를 국내에 유포시켰다고 보안기업 NSHC는 밝혔다. 특히, 2019년 2월 한국 특정기업의 임직원을 대상으로 스피어피싱 이메일을 발송했고, 기업 내부망을 해킹했다. 이들은 최종적으로 AD서버를 해킹해 기업 내부 네트워크 전체를 장악했으며, CLOP 랜섬웨어를 AD서버에서 유포해 네트워크와 연결된 수많은 PC가 감염됐다.

2019년 3월_대만 대표 기업 에이수스(ASUS)의 공급망 해킹 사건
2019년 3월에는 CLOP/CIOP 랜섬웨어 공격과 대만 컴퓨터 제조사인 에이수스(ASUS)의 공급망 해킹사고가 있었다. SK인포섹은 “CLOP 랜섬웨어는 메일의 첨부 파일에 삽입된 매크로(Flawed Ammyy RAT) 기능을 통해 유포된다”면서, “먼저 AD 구성 상태를 검증하고, AD가 구성 중인 경우에만 랜섬웨어가 유포되고 악성행위를 시작한다”고 설명했다.

주목할 점은 기업에서 AD를 많이 사용한다는 점을 이용해 기업을 대상으로 CLOP 랜섬웨어를 유포한 사실이다. 에이수스 공급망 해킹사고는 에이수스의 소프트웨어 펌웨어 업데이트 서버가 해킹돼 업데이트 파일로 위장한 악성코드가 업로드되면서 시작됐다. 100만 명이 넘는 고객이 위장된 악성코드를 내려받은 것으로 알려졌으며, 실제 표적이 된 장비는 600여대 정도인 것으로 확인됐다.

AD 관리자가 피해야할 6가지 AD 운영사례
상황이 이렇게 심각해지자 KISA는 2019년 4월 안전한 AD 운영을 위한 ‘AD 관리자가 피해야할 6가지 AD 운영사례’를 긴급 발표하고 사용자 주의 및 점검방안을 소개했다. KISA는 피해원인 분석 및 재발방지를 위해 사고 분석을 진행하면서 AD 환경에 존재하는 관리적 취약점으로 인해 랜섬웨어가 전파된 것을 확인했다고 밝혔다. 예를 들면, KISA는 2019년 2월 22일 ‘보안공지’로 ‘AD서버를 공격하는 랜섬웨어(CLOP) 주의’를 발표했다.

연이은 AD 관리자 계정 탈취를 통한 내부망사고 대응을 통해 확인한 공격기법과 AD 서버 관리방안을 담은 ‘AD 관리자 계정 탈취 침해사고 분석 기술 보고서’도 공개됐다.

AD 환경에서 Administrator 계정은 기본적으로 △Domain Admins △Enterprise Admins △Group Policy Creator Owners △Schema Admins이라는 AD 그룹에 속해 있다. 해당 그룹에 속해있음으로써 해당 도메인에 대한 관리 권한을 얻게 된다. 이 때문에 Administrator 계정을 4개 그룹에서 모두 제외시키면 관리자로써 권한을 잃게 된다. 이 중 Domain Admins와
Enterprise Admins 그룹은 도메인에 대한 전체 권한을 갖고 있으며, 나머지 두 그룹은 계정과 도메인에 대한 권한을 갖고 있지만 앞의 두 그룹보다는 제한적으로 권한을 갖고 있다.

특히, AD 환경에서 악성코드가 전파되는 사고 대부분이 ‘관리자 그룹’ 계정이 탈취돼 발생했다고 판단한 KISA는 취약한 AD 관리 사례들을 총 6가지로 정리했다.

①발급된 모든 계정이 AD ‘관리자 그룹’에 포함되어 있는 경우
AD에 연결된 서버와 PC 중 한 대만 해킹당하더라도 AD 관리자 그룹 계정이 유출될 수 있다. 이를 점검하기 위해서는 ‘도구 - Active Directory 사용자 및 컴퓨터 - Users - ‘관리자 그룹’ 내 구성원(계정) 확인’을 해야 한다.

②관리자가 AD ‘관리자 그룹’ 계정으로 각 서버에 로그온해서 관리하는 경우
각 서버 및 PC에 일반 사용자 계정을 발급하더라도 서비스 관리 등의 이유로 AD ‘관리자 그룹’ 계정으로 접속한 이력이 있는 시스템이 해킹 될 경우 AD ‘관리자 그룹’ 계정이 유출될 수 있다. 이를 점검하기 위해서는 AD ‘관리자 그룹’ 계정으로 로그온 하는 서버를 확인해야 한다.

③AD에 Join된 서버에 AD ‘관리자 그룹’ 계정으로 실행되는 서비스 존재
AD에 Join돼 있는 서버에 일반 사용자 계정으로 로그온 하더라도 그룹웨어 솔루션이나 백업 솔루션 등의 서비스를 AD ‘관리자 그룹’ 계정으로 실행하기 위해 권한 상승한 이력이 있는 경우 해당 서버 해킹만으로 AD ‘관리자 그룹’ 계정이 유출될 수 있다. 이 경우, 재부팅을 하더라도 서비스가 올라오면서 해당 서비스를 동작시키는 계정의 권한을 인증하는 과정을 거치기 때문에 계정 정보가 메모리에 남게 된다. 이에 불가피하게 AD ‘관리자 그룹’ 권한이 필요한 서버인 경우 더욱 철저한 보안관리가 필요하다. 점검 방법은 작업 관리자에서 동작중인 프로세스 사용자 이름이 ‘관리자 그룹’ 계정인지 확인하면 된다.

④AD ‘관리자 그룹’ 계정의 비밀번호 변경이 어려운 환경인 경우
AD에 Join 된 각 서버에서 AD ‘관리자 그룹’ 권한이 필요한 서비스를 운영하는 중 AD ‘관리자 그룹’ 계정 유출이 의심되어 비밀번호를 변경해야 하는 상황을 가정해보면, 서버 운영방식에 따라 다를 수 있지만 AD ‘관리자 그룹’ 계정 비밀번호를 정적으로 설정하는 경우 개별 서버마다 접근해서 수동으로 변경해줘야 한다. 이때 비밀번호를 신속하게 변경할 수 있는 체계가 갖추어져 있지 않는 경우 비밀번호 변경 자체를 포기해 더 큰 피해가 발생할 수 있다.

⑤백업 서버가 AD에 Join 되어 있는 경우
랜섬웨어에 감염되는 경우 복구를 위해서는 백업 서버의 역할이 중요하다. 하지만 관리자 권한이 탈취된 AD에 백업 서버가 Join 되어 있는 경우 같이 감염 복구가 불가능하게 될 수 있다. 백업 서버가 AD에 Join돼 있는지 확인하는 방법은 시스템 설정에서 소속그룹(도메인)을 확인하거나, IP 설정에서 DNS 서버 IP를 확인하면 된다.

⑥AD에 Join된 서버들 중에 최신 보안 업데이트가 돼있지 않은 서버가 있는 경우
AD ‘관리자 그룹’ 권한 이상의 권한으로 로그온 하는 서버가 최신 보안 업데이트가 되어 있지 않은 경우 공격자가 취약점을 악용해 AD ‘관리자 그룹’ 권한을 탈취할 수 있다. 점검방법은 AD ‘관리자 그룹’으로 하는 서버들의 운영체제 업데이트 현황을 확인하면 된다.

KISA는 AD가 관리자 입장에서 다수의 윈도우 시스템들을 관리하기에 편리한 서비스이지만, 모든 하위 시스템과 연결돼 있다는 점에서 보안 측면에서는 더 위험하다고 설명했다. 특히, AD DC(Domain Controller)의 경우 통신하는 트래픽 양이 상당해 서버에 드러나는 흔적이 확인되지 않는 한 침해여부를 확인하기 어렵다고 강조했다. 또한, 공격자는 악성코드 전파와 같은 행위를 위해 ‘관리자 그룹’ 권한 이상의 권한을 필요로 하기 때문에 계정 관리가 더욱 중요하다. 이를 위해 ‘관리자 그룹’의 권한으로 로그온하거나, 관리하는 서버들을 최소화하는 것이 좋다.