기업 노리는 새로운 사이버 위협 ‘AD 탈취’ 보안대책 집중해부

#AD #Active Directory #마이크로소프트 #AD서버 #퀘스트소프트웨어코리아 #퀘스트

AD 관리자가 피해야할 6가지 AD 운영사례 살펴보니

퀘스트소프트웨어코리아, AD계정 보호를 위한 5가지 대책 제시

[보안뉴스 원병철 기자] 지난해부터 보안담당자들에게 떠오르는 이슈가 하나 있다. 바로 AD(Active Directory)다. AD는 마이크로소프트 서버를 이용할 때 사용하는 하나의 프로그램이자 서비스로, ID와 패스워드 등 계정관리와 정책 배포 등 다수의 시스템을 효율적으로 관리할 수 있도록 도와준다. 다수의 윈도우 시스템을 관리할 수 있는 편리성 때문에 많은 기업들이 AD 서비스를 찾지만, 이는 반대로 AD 권한만 탈취할 수 있으면 내부망을 장악할 수 있다는 말도 된다. 그리고 실제로 이러한 문제들이 필드에서 발생했다.

[이미지=Dreamstime]

2018년부터 2019년 사이 국내외 주요 제조사들을 노린 랜섬웨어가 기승을 부리면서 상당수의 공장들이 큰 피해를 입는 사건들이 연이어 발생했다. 사이버공격을 감행한 범죄그룹들은 다양한 방법으로 랜섬웨어를 퍼트렸는데, 대표적인 방법이 바로 이메일과 AD(Active Directory)를 노려 피해를 확산시키는 것이었다.

AD 서버 노린 공격 급증

한국인터넷진흥원(KISA)는 기업에서 사용하는 중앙관리서버(AD서버)에 침투해 랜섬웨어를 감염시키는 신종 공격이 확산되고 있어 기업 보안담당자의 각별한 주의가 필요하다고 긴급 공지했다. KISA는 공격자가 윈도우 서버를 타깃으로 침투한 후, 기업 내부망과 연결된 백업서버의 자료를 손상시키는 랜섬웨어를 유포시킨다고 설명하면서, 특히 기업의 중앙전산자원 관리서버(AD서버)를 주요 타깃으로 공격을 감행하고 있다고 덧붙였다. 더욱이 CLOP 랜섬웨어는 인터넷 또는 내부망에 연결된 윈도우 운영체제 기반 백업 서버도 공격해 복구가 불가능하도록 손상시키고 있다.

안티랜섬웨어 전문기업 체크멀도 국내 기업을 표적으로 한 악성 메일을 통해 사전에 백도어를 설치해 내부 시스템 정보를 확인한 후, CLOP 랜섬웨어 공격을 추가적으로 진행하여 피해를 주고 있다고 밝혔다. CLOP 랜섬웨어는 2019년 2월부터 국내 AD 서버 감염을 통해 피해를 주기 시작했으며, 5월까지 유사한 공격을 감행했다. 특히, 한글로 작성한 메일에 첨부된 MS 엑셀 문서 파일을 실행하여 매크로(Macro) 기능을 활성화할 경우 백도어를 설치하여 공격을 준비하는 특징이 있다고 체크멀은 설명했다.

보안기업 SK인포섹은 2019년 7월 이메일을 이용해 기업 시스템에 침투한 뒤 피해를 확산시키기 위해 AD서버를 장악하는 시도가 늘고 있다고 밝혔다. AD를 이용하면 다수 시스템의 관리자 계정과 설정, 정책 배포 등을 효율적으로 관리할 수 있다. 반면에 AD서버가 공격자에게 장악될 경우에는 내부망 권한도 함께 넘겨주게 된다. 권한을 확보한 공격자는 윈도우 파일 공유 프로토콜(SMB) 기능을 이용해 악성파일을 여러 곳에 전파할 수 있다. SK인포섹은 최초 이메일로 침투해 AD서버를 장악하고, 윈도우SMB 기능을 통해 여러 시스템으로 악성파일을 전파하는 행위가 공식처럼 이뤄지고 있다면서, AD서버가 장악되는 것은 마치 도둑에게 아파트 전 세대의 출입문 키를 통째로 넘겨주는 것과 같다고 설명했다.

국내외 주요 기업들 노린 랜섬웨어+AD 공격

△2018년 11월_국외 지사 PC에서 시작된 AD계정 탈취 사건

2018년 11월 A기업에서 AD계정 탈취로 인한 랜섬웨어 감염사고가 발생했다고 KISA는 밝혔다. 국외 지사의 단말PC를 통해 AD 서버의 Admin 계정을 탈취해 기업 시스템 전체를 장악해 내부 정보를 빼내고 AD서버를 통해 랜섬웨어를 전체 PC로 확산시킨 사례다. 실제 침해사고는 7일 전으로 추측되나 당시 시스템에서는 아무런 로그가 존재하지 않아 단말 PC의 정확한 침해 경로는 파악되지 않았다.

---------------------------------------------------------------------------------------------------------------

active directory 에 대해 몰랐지만 취약하다고 해서 알아보며 active directory의 개념을 알 수 있었고, 취약점은 새로운 기술이 나올 때마다 어떻게든 발생될 수 있다는 것을 다시 한 번 깨닫게 되었다.