[CIOCISO매거진 홍상수 기자] 디지털 혁신 및 클라우드 도입 등으로 기업의 모든 정보는 사용자 계정으로 연결되고 있다. 이에 따른 보안의 접근 방법도 바뀌어야 할 시기다.

랜섬웨어나 해킹의 공격 대상도 개발 단말기에서 계정 정보가 저장된 AD(Active Directory)로 바뀌고 있으며, 이로인한 단 한번의 치매로도 기업의 전산시스템이 마비되고 기밀정보 및 개인정보들이 유출되는 위험을 당할 수 있다.

CIOCISO매거진은 26일 서울 더 플라자호텔에서 제255차 조찬세미나를 열고 AD 보안분야를 선도하고 있는 퀘스트소프트웨어로부터 대응방안을 들었다. 이날 국내 금융 IT를 담당하는 임원 및 임원급 팀, 부장 20여명이 참석했다.

장재호 퀘스트소프트웨어 지사장

먼저 장재호 퀘스트소프트웨어 지사장은 인사말에서 "전 세계적으로 11초마다 랜섬웨어 공격 발생하고 있으며 이는 지난해보다 500% 급증한 수치로 비지니스 손실비용이 16조에 달한다"며 "퀘스트는 가트너가 인정한 AD의 11개분야에 모든 솔루션을 보유한 유일한 글로벌 벤더다. 나날이 지능화되고 있는 랜섬웨어에 대한 효과적인 대응 인사이트를 얻는 시간이 되길 바란다"고 말했다.

이어 퀘스트소프트웨어 채홍소 이사의 '랜섬웨어 계정 침해사고, Active Directory(AD)보안은 필수'라는 제목의 발표가 이어졌다. 

채 이사는 “공격자는 단말을 공격하는 목적의 핵심은 계정 탈취”라고 강조했다.

국내 기업은 표준 인증을 지원하는 대부분의 서비스 및 장비에 대부분의 VDI에서 AD를 통합인증으로 사용하고 있다. 단말 즉 Windows 10, Server를 통합관리하고 있는 상황이다. 

그는 "재택근무가 확산되면서 내부단말 보안위협이 증가하고 있다"며  “내부단말을 통합 위협의 전파나 내부시스템 공격에 대한 새로운 보안 체계 필요하다고 강조했다.

단말이 해킹되면 공격자가 손쉽게 내부 시스템을 접근해 데이터를 유출할 가능성이 높아진다.

채 이사는 "단말 보안은 공격으로부터의 단말 보호, 단말간 전파를 차단 및 탐지해야 한다"고 말했다. 

AD가 없는 환경은 단말보호 솔루션으로 위협으로부터 보호하고 단말간 위협전파 차단은 설정을 통한 단말간 연결(RDP, SMB 등) 차단해야 한다는 의미다.

채홍소 퀘스트소프트웨어 이사

채홍소 이사는 AD 보안전략으로 4단계를 제시했다. 먼저 Prevent(예방)으로 위협이 될 수 있는 정책위반에 대한 탐지를 통해서 사전에 위협 탐지 및 대응해야 한다. 둘째 Protect(보호)단계로 위협이 될 수 있는 요소를 보호하여 위협요소 사전에 차단해야 한다. 

셋째 Detect(탐지)단계로 AD에 알려진 위협 등을 통한 공격을 실시간으로 탐지하여 피해를 최소화해야 한다. 넷째 Diagnostic(분석)단계에서는 운영과정에서의 분석 및 위협발생에 대한 원인분석을 위한 데이터를 구축하고 검색 체계를 갖춰야 한다.

퀘스트의 AD 위협탐지 및 보호 솔루션은 온프라미스와 클라우드에서 위의 4단계 솔루션을 제공하고 있다. 

전문 복구 기능(Recovery Manager DRE)과 함께 자체 Agent기반의 완벽한 가시성과 DR(Disaster Recovery 재해복구 시스템)의 언제부터 복구해야 하는지에 대한 해결책까지 지원한다.

채홍소 이사는 "EDR이 있는데 AD보안이 없다면 단말 보안의 마지막 퍼즐이 남아 있"며 "렌섬웨어로 부터 안전하기 위해선 AD 가시성을 확보해야 할 때"라고 강조했다.