• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

윈도우 환경에서 권한 높은 사용자 및 계정 관리하는 법 2017.02.21

사내 규정만으로는 통제할 수 없는 사용자들의 계정 사용 실태
그룹 정책 및 액티브 디렉토리 기능 유용하게 활용하기

[보안뉴스 문가용 기자] 보통 ‘악성 사용자’라고 하면 불필요하게 높은 권한을 손에 쥐게 된 내부 근무자인 경우가 많다. 이런 상황을 애초에 처음부터 막는 게 중요하지만 사람 많고 일이 북적대는 기업 환경에서 모든 일을 통제할 수는 없다. 그러니 보안 담당자로서는 다른 방법을 강구해야 한다. 윈도우 서버, 도메인 제어기, 액티브 디렉토리 환경들에 대한 모든 권한을 통제하는 것이 바로 그것이다.


그러려면 두 가지를 먼저 파악해야 한다. 누가 어떤 권한을 가지고 있는지, 그 권한의 정도가 어느 정도나 되는지. 물론 이게 말이 쉽지 실제 하려고 하면 매우 복잡하고 어려운 일이다. 그렇다고 불가능한 건 아니다. 먼저, 권한이 발휘되는 모든 영역에서 파생하는 보고서를 검토해 올바른 권한이 제대로 주어지고 발동하고 있는지 파악해야 한다. 그래서 잘못된 것이 발견되면 해당 사용자에 맞게 권한을 조정해야 한다.

가장 많이 사용되고 있는 마이크로소프트 환경이라는 전제 하에 높은 권한과 관련된 보안 제어 요소들은 다음과 같다.
- 그룹 멤버십 : 도메인 관리자, 엔터프라이즈 관리자, Exchange 관리자 등
- 사용자 권한 : 백업 파일, 백업 폴더, 시스템 시간 변경, 시스템 셧다운 등
- 파일 및 폴더 권한 : 데이터베이스의 접근 통제 목록, IP 파일 등
- 위임(delegation) : 액티브 디렉토리, 그룹 정책 등
- 서비스 접근 통제 목록 : stop, start, manage 등

권한이 높은 계정의 보안을 강화하려면 그에 맞는 절차를 수립하고 지켜내는 것이 중요하다. 그 절차란 ‘보고->분석->환경설정->모니터링->경보’다. 보고서를 가지고 분석하고(예를 들어 위에서 언급한 요소들), 그 분석 내용을 바탕으로 환경설정을 새롭게 하고, 그 후의 변화들을 모니터링해서 경보를 발생시키는 구조다. 좀 더 자세히 설명하면 다음과 같다.

1. 현재의 보안 옵션 및 환경설정 상태들에 대하여 조사하고 보고서를 만들거나 요청한다. 그런 과정 중에 필요한 수정사항들을 정리하고 고친다.

2. 보고서 내용을 분석한다. 높은 권한이 발동되는 모든 곳에 대한 데이터가 있어야 하며, 올바른 사용자들만이 관련 이벤트에 언급되어 있어야 한다. 특히 윈도우 서버나 도메인 제어장치, 액티브 디렉토리에 접근하는 사용자들의 자격 요건을 면밀히 검토해야 한다.

3. 여기까지 진행되면 어떤 요소에 어느 정도의 권한을 어떤 사용자들에게 허락해줄 것인지가 드러난다. 조직 상황에 따라 결정하고, 이걸 곧바로 적용시킨다. 보통은 그룹 정책(Group Policy)을 통해 보안 제어 요소들을 구축할 수 있을 것이다. 여기에 액티브 디렉토리 유저와 컴퓨터(Active Directory Users and Computers) 같은 액티브 디렉토리용 툴들을 사용하면 더 효과적이다.

보통은 이렇게 환경설정을 하는 것으로 만족한다. 물론 여기까지 온 것도 대단한 수고며 효과도 나쁘지 않다. 하지만 여기서 딱 멈추면 보안 담당자로서 주도한 변화들이 실제로 어떤 효과를 불러일으키는지 애매하게밖에 파악할 수가 없다. 그러므로 변화를 시도했으면, 그것이 실제 어떤 모습으로 발현되는지도 살펴야 한다. 또, 한 번의 변화로 모든 문제가 해결될 리도 없다. 변화 속에서 사용자들이 어떻게 작용하고 또 어떤 ‘취약한’ 행동을 저지르는지 관찰을 멈추지 말아야 한다.

4. 변화를 시도한 부분들에서 어떤 일이 일어나는지 모니터링하고, 거기서 일어나는 활동들을 추적한다. 특히 영향을 가장 많이 받은, 권한이 높은 계정들의 활동을 주시해야 한다. 이 활동들로부터 추가 보고서가 나오고, 보안 경보가 발령된다.

5. 모니터링을 기반으로 다시 위협거리들을 찾아낸다. 새로운 취약점을 발견하고, 그 취약점들을 통해 들어올 수 있는 공격들 및 악성 행위자들을 예상한다. 그리고 실제 그런 일들이 발생했을 때 경보가 울릴 수 있도록 조치를 취해둔다. 그러고 나서는 위 1번부터 다시 반복한다. 1~5번을 두 번째, 세 번째로 할 때는 서두르지 않아도 된다. 너무 빠른 변화를 너무 잦게 시도하면 사용자들이 지친다. 보안 강화는 장기적이고 지속적인 작업임을 기억하다.

글 : 데렉 멜버(Derek Melber)
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>