• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

MS, 애저 AD 코넥트 환경설정에 관한 권고사항 발표 2017.12.13

‘숨어있는 관리자’ 생성하도록 되어 있는 디폴트 옵션
패치로 해결 불가능...디폴트 설정 사용자가 바꿔주어야

[이미지 = iclickart]

[보안뉴스 문가용 기자] MS는 오늘 애저의 AD 코넥트(AD Connect)의 부적절한 환경설정에 대한 보안 권고 사항을 내놓았다. ‘숨어있는 관리자 계정’의 수를 늘려주는 오류로 기업을 표적형 공격에 더 취약하게 만드는 것이라고 한다.

애저 AD 코넥트의 이 오류는 보안 업체 프리엠트(Preempt)가 발견한 것으로 지난 패치 튜즈데이(Patch Tuesday)에서는 다뤄지지 않았다. 12월 패치 튜즈데이를 통해서는 윈도우, 오피스, 오피스 서비스, 웹 앱, 익스체인지 서버, 마이크로소프트 멀웨어 프로텍션 엔진, 인터넷 익스플로러, 에지, 샤크라코어 등에 걸친 34개의 보안 오류들이 정정됐다.

시간차를 두고 발표된 애저 AD 코넥트의 취약점은 패치가 불가능하다고 알려져 있으며, AD 코넥트가 특정 디렉토리로 싱크를 맞출 때 사용하는 액티브 디렉토리 도메인 서비스(Active Directory Domain Services) 계정의 보안 옵션 설정과 관련이 있다고 한다. 현재 디폴트 옵션은 관리자가 아닌 직원들에게 높은 권한을 부여하고 있다.

발견 경위
프리엠트는 자사 고객들의 네트워크 및 시스템을 점검하다가 너무 많은 사람들이 불필요하게 높은 권한을 가지고 있다는 사실을 발견했다고 한다. “추적해보니 비밀 관리자 그룹에 의도치 않은 인물들이 포함되고 있더군요. 액티브 디렉토리의 감사 시스템은 이런 식의 ‘숨어있는 관리자’들을 종종 놓칩니다.”

프리엠트의 보안 전문가 야론 자이너(Yaron Ziner)는 “숨어있는 관리자는 보통 실수로 생겨난다”고 설명한다. “특정 소프트웨어를 설치할 때나 특수한 업무 수행 때문에 잠시 높은 권한이 필요할 때, 이런 ‘숨어있는 관리자’들이 탄생하곤 하는데, 그러한 상황이 종료된 후에 권한을 원상 복귀시키는 걸 잊어버리기 일쑤입니다. 감사 시스템이 이를 잡아내야 하는데, 그렇게 하질 못하고 있고요.”

이런 상태에서 옵션 설정을 현재 디폴트 대로 유지하면 ‘숨어있는 관리자’에게 전체 도메인 관리자 권한이 주어질 수도 있다. 그렇게 되면 일반 사용자를 보안 담당 그룹에 편입시킬 수도 있고, 누군가의 계정을 지워버릴 수도 있다. 혹은 도메인을 복제한 후 도메인 제어기로부터 비밀번호 해시들을 읽어 들이는 것도 가능하다.

“권한이 높은 계정이 많으면 많을수록 위험은 커집니다. 공격자들의 공격 행위가 더 쉬워지니까요.” 프리엠트의 CEO인 아짓 산체티(Ajit Sancheti)의 설명이다. “어떤 기업이라도 ‘숨어있는 관리자’ 계정은 꼭 있습니다. 권한이 높음에도 감사나 공식 모니터링에서 자주 제외되기도 합니다. 공격자가 이러한 계정을 하나라도 탈취한다면 큰일이 발생할 소지가 높습니다.”

프리엠트는 한 발 더 나아갔다. 회사 내 ‘숨어있는 관리자’가 많은 것까지는 파악했지만, 석연치 않은 점이 하나 더 있었다. “마이크로소프트 오피스 365와 애저 AD 코넥트가 함께 온프레미스 환경에 설치될 때 유독 ‘숨어있는 관리자’ 계정이 많이 발견되는 것처럼 보였습니다. 애저 AD 코넥트를 사용해 온프레미스와 클라우드를 연결해 사용하고 있는 상황에서 특히나 이런 현상이 두드러졌고요.”

조사를 해보니 애저 AD 코넥트 계정을 엑스프레스(Express) 옵션으로 설정한 고객에게서 이런 점들이 나타났다. “클라우드 환경에서의 비밀번호와 온프레미스 네트워크에서 사용하는 비밀번호를 맞출 때(sync) 도메인 복제 허용을 해야만 하도록 되어 있다는 걸 발견했습니다.”

설명은 이어진다. “오피스 365를 설치할 때 가장 먼저 하는 일은 오프레미스에서 유지하든 디렉토리를 클라우드로 옮기는 일입니다. 이 때 애저 AD 코넥트를 설치하면 서비스 계정을 생성하고 온프레미스와 클라우드 환경의 디렉토리들을 서로 맞춥니다(sync). 여기에는 비밀번호들도 포함이 됩니다. 그래서 이 AD 코넥트 서비스 계정이 ‘숨어있는 관리자 계정’이 되어버리는 것이죠. 비밀번호에 대한 접근권한이 있는 그런 계정 말입니다.”

게다가 이 숨어있는 관리자 계정에는 AdminSDHolder라는 보호 장치도 없었다. 즉, 권한이 낮은 다른 사용자들이 비밀번호를 바꿔서 접근할 수 있게 된다는 뜻이 된다.

산체티는 “서비스 계정이 이런 식으로 숨어있는 관리자 계정이 되는 과정은 수많은 ‘도메인 침해 공격’ 시나리오 중 하나일 뿐”이라고 말한다. 근본적으로는 ‘숨어있는 관리자 계정’을 더 찾아내 삭제시키는 노력이 조직별로 이뤄져야 한다는 뜻이다.

MS는 권고사항을 통해 ‘디폴트 설정을 사용하지 말라’고 사용자들에게 권고했다. 또한 애저 AD 코넥트가 사용하는 AD 도메인 서비스 계정을 비롯해 다른 권한 높은 계정들을 Organization Unit으로 옮길 것을 권장하기도 했다. 비밀번호 변경 권한을 특정 사용자에게 부여할 경우, 접근할 수 있는 객체를 제한하는 것도 좋은 방법이라고 제시하기도 했다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>