2021.04.16

MS 액티브 디렉토리에서 ‘도메인 암호 보안’ 강화하기

Susan Bradley | CSO
제로 트러스트(zero trust)의 개념은 ‘그 어떤 것도 다짜고짜 신뢰해서는 안 된다’라는 것이다. 많은 기업이 제로 트러스트로 가기 위해 노력 중이지만 아직 미치지 못하고 있다. 제로 트러스트에 다다르기 전까지는 네트워크 보호 강화 조치를 취해야 한다. 마이크로소프트 환경에서 우석적으로 해야 할 도메인에서의 암호 처리 개선 요령을 소개한다.

마이크로소프트의 LAPS 툴킷을 사용할 것
어떤 조직이든 일단 마이크로소프트 LAPS(Local Administrator Password Solution) 툴킷을 배치하는 것부터 시작해야 한다. 마이크로소프트의 다운로드 페이지에서 설명하는 지침은 다음과 같다.

“[LAPS 솔루션은] 고객이 컴퓨터에서 동일한 관리 로컬 계정 및 암호 조합을 사용할 때 발생하는 수평 에스컬레이션 위험을 완화합니다. LAPS는 AD에 있는 각 컴퓨터의 로컬 관리자 계정에 대한 암호를 저장하고 컴퓨터의 해당 AD 개체에 있는 기밀 특성으로 보호합니다. 컴퓨터에서 AD에 있는 자체 암호 데이터를 업데이트할 수 있으며, 도메인 관리자가 워크스테이션 기술 지원팀 관리자와 같은 권한 있는 사용자 또는 그룹에 읽기 권한을 부여할 수 있습니다.”


도메인에 가입되지 않은 머신이나 클라우드 가상 머신으로 이동하는 사람들을 위해 애저 마켓플레이스(Azure Marketplace)는 인튠 가입 머신에 고유한 관리자 암호를 배치할 수 있는 여러 가지 옵션을 제공하고 있다. 

첫번째는 시너직스 랩(Synergix Labs)의 LAPS 위드 인튠(LAPS with Intune)이다. 이 밖에 시저닉스 랩의 LAPS 포 애저(LAPS for Azure)와 그레이코벨 솔루션(GreyCorbel Solutions)의 APME(Admin Password Manager for Enterprise)도 있다. 클라우드로 자산을 옮길 때 로컬 관리자 암호를 통해 공격자가 손쉽게 침입하는 일이 없도록 해 주는 솔루션들이다.

-> '해킹에 강한' 윈도우 네트워크를 만드는 3가지 방법

임무 분리(separation of duties)를 관리할 것
이 밖에 또 고려해야 할 것은 임무 분리 개념이다. 소규모 조직에서나 관리 서비스 제공업체가 통제하는 조직에서도 도메인 관리자 사용자는 일상적인 운용 사용에 제한을 받아야 하며 임무 수행에 이중 토큰을 요구해야 한다. 

도메인 관리자는 보통의 서버를 관리해서는 안 되며 워크스테이션을 관리하는 것은 더욱 안 된다. 일개 노트북에 해시 값이 남아있지 않도록 반드시 확인해야 한다. 마찬가지로 워크스테이션 관리자의 경우에도 작업들을 분리시켜야 한다.

암호 정책을 검토할 것
그 다음으로는 암호 정책을 검토해야 한다. 과거에는 사용자가 암호를 주기적으로 바꾸게 만들 요량으로 암호 정책을 설정하곤 했지만 지금은 정반대의 암호 정책이 권장된다. 암호를 변경하면 사용자가 안전성 낮은 암호를 선택할 우려가 있기 때문에 변경하지 않는다. 연방기관에게 의무화된 미국 국립표준기술연구소(NIST) 지침을 참고할 만하다. 

NIST 지침에 따르면 암호의 길이는 최소한 8글자가 되어야 하며 더 긴 것이 더 좋다. 사용자들은 암호를 최대 64글자까지 만들 수 있어야 한다. 사용자의 암호가 다른 장소에서 재사용되지 않도록 하는 것이 현명한 처사이다. 

미국 연방거래위원회는 세금 준비 사이트 택스슬레이어(TaxSlayer)로 하여금 데이터베이스 내 사용자 암호를 해킹된 암호와 대조한 후 사용자에게 암호 재사용 금지를 안내하도록 조치했다. NIST에서 권장하는 또 다른 지침에 따르면 이모티콘과 공백을 포함한 모든 ASCII/유니코드 문자는 허용하되 사용자가 순차적 숫자(1234)를 사용하거나 똑같은 문자를 연속해서 사용(AAAA)하는 것은 허용하지 말아야 한다.

-> 칼럼 | 기업의 올바른 비밀번호 변경 정책은?​​​​​​​

과거에는 계정 폐쇄가 상책이었지만 지금은 계정을 폐쇄하기 전에 사용자가 10번은 시도하도록 허용할 것이 권장된다. 또한, 로그인에 지오펜싱(geofencing)을 적용하는 것이 좋다. 예를 들어, 미국에서만 로그인하는 사용자의 경우 미국 밖의 IP 주소로부터의 접근이 차단되도록 애저 방화벽 제한을 두는 것이다.

이 밖에 NIST에서는 쉽게 알아낼 수 있는 정보를 사용한 지식 기반 암호 재설정 기법이나 암호 힌트를 허용하지 말 것을 권장하고 있다. 유명인이 위키피디아에 뻔히 나와 있는 ‘고등학교를 어디에서 다녔는가’와 같은 정보를 이메일 암호 재설정 질문에 사용하는 바람에 이메일이 해킹된 적이 많다는 소식이 생각나는 대목이다.

앱 기반 인증 프로세스를 사용할 것
NIST는 이중 인증에 SMS 기반 문자 메시지를 사용하지 말고 앱 기반 인증 절차를 사용할 것도 권장하고 있다. SIM 바꿔치기로 전화번호를 도용한 공격자에게 계정을 접수 당했다는 끔찍한 사례가 많다. 그러나 많은 사람들이 말하듯이 그 어떤 이중 인증도 없는 것보다는 낫다. 따라서 이중 인증이 없는 것이 대안이라면 SMS 기반 문자 메시지를 차단해서는 안 된다.

도메인 암호 정책 검토 방법
소속 조직의 도메인 암호 정책을 검토한 적이 없다면 다음의 파워셸(PowerShell) 명령을 입력한다.

Get-ADDefaultDomainPasswordPolicy

아래 표시된 결과 창에 보이는 설정을 검토한다.



암호 정책을 몇 년째 검토 없이 방치한 상태라면, 설정이 한참 뒤떨어져 있을 수도 있다. AD 도메인에서 그룹 정책을 사용하여 암호 설정을 맞게 설정할 수 있다(Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy).

윈도우 10 1903 이후 마이크로소프트에서 권장해 온 설정은 다음과 같다.

• 암호 기록 적용 : 24
• 최대 암호 사용 기간 : 미설정
• 최소 암호 사용 기간 :미설정
• 최소 암호 길이 : 14
• 암호는 복잡성 요구 사항을 만족해야 함 : 설정
• 해독 가능한 암호화를 사용하여 암호 저장 : 해제

‘암호 기록 적용’은 예전 암호를 재사용할 수 있게 되기까지 몇 개의 고유 암호가 사용되어야 하는지를 규정한다. 최대 및 최소 암호 사용 기간은 이제 설정하지 않는 것이 권장된다. 암호 변경을 강요하면 사용자가 안전성이 떨어지는 암호를 선택할 가능성이 높아지기 때문이다. 차라리 이중 인증, 생체 인증, 윈도우 헬로 등 암호를 사용하지 않는 옵션을 추가하는 방안을 고려해야 한다.

해당 도메인에 고유한 정책이 필요하다면 세분화 암호 정책 설정을 권장한다. 물론, 인튠(Intune)의 설정을 사용하여 암호 정책을 설정할 수도 있다. ciokr@idg.co.kr



 



2021.04.16

MS 액티브 디렉토리에서 ‘도메인 암호 보안’ 강화하기

Susan Bradley | CSO
제로 트러스트(zero trust)의 개념은 ‘그 어떤 것도 다짜고짜 신뢰해서는 안 된다’라는 것이다. 많은 기업이 제로 트러스트로 가기 위해 노력 중이지만 아직 미치지 못하고 있다. 제로 트러스트에 다다르기 전까지는 네트워크 보호 강화 조치를 취해야 한다. 마이크로소프트 환경에서 우석적으로 해야 할 도메인에서의 암호 처리 개선 요령을 소개한다.

마이크로소프트의 LAPS 툴킷을 사용할 것
어떤 조직이든 일단 마이크로소프트 LAPS(Local Administrator Password Solution) 툴킷을 배치하는 것부터 시작해야 한다. 마이크로소프트의 다운로드 페이지에서 설명하는 지침은 다음과 같다.

“[LAPS 솔루션은] 고객이 컴퓨터에서 동일한 관리 로컬 계정 및 암호 조합을 사용할 때 발생하는 수평 에스컬레이션 위험을 완화합니다. LAPS는 AD에 있는 각 컴퓨터의 로컬 관리자 계정에 대한 암호를 저장하고 컴퓨터의 해당 AD 개체에 있는 기밀 특성으로 보호합니다. 컴퓨터에서 AD에 있는 자체 암호 데이터를 업데이트할 수 있으며, 도메인 관리자가 워크스테이션 기술 지원팀 관리자와 같은 권한 있는 사용자 또는 그룹에 읽기 권한을 부여할 수 있습니다.”


도메인에 가입되지 않은 머신이나 클라우드 가상 머신으로 이동하는 사람들을 위해 애저 마켓플레이스(Azure Marketplace)는 인튠 가입 머신에 고유한 관리자 암호를 배치할 수 있는 여러 가지 옵션을 제공하고 있다. 

첫번째는 시너직스 랩(Synergix Labs)의 LAPS 위드 인튠(LAPS with Intune)이다. 이 밖에 시저닉스 랩의 LAPS 포 애저(LAPS for Azure)와 그레이코벨 솔루션(GreyCorbel Solutions)의 APME(Admin Password Manager for Enterprise)도 있다. 클라우드로 자산을 옮길 때 로컬 관리자 암호를 통해 공격자가 손쉽게 침입하는 일이 없도록 해 주는 솔루션들이다.

-> '해킹에 강한' 윈도우 네트워크를 만드는 3가지 방법

임무 분리(separation of duties)를 관리할 것
이 밖에 또 고려해야 할 것은 임무 분리 개념이다. 소규모 조직에서나 관리 서비스 제공업체가 통제하는 조직에서도 도메인 관리자 사용자는 일상적인 운용 사용에 제한을 받아야 하며 임무 수행에 이중 토큰을 요구해야 한다. 

도메인 관리자는 보통의 서버를 관리해서는 안 되며 워크스테이션을 관리하는 것은 더욱 안 된다. 일개 노트북에 해시 값이 남아있지 않도록 반드시 확인해야 한다. 마찬가지로 워크스테이션 관리자의 경우에도 작업들을 분리시켜야 한다.

암호 정책을 검토할 것
그 다음으로는 암호 정책을 검토해야 한다. 과거에는 사용자가 암호를 주기적으로 바꾸게 만들 요량으로 암호 정책을 설정하곤 했지만 지금은 정반대의 암호 정책이 권장된다. 암호를 변경하면 사용자가 안전성 낮은 암호를 선택할 우려가 있기 때문에 변경하지 않는다. 연방기관에게 의무화된 미국 국립표준기술연구소(NIST) 지침을 참고할 만하다. 

NIST 지침에 따르면 암호의 길이는 최소한 8글자가 되어야 하며 더 긴 것이 더 좋다. 사용자들은 암호를 최대 64글자까지 만들 수 있어야 한다. 사용자의 암호가 다른 장소에서 재사용되지 않도록 하는 것이 현명한 처사이다. 

미국 연방거래위원회는 세금 준비 사이트 택스슬레이어(TaxSlayer)로 하여금 데이터베이스 내 사용자 암호를 해킹된 암호와 대조한 후 사용자에게 암호 재사용 금지를 안내하도록 조치했다. NIST에서 권장하는 또 다른 지침에 따르면 이모티콘과 공백을 포함한 모든 ASCII/유니코드 문자는 허용하되 사용자가 순차적 숫자(1234)를 사용하거나 똑같은 문자를 연속해서 사용(AAAA)하는 것은 허용하지 말아야 한다.

-> 칼럼 | 기업의 올바른 비밀번호 변경 정책은?​​​​​​​

과거에는 계정 폐쇄가 상책이었지만 지금은 계정을 폐쇄하기 전에 사용자가 10번은 시도하도록 허용할 것이 권장된다. 또한, 로그인에 지오펜싱(geofencing)을 적용하는 것이 좋다. 예를 들어, 미국에서만 로그인하는 사용자의 경우 미국 밖의 IP 주소로부터의 접근이 차단되도록 애저 방화벽 제한을 두는 것이다.

이 밖에 NIST에서는 쉽게 알아낼 수 있는 정보를 사용한 지식 기반 암호 재설정 기법이나 암호 힌트를 허용하지 말 것을 권장하고 있다. 유명인이 위키피디아에 뻔히 나와 있는 ‘고등학교를 어디에서 다녔는가’와 같은 정보를 이메일 암호 재설정 질문에 사용하는 바람에 이메일이 해킹된 적이 많다는 소식이 생각나는 대목이다.

앱 기반 인증 프로세스를 사용할 것
NIST는 이중 인증에 SMS 기반 문자 메시지를 사용하지 말고 앱 기반 인증 절차를 사용할 것도 권장하고 있다. SIM 바꿔치기로 전화번호를 도용한 공격자에게 계정을 접수 당했다는 끔찍한 사례가 많다. 그러나 많은 사람들이 말하듯이 그 어떤 이중 인증도 없는 것보다는 낫다. 따라서 이중 인증이 없는 것이 대안이라면 SMS 기반 문자 메시지를 차단해서는 안 된다.

도메인 암호 정책 검토 방법
소속 조직의 도메인 암호 정책을 검토한 적이 없다면 다음의 파워셸(PowerShell) 명령을 입력한다.

Get-ADDefaultDomainPasswordPolicy

아래 표시된 결과 창에 보이는 설정을 검토한다.



암호 정책을 몇 년째 검토 없이 방치한 상태라면, 설정이 한참 뒤떨어져 있을 수도 있다. AD 도메인에서 그룹 정책을 사용하여 암호 설정을 맞게 설정할 수 있다(Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy).

윈도우 10 1903 이후 마이크로소프트에서 권장해 온 설정은 다음과 같다.

• 암호 기록 적용 : 24
• 최대 암호 사용 기간 : 미설정
• 최소 암호 사용 기간 :미설정
• 최소 암호 길이 : 14
• 암호는 복잡성 요구 사항을 만족해야 함 : 설정
• 해독 가능한 암호화를 사용하여 암호 저장 : 해제

‘암호 기록 적용’은 예전 암호를 재사용할 수 있게 되기까지 몇 개의 고유 암호가 사용되어야 하는지를 규정한다. 최대 및 최소 암호 사용 기간은 이제 설정하지 않는 것이 권장된다. 암호 변경을 강요하면 사용자가 안전성이 떨어지는 암호를 선택할 가능성이 높아지기 때문이다. 차라리 이중 인증, 생체 인증, 윈도우 헬로 등 암호를 사용하지 않는 옵션을 추가하는 방안을 고려해야 한다.

해당 도메인에 고유한 정책이 필요하다면 세분화 암호 정책 설정을 권장한다. 물론, 인튠(Intune)의 설정을 사용하여 암호 정책을 설정할 수도 있다. ciokr@idg.co.kr



 

X