"털리면 답 없다"…LG CNS 퍼플랩, '이것' 경고했다
LG CNS가 지난 3월 만든 보안팀 '퍼플랩'이 각 기업 보안 담당자들에게 액티브 디렉토리(AD) 보안 사고와 관련해 경각심을 주기 위해 팔을 걷어 부쳤다. 최근 기업과 공공기관을 대상으로 AD 보안 사고가 빈번하게 일어나고 있어서다. LG CNS는 26일 '액티브 디렉토리(AD)의 숨겨진 비밀 : 해킹 공격과 방어의 전쟁' 웨비나를 열고 AD 네트워크 보안 침해를 막기 위한 퍼플랩의 역할과 AD가 취약한 공격 루트를 공개했다. AD는 마이크로소프트 윈도 환경에서 사용되는 서비스로, 디렉터리 내 사용자, 그룹, 서버 등에 대한 정보를 저장해 관리자가 네트워크 자원의 접근과 권한을 관리할 수 있도록 하는 서비스다. 사용자 계정·단말·서버를 통합 관리 할 수 있어 해커가 AD 접근 권한을 얻게 되면 기업 시스템에 바이러스를 심거나 시스템을 중단시킬 수도 있다. 퍼플랩은 대다수 해킹 사례에서 AD 도메인 관리자 권한을 얻기 위한 공격이 진행돼 각 기업들과 공공기관에서 이를 대비해야 한다는 점을 알리기 위해 보고서도 발행했다. 실제로 경찰청이 지난 1월부터 2월까지 국내 방산 기업 80여 곳을 조사한 결과 대기업 방산업체 등 10여 곳이 기술 자료 탈취 등 피해를 본 것으로 알려졌다. 지난 2022년 11월 해킹 피해를 입었음에도 올해까지 모르고 있었던 사례도 있었다. 퍼플랩은 이번에 가상의 AD 공격 시나리오로 레드팀과 블루팀의 역할을 나눠 임무를 수행했다. 레드팀은 모니커링크 취약점을 활용해 주요 타겟에게 공격 코드가 포함된 메일을 발송하며 초기 침투를 시도했다. 반면 블루팀은 초기 침투의 주 통로가 되는 모니커링크 취약점을 탐지·방어하는 데 주력했다. 레드팀은 초기 공격에 성공할 경우 디시싱크(DCSync)·실버티켓·골든티켓 공격을 통해 AD 정보를 탈취한다. LG CNS 레드팀 김종훈 책임은 "디시싱크와 실버티켓 공격은 탐지가 매우 어렵기 때문에 초기 예방이 매우 중요하다"고 강조했다. 디시싱크 공격은 해커가 도메인 컨트롤러(DC)와 동일한 권한을 갖고 있는 것처럼 행동해 기업의 민감 정보에 접근을 시도하는 것을 뜻한다. 해커의 공격 성공 시 기업의 민감한 정보를 복제할 수 있고 AD 네트워크 내 모든 계정 정보를 해커가 얻는 것이 가능하다. 레드팀과 블루팀은 실버 티켓과 골든 티켓에 대해 놀이동산의 '자유이용권' 같은 존재라고 비유했다. 실버 티켓이 생기면 해커는 서비스 계정의 권한에 접근할 수 있으며 골든 티켓 공격에 성공하면 AD 환경의 모든 리소스를 접근할 수 있어 보안에 구멍이 생기기 때문이다. 이를 방어하기 위해 블루팀은 초기 보안 패치 설치가 대단히 중요하며 계정 탈취 과정에서 생기는 '티켓. 키어비(ticket.kirbi)'라는 이름의 골든 티켓 파일을 모니터링해서 찾아야 한다고 보고했다. 김 책임은 "새로운 IT 동향에 맞춰 이후 보고서 주제가 선정될 것"이라며 "인공지능(AI)이나 해커가 원격으로 손상된 시스템을 제어하는 'C2 프레임워크' 기술이 다음 연구 대상으로 꼽히고 있다"고 언급했다. 지난 3월 LG CNS가 만든 퍼플랩은 레드팀과 블루팀을 합쳐 대응하는 보안팀을 의미한다. 레드팀은 화이트해커 20여 명으로 구성돼 있으며 블루팀은 24시간 365일 스마트 보안관제센터를 운영하는 방어조를 뜻한다. LG CNS 블루팀 김지훈 책임은 퍼플랩과 레드팀·블루팀 이름과 관련된 질문에 "과거 미군이 가상 시뮬레이션 군사작전 '워게임'을 진행할 때 공격 측을 빨간색, 방어 측을 파란색으로 지정한 것으로부터 유래됐다"고 답했다. 이어 "예상하지 못한 서버 공격을 방어하게 될 일이 생겨 방어에 나섰는데 LG CNS 레드팀 측에서 모의 침투 테스트를 진행한 경우도 있었다"며 "블루팀이 이번에 새로 조직돼 레드팀과 합쳐지며 빨강과 파랑을 합친 보라색으로 팀 이름이 지어지게 됐다"고 설명했다. 또 레드팀 구성 조건이나 법적 근거가 있는지에 대한 질문에는 "레드팀·블루팀 창설과 관련해선 자사가 컨설팅을 통해 고객 환경과 컴플라이언스에 따라 제안하고 있다"고 덧붙였다. LG CNS 보안·솔루션사업부 배민 상무는 "해커들의 공격 대상이 내부망인 AD로 변화하는 추세"라며 "'AD 보안 취약점 진단 컨설팅' 및 '모의 침투 테스트' 서비스를 통해 기업 고객들에게 사이버보안 전략을 제공하고 있다"고 말했다.