게이트 너머: 제로 트러스트와 액티브 디렉터리 방어

선임 콘텐츠 마케팅 관리자

12월 11, 2025

23 분 읽기

지난 4월 마크스 스펜서( & )가 정전되었을 때, 그것은 단순한 정전이 아니었습니다. 이 영국 소매업체는 핵심 ID 백본을 겨냥한 랜섬웨어 공격을 차단하기 위해 온라인 서비스를 중단했습니다.

연구원들은 이 사건을 영국과 미국에 기반을 둔 공격자들로 구성된 느슨한 조직인 스캐터드 스파이더(16세 이하)와 연관 짓고 있습니다. 이 그룹은 멀웨어와 갈취 도구를 대여하는 것처럼 쉽게 사이버 공격을 할 수 있는 랜섬웨어 제휴 서비스인 DragonForce를 사용했습니다.

설상가상으로 드래곤포스는 M&S의 CEO인 스튜어트 마힌에게 직접 이메일을 보내 침해 사실을 자랑하며 대가를 요구하기도 했습니다.

이 사건에서 눈에 띄는 것은 동기가 아니라 정확성입니다. 공격자들은 최종 사용자 시스템에 머무르지 않고 네트워크를 통해 기업 전반의 ID와 신뢰를 관리하는 시스템인 도메인 컨트롤러로 접근했습니다.

이는 랜섬웨어 그룹이 공격을 가속화하기 위해 점점 더 ID 인프라를 표적으로 삼고 있다는 광범위한 추세를 반영합니다. 이러한 변화가 어떻게 발생했으며 어떻게 막을 수 있는지 이해하면 최신 랜섬웨어 방어에서 ID가 중심이 된 이유를 알 수 있습니다.

‍

*국가별 드래곤포스 공격 건수 기준* *GROUP-IB 애널리스트.* DragonForce는 종종 공격을 맞춤화하는 서비스형 랜섬웨어 제휴 프로그램입니다.

신원 확인의 핵심이 보호되지 않는 경우

조사관들은 M&S 공격자가 Microsoft Active Directory의 핵심인 NTDS.dit 파일을 유출한 것을 확인했습니다.

Active Directory는 전체 ID 시스템을 저장하고 적용하는 서버인 도메인 컨트롤러에서 실행됩니다. 쉽게 말해, 회사 내부에서 신뢰할 수 있는 사람, 액세스 허용 대상, 다른 모든 시스템에서 신원을 확인하는 방법을 결정하는 시스템인 도메인 컨트롤러 데이터베이스를 훔친 것입니다.

금고의 내용물뿐 아니라 열쇠, 설계도, 새 화폐를 마음대로 인쇄할 수 있는 권한까지 모두 가지고 은행을 빠져나가는 디지털 강도 행각이었습니다.

공격자들은 도메인 컨트롤러를 손상시키는 것이 기업 전체를 침해하는 가장 빠르고 안정적인 경로라는 사실을 알고 있습니다.

M&S 공격은 또한 현대의 위협 행위자들이 어떻게 생각하는지 보여줍니다. 일단 네트워크에 들어가면 최종 사용자 컴퓨터에 머무르거나 암호화할 서버를 찾지 않습니다. 이들은 종종 도메인 컨트롤러로 가는 경로를 찾는 데 집중합니다.

사용자 계정, 서비스 계정, 권한, 인증 티켓, 거대한 기업 환경을 묶는 신뢰 관계 등 모든 것을 하나로 묶는 시스템이 바로 Active Directory이기 때문입니다. 제로 트러스트 접근 방식이었다면 차단되었을 경로입니다.

"도메인 컨트롤러를 제어하면 조직의 ID 인프라를 제어하는 것입니다."라고 Illumio의 시스템 엔지니어링 디렉터인 마이클 아제이는 말합니다. "신과 같은 권한( )을 부여하여 자신을 신뢰하는 모든 시스템을 제어할 수 있습니다."

이러한 인사이트는 CISA의경고를 반영합니다.

"공격자가 도메인 컨트롤러에 도달하면 단순히 액세스 권한만 얻는 것이 아닙니다. 그들은 조직의 전체 아이덴티티 구조를 물려받습니다."라고 Adjei는 말합니다. "계정, 권한, 토큰, 서비스 자격 증명: 모든 것이 Active Directory에서 이동합니다."

세 가지 역할을 보여주는 Windows Server 2012 서버 관리자 대시보드: AD 디렉터리 서버, DNS 및 파일 서비스.

체인지 헬스케어 침해: 아무도 막지 못한 발판

2024년 2월에 공개된 미국 역사상 가장 큰 의료 사이버 사고 중 하나인 Change Healthcare 침해 사고에서도 비슷한 일이 발생했습니다.

ALPHV 블랙캣 계열사로 추정되는 공격자들은 멀티팩터 인증이 없는 원격 서버를 통해 초기 발판을 마련했습니다. 그런 다음 환경을 측면으로 이동하여 권한을 에스컬레이션하고 마침내 회사의 핵심 ID 인프라와 연결된 시스템에 도달했습니다.

그 결과 몇 주간의 서비스 중단, 수십억 달러의 손실, 전국적인 약국 운영 중단, 약 2억 명에게 영향을 미친 데이터 노출 등 재앙적인 상황이 발생했습니다.

유나이티드헬스 그룹의 CEO 앤드류 위티는 몸값으로 약 2,200만 달러를 비트코인으로 지불한 것으로 알려졌습니다.

하지만 결제해도 데이터가 복구되지는 않았습니다. 랜섬웨어 사례에서 흔히 볼 수 있는 결과이며 전문가들이 돈을 지불하지 말라고 경고하는 주요 이유이기도 한 Change Healthcare는 아무것도 복구하지 못했습니다.

미국 국무부는 ALPHV/블랙캣의 배후를 식별하거나 추적하는 데 도움이 되는 정보에 대해 1,500만 달러를 제공하고 있습니다.

침해가 가속화되는 방법: 도메인 컨트롤러 경로

이번 침해 사고는 제로 트러스트 제어의 부재와 함께 ID 계층의 실패가 가져오는 실제 비용, 즉 하나의 틈새, 빠른 측면 공격, 몸값으로도 되돌릴 수 없는 전국적인 혼란이 얼마나 큰지 보여줍니다.

일단 내부에 진입하면 위협 행위자는 모든 시스템을 공격할 필요가 없으며, 제어 없이 저항이 가장 적은 동서 경로만 있으면 됩니다.

침입을 막을 방법이 없는 상황에서 공격자들은 도메인 컨트롤러를 향해 측면으로 이동하여 피해자의 핵심 ID 시스템을 장악하고 단일 거점을 전면적인 침해로 전환합니다.

Adjei는 대부분의 도메인 컨트롤러 침해는 패치되지 않은 시스템, 잘못 구성된 ID 제어 또는 너무 많은 권한을 가진 오래된 서비스 계정과 같은 작은 것에서 시작된다고 설명합니다. 이러한 틈새는 공격자에게 조용한 발판을 마련하고 내부에서 환경을 매핑할 수 있는 기회를 제공합니다.

그룹 조회, 도메인 신뢰 확인, Kerberos 쿼리 및 서비스 열거와 같은 일반적인 정찰이 이루어집니다. 그 중 어느 것도 자체적으로 알람을 트리거하지 않을 수 있습니다. 하지만 이러한 단계를 함께 진행하면 네트워크에서 가장 중요한 대상인 도메인 컨트롤러와 이 컨트롤러에 도달할 수 있는 ID를 파악할 수 있습니다.

"많은 조직이 도메인 컨트롤러가 모니터링 또는 물리적 격리 뒤에 있기 때문에 안전하다고 생각하는 것이 위험합니다."라고 Adjei는 말합니다. "하지만 공격자가 직접 공격하는 경우는 거의 없습니다. 이들은 취약한 자격 증명, 연결 가능한 시스템, 이동을 차단하지 않는 평평한 동서 네트워크 등 내부 경로가 열려 있으면 무엇이든 따라갑니다."

공격자가 Active Directory에 도달할 수 있게 되면 에스컬레이션이 불가피하다는 점이 M&S와 Change Healthcare 침해의 패턴을 통해 명확해집니다.

"단순한 로그가 아니라 그래프 기반의 가시성이 필요합니다."라고 Adjei는 말합니다. "계정 A가 도메인 컨트롤러를 통해 인증하는 시스템 B와 대화하는 방식 등 엔터티 간의 관계를 이해해야 합니다. 바로 이 지점에서 종속성 매핑이 중요해집니다."

세분화를 통한 ID 코어 보안

도메인 컨트롤러는 개방형 네트워크에 위치할 수 없습니다. 모든 것이 공격자에게 도달할 수 있다면 공격자도 마찬가지입니다.

세분화는 이러한 시스템 주변에 간단하고 강력한 제로 트러스트 경계를 설정합니다. 불필요한 동서 트래픽을 차단하고 공격자가 더 깊은 곳으로 이동하는 데 사용하는 쉬운 경로를 제거합니다.

첫 번째 단계는 모든 것이 어떻게 연결되는지 확인하는 것입니다. 어떤 시스템이 Active Directory와 통신하고 어떤 계정이 Active Directory에 의존하는지 매핑하세요. 이 보기를 사용하면 도메인 컨트롤러가 꼭 필요한 시스템만 도메인 컨트롤러에 액세스할 수 있도록 액세스를 제한할 수 있습니다.

세분화에 대한 제로 트러스트 접근 방식은 클라우드, 데이터 센터, 엔드포인트 등 모든 환경에서도 작동해야 합니다. 이 기능이 없다면 공격자는 모든 보안 시스템을 통과할 수 있습니다.

세분화된 ID 코어는 작은 침해가 전체 침해로 확대되는 것을 방지합니다.