첨단 사이버 보안 수단의 발달로 사이버 범죄자의 의심스러운 활동을 식별할 수 있는 위협 모니터링 시스템이 구현되었습니다. 그러나 사이버 범죄자들은 이러한 도구의 탐지를 회피하기 위해 권한이 부여된 사용자의 합법적인 자격 증명과 액세스 권한을 악의적인 목적으로 활용하기 시작했습니다.
악의적인 의도를 가진 개인은 ‘골든 티켓’ 익스플로잇을 실행하여 주의를 끌지 않고 민감한 정보에 자유롭게 액세스할 수 있습니다. 이러한 유형의 공격을 통해 공격자는 합법적인 사용자와 동일한 수준의 권한을 행사할 수 있어 심각한 보안 위험을 초래할 수 있습니다. 이러한 침입을 방지하려면 강력한 보안 조치를 구현하는 것이 필수적입니다.
골든 티켓 공격이란 무엇인가요?
일반적으로 ‘골든 티켓’이라고 불리는 무제한 액세스 패스는 가해자에게 데이터, 프로그램, 파일 등을 포함하여 계정의 모든 측면을 조작할 수 있는 권한을 부여합니다. 이러한 유형의 침입은 “골든 티켓 공격”으로 알려져 있으며 네트워크 보안을 완전히 무시하는 것으로, 공격자가 제한 없이 모든 악의적인 행위를 수행할 수 있습니다.
골든 티켓 공격은 어떻게 이루어지나요?
AD(Active Directory)는 네트워크 내의 도메인을 감독하고 제어하기 위해 Microsoft에서 구현한 시스템입니다. 이 플랫폼은 사용자 액세스의 유효성을 확인하는 인증 메커니즘으로 작동하는 지정된 Kerberos 키 배포 센터(KDC)를 활용합니다. KDC는 고유한 TGT(티켓 부여 티켓)의 생성 및 배포를 통해 AD의 안전한 관리를 보장하는 동시에 일반적으로 10시간을 초과하지 않는 사용자 세션에 대한 시간 제약을 설정합니다.
액티브 디렉터리(AD) 내에서 도메인을 만들면 KRBTGT 계정이 자동으로 생성됩니다. 골든 티켓 공격을 수행하는 악의적인 공격자는 권한이 부여된 사용자의 계정 정보를 손상시켜 AD 도메인 컨트롤러의 취약점을 악용하여 악의적인 목적으로 도메인 컨트롤러를 조작하려고 시도합니다.
정보 수집
골든 티켓 공격자는 표적 계정에 대한 세부 정보, 특히 FQDN(정규화된 도메인 이름), 보안 식별자, 비밀번호 해시 등을 확보하는 것으로 작업을 시작합니다. 공격자는 이러한 세부 정보를 얻기 위해 피싱 전술을 사용하거나, 피해자의 디바이스에 악성 소프트웨어를 설치하여 필요한 정보를 추출할 수도 있습니다. 경우에 따라 공격자는 필요한 데이터에 액세스하기 위해 무차별 암호 대입 방법을 선택할 수도 있습니다.
티켓 위조
유효한 로그인 자격 증명을 사용하여 계정 인증에 성공하면 침입자는 액세스가 제한되므로 악의적인 활동을 수행할 수 없다는 점에 유의해야 합니다. 그러나 네트워크 내에서 추가 액세스 권한을 얻고 작업을 수행하려면 도메인 컨트롤러에서 생성한 Kerberos 티켓을 얻어야 합니다. 이러한 티켓은 키 배포 센터(KDC)에서 KRBTGT 암호 해시로 암호화됩니다. 침입자는 이러한 티켓을 얻기 위해 NTDS.DIT 파일을 훔치거나, DCSync 공격을 실행하거나, 엔드포인트에 존재하는 취약점을 악용하는 등 다양한 방법을 사용할 수 있습니다.
장기 액세스 유지
KRBTGT 암호 해시를 소유한 권한이 없는 개인은 이 해시가 왕국의 모든 강력한 키 역할을 하므로 영향을 받는 시스템을 완전히 제어할 수 있습니다. 따라서 이러한 개인은 서둘러 떠나지 않고 그림자 속에 숨어 은밀하게 민감한 정보와 리소스를 약탈하는 경향이 있습니다. 또한, 이들은 합법적인 관리 부서나 보안 담당자의 의심을 불러일으키거나 경각심을 불러일으키지 않고 고위급 사용자로 가장할 수 있는 능력을 갖추고 있습니다.
골든 티켓 공격을 예방하는 5가지 방법
골든 티켓 공격은 가해자가 광범위한 악의적 행위를 수행할 수 있기 때문에 가장 위험한 사이버 공격 형태 중 하나로 간주됩니다. 이러한 사고의 가능성을 최소화하려면 다음과 같은 예방 조치를 포함하는 강력한 사이버 보안 전략을 구현해야 합니다.
관리자 자격 증명을 비공개로 유지
골든 티켓 공격의 성공 여부는 가해자가 민감한 계정 자격 증명을 획득하는 데 달려 있습니다. 이러한 위협을 완화하려면 기밀 정보에 대한 액세스를 권한이 있는 직원으로만 제한하는 것이 필수적입니다.
네트워크 관리자는 관리 권한을 꼭 필요한 사람에게만 제한함으로써 최고 수준의 보안을 달성할 수 있으므로 액세스 권한을 최소한으로 제한하는 것이 필수적입니다. 관리 사용자의 계정은 가장 중요한 가치를 지니고 있으므로 침해 위험을 최소화하기 위해 최대한 주의를 기울여 보호해야 합니다.
피싱 시도 식별 및 방어
인증정보 도용은 관리 권한을 보호함으로써 방지할 수 있습니다. 그러나 이 경로가 차단되면 사이버 범죄자는 피싱 공격과 같은 다른 전술을 사용할 수 있습니다. 대부분의 기술적 공격과 달리 피싱은 심리학과 속임수에 크게 의존하기 때문에 피싱을 식별하고 피하기 위해서는 정신적인 준비가 필수적입니다.
다양한 피싱 수법과 상황을 숙지하는 것이 필수적입니다. 특히, 모르는 사람으로부터 본인 또는 계정에 관한 개인 정보를 요청하는 원치 않는 통신을 수신할 때는 주의를 기울여야 합니다. 사이버 범죄자들은 민감한 데이터를 직접 요청하기보다는 악성 이메일, 링크 또는 첨부 파일을 보내는 등 보다 교묘한 수법을 사용하는 경우가 많습니다. 따라서 특정 콘텐츠의 진위 여부나 신뢰성이 의심스러운 경우 해당 콘텐츠에 액세스하지 않는 것이 좋습니다.
제로 트러스트 보안으로 액티브 디렉터리 보호
“골든 티켓” 공격을 실행하는 데 필요한 중요한 데이터는 조직의 액티브 디렉터리 내에 저장됩니다. 그러나 언제든 엔드포인트에서 취약점이 발생하여 탐지되지 않고 지속될 수 있습니다. 이러한 취약점은 권한이 없는 사용자가 발견하여 악용할 때까지 시스템에 항상 위협이 되는 것은 아닙니다.
특히 네트워크에 액세스할 수 있는 개인이 제기할 수 있는 잠재적 취약성을 고려할 때 데이터 보안을 보장할 때는 주의를 기울이는 것이 중요합니다. 따라서 제로 트러스트 보안 프로토콜을 구현하는 것은 이러한 위험을 관리하고 위협으로부터 보호하는 효과적인 전략이 될 수 있습니다. 이 접근 방식에는 기존의 신뢰 기반 모델에 의존하는 대신 모든 개인을 잠재적 위협으로 취급하고, 민감한 정보에 대한 액세스 권한을 부여하기 전에 신원을 확인하고 행동을 모니터링하는 조치를 취하는 것이 포함됩니다.
KRBTGT 계정 비밀번호 정기적으로 변경하기
Kerberos 티켓 부여 티켓(KRBTGT) 비밀번호의 보호는 네트워크에 무단으로 액세스하려는 사이버 범죄자를 효과적으로 차단하는 역할을 합니다. 이 비밀번호를 보호하면 침입자가 계정에 액세스할 수 없으므로 네트워크 내에서 악의적인 활동을 수행할 수 있는 능력이 제한됩니다. 해커가 이미 비밀번호 해시를 획득하여 시스템에 침투한 경우, 비밀번호의 강도는 해커의 네트워크 내 존재 기간을 결정하는 데 결정적인 역할을 합니다. 따라서 유출 위험을 최소화하고 민감한 데이터를 보호하려면 강력하고 정기적으로 업데이트되는 비밀번호를 유지하는 것이 필수적입니다.
개인이 자신의 시스템 내에 골든 시프 공격자가 존재한다는 사실을 인지하지 못하는 경우가 많습니다. 따라서 공격의 징후가 없더라도 비밀번호를 자주 업데이트하는 습관을 기르는 것이 좋습니다. 이 간단한 조치로 계정에 접근할 수 있는 권한이 없는 사용자의 액세스 권한을 취소할 수 있습니다.
Microsoft는 악의적인 행위자의 무단 액세스를 방지하기 위해 사용자가 KRBTGT 계정 암호를 자주 수정할 것을 권장합니다.
인적 위협 모니터링 채택
시스템 내에서 잠재적인 위협을 적극적으로 검색하여 골든 티켓 공격의 탐지 및 완화를 강화할 수 있습니다. 이러한 공격은 일반적으로 은밀하고 명백한 중단이나 방해 없이 은밀하게 작동하므로 철저한 모니터링이 수행되지 않으면 침입을 식별하기 어렵습니다.
골든 티켓 공격의 효과는 가해자가 승인 권한을 악용하여 제재된 사용자로 행동할 수 있는 능력에 따라 달라집니다. 따라서 위협 탐지를 위해 설계된 자동화는 이러한 행위를 예외적으로 인식하지 못할 수 있습니다. 침입자가 유효성을 주장하더라도 의심스러운 행동을 인식할 수 있는 능력을 포함하여 진짜 활동과 악의적인 활동을 구별하는 데 필요한 분별력은 오직 사람만이 가지고 있습니다.
골든 티켓 공격으로부터 민감한 인증정보 보호
사이버 범죄자가 어느 정도의 과실 없이 ‘골든 티켓’ 익스플로잇을 통해 개인의 계정에 무제한으로 접근할 수 있는 권한은 주어지지 않습니다. 잠재적인 보안 침해가 발생하기 전에 안전 장치를 구현하여 그 영향을 최소화할 수 있습니다.
기본 인증 자격증명, 특히 KRBTGT 계정의 해시된 비밀번호를 확보하고 보호하면 계정에 대한 사이버 공격이 성공할 확률이 크게 줄어듭니다. 이렇게 하면 추가적인 노력 없이도 네트워크에 대한 지배력을 유지할 수 있습니다. 그러나 악의적인 공격자들은 악의적인 계획을 실행하기 위해 보안 조치에 대한 사용자의 부주의에 의존합니다. 그들에게 그러한 기회를 제공하지 않는 것이 필수적입니다.