암호를 사용하는 한, 우리는 암호를 추측해 본 적이 있습니다. 이 블로그에서는 최근 들어 훨씬 더 자주 발생하는 일반적인 공격과 이를 방어하기 위한 몇 가지 모범 사례에 대해 이야기하겠습니다. 이 공격을 흔히 암호 스프레이라고 합니다.

암호 스프레이 공격에서 공격자는 다양한 계정 및 서비스에서 가장 흔히 사용되는 암호를 시도하여 자신이 찾은 암호로 보호되는 자산에 액세스합니다. 일반적으로 이러한 자산에는 다양한 조직 ID 공급자가 포함됩니다. 예를 들어 공격자는 일반적으로 사용 가능한 도구 키트(예: Mailsniper)를 사용하여 일부 조직의 모든 사용자를 열거한 후 이 모든 계정에 “P@$$w0rd” 및 “Password1”을 시도합니다. 다음과 같은 공격을 예로 들겠습니다.

이 공격 패턴은 대부분의 검색 기술을 회피합니다. 왜냐하면 개별 사용자나 회사의 시점에서 볼 때 공격은 단순히 단일 로그인 실패처럼 보이기 때문입니다.

이것은 공격자에게 숫자 게임입니다. 공격자는 일부 아주 흔한 암호가 실제로 사용되고 있음을 알고 있습니다. 이러한 가장 흔한 암호가 차지하는 비율은 계정의 0.5~1.0%뿐이지만, 공격자가 수천 개의 계정을 공격하면 그중 몇 번은 성공하며 이 정도로 충분히 효율적입니다.

공격한 계정을 사용하여 전자 메일에서 데이터를 가져오거나, 연락처 정보를 수집하거나, 피싱 링크를 전송하거나, 암호 스프레이 대상 그룹을 확장합니다. 공격자는 이러한 최초 대상이 누구인지에 대해서는 별로 신경을 쓰지 않습니다. 공격에 일부 성공하여 이를 활용할 수 있으면 됩니다.

좋은 소식은 Microsoft가 이런 공격을 무력화하는 다양한 도구를 이미 구현하여 제공하고 있을 뿐 아니라 앞으로도 더 많은 기능을 제공한다는 점입니다. 블로그를 계속 읽어, 암호 스프레이 공격을 중지하기 위해 현재 및 앞으로 몇 개월 내에 할 수 있는 일을 확인하세요.

암호 스프레이 공격을 중단하는 손쉬운 4단계

1단계: 클라우드 인증 사용

클라우드에서 매일 수십억 건에 달하는 Microsoft 시스템 로그인이 확인됩니다. Microsoft는 보안 검색 알고리즘을 통해 공격이 발생할 때 이를 검색하고 차단할 수 있습니다. 이는 클라우드에서 구동하는 실시간 검색 및 보호 시스템이므로 클라우드에서 Azure AD 인증(통과 인증 포함)을 수행할 때만 사용 가능합니다.

스마트 잠금

Microsoft는 클라우드에서 스마트 잠금을 사용하여 유효 사용자처럼 보이는 로그인 시도와 공격자일 수도 있는 로그인 시도를 구별합니다. 공격자가 진입하지 못하게 잠그고 유효 사용자가 계속해서 계정을 사용할 수 있게 허용할 수 있습니다. 이렇게 하면 사용자에 대한 서비스 거부 공격을 방지하고 열성적인 암호 스프레이 공격을 중지합니다. 이 기능은 라이선스 수준 로그인이든 모든 Microsoft 계정 로그인이든 상관없이 모든 Azure AD 로그인에 적용됩니다.

ADFS(Active Directory Federation Services)를 사용 중인 테넌트는 2018년 3월부터 Windows Server 2016의 ADFS에서 스마트 잠금을 기본적으로 사용할 수 있습니다. Windows 업데이트를 통해 제공되는 이 기능을 받아 보세요.

IP 잠금

IP 잠금은 수십억 건의 로그인을 분석함으로써 각 IP 주소에서 전송되어 Microsoft의 시스템에 도달하는 트래픽의 품질을 평가하는 방식으로 작동합니다. 이 분석에서 IP 잠금은 악의적으로 활동하는 IP 주소를 찾아 이러한 로그인을 실시간으로 차단합니다.

공격 시뮬레이션

현재 공개 미리 보기로 사용 가능한 공격 시뮬레이터는 Office 365 위협 인텔리전스의 일부이며, 고객은 이 시뮬레이터를 사용하여 자체 최종 사용자에게 시뮬레이션 공격을 개시하여 공격 발생 시 사용자의 행동 방식을 확인한 후 정책을 업데이트하고 암호 스프레이 공격 같은 위협으로부터 조직을 보호할 적절한 보안 도구를 마련할 수 있습니다.

최대한 빨리 수행하도록 권장해 드리는 사항은 다음과 같습니다.

1. 클라우드 인증을 사용 중인 경우는 보호됩니다.
2. ADFS 또는 다른 하이브리드 시나리오를 사용 중인 경우는 2018년 3월 ADFS 업그레이드를 통해 스마트 잠금을 구합니다.
3. 공격 시뮬레이터를 사용하여 보안 태세를 사전에 평가하고 조정합니다.

2단계: 다단계 인증 사용

암호는 계정에 액세스하는 열쇠지만, 성공적인 암호 스프레이 공격에서 공격자는 올바른 암호를 추측했습니다. 이런 공격을 막으려면 계정 소유자와 공격자를 구별할 수 있도록 암호 이상의 무언가를 사용해야 합니다. 이를 위한 3가지 방법은 다음과 같습니다.

위험 기반 다단계 인증

Azure AD ID 보호는 위에서 말한 로그인 데이터를 사용하고 고급 기계 학습 및 알고리즘 검색을 추가하여 시스템에 진입하는 모든 로그인에 위험 점수를 매깁니다. 이를 통해 엔터프라이즈 고객은 사용자나 세션에 위험이 검색된 경우에만 사용자에게 두 번째 단계를 사용해 인증하도록 만드는 정책을 ID 보호에서 작성할 수 있습니다. 이런 방식은 사용자에게 주는 부담을 줄이고 공격자의 진입 경로를 차단합니다. 여기에서 Azure AD ID 보호에 대해 자세히 알아보세요.

상시 다단계 인증

보안을 더욱 강화하기 위해 Azure MFA를 사용하여 클라우드 인증과 ADFS에서 사용자에게 항상 다단계 인증을 요구할 수 있습니다. 이렇게 하면 최종 사용자에게 자체 디바이스를 항상 가지고 있도록 요구하고 다단계 인증을 더 자주 수행하도록 요구하는 동시에 엔터프라이즈에 최대한의 보안을 제공합니다. 이를 조직의 모든 관리자에게 사용하도록 해야 합니다. 여기에서 Azure Multi-Factor Authentication에 대해 자세히 알아보고 ADFS용으로 Azure MFA를 구성하는 방법을 확인하세요.

Azure MFA를 기본 인증으로

ADFS 2016에서는 암호 없는 인증을 위한 기본 인증으로 Azure MFA를 사용할 수 있습니다. 이는 암호 스프레이 공격 및 암호 도난 공격으로부터 보호할 수 있는 훌륭한 도구입니다. 암호가 없으면 추측할 수도 없으니까요. 다양한 폼 팩터를 가진 모든 유형의 디바이스에 아주 효과가 있는 방법입니다. 뿐만 아니라, Azure MFA에서 OTP의 유효성 검증을 거친 후에만 암호를 두 번째 단계로 사용할 수도 있습니다. 암호를 두 번째 단계로 사용하는 방법에 대해서는 여기에서 자세히 알아보세요.

최대한 빨리 수행하도록 권장해 드리는 사항은 다음과 같습니다.

1. 조직의 모든 관리자에게, 특히 구독 소유자 및 테넌트 관리자에게 상시 다단계 인증을 설정하게 하는 것이 좋습니다. 지금 바로 이렇게 하실 것을 강력히 권합니다.
2. 이외의 다른 사용자를 위한 최고의 환경을 위해 위험 기반 다단계 인증을 권장합니다. 이 인증은 Azure AD Premium P2 라이선스에 포함되어 있습니다.
3. 또는 클라우드 인증 및 ADFS에 Azure MFA를 사용합니다.
4. ADFS를 Windows Server 2016의 ADFS로 업그레이드하여 특히 모든 엑스트라넷 액세스에 대해 Azure MFA를 기본 인증으로 사용합니다.

3단계: 모두를 위한 더 좋은 암호

위에서 설명한 모든 사항에도 불구하고, 암호 스프레이를 방어하는 핵심 구성 요소는 모든 사용자가 추측하기 어려운 암호를 사용하는 것입니다. 많은 경우, 사용자는 추측이 어려운 암호를 만드는 방법을 잘 모릅니다. Microsoft는 다음과 같은 도구를 통해 이를 지원합니다.

금지된 암호

Azure AD에서 모든 암호 변경 및 재설정은 금지된 암호 검사기의 확인을 거칩니다. 새 암호가 제출되면 암호에 절대 사용해서는 안 되는(그리고 l33t-sp3@k 철자법이 효과가 없는) 단어의 목록과 대조하여 유사 항목 일치 검사가 진행됩니다. 유사 항목이 발견되면 새 암호가 거부되고, 사용자는 추측하기 더 어려운 암호를 선택하라는 요구를 받습니다. Microsoft는 가장 흔히 공격을 받는 암호의 목록을 작성하고 자주 업데이트합니다.

사용자 지정 금지된 암호

금지된 암호를 더 효과적으로 만들기 위해 Microsoft는 테넌트에서 금지된 암호 목록을 사용자 지정할 수 있게 만들 예정입니다. 관리자는 잘 알려진 직원이나 창립자, 제품, 위치, 지역 아이콘 등 조직에서 흔히 사용되는 단어를 선택하여 이 단어를 사용자 암호에 사용하는 것을 방지할 수 있습니다. 이 목록은 전역 목록에 더하여 적용되므로, 이 목록과 전역 목록 중에서 선택할 필요가 없습니다. 이 기능은 현재 제한된 미리 보기 상태이며 올해 배포할 예정입니다.

온-프레미스 변경에 금지된 암호

이번 봄에 Microsoft는 엔터프라이즈 관리자가 하이브리드 Azure AD-Active Directory 환경에서 암호를 금지할 수 있도록 지원하는 도구를 출시합니다. 금지된 암호 목록이 클라우드에서 온-프레미스 환경으로 동기화되고 에이전트를 사용해 모든 도메인 컨트롤러에 적용됩니다. 그러면 사용자가 클라우드나 온-프레미스 등 어느 위치에서든 암호를 변경할 때 관리자는 추측하기 더 어려운 새 암호인지 손쉽게 확인할 수 있습니다. 이 기능은 2018년 2월에 제한된 미리 보기로 시작되었으며 올해 GA로 전환될 예정입니다.

암호에 대한 사고 방식 변화

좋은 암호를 만드는 조건에 대해 흔히 가지고 있는 생각 중 상당 부분이 잘못되었습니다. 일반적으로 수학적으로 효과가 있는 무언가가 실제로 예측 가능한 사용자 행동으로 이어집니다. 예를 들어 특정 문자 형식과 정기적인 암호 변경을 모두 요구하면 특정 암호 패턴이 생깁니다. 자세한 내용은 Microsoft 암호 지침 백서를 읽어 보세요. PTA 또는 ADFS와 함께 Active Directory를 사용 중인 경우 암호 정책을 업데이트하세요. 클라우드에서 관리되는 계정을 사용 중인 경우 만료하지 않는 암호를 설정하는 것도 고려해 보세요.

최대한 빨리 수행하도록 권장해 드리는 사항은 다음과 같습니다.

1. Microsoft 금지된 암호 도구가 출시되면 이 도구를 온-프레미스에 설치하여 사용자가 더 나은 암호를 생성하도록 지원합니다.
2. 암호 정책을 검토하고 사용자가 계절 패턴을 사용하여 암호를 만들지 않도록 만료 없는 암호를 설정할 것을 고려합니다.

4단계: ADFS 및 Active Directory의 더 많은 멋진 기능

ADFS 및 Active Directory에서 하이브리드 인증을 사용 중인 경우 암호 스프레이 공격에 대항하여 환경을 보호하기 위해 취할 수 있는 더 많은 조치가 있습니다.

첫 단계로, ADFS 2.0 또는 Windows Server 2012를 실행 중인 조직은 최대한 빨리 Windows Server 2016의 ADFS로 이전할 계획을 세웁니다. 최신 버전은 더 빨리 업데이트되어 엑스트라넷 잠금과 같은 풍부한 기능을 포함하게 됩니다. Windows Server 2012R2에서 2016으로 업그레이드하기가 아주 쉬워졌다는 점을 기억하세요.

엑스트라넷에서 레거시 인증 차단

레거시 인증 프로토콜은 MFA를 적용할 수 없으므로, 가장 좋은 접근 방식은 엑스트라넷에서 레거시 인증을 차단하는 것입니다. 그러면 암호 스프레이 공격자가 MFA 없는 이 프로토콜의 특징을 악용할 수 없게 됩니다.

ADFS 웹 응용 프로그램 프록시 엑스트라넷 잠금 사용

ADFS 웹 응용 프로그램 프록시에 엑스트라넷 잠금이 없는 경우 최대한 빨리 사용 설정하여 잠재적인 무차별 암호 대입 공격(brute force attack)에서 사용자를 보호해야 합니다.

ADFS용 Azure AD Connect Health 배포

Azure AD Connect Health는 잘못된 사용자 이름/암호 요청을 발견하기 위해 ADFS 로그에 기록된 IP 주소를 캡처하고, 다양한 시나리오에 대한 추가 보고를 제공하며, 기술 지원 사례를 여는 엔지니어를 지원하는 더 많은 인사이트를 제공합니다.

배포하려면 최신 버전의 ADFS용 Azure AD Connect Health 에이전트를 모든 ADFS 서버(2.6.491.0)에 다운로드합니다. ADFS 서버는 Windows Server 2012 R2(KB 3134222 설치 포함) 또는 Windows Server 2016을 실행해야 합니다.

암호에 기반하지 않은 액세스 방법 사용

암호가 없다면 암호를 추측할 수 없습니다. 암호에 기반하지 않은 인증 방법은 ADFS 및 웹 응용 프로그램 프록시에 사용할 수 있습니다.

1. 인증서 기반 인증은 사용자 이름/암호 끝점이 방화벽에서 완전히 차단되도록 합니다. ADFS의 인증서 기반 인증에 대해 자세히 알아보세요.
2. Azure MFA는 위에서 언급한 것처럼 클라우드 인증과 ADFS 2012 R2 및 2016에서 두 번째 단계로 사용할 수 있습니다. 하지만 ADFS 2016에서 기본 단계로도 사용하여 암호 스프레이의 가능성을 완전히 중단할 수 있습니다. ADFS에서 Azure MFA를 구성하는 방법을 여기에서 알아보세요.
3. Windows 10에서 사용할 수 있으며 Windows Server 2016의 ADFS에서 지원되는 비즈니스용 Windows Hello는 사용자와 디바이스에 모두 연결되어 있는 강력한 암호화 키를 기반으로 완전히 암호 없는 액세스(예: 엑스트라넷에서 액세스)를 가능하게 합니다. 이 기능은 Azure AD에 가입되었거나 Hybrid Azure AD에 가입된 회사 관리 디바이스 및 개인 디바이스에 사용할 수 있으며 설정 앱에서 “회사 또는 학교 계정 추가”를 통해 사용 설정할 수 있습니다. 비즈니스용 Windows Hello에 대해 자세히 알아보세요.

최대한 빨리 수행하도록 권장해 드리는 사항은 다음과 같습니다.

1. 더 빠른 업데이트를 위해 ADFS 2016으로 업그레이드합니다.
2. 엑스트라넷에서 레거시 인증을 차단합니다.
3. 모든 ADFS 서버에서 ADFS용 Azure AD Connect Health 에이전트를 배포합니다.
4. Azure MFA, 인증서, 비즈니스용 Windows Hello와 같은 암호 없는 기본 인증 방법을 사용할 것을 고려합니다.

추가 사항: Microsoft 계정 보호

Microsoft 계정 사용자인 경우:

• 이미 보호되고 있으므로 안심하세요! Microsoft 계정에는 또한 스마트 잠금, IP 잠금, 위험 기반 2단계 인증, 금지된 암호 등이 포함되어 있습니다.
• 하지만 2분 정도 시간을 내서 Microsoft 계정 보안 페이지로 이동하여 “보안 정보 업데이트”를 선택한 후 위험 시반 2단계 인증에 사용되는 보안 정보를 검토하세요.
• 여기로 이동하여 상시 2단계 인증을 켜서 가능한 최고의 보안을 계정에 제공할 수도 있습니다.

최고의 방어는 이 블로그의 권장 사항을 준수하는 것

암호 스프레이는 인터넷에서 암호를 사용하는 모든 서비스에게 심각한 위협입니다. 하지만 이 블로그에 나온 조치를 취하면 이 공격 벡터에 대항하여 최대한으로 보호받을 수 있습니다. 그리고 많은 종류의 공격이 비슷한 특성을 공유하고 있으므로, 이 조치는 좋은 보호 제안 사항입니다. 고객의 보안은 항상 Microsoft의 최고의 우선 순위이며, Microsoft는 암호 스프레이 및 다른 모든 유형의 공격을 막는 새로운 고급 보호를 개발하기 위해 끊임없이 노력하고 있습니다. 위에서 제안한 조치를 지금 수행하고 인터넷의 공격자로부터 방어할 수 있는 새 도구를 자주 확인하세요.

이 정보가 유용하기를 바랍니다. 늘 그렇듯이, 여러분의 피드백이나 제안을 기다리고 있습니다.

감사합니다.

Alex Simons(Twitter: @Alex_A_Simons)

프로그램 관리 부문 이사

Microsoft Identity Division

The post Azure AD 및 ADFS 모범 사례: 암호 스프레이 공격에 대항한 방어 appeared first on Microsoft 365 Blog.