SAW(Secure Access Workstation)로 권한 있는 계정 보호

SAW(Secure Access Workstation)로 권한 있는 계정 보호

2024년 11월 8일

이 기술 및 교육 문서의 목적은 보안 분석가, IT 관리자 및 시스템 엔지니어가 권한 있는 계정과 작업을 보호하기 위해 PAW(Privileged Access Workstation)라고도 알려진 SAW(Secure Access Workstation)를 구현하도록 안내하는 것입니다. SAW는 매우 안전하고 격리된 컴퓨팅 환경을 조성하여 공격자에게 가장 중요한 목표인 높은 권한을 가진 계정의 손상 위험을 최소화하도록 설계되었습니다[1].

소개

권한 있는 자격 증명을 손상시키는 것은 가장 파괴적인 공격 벡터 중 하나입니다. 관리 및 생산성 작업(이메일, 검색)에 동일한 워크스테이션을 사용하는 기존 접근 방식은 특권 자격 증명을 허용할 수 없는 위험에 노출시킵니다. SAW는 클린 소스 원칙에 따라 관리 작업에만 사용되는 전용 및 강화된 컴퓨터로 이 문제를 해결합니다. 즉, 상위 보안 시스템은 하위 보안 시스템에서 관리되어서는 안 됩니다[2].

SAW가 왜 중요한가요?

  • 자격 증명 격리: 권한 있는 자격 증명이 덜 안전한 환경에 노출되는 것을 방지합니다.
  • 공격 표면 감소: 관리 워크스테이션에서 사용할 수 있는 공격 벡터를 최소화합니다.
  • 엄격한 제어: 범용 워크스테이션에서는 실용적이지 않은 애플리케이션 제어와 같은 엄격한 보안 정책을 적용할 수 있습니다.

전제조건

  1. 라이선스: Windows 10/11 Enterprise. 관리에는 Microsoft Intune과 같은 도구를 적극 권장합니다.
  2. 관리 액세스: 보안 정책(GPO 또는 Intune)을 구성할 수 있는 권한입니다.
  3. 전용 하드웨어 또는 보안 가상화 환경: 물리적 컴퓨터 또는 격리된 VM입니다.

단계별: SAW 구현

1. 계층화 모델 정의

Microsoft의 권한 있는 액세스 모델은 자산을 계층으로 분류합니다. SAW는 최고 계층에 대한 액세스를 보호하는 데 필수적입니다.

  • 계층 0: 인프라를 직접 제어합니다(예: 도메인 컨트롤러, Azure AD 전역 관리자).
  • 계층 1: 서버 및 미션 크리티컬 애플리케이션.
  • 계층 2: 최종 사용자 워크스테이션.

Tier 0 SAW는 Tier 0 리소스를 관리하는 데에만 사용해야 합니다.

2. SAW 프로비저닝 및 강화

  1. 새로 설치: Windows 10/11 Enterprise의 깨끗한 복사본을 설치합니다. 불필요한 소프트웨어를 설치하지 마십시오.
  2. 업데이트: 최신 보안 패치를 모두 적용합니다.
  3. Windows 방화벽: 기본적으로 모든 인바운드 트래픽을 차단하고 관리 작업(예: 특정 서버에 대한 RDP, 클라우드 포털에 대한 액세스)에 꼭 필요한 아웃바운드 트래픽만 허용하도록 방화벽을 구성합니다.
  4. 불필요한 서비스 비활성화: PowerShell을 사용하여 필수적이지 않은 서비스를 비활성화합니다. ``파워셸 # 인쇄 스풀러 서비스를 비활성화하는 예 Set-Service -Name "Spooler" -StartupType 비활성화됨 Stop-Service - 이름 "스풀러" ````
  5. 보안 기준 적용: Microsoft 또는 CIS(인터넷 보안 센터) 보안 기준을 사용하여 GPO 또는 Intune을 통해 한 번에 수백 개의 보안 설정을 적용합니다.

3. 애플리케이션 제어 구현

이것은 SAW의 가장 중요한 컨트롤 중 하나입니다. 명시적으로 허용된 애플리케이션만 실행할 수 있어야 합니다.

  • WDAC(Windows Defender Application Control): 선호되는 가장 안전한 기술입니다. WDAC는 커널 수준에서 적용되는 코드 무결성 정책을 만들어 승인되지 않은 소프트웨어나 스크립트가 실행되는 것을 방지합니다. 구성은 더 복잡하지만 최고 수준의 보안을 제공합니다[3].
  • AppLocker: 관리가 더 쉽지만 알려진 우회 방법이 있는 레거시 기술로 간주됩니다. 특정 시나리오에서 WDAC에 대한 보완 계층으로 사용할 수 있습니다.

AppLocker를 사용한 기본 구현(GPO를 통해):

  1. 컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 응용 프로그램 제어 정책 > AppLocker로 이동합니다.
  2. 파일 실행을 허용하는 기본 규칙 만들기창문이 울부짖는다.
  3. 필요한 관리 도구(예: mmc.exe, 원격 데스크톱 연결)의 실행 파일, 스크립트 및 설치 프로그램만 허용하는 규칙을 만듭니다.
  4. '애플리케이션 ID' 서비스가 자동으로 시작되도록 구성합니다.

4. 인터넷 및 로컬 리소스에 대한 액세스 제한

  • 네트워크 격리: SAW는 인바운드 및 아웃바운드 트래픽을 제어하는 엄격한 방화벽 규칙이 적용되는 격리된 VLAN 또는 네트워크 세그먼트에 있어야 합니다.
  • 검색 차단: 인터넷 액세스는 프록시 서버나 방화벽을 통해 차단되거나 최소한 신뢰할 수 있는 사이트(예: portal.azure.com, portal.office.com)의 아주 작은 목록으로 제한되어야 합니다.
  • 이동식 미디어 차단: 장치 정책을 사용하여 USB 드라이브 및 기타 이동식 저장소의 사용을 차단합니다.
  • 계정 분리: SAW 사용자는 로컬 관리자가 아닌 컴퓨터의 표준 사용자여야 합니다. SAW에 로그인하는 데 사용되는 계정은 도메인 또는 클라우드 권한을 가진 계정과 같아서는 안 됩니다. 권한 상승은 대상 리소스에 연결할 때만 발생해야 합니다(예: 'runas' 사용 또는 관리 도구에 자격 증명 입력).

5. SAW 관리 및 유지보수

  • 업데이트: SAW에는 보안 패치를 받고 적용하기 위한 엄격한 프로세스가 있어야 합니다.
  • 모니터링: SAW는 SIEM(예: Microsoft Sentinel) 및 EDR 솔루션(Microsoft Defender for Endpoint)을 통해 면밀히 모니터링되어야 합니다. 비정상적인 활동은 높은 우선순위 경고를 생성해야 합니다.

일상 사용 예시

  1. 관리자는 생산성 작업(이메일, Teams)을 위해 사용자 워크스테이션(계층 2)에 로그인합니다.
  2. 관리 작업(예: 도메인 컨트롤러 관리)을 수행해야 하는 경우 SAW(Tier 0)로 물리적으로 이동하거나 보안 방법을 통해 연결합니다.
  3. SAW에서 그는 표준 SAW 사용자 계정으로 로그인합니다.
  4. 관리 도구(예: Active Directory 사용자 및 컴퓨터)가 열립니다. 도구가 실행되고 도메인 컨트롤러에 연결할 때 도메인 관리자(계층 0) 자격 증명을 사용합니다.
  5. 작업을 완료한 후 도구를 닫고 SAW에서 로그아웃합니다. 계층 0 자격 증명은 SAW 외부에 입력되거나 노출되지 않았습니다.

결론

보안 액세스 워크스테이션을 구현하는 것은 조직의 "왕국의 열쇠"를 보호하기 위한 필수적인 심층 방어 조치입니다. SAW는 강화되고 엄격하게 통제되는 환경에서 관리 작업을 격리함으로써 공격자가 권한을 확대하고 측면 이동하는 데 사용하는 공격 체인을 차단합니다. 계획과 규율이 필요하지만 안전한 관리 환경 구축에 투자하는 것은 조직이 지능형 사이버 공격으로부터 자신을 보호하기 위해 취할 수 있는 가장 중요한 단계 중 하나입니다.

참고자료

[1] 마이크로소프트. (2023). 권한 있는 액세스 보호 개요. [2] 마이크로소프트. (2023). 클린 소스 원칙. [3] 마이크로소프트. (2023). WDAC(Windows Defender 응용 프로그램 제어). [4] 마이크로소프트. (2023). 특권 액세스 모델.