랜섬웨어 방어를 위한 Active Directory 기만 기술 연구
- Alternative Title
- Researching active directory based deception for ransomware defense
- Abstract
- 초록
최근 랜섬웨어 공격은 단순히 개별 시스템을 암호화하는 수준을 넘어, 기업 내부의 인프라를 정밀하게 타격하는 방식으로 진화하고 있다. 특히 Active Directory(AD)는 사용자 인증, 접근 권한 관리, 정책 배포 등 핵심 기능을 수행하는 구조적 특성으로 인해 공격자들의 주요 표적이 되고 있다. 본 논문은 AD를 기반으로 한 랜섬웨어 공격의 특성과 그 위협 요소를 체계적으로 분석하고, 이를 조기에 탐지하고 차단할 수 있는 기만기술(Honeypot, Decoy Object 등)의 적용 가능성과 효과를 연구하였다. AD 환경 내에서 공격자는 먼저 일반 사용자 계정을 침해한 뒤, AD를 정찰하여 도메인 관리자 권한을 획득하고, 이를 기반으로 조직 전반에 영향을 미치는 암호화 및 lateral movement를 수행한다. 이러한 일련의 행위는 일반적인 보안 솔루션의 탐지 우회가 가능하므로 보다 적극적인 탐지 전략이 요구된다. 이에 본 연구에서는 AD 내부에 허위 계정, 가짜 공유 폴더, 위장된 관리자 권한 그룹 등을 삽입하여 공격자가 의도치 않게 기만 요소에 접근하도록 유도하고, 이를 기반으로 공격 징후를 조기에 탐지하는 프레임워크를 설계하였다. 실험 환경을 구성하여 실제 시나리오 기반으로 공격을 재현하고, 기만 요소에 대한 접근 여부를 실시간으로 모니터링하여 탐지 효율성과 오탐률을 측정하였다. 실험 결과, 일반 사용자 영역에 존재하는 기만 객체를 우선적으로 스캔하거나 접근하는 행위를 통해 랜섬웨어 초기 단계의 정찰을 탐지할 수 있었으며, 공격자 식별 및 격리까지의 평균 소요 시간 또한 크게 단축되는 효과가 확인되었다. 본 논문은 이러한 결과를 바탕으로 AD 기반 공격의 실질적 대응책으로 기만기술의 활용 가능성을 제안하며, 향후 자동화된 기만 객체 배포 및 경고 시스템 연계를 통한 실시간 대응 체계 구축 방향을 제시한다.
1. 해결하려는 문제
최근 랜섬웨어는 단순한 사용자 PC 대상 공격에서 벗어나 조직 전체 네트워크를 장악하는 방향으로 진화하고 있다. 특히 기업의 인증 및 접근 제어의 핵심인 Active Directory(AD)는 공격자의 주요 표적이 되며, 일단 탈취되면 내부 파일 서버, 백업 시스템, 중요 자산까지 순식간에 피해가 확산될 수 있다. AD를 기반으로 한 공격은 탐지 회피 기술과 권한 상승, lateral movement를 포함해 기존의 보안 시스템만으로는 조기 탐지가 어렵다는 한계를 가진다. 따라서 AD를 악용한 랜섬웨어 공격을 조기에 탐지하고 방어할 수 있는 실질적인 대응 방안이 필요하다.
2. 해결방법
본 논문에서는 AD 환경에 특화된 기만기술을 활용하여 공격자의 정찰 및 내부 이동을 유도하고, 이를 통해 조기에 공격 징후를 탐지하는 방안을 제안한다. 구체적으로는 AD 내에 허위 사용자 계정, 가짜 공유 폴더, 위장된 관리자 그룹 및 정책 객체 등을 삽입해 공격자가 이를 실제 자산으로 오인하고 접근하도록 유도한다. 해당 기만 객체들은 일반 사용자 환경과 유사하게 구성되어 있어 공격자의 관심을 끌 수 있으며, 이들에 대한 비정상적인 접근 시도를 탐지해 이상 행위로 간주할 수 있다.
3. 입증방법
실제 AD 환경을 모사한 테스트베드를 구성하고, 시나리오 기반 랜섬웨어 공격을 재현하였다. 공격자는 일반 사용자 권한으로 침투한 뒤 AD를 정찰하고 권한 상승 및 lateral movement를 시도하도록 설계하였다. 이 과정에서 기만 객체에 대한 접근 여부와 시점을 실시간으로 기록하고, 탐지율, 오탐률, 탐지까지의 평균 시간 등의 지표를 기반으로 성능을 평가하였다. 비교 실험을 통해 기만 객체가 없는 경우와 있는 경우의 탐지 효율성 차이를 분석하였다.
4. 효과
실험 결과, 공격자는 기만 객체에 대해 실제 자산으로 오인하고 우선 접근하는 경향을 보였으며, 이로 인해 공격 정찰 단계에서의 조기 탐지가 가능하였다. 기존 보안 솔루션만으로는 탐지되지 않던 lateral movement와 권한 상승 행위를 기만기술로 효과적으로 포착할 수 있었고, 탐지된 시점에서 보안관제 시스템에 경고를 전송하여 빠른 대응이 가능함을 확인하였다. 결과적으로 AD 기반 공격의 탐지 민감도와 대응 속도를 크게 향상시킬 수 있었으며, 보안 인프라의 실질적인 방어력을 높이는 데 기여할 수 있음을 입증하였다.
- Issued Date
- 2025
- Awarded Date
- 2025-08
- Type
- Dissertation
- Alternative Author(s)
- Jungsu Park
- Affiliation
- 성신여자대학교 일반대학원
- Department
- 일반대학원 미래융합기술공학과
- Advisor
- 이일구
- Table Of Contents
- I. 논문 서론 1
1. 연구 배경 1
2. 연구 목적 2
Ⅱ. 기술 현황 3
1. 랜섬웨어의 진화 3
2. 주요 공격 벡터 3
1) 스피어 피싱 이메일 4
2) 원격 데스크탑 프로토콜(RDP) Brute Force 공격 5
3) AD 관리자 계정 탈취를 통한 Lateral Movement 6
3. 레거시 방어 기술의 한계 7
1) 시그니처 기반 안티바이러스 한계: 다형성 공격에 취약 8
2) EDR 기술 한계: 침투 이후 대응 집중 9
3) 이메일 보안 기술 한계: 제한적 차단 및 속도 저하 10
Ⅲ. 제안 기술 14
1. 정의 14
2. 구성 요소 16
1) 디코이 시스템 16
2) 유인 계정 및 Credential Lure 17
3) 트래픽 모니터링 및 로깅 17
3. AD 환경 적용 18
1) 실제 AD와 동일한 구조의 디코이 AD 구성 18
2) 사용자 PC 루어 계정 정보 삽입 19
3) 공격자의 접속 및 탈취 행위 분석 21
Ⅳ. 기만 기술 기반 대응 시나리오 및 평가 23
1. 실험 환경 구성 23
2. 테스트 방안 24
1) Reconnaissance(정찰) 26
2) Network Discovery(네트워크 검색) 27
3) Credential Harvesting(인증 정보 수집) 28
4) Data Collection(데이터 수집) 30
5) Crendential Abuse(인증 오용) 32
6) System Information Dump(시스템 정보 획득) 34
7) Code Execution(코드 실행) 35
8) Security Bypass(보안 우회) 36
9) Active Directory 36
10) Suspicious File Creation(악성 파일 생성) 37
11) Discovery(발견) 37
3. 결과 분석 38
1) 안티 바이러스 38
2) EDR 39
3) 기만 기술 39
4. 기존 기만 기술 대비 결과 분석 41
Ⅴ. 결론 47
- Degree
- Master
- Publisher
- 성신여자대학교 일반대학원
- 파일 목록
-
-
Download
랜섬웨어 방어를 위한 Active Directory 기만 기술 연구.pdf
기타 데이터 / 931.81 kB / Adobe PDF
-
Items in Repository are protected by copyright, with all rights reserved, unless otherwise indicated.