다음 10가지 그룹 정책만 신중하게 설정한다면, 한결 나은 윈도우 보안 환경을 구현할 수 있다.
그룹 정책(Group Policy)은 마이크로소프트 윈도우 PC 사무 환경을 구성할 때 애용하는 수단 중 하나다. 기업 내 PC들이 일관적인 설정값을 가지도록 강제할 수 있다. 대부분의 경우, 그룹 정책은 레지스트리에 밀어넣는 형태의 설정이다. 액티브 디렉토리(Active Directory)에서도 그룹 정책을 설정할 수 있다(실제로는 클라이언트로 내려받는 형태다). 또는 로컬 PC에서 그룹 정책을 설정할 수도 있다.
필자는 1990년부터 윈도우 컴퓨터 보안 분야에 종사해오는 동안 수많은 그룹 정책을 경험해왔다. 윈도우 8.1과 윈도우 서버 2012 R2에는 운영체제에만 3,700여 개의 설정이 존재한다. 그런데, 이와 관련된 ‘비밀’ 하나를 알려주겠다. 필자에 경험에 따르면 중시해야 할 설정은 이중 단 10개뿐이다. 다시 말해 이 10가지를 올바르게 설정하면 윈도우 환경의 안전성을 효율적으로 올릴 수 있다.
물론 이 10가지만 확인하면 된다는 이야기는 아니다. 여러 그룹 정책을 적절히 설정해야 위험을 낮출 수 있다. 그러나 이 10가지 설정이 대부분의 위험을 결정하는 것은 분명하다. 만약 새 그룹 정책을 검토하고 있다면 가장 먼저 하는 일은 이 10가지 설정을 확인할 것을 권한다. 올바르게 설정이 되어 있다면, 담당자가 일을 제대로 하고 있는 것이다.
1. 로컬 관리자 계정(Local Administrator Account) 이름 바꾸기
범죄자가 관리자 계정의 이름을 모르게 만들어야 한다. 그래야 해킹이 힘들어진다. 관리자 계정 이름을 자동으로 바꿀 수 없다. 직접 바꿔야 한다.
2. 게스트 계정 사용 비활성화
게스트 계정을 사용할 수 있도록 설정하는 것이 정말이지 좋지 않다. 윈도우 컴퓨터에 액세스가 자유로워진다. 또 암호도 없다. 다행히 기본 값은 사용할 수 없는 것이다.
3. LM 및 NTLM v1 비활성화
LM(LAN Manager) 및 NTLMv1 인증 프로토콜은 취약점을 갖고 있다. 따라서 NTLMv2와 Kerberos 사용을 강제해야 한다.
참고로 대부분의 윈도우 시스템은 기본 값으로 4개 프로토콜을 모두 수용한다. (10년 이상 된) 구형 시스템, 패치가 되지 않은 시스템을 보유하고 있는 경우를 제외하면, 앞선 2개의 구형 프로토콜을 사용할 이유가 거의 없다. 사용할 수 없도록 기본 설정되어 있다.
4. LM 해시 스토리지 비활성화
LM 암호 해시는 쉽게 플레인 텍스트 암호로 바꿀 수 있다. 윈도우가 이를 디스크에 저장하지 않도록 만전을 기해야 한다. 해커의 해시 덤프 도구가 찾을 수 있는 장소이기 때문이다. ‘사용 중지’가 기본 설정 값이다.
5. 최소 암호 길이 설정
일반 사용자의 최소 암호 길이는 12자 이상, 관리자(elevated user) 계정은 15자 이상이어야 한다. 12자 이상의 윈도우 비밀번호가 그나마 안전한 편이며, 윈도우 인증 환경에서 안전을 제대로 확보할 수 있는 암호 길이는 15자이다. 그래야 백도어를 방지할 수 있다. 기본 설정 값은 숫자 제한이 ‘0’이다. 즉 관리자가 최소 암호 길이를 별도로 설정해야 하며, 이를 통해 기업 PC 환경의 보안을 크게 높일 수 있다.
애석하게도 기존 그룹 정책 설정은 최소 암호 길이를 설정할 때 최대 14자까지만 수용할 수 있다. 15자 이상으로 설정하려면 더 최신 정책인 ‘Fine-Grained Password‘ 정책을 사용해야 한다.
참고로 윈도우 서버 2008 R2(그리고 이에 앞선 운영 체제)에서는 설정이 쉽지 않다. 그러나 GUI가 도입된 윈도우 서버 2012 이후에는 아주 쉽게 설정할 수 있다.
6. 최대 암호 사용기간
14자 이하의 암호는 90일 이상 사용해서는 안 된다. 윈도우의 최대 암호 사용기간은 기본 값은 42일이다. 이 기본 값을 수용하거나, 90일로 연장한다. 보안 전문가들은 15자 이상 암호는 1년까지 사용할 수 있다고 판단한다. 그러나 암호 사용기간을 연장하면, 누군가 암호를 훔쳐 해당 사용자가 소유한 다른 계정에 접근할 위험이 커진다. 교과서적으로는 암호 사용 기간을 짧게 만들수록 좋다.
7. 이벤트 로그
이벤트 로그를 활성화시키고, 이를 정기적으로 점검해야 보안 침해 사고를 더욱 빨리 감지할 수 있다. ‘Microsoft Security Compliance Manager’도구에서 권장한 설정을 사용한다. 또 구형 범주 설정 대신 감사 하위 범주(Audit subcategories)를 이용한다.
8. 익명 SID 열거(anonymous SID enumeration) 비활성화
SID(Security Identifiers)는 윈도우나 액티브 디렉토리의 각 사용자, 그룹, 기타 보안 대상에 할당되는 번호이다. 초기 윈도우 버전에서는 인증을 받지 않은 사용자가 이 번호를 이용해 쿼리, 중요한 사용자(관리자)와 그룹을 파악할 수 있었다. 다시 말해 해커들이 즐겨 이용한 취약점이었다. 다행히 ‘사용 중지’가 기본 값이다.
9. 모든 사용자 그룹에서 ‘익명 계정’ 없애기
이를 잘못 설정할 경우 익명의 해커가 시스템에 액세스하는 위험이 높아진다. 2000년 이후 익명 계정의 사용은 기본값으로 비활성화됐다. 그래도 사용되고 있는지 확인해야 한다.
10. 사용자 계정 컨트롤(UAC) 사용
윈도우 비스타 이후, 웹 브라우징에 가장 중요한 보호 도구가 UAC이다. 그런데 애플리케이션 호환성 문제가 초래된다는 오래 된 정보 때문에 이 기능을 끈 클라이언트가 지나치게 많다.
호환성 문제는 대부분 해결됐다. 남은 문제들도 마이크로소프트가 무료로 배포하는 호환성 문제해결 유틸리티로 거의 해결할 수 있다. UAC를 ‘사용 중지’로 설정하면, 현대적인 윈도우 운영 체제의 보안 수준이 윈도우 NT에 가깝게 떨어진다. 기본 값은 UAC ‘사용’이며 이를 고수해야 한다.
지금까지의 설정들을 살펴보면, 10가지 설정 중 7가지가 윈도우 비스타와 윈도우 서버 2008 이후 버전에서는 기본 값이 바람직한 값이다. 기업 환경에서 보안을 높이기 위해 기본 값을 변경시키지는 않을지언정, 기본 값 변경해가면서까지 보안을 약화시켜서는 안 된다. 이는 정말이지 좋지 않다.
한편 그룹 정책을 걱정하기 전에 해결해야 할 중요한 일들이 많다. 완벽하게 패칭을 하고, 사용자가 트로이의 목마 프로그램을 설치하지 못하도록 만드는 것을 예로 들 수 있다. 그룹 정책은 이들 작업이 제대로 된 이후의 문제다.
이 밖에 (윈도우 비스타/2008 이후) 비트로커(BitLocker)를 사용하면 기업의 보안 수준을 한층 높일 수 있다고 권장한. 그러나 이는 상당한 시간이 필요하며 준비가 필요하다.
기업의 PC 환경을 담당하는 이라고 할지라도 3,700개 설정 모두를 조사하면서 시간을 낭비할 필요가 없다. 위의 10가지를 제대로 설정하면 문제 소지의 대부분을 차단한 것이다. 보안은 효율성과의 줄타기가 아니던가.
* 8종의 서적을 집필하고 40여 종의 자격증을 보유한 Roger A. Grimes는 2005년 이후 인포월드에 보안 관련 글을 기고해오고 있다.dl-ciokorea@foundryco.com
