👑 Windows Active Directory (AD)
Windows Active Directory (AD)는 Microsoft Windows 기반의 분산 컴퓨팅 환경에서 사용자, 컴퓨터, 서비스 및 기타 자원들을 중앙에서 통합 관리하고 인증(Authentication) 및 인가(Authorization) 서비스를 제공하는 핵심 디렉터리 서비스입니다. 이는 마치 거대한 기업의 모든 자원을 총괄하는 '중앙 도서관' 혹은 '신분증 발급/관리 센터'와 같습니다.
1. 배경 및 개념 정의
1.1. 배경
- 분산 컴퓨팅 환경의 복잡성 증대: 1990년대 후반, 네트워크에 연결된 PC와 서버의 수가 기하급수적으로 증가하며 개별적인 자원 관리의 한계와 보안 취약점이 대두되었습니다.
- 통합 관리의 필요성: 여러 서버와 클라이언트에서 발생하는 인증 정보를 단일 지점(Single Point)에서 관리하고, 일관된 정책(Policy)을 적용하여 관리 효율성과 보안을 높일 필요성이 커졌습니다. AD는 이 문제를 해결하기 위해 LDAP 기반으로 개발되었습니다.
1.2. 개념 정의
| 구분 | 설명 |
|---|---|
| 풀네임 | Windows Active Directory |
| 정의 | Microsoft Windows 서버 운영체제에 포함된 계층적(Hierarchical), 분산형(Distributed) 디렉터리 서비스로, 네트워크의 모든 객체(Object) 정보와 접근 권한을 중앙 집중식으로 관리하는 서비스. |
| 핵심 목적 | 통합 인증(SSO, Single Sign-On) 제공 및 중앙 집중식 자원/보안 정책 관리를 통한 운영 효율성 극대화. |
2. 핵심 구조 및 구성 요소
AD는 논리적 구조와 물리적 구조로 나뉘어 조직의 규모와 지리적 분포를 유연하게 지원합니다.
2.1. 논리적 구조 (Logical Structure)
사용자의 관점과 관리의 범위를 정의합니다.
- 도메인 (Domain): AD의 기본 관리 단위이자 보안 경계(Security Boundary)입니다. 하나의 데이터베이스(DB)를 공유하는 사용자, 컴퓨터 그룹을 의미합니다.
- 트리 (Tree): 연속적인(Contiguous) 이름 공간(Namespace)을 가지는 1개 이상의 도메인들의 집합입니다. (예:
a.com,b.a.com). - 포리스트 (Forest): 가장 큰 보안 경계이자 AD 환경의 최고 단위입니다. 1개 이상의 트리들이 양방향 전이적 트러스트(Two-way Transitive Trust) 관계를 맺고 연결된 집합입니다. 포리스트 내의 모든 도메인은 서로 신뢰하며 자원을 공유할 수 있습니다.
- 조직 구성 단위 (OU, Organizational Unit): 도메인 내에서 관리 권한을 위임하고 그룹 정책(GPO, Group Policy Object)을 적용하는 가장 작은 관리 컨테이너입니다.
2.2. 물리적 구조 (Physical Structure)
데이터 복제와 인증 서비스의 물리적 위치 및 흐름을 정의합니다.
- 도메인 컨트롤러 (DC, Domain Controller): AD 데이터베이스(DB)의 사본을 저장하고 인증(Kerberos) 및 권한 부여 서비스를 제공하는 핵심 서버입니다. 모든 변경 사항은 DC 간에 복제됩니다.
- 사이트 (Site): 빠른 네트워크(Fast Network)로 연결된 영역(보통 LAN)을 정의하며, 주로 복제 트래픽 제어 및 인증 서비스의 지역적 최적화를 위해 사용됩니다. DC 간의 복제는 사이트 간 연결(Site-Link)을 통해 관리됩니다.
- 글로벌 카탈로그 (GC, Global Catalog): 포리스트 내 모든 도메인 객체의 자주 사용되는 속성을 포함하는 부분적인 읽기 전용 복제본입니다. 포리스트 전체의 검색 서비스를 빠르게 지원합니다.
3. 핵심 원리 및 작동 메커니즘
3.1. 기반 기술
- LDAP (Lightweight Directory Access Protocol): AD는 디렉터리 서비스에 접근하고 정보를 저장, 검색, 수정하는 표준 프로토콜로 LDAP을 사용합니다.
- DNS (Domain Name System): AD 서비스 위치(SRV 레코드)와 도메인 컨트롤러를 찾기 위해 필수적으로 사용됩니다.
- Kerberos: AD 환경의 기본 인증 프로토콜입니다. 클라이언트가 자원에 접근하기 위해 TGT(Ticket-Granting Ticket)와 서비스 티켓(Service Ticket)을 발급받는 메커니즘을 사용합니다. SSO의 핵심 원리입니다.
3.2. 그룹 정책 (GPO)
- 일관성 확보: 도메인 내의 사용자 및 컴퓨터 환경에 대해 보안, 환경 설정, 소프트웨어 설치 등을 일괄적으로 적용하고 강제하는 메커니즘입니다.
- 적용 순서: LSDOU (Local → Site → Domain → Organizational Unit) 순서로 적용되며, 나중에 적용된 정책이 우선권을 가집니다.
4. 기술사적 판단과 미래 방향성
4.1. 기술사적 판단: AD의 강점과 한계
| 구분 | 내용 |
|---|---|
| 강점 | 1. 통합 관리 및 SSO: 단일 계정으로 모든 자원 접근이 가능하여 사용자 편의성과 관리 효율성이 매우 높음. 2. 강력한 보안: Kerberos와 GPO를 통한 중앙 집중식 보안 정책 강제 가능. 3. 표준화된 구조: LDAP 표준을 기반으로 하여 다양한 애플리케이션과의 연동 용이. |
| 한계/도전 | 1. 레거시 종속성: 온프레미스(On-Premise) 환경에 최적화되어 클라우드/하이브리드 환경으로의 확장 시 복잡성 증가. 2. 단일 실패 지점(SPOF) 위험: DC가 마비될 경우 전체 인증 시스템이 마비될 위험(다수의 DC로 해결). 3. 제로 트러스트 아키텍처(ZTA) 적용 어려움: 전통적인 경계 기반 보안 모델에 기반하여 ZTA로의 전환에 추가적인 기술(MFA, Conditional Access)이 요구됨. |
4.2. 미래 방향성: 하이브리드 AD (Hybrid AD)
미래의 AD는 기존의 온프레미스(On-Premise) AD와 클라우드 기반의 Azure Active Directory (Azure AD)를 통합하는 하이브리드 ID 관리 체계로 진화하고 있습니다.
- Azure AD Connect: 온프레미스 AD의 사용자 및 그룹 정보를 Azure AD로 동기화(Synchronization)하는 핵심 도구입니다.
- 목적: 사용자가 온프레미스 애플리케이션이든, 클라우드 SaaS(Software as a Service) 애플리케이션(예: Microsoft 365, Salesforce)이든 단일 ID로 접근할 수 있도록 합니다.
- 기술사 관점: 이는 디지털 전환(DX) 시대에 클라우드 보안과 ID 거버넌스(ID Governance)를 확보하는 가장 중요한 전략적 기술 요소입니다.
5. 요약: AD의 가치
Windows AD는 단순한 인증 서버를 넘어, 대규모 IT 인프라의 '뇌(Brain)' 역할을 수행합니다.
관리 효율성, 보안 통제력, 비즈니스 연속성을 확보하는 디지털 ID의 근간이며, 현재는 하이브리드 환경의 ID 통합 관리를 위한 핵심 게이트웨이로서 그 역할이 더욱 증대되고 있습니다. AD의 안정적인 구축 및 운영 능력은 곧 기업 IT 인프라의 안정성을 대변합니다.
DevSecOps, Pentest, Cloud(OpenStack), Develop, Data Engineering, AI-Agent