RDP(원격 데스크톱 프로토콜) 공격을 방지하는 방법?

RDP는 T-120 프로토콜 패밀리 표준을 기반으로 하며, 마이크로소프트가 사용자가 네트워크를 통해 다른 컴퓨터에 원격으로 연결하고 제어할 수 있도록 허용하면서 처음 주목받기 시작했습니다. 이는 네트워크 통신을 보호하고 사용자가 원격에서 데스크톱을 조작할 수 있게 합니다.

그러나 RDP는 위험이 전혀 없는 것은 아닙니다. 이를 악용하여 장치에 무단 접근할 수 있습니다. 출시 이후 16개의 주요 Windows 버전이 출시되었으며, 이는 위협 행위자들이 이를 탈취하여 Windows 서버 및 장치에 원격 접근할 수 있는 충분한 기회를 가졌음을 의미합니다. 이 가이드에서는 RDP 공격을 방지하고 안전을 유지하는 방법을 단계별로 안내합니다.

RDP(원격 데스크톱 프로토콜) 공격이란 무엇인가요?

RDP는 마이크로소프트에서 개발한 통신 연결 프로토콜로, 사용자가 원격으로 데스크톱 장치(또는 마이크로소프트 OS가 설치된 모든 장치)를 제어할 수 있게 합니다. 원격 데스크톱 연결은 TCP(전송 제어 프로토콜) 포트 3389를 사용하며, 이는 원격 연결의 주요 허브입니다. 위협 행위자가 암호화된 채널을 침해하고 장악하는 것을 원격 데스크톱 프로토콜 공격이라고 합니다.

RDP 공격이 작동하는 방식에 대한 간략한 설명은 다음과 같습니다:

• 공격자는 먼저 RDP 포트를 스캔하기 시작합니다. 활성 상태의 장치가 연결되어 있다면, 해당 장치는 네트워크 진입점이 됩니다. 위협 행위자는 이 포트를 통해 네트워크에 무차별 대입 공격을 시도하고 대량의 RDP 연결을 악용할 수 있습니다.
• 초기 침투에 성공한 후, 공격자는 서브넷을 통해 전체 네트워크를 스캔하고 침투 수준을 높입니다. 분산 컴퓨팅 환경에서 여러 엔드포인트에 대한 Windows Management Instrumentation™ 연결이나 원격 프로시저 호출을 사용하여 다양한 공격을 유발할 수 있습니다.
• 장치가 침해되면 공격자가 제어권을 장악합니다. 명령 및 제어 인터페이스를 사용하여 인프라 내의 다른 엔드포인트 및 네트워크에 명령을 보냅니다. 침해된 기기를 사용하여 비표준 포트에 대한 새로운 RDP 연결을 생성할 수도 있습니다.
• 공격자가 이 단계에 도달하면 네트워크를 가로질러 이동하여 기업에 더 깊숙이 침투할 수 있습니다. 권한을 확대하고, 민감한 데이터를 탈취하며, 고가치 자원을 장악할 수 있습니다. 이 단계에 도달하면 조직의 최신 보안 스택 탐지를 회피할 수도 있습니다.

사이버 범죄자들은 RDP를 어떻게 악용할까요?

RDP 공격은 특히 분산된 인력과 제3자 계약자를 대상으로 합니다. 컴퓨터 집약적 자원을 탈취하는 데는 큰 가치가 있으며, RDP는 Windows 서버 및 세션 접근에 대한 더 나은 가시성을 제공할 수 있습니다.

기존 RDP에는 오늘날 우리가 알고 있는 보안 및 개인 정보 보호 조치가 포함되어 있지 않았습니다. 사용자 인증에는 사용자 이름과 비밀번호 조합만 필요했습니다. RDP는 기본적으로 다중 요소 인증 기능이 내장되어 있지 않았습니다.

무단 RDP 접근을 감지하는 방법?

무단 RDP 접근을 감지하기 위해 취할 수 있는 조치는 다음과 같습니다:

• RDP 로그를 확인하여 이상한 행동이나 악의적인 활동의 징후를 찾으십시오. 실패한 로그인 시도, 빈번한 로그인, 인식할 수 없는 IP 주소에서의 로그인을 찾으십시오. 이러한 시도는 해커가 시스템에 접근을 시도했음을 나타냅니다.
• SentinelOne과 같은 네트워크 모니터링 도구를 사용하여 네트워크 트래픽을 검토하고 분석할 수 있습니다. 네트워크 이상 현상, 이상한 트래픽 패턴을 찾고, 특정 IP 주소로 또는 특정 IP 주소에서 많은 데이터가 전송되고 있는지 확인하십시오.
• 문제가 발생하면 포트 3389에서 활동이 급증하는 것을 볼 수 있습니다. 네트워크 트래픽을 기록 및 모니터링하고 스캔하여 원치 않는 접근 시도를 식별하십시오.

RDP 공격을 방지하기 위한 모범 사례 (10개 이상 다루기)

다음은 순서대로 따라야 할 몇 가지 모범 사례입니다. 이들을 구현하면 RDP 공격을 방지하는 방법을 파악할 수 있습니다:

• 특수 문자, 숫자, 알파벳, 기호를 혼합하여 매우 강력한 비밀번호를 만드세요. 최소 15자 이상의 길이를 권장합니다. 또한 비밀번호를 혼합하고 모든 계정에 동일한 비밀번호를 재사용하지 않도록 하세요. 모든 비밀번호를 기억하고 관리하기 어려우면 비밀번호 관리 도구를 사용하세요.
• 모든 클라이언트 및 서버 소프트웨어 버전에 대해 Microsoft 업데이트를 자동으로 적용하세요. 설정이 켜져 있고 수동 요청 없이 백그라운드에서 업데이트가 설치되도록 하십시오. 공개된 악용 코드가 알려진 RDP 취약점에 대한 패치 적용을 우선시해야 합니다.
• 무차별 대입 공격 방지를 위해 다중 인증을 구현하고 최신 계정 감시 정책을 적용하십시오. 추가 보안 조치로 기본 RDP 포트(3389)를 변경하는 것이 좋습니다.
• 연결 허용 목록을 활용하여 신뢰할 수 있는 특정 호스트로만 접근을 제한하십시오. 원격 데스크톱 포트 접근을 선별되고 검증된 IP 주소로만 제한할 것을 권장합니다. 서버 설정을 수정하면 허용 목록 범위를 벗어난 IP 주소의 모든 연결 시도를 차단합니다. 악의적인 시도와 프로세스를 자동으로 차단합니다.
• 제로 트러스트 네트워크 보안 아키텍처(ZTNA)를 구축하고 모든 계정에 최소 권한 원칙을 적용하십시오. 정기적인 점검을 수행하여 모든 RDP 포트가 안전하게 유지되도록 하는 것이 중요합니다.
• 방화벽을 설치하여 RDP 연결 접근을 제한하십시오. 또한 회사 가상 사설망(VPN) 주소 풀을 RDP 방화벽 예외 규칙에 추가해야 합니다. 새 RDP 연결을 설정하기 전에 네트워크 수준 인증을 활성화하십시오.
• 지원되지 않는 플랫폼에서 원격 데스크톱 클라이언트를 사용하는 경우 NLA 없이 연결을 허용하도록 원격 데스크톱 서버를 설정하십시오. 그룹 정책 설정을 확인하고 모든 원격 연결에 대해 사용자 인증을 필수로 설정하십시오.
• 계정 잠금 정책을 설정할 수도 있습니다. 이 정책은 일정 횟수의 잘못된 시도가 발생할 경우, 해커가 자동화된 비밀번호 추측 도구를 사용하여 무단 접근하는 것을 방지합니다. 최대 3회의 잘못된 시도를 허용하고 각 잠금 기간을 3분으로 설정할 수 있습니다.
• 고급 AI 위협 탐지 및 악성코드 방지 솔루션을 사용하십시오. 백그라운드 스캔 프로세스와 엔드포인트 보안 모니터링을 설정하여 장치, 네트워크 및 사용자를 지속적으로 감시하십시오. 이를 통해 내부자 및 섀도우 IT 공격을 방지하고 추가적인 보호 계층을 구축할 수 있습니다.
• 실패한 RDP 연결 및 접근 시도를 인식하는 방법에 대해 직원들을 교육하십시오. 필요한 경우 익명으로 발견 사항을 보고하도록 권장하고, 직장에서 투명성 문화를 조성하십시오. 직원들이 적극적으로 참여하면 전체 팀이 같은 목표를 향해 나아갈 수 있습니다. 모든 부서는 RDP 공격을 방지하는 방법과 공격자가 제어권 및 권한을 확대하기 위해 취하는 단계를 인지해야 합니다. 방어를 위한 자동화 도구와 워크플로우를 사용하기 전에, 먼저 이러한 기술을 사용하는 사용자를 보호하는 것에서 안전이 시작됩니다.

RDP 공격에 대응하는 방법?

SentinelOne Singularity XDR 플랫폼을 사용하여 사고 조사를 자동화하고 최적의 RDP 플레이북 관행을 적용하십시오. SOC 팀의 대응 속도를 높일 수 있습니다. RDP 감염에 노출된 경우 취해야 할 조치는 다음과 같습니다:

• 침해된 사용자 및 공격자 IP 주소를 발견 즉시 차단하십시오. 이는 위협을 억제하고 격리하는 데 도움이 됩니다. ASN 조사를 시작하고 사용자 활동을 조사하십시오. SentinelOne의 XSOAR 모듈을 사용하여 RDP 관련 캠페인을 탐지하십시오.
• Singularity 위협 인텔리전스와 Purple AI를 통해 공격자의 IP 주소에 대한 심층적인 통찰력을 얻을 수 있습니다. 침해된 엔드포인트를 격리하고 다양한 MITRE 단계에 따른 활동을 수집하십시오. SentinelOne은 정보 보강, 조사 및 대응에 이르기까지 모든 과정을 안내합니다. 인시던트를 종료하고 업데이트한 후 XDR에 동기화할 수 있습니다. 통합 대시보드와 콘솔에서 내부 및 외부 사용자 관리 생태계에 대한 모든 정보를 볼 수 있습니다.
• 심층 조사를 수행하려면 SentinelOne의 위협 헌팅 서비스를 시도해 볼 수 있습니다. 이 서비스를 통해 공격자의 IP 또는 캠페인과 관련된 다른 IoC(침해 지표)에 대한 정보를 확인할 수 있습니다. IP 또는 캠페인과 관련된 다른 IoC(침해 지표)에 대한 정보를 제공합니다.
• SentinelOne 플랫폼을 계속 사용하여 RDP 무차별 대입 공격을 방어하고 조직의 중요한 자산을 보호하십시오. 최상의 사이버 보안 조치를 구현하고 새로운 위협에 대비하여 클라우드 방어를 강화하십시오.

RDP 기반 사이버 공격의 실제 사례

RDP의 기본 포트 3389는 경로상 공격을 시작하는 데 사용될 수 있습니다. BlueKeep은 가장 심각한 RDP 취약점 중 하나로 공식적으로 CVE-2019-0708로 분류되었습니다. 이는 인증 없이 특정 형식을 따르는 원격 코드 실행(RCE) 취약점이었습니다. 이 취약점은 실행 가능했으며 결국 네트워크 내 다른 시스템으로 확산되었습니다. 사용자는 아무것도 할 수 없었고, 악의적인 행위자들은 무단 접근을 획득하고 그 과정에서 네트워크 내에서 측면 이동을 통해 시스템을 손상시켰습니다. 그들은 권한을 상승시키고 악성 코드를 설치했으며, 심지어 랜섬웨어까지 배포했습니다.

공격자들은 Shodan과 같은 웹 크롤러를 사용하여 잘못 구성된 RDP 포트를 신속하게 식별하고 공격을 시작할 수 있습니다. 그들은 무차별 대입 공격을 시작하고 자동으로 무단 액세스를 획득할 수 있으며 심지어 중간자(Man-in-the-middle, MitM) 공격을 시작할 수도 있습니다. Sodinokibi, GandCrab, Ryuk 같은 악성코드 모듈도 RDP 공격에 연루될 수 있으며, 볼티모어 시가 직면한 RobinHood 랜섬웨어 공격이 바로 그런 사례였습니다.

SentinelOne으로 RDP 공격 완화하기

SentinelOne은 의심스러운 P2P 원격 데스크톱 공격을 포함한 원격 데스크톱 프로토콜(RDP) 연결을 차단할 수 있습니다. 엔드포인트 보안 기능을 활용하여 완전한 원격 셸에 대한 원격 액세스를 보호합니다. SentinelOne 에이전트를 배포하여 RDP 관련 프로세스 및 연결을 포함한 모든 애플리케이션과 파일을 모니터링할 수 있습니다.

SentinelOne은 RDP 관련 연결을 포함한 모든 장치에 원격 액세스를 자동으로 배포할 수 있습니다.

SentinelOne을 사용하여 파일을 격리하거나 무단 변경 사항을 롤백하는 등의 조치를 취할 수도 있습니다. TeamViewer 또는 VMC와 같은 상용 기성 도구를 사용하여 원격 제어를 시도하는 P2P RDP 공격을 탐지하고 차단할 수 있습니다.

RDP 연결을 표적으로 삼아 악용하는 것으로 알려진 BlueKey 취약점과 같은 최신 취약점을 탐지하고 보호할 수도 있습니다. SentinelOne은 정책 기반 액세스 제어 구현과 같은 추가 보안 조치를 제공합니다. 각 세션을 암호화하기 위해 전용 암호를 사용하며, 다중 인증도 구현합니다.

접근 허용 전에 2단계 인증을 적용할 수 있으며, 상세한 감사 데이터를 제공합니다.

SentinelOne은 RDP 관련 프로세스 및 연결을 포함한 모든 장치에 대한 원격 액세스 배포에도 활용할 수 있습니다.

SentinelOne의 에이전트 및 명령줄 도구를 통해 에이전트를 관리할 수 있습니다. 상태 확인, 진단 실행, 엔드포인트 모니터링 및 보호가 가능합니다. SentinelOne은 전용 앱을 통해 SonicWall, NinjaOne 등 다른 플랫폼과도 통합됩니다. 다중 플랫폼 간 원활한 RDP 연결을 보장하며 최고의 AI 기반 통합 보안을 제공합니다.

무료 라이브 데모 예약하기.

결론 및 CTA

RDP 공격은 규모에 상관없이 모든 조직에 지속적인 위협입니다. 본 가이드의 실천 방법을 따르면 이러한 공격을 방어할 수 있습니다. 보안을 유지하려면 강력한 비밀번호, 다단계 인증, 정기적인 업데이트가 필요합니다. 네트워크 트래픽과 RDP 로그를 모니터링하면 의심스러운 활동을 조기에 포착할 수 있습니다. 사용하지 않을 때는 RDP를 비활성화하고 방화벽 및 허용 목록을 통해 접근을 제한해야 합니다. 그러나 효과적인 방어 태세를 갖추려면 고급 도구와 직원 교육이 필요합니다. SentinelOne은 AI 기반 보호 기능을 제공하여 RDP 기반 위협을 자동으로 탐지 및 차단함으로써 원격 데스크톱 환경에 대한 완벽한 가시성과 제어력을 제공합니다.

지금 바로 SentinelOne로 기업을 보호하세요.

FAQs