2018.09.14

RDP 공격이란 무엇인가, RDP 노출을 완화하는 7가지 요령

Jaikumar Vijayan | CSO
마이크로소프트의 RDP(Remote Desktop Protocol)는 윈도우 시스템에 원격으로 연결하기 위해 사용된다. RDP 공격에서 범죄자는 기업 네트워크를 악용하고 액세스하기 위해 안전하지 않은 RDP 서비스를 찾는다. 많은 조직이 RDP 서비스에 대한 부적절한 액세스를 보호하지 못하기 때문에 깜짝 놀랄 정도로 쉽다.


Credit: Getty Images Bank

지난 해, RDP는 랜섬웨어를 위한 최고의 공격 벡터가 되었다. 공격자들은 인터넷에 노출된 RDP 서비스를 반복적으로 악용해 여러 주요 조직에 속한 시스템과 네트워크에 랜섬웨어를 설치했다. 7월, 샘샘(SamSam) 그룹은 RDP 서버에 대한 무작위 대입 공격(brute force attack)을 통해 랜섬웨어를 이용해 랩콥(LabCorp)에 있는 약 7,000대의 윈도우 PC와 1,900대의 서버를 감염시켰다.

올해의 또 다른 사건에서 핸콕 헬스(Hancock Health)는 범죄자들이 RDP 서비스를 구동하는 병원 서버를 통해 자사의 네트워크에 침입한 뒤, 암호화한 중요 데이터에 대한 액세스를 회복하기 위한 대가로 5만 달러 이상을 지불해야 했다.

공격자들은 RDP를 이용해 기업 시스템에 크립토마이닝(Cryptomining) 툴, 키로거(Keylogger), 백도어(Backdoor), 기타 악성코드 등도 설치했다. 많은 사람이 RDP 서비스를 이용해 기업 네트워크에 침투해 권한을 상승시키고 자격 증명을 수집하며 해킹된 환경 내에서 돌아다니며 속임수를 위해 위장 플래그(Plag)를 심었다.

보안 자동화 및 사건 대응 기술 제공업체 데미스토(Demisto)의 공동 설립자 리시 바가바는 "RDP 공격이 성공하면 보상이 크다"면서, "때로는 RDP 공격에 약간의 노력이 필요하지만 공격자가 RDP에 액세스해 영향을 끼칠 수 있는 장치의 범위가 위험하게 크다"고 말했다.

RDP, 손쉬운 표적
RDP 프로토콜은 사용이 쉽고 해킹된 시스템을 완전히 제어할 수 있기 때문에 RDP를 표적으로 삼는 것을 선호한다. 또한 공격자가 정당한 목적으로 사용되는 프로토콜을 통해 시스템에 액세스할 수 있기 때문에 방어자가 악의적인 활동을 탐지하기가 더 어렵다.

마이크로소프트의 RDP는 사용자가 윈도우로 구동하는 다른 컴퓨터에서 원격 윈도우 시스템에 연결하는 수단을 제공한다. 원격 디스플레이 및 입력 기능을 제공하기 때문에 실제로 장치 앞에 앉아 있는 것처럼 원격 윈도우 시스템에 액세스해 작업할 수 있다. 예를 들어, RDP를 사용해 집에 있는 윈도우 PC를 활용해 업무용 컴퓨터에 액세스하고 직장에서와 같은 작업을 수행할 수 있다.

조직은 직원 인력이 시스템에 물리적으로 접촉하지 않고 문제를 해결하기 위해 액세스할 수 있도록 원격 액세스를 활성화하는 경우가 많다. 이 기능은 유용할 수 있지만 많은 조직이 강력한 비밀번호를 요구하지 않거나 네트워크 레벨 인증을 활성화하지 않거나 원격 데스크톱을 통해 로그인할 수 있는 사용자를 제한하지 않는 등 원격 데스크톱에 액세스할 수 있는 계정을 적절히 보호하지 않는다.

권한 계정 관리 툴 제공업체 싸이코틱(Thycotic) 수석 보안 과학자 조셉 카슨은 "많은 기업이 기본적으로 RDP를 활성화된 상태로 둔다"며, "이 서비스는 시스템에 대한 관리자 수준 액세스를 제공하는 경우가 많지만 이를 보호하는 유일한 보안 통제는 단순한 비밀번호인 경우가 보통이다"고 말했다.

무작위 대입 방식과 레인보우 테이블(Rainbow Table)을 사용하는 공격자는 민감한 데이터 도난, 악성코드 심기, 데이터 포이즈닝(Data Poisoning), 기타 악의적인 활동을 위해 이 비밀번호를 깨고 시스템에 대한 완전한 액세스를 확보할 수 있는 경우가 많다. 카슨은 "RDP가 활성화된 인터넷 연결 장치를 스캔해 온라인으로 이런 시스템을 찾기가 꽤 쉽다"고 말했다.

또한 공격자는 이전에 침투했던 다른 범죄자로부터 비밀번호를 구매할 수도 있다. 여러 다크 웹 시장에서 최근 해킹된 RDP 서버에 대한 액세스가 최저 3달러에 판매되고 있다. 보안 공급업체 맥아피(McAfee)와 플래시포인트(Flashpoint)는 정부, 의료, 기타 주요 기관에 속한 것을 포함해 전 세계 3만 5,000~4만 개의 RDP 서버 액세스를 위한 비밀번호를 판매하는 USA(Ultimate Anonymity Service)라는 스토어에 대해 보고한 바 있다.

플래시포인트의 수석 분석가 루크 로드헤퍼는 "여러 개의 서버를 동시에 제어할 수 있도록 개발된 무작위 대입 소프트웨어 및 툴을 통해 RDP 서버 표적화를 자동화하는 추세"라고 말했다. 그리고 나서 서버에 대한 액세스를 전용 서버와 위치 유형으로 검색할 수 있는 범죄자 시장에서 판매한다.

전문가들은 RDP 공격에 대한 노출을 완화하기 위해서는 다음의 조치를 이행하는 것을 고려하라고 조언했다.

1. 강력한 비밀번호를 사용하자
RDP 액세스에 항상 강력한 사용자 이름과 비밀번호를 사용한다. 소포스(Sophos) 수석 조사 과학자 체트 위즈니우스키는 길고 안전한 비밀번호가 특히 좋다고 말했다. 특히 관리자 계정에 이중 인증을 활성화하고 액세스를 항상 VPN 뒤에 숨긴다.

위즈니우스키는 "절대로 인터넷에 직접 원격 액세스 툴을 노출하지 않는다"면서, "조금 불편하긴 하지만 관리 사용자에게 문제가 생겨 새벽 3시에 출근하지 않는 대신에 VPN 같은 약간의 불편을 요구하는 것은 과도하지 않다"고 말했다. 로그인 자격 증명을 기본 "admin/administrator"에서 바꾸기만 해도 무작위 대입 공격의 속도를 크게 늦출 수 있다.

2. 역할 기반 액세스 제한을 이행하자
조직은 RDP 콘솔에 대한 관리자 액세스를 가진 사용자의 수를 제한해야 한다. 또한 이런 액세스가 있는 사용자의 권한을 제한하자. 데미스토의 바가바는 "미세한 역할 기반 액세스 제어는 공격자가 침투한 후 유발할 수 있는 피해를 최소화하는데 도움이 된다"고 설명했다.

3. RDP에 NLA를 활성화하자
NLA(Network Level Authentication)는 추가적인 보호 계층을 제공한다. 활성화된 경우 RDP를 통해 원격 시스템에 연결하려 시도하는 사용자는 우선 세션이 수립되기 전에 신원을 인증해야 한다. 안츠는 "NLA는 추가적인 인증 레벨을 제공하기 때문에 비활성화하지 말자"며, "활성화 여부를 확인하자"고 말했다.

4. RDP 포트를 변경하자
쇼단(Shodan) 같은 서비스 때문에 공격자가 RDP로 구동하는 인터넷에 노출된 시스템을 쉽게 찾을 수 있다. 멀웨어바이츠(Malwarebytes)의 수석 정보 보고가 피터 안츠는 "RDP 포트를 변경하면 개발된 RDP 포트를 찾는 포트 스캐너가 감지할 수 없다"며, "기본적으로 서버는 TCP와 UDP에 대해 포트 3389에서 대기한다"고 말했다.

플래시포인트의 로드헤퍼는 "이와 동시에 조직은 요즈음 RDP 서버를 표적으로 삼는 소프트웨어가 RDP 포트 3389 뿐만 아니라 비 표준 포트도 표적으로 삼는다는 것을 인지해야 한다"고 경고했다. 따라서 네트워크 로그에서 RDP 포트를 표적으로 삼는 무작위 대입 활동을 주시해야 한다.

5. RDP 서버를 추적하자
자사의 환경에서 어떤 시스템에 RDP가 활성화되어 있는지 파악하자. 자동화된 위협 관리 제공업체 벡트라(Vectra) 수석 제품 관리자 제이콥 센도우스키는 "인터넷에 직접 연결된 네트워크에 악의적이거나 제재를 받지 않는 RDP 서버가 있는지 확인하자. 누가 액세스하는지 파악할 수 있도록 RDP 서버 로그에서 로깅(Logging) 및 모니터링을 활성화하라"고 말했다.

RDP 네트워크 트래픽의 이례적인 액세스, 이례적인 연결, 세션 특성을 모니터링하면 RDP서비스 오용을 확인하는데 도움이 된다.

6. RDP 게이트웨이를 활용하자
RDP 게이트웨이는 일반적으로 기업 네트워크 내부에 설치된다. 게이트웨이의 기능은 원격 클라이언트와 로컬 장치 사이에서 트래픽을 안전하게 교환하는 것이다. 조직이 승인된 사용자만 RDP를 사용하고 그들이 액세스하는 장치를 통제하는데 도움이 된다.

바가바는 "RDP 게이트웨이를 사용하면 원격 사용자 액세스를 방지 또는 최소화할 수 있으며 조직은 사용자 역할, 액세스 권한, 인증 요건을 더 많이 통제할 수 있다"고 말했다.

안츠는 "이런 시스템의 RDP 세션 로그는 특히 무슨 일이 발생하고 그 원이 무엇인지 파악하려 시도할 때 유용할 수 있다. 로그는 해킹된 기기에는 없기 때문에 공격자가 손쉽게 수정할 수 없다"고 덧붙였다.

7. 초기 증상에 대응할 수 있도록 대비하자
RDP 공격을 찾아 신속하게 저지하기 위한 메커니즘이 필요하다. 예를 들어, RDP 시스템에 대한 반복적인 로그인 시도를 찾아낼 수 있는 보안 툴의 이행을 고려하자. 바가바는 "로그인을 시도하는 사용자와 해당 IP 위치를 신속하게 인증하기 위해 자동화된 시나리오를 마련하고 악의가 탐지되는 경우에 액세스를 차단하는 메커니즘을 마련하라"고 지적했다.

센도우스키는 "조직은 공격자가 랜섬웨어와 크립토마이너(Cryptominer) 설치 등의 기회주의적인 공격뿐만이 아니라 표적화된 공격의 일환으로써 RDP 인프라를 표적화할 것임을 인지해야 한다"면서, "RDP는 승인된 직원과 사이버 공격자 모두에게 원격 액세스를 위한 훌륭한 툴이다"고 말했다. editor@itworld.co.kr  

2018.09.14

RDP 공격이란 무엇인가, RDP 노출을 완화하는 7가지 요령

Jaikumar Vijayan | CSO
마이크로소프트의 RDP(Remote Desktop Protocol)는 윈도우 시스템에 원격으로 연결하기 위해 사용된다. RDP 공격에서 범죄자는 기업 네트워크를 악용하고 액세스하기 위해 안전하지 않은 RDP 서비스를 찾는다. 많은 조직이 RDP 서비스에 대한 부적절한 액세스를 보호하지 못하기 때문에 깜짝 놀랄 정도로 쉽다.


Credit: Getty Images Bank

지난 해, RDP는 랜섬웨어를 위한 최고의 공격 벡터가 되었다. 공격자들은 인터넷에 노출된 RDP 서비스를 반복적으로 악용해 여러 주요 조직에 속한 시스템과 네트워크에 랜섬웨어를 설치했다. 7월, 샘샘(SamSam) 그룹은 RDP 서버에 대한 무작위 대입 공격(brute force attack)을 통해 랜섬웨어를 이용해 랩콥(LabCorp)에 있는 약 7,000대의 윈도우 PC와 1,900대의 서버를 감염시켰다.

올해의 또 다른 사건에서 핸콕 헬스(Hancock Health)는 범죄자들이 RDP 서비스를 구동하는 병원 서버를 통해 자사의 네트워크에 침입한 뒤, 암호화한 중요 데이터에 대한 액세스를 회복하기 위한 대가로 5만 달러 이상을 지불해야 했다.

공격자들은 RDP를 이용해 기업 시스템에 크립토마이닝(Cryptomining) 툴, 키로거(Keylogger), 백도어(Backdoor), 기타 악성코드 등도 설치했다. 많은 사람이 RDP 서비스를 이용해 기업 네트워크에 침투해 권한을 상승시키고 자격 증명을 수집하며 해킹된 환경 내에서 돌아다니며 속임수를 위해 위장 플래그(Plag)를 심었다.

보안 자동화 및 사건 대응 기술 제공업체 데미스토(Demisto)의 공동 설립자 리시 바가바는 "RDP 공격이 성공하면 보상이 크다"면서, "때로는 RDP 공격에 약간의 노력이 필요하지만 공격자가 RDP에 액세스해 영향을 끼칠 수 있는 장치의 범위가 위험하게 크다"고 말했다.

RDP, 손쉬운 표적
RDP 프로토콜은 사용이 쉽고 해킹된 시스템을 완전히 제어할 수 있기 때문에 RDP를 표적으로 삼는 것을 선호한다. 또한 공격자가 정당한 목적으로 사용되는 프로토콜을 통해 시스템에 액세스할 수 있기 때문에 방어자가 악의적인 활동을 탐지하기가 더 어렵다.

마이크로소프트의 RDP는 사용자가 윈도우로 구동하는 다른 컴퓨터에서 원격 윈도우 시스템에 연결하는 수단을 제공한다. 원격 디스플레이 및 입력 기능을 제공하기 때문에 실제로 장치 앞에 앉아 있는 것처럼 원격 윈도우 시스템에 액세스해 작업할 수 있다. 예를 들어, RDP를 사용해 집에 있는 윈도우 PC를 활용해 업무용 컴퓨터에 액세스하고 직장에서와 같은 작업을 수행할 수 있다.

조직은 직원 인력이 시스템에 물리적으로 접촉하지 않고 문제를 해결하기 위해 액세스할 수 있도록 원격 액세스를 활성화하는 경우가 많다. 이 기능은 유용할 수 있지만 많은 조직이 강력한 비밀번호를 요구하지 않거나 네트워크 레벨 인증을 활성화하지 않거나 원격 데스크톱을 통해 로그인할 수 있는 사용자를 제한하지 않는 등 원격 데스크톱에 액세스할 수 있는 계정을 적절히 보호하지 않는다.

권한 계정 관리 툴 제공업체 싸이코틱(Thycotic) 수석 보안 과학자 조셉 카슨은 "많은 기업이 기본적으로 RDP를 활성화된 상태로 둔다"며, "이 서비스는 시스템에 대한 관리자 수준 액세스를 제공하는 경우가 많지만 이를 보호하는 유일한 보안 통제는 단순한 비밀번호인 경우가 보통이다"고 말했다.

무작위 대입 방식과 레인보우 테이블(Rainbow Table)을 사용하는 공격자는 민감한 데이터 도난, 악성코드 심기, 데이터 포이즈닝(Data Poisoning), 기타 악의적인 활동을 위해 이 비밀번호를 깨고 시스템에 대한 완전한 액세스를 확보할 수 있는 경우가 많다. 카슨은 "RDP가 활성화된 인터넷 연결 장치를 스캔해 온라인으로 이런 시스템을 찾기가 꽤 쉽다"고 말했다.

또한 공격자는 이전에 침투했던 다른 범죄자로부터 비밀번호를 구매할 수도 있다. 여러 다크 웹 시장에서 최근 해킹된 RDP 서버에 대한 액세스가 최저 3달러에 판매되고 있다. 보안 공급업체 맥아피(McAfee)와 플래시포인트(Flashpoint)는 정부, 의료, 기타 주요 기관에 속한 것을 포함해 전 세계 3만 5,000~4만 개의 RDP 서버 액세스를 위한 비밀번호를 판매하는 USA(Ultimate Anonymity Service)라는 스토어에 대해 보고한 바 있다.

플래시포인트의 수석 분석가 루크 로드헤퍼는 "여러 개의 서버를 동시에 제어할 수 있도록 개발된 무작위 대입 소프트웨어 및 툴을 통해 RDP 서버 표적화를 자동화하는 추세"라고 말했다. 그리고 나서 서버에 대한 액세스를 전용 서버와 위치 유형으로 검색할 수 있는 범죄자 시장에서 판매한다.

전문가들은 RDP 공격에 대한 노출을 완화하기 위해서는 다음의 조치를 이행하는 것을 고려하라고 조언했다.

1. 강력한 비밀번호를 사용하자
RDP 액세스에 항상 강력한 사용자 이름과 비밀번호를 사용한다. 소포스(Sophos) 수석 조사 과학자 체트 위즈니우스키는 길고 안전한 비밀번호가 특히 좋다고 말했다. 특히 관리자 계정에 이중 인증을 활성화하고 액세스를 항상 VPN 뒤에 숨긴다.

위즈니우스키는 "절대로 인터넷에 직접 원격 액세스 툴을 노출하지 않는다"면서, "조금 불편하긴 하지만 관리 사용자에게 문제가 생겨 새벽 3시에 출근하지 않는 대신에 VPN 같은 약간의 불편을 요구하는 것은 과도하지 않다"고 말했다. 로그인 자격 증명을 기본 "admin/administrator"에서 바꾸기만 해도 무작위 대입 공격의 속도를 크게 늦출 수 있다.

2. 역할 기반 액세스 제한을 이행하자
조직은 RDP 콘솔에 대한 관리자 액세스를 가진 사용자의 수를 제한해야 한다. 또한 이런 액세스가 있는 사용자의 권한을 제한하자. 데미스토의 바가바는 "미세한 역할 기반 액세스 제어는 공격자가 침투한 후 유발할 수 있는 피해를 최소화하는데 도움이 된다"고 설명했다.

3. RDP에 NLA를 활성화하자
NLA(Network Level Authentication)는 추가적인 보호 계층을 제공한다. 활성화된 경우 RDP를 통해 원격 시스템에 연결하려 시도하는 사용자는 우선 세션이 수립되기 전에 신원을 인증해야 한다. 안츠는 "NLA는 추가적인 인증 레벨을 제공하기 때문에 비활성화하지 말자"며, "활성화 여부를 확인하자"고 말했다.

4. RDP 포트를 변경하자
쇼단(Shodan) 같은 서비스 때문에 공격자가 RDP로 구동하는 인터넷에 노출된 시스템을 쉽게 찾을 수 있다. 멀웨어바이츠(Malwarebytes)의 수석 정보 보고가 피터 안츠는 "RDP 포트를 변경하면 개발된 RDP 포트를 찾는 포트 스캐너가 감지할 수 없다"며, "기본적으로 서버는 TCP와 UDP에 대해 포트 3389에서 대기한다"고 말했다.

플래시포인트의 로드헤퍼는 "이와 동시에 조직은 요즈음 RDP 서버를 표적으로 삼는 소프트웨어가 RDP 포트 3389 뿐만 아니라 비 표준 포트도 표적으로 삼는다는 것을 인지해야 한다"고 경고했다. 따라서 네트워크 로그에서 RDP 포트를 표적으로 삼는 무작위 대입 활동을 주시해야 한다.

5. RDP 서버를 추적하자
자사의 환경에서 어떤 시스템에 RDP가 활성화되어 있는지 파악하자. 자동화된 위협 관리 제공업체 벡트라(Vectra) 수석 제품 관리자 제이콥 센도우스키는 "인터넷에 직접 연결된 네트워크에 악의적이거나 제재를 받지 않는 RDP 서버가 있는지 확인하자. 누가 액세스하는지 파악할 수 있도록 RDP 서버 로그에서 로깅(Logging) 및 모니터링을 활성화하라"고 말했다.

RDP 네트워크 트래픽의 이례적인 액세스, 이례적인 연결, 세션 특성을 모니터링하면 RDP서비스 오용을 확인하는데 도움이 된다.

6. RDP 게이트웨이를 활용하자
RDP 게이트웨이는 일반적으로 기업 네트워크 내부에 설치된다. 게이트웨이의 기능은 원격 클라이언트와 로컬 장치 사이에서 트래픽을 안전하게 교환하는 것이다. 조직이 승인된 사용자만 RDP를 사용하고 그들이 액세스하는 장치를 통제하는데 도움이 된다.

바가바는 "RDP 게이트웨이를 사용하면 원격 사용자 액세스를 방지 또는 최소화할 수 있으며 조직은 사용자 역할, 액세스 권한, 인증 요건을 더 많이 통제할 수 있다"고 말했다.

안츠는 "이런 시스템의 RDP 세션 로그는 특히 무슨 일이 발생하고 그 원이 무엇인지 파악하려 시도할 때 유용할 수 있다. 로그는 해킹된 기기에는 없기 때문에 공격자가 손쉽게 수정할 수 없다"고 덧붙였다.

7. 초기 증상에 대응할 수 있도록 대비하자
RDP 공격을 찾아 신속하게 저지하기 위한 메커니즘이 필요하다. 예를 들어, RDP 시스템에 대한 반복적인 로그인 시도를 찾아낼 수 있는 보안 툴의 이행을 고려하자. 바가바는 "로그인을 시도하는 사용자와 해당 IP 위치를 신속하게 인증하기 위해 자동화된 시나리오를 마련하고 악의가 탐지되는 경우에 액세스를 차단하는 메커니즘을 마련하라"고 지적했다.

센도우스키는 "조직은 공격자가 랜섬웨어와 크립토마이너(Cryptominer) 설치 등의 기회주의적인 공격뿐만이 아니라 표적화된 공격의 일환으로써 RDP 인프라를 표적화할 것임을 인지해야 한다"면서, "RDP는 승인된 직원과 사이버 공격자 모두에게 원격 액세스를 위한 훌륭한 툴이다"고 말했다. editor@itworld.co.kr  

X