2020.05.11

코로나19 기간 RDP 서버 공격 급증에 따른 기업의 대응 방안

Lucian Constantin | CSO
최근 2개의 새로운 보고서가 많은 사람이 재택근무를 하게 되면서 개방된 RDP 포트를 목표로 한 사이버 공격이 급증했다고 밝혔다.   
 
ⓒ Getty Images Bank

많은 기업이 코로나19에 대응해 직원이 재택근무를 할 수 있도록 서두른 결과, 150만 대 이상의 새로운 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP) 서버가 인터넷에 노출됐다. 3, 4월에 미국에서 공개 RDP 포트를 대상으로 한 공격 수는 3배 이상 증가했다. 

직원에게 재택근무하라는 짧은 통지와 함께 기업에서 관리하는 노트북을 제공할 수 있는 기업은 많지 않다. 특정 버전의 윈도우에서만 실행되는 레거시 소프트웨어를 사용하는 기업이라면 더더욱 그렇다. IT 팀 또한 재택근무를 해야 하므로 온프레미스 서버를 원격으로 관리해야 한다는 점도 기업이 풀어야 할 공통적인 과제다. 

컴퓨터의 원격 제어를 위한 윈도우 내장 기술인 RDP는 이런 문제를 쉽게 해결할 수 있지만, 안전하지 않은 방식으로 배포하면 조직에 큰 약점이 될 수 있다. 


RDP, 심각한 문제로 악화 

RDP는 종종 크리덴셜 스터핑(credential stuffing)과 무차별 비밀번호 및 질의 대입 공격의 대상이 되곤 한다. 이 공격은 일반적으로 다른 출처에서 도난된 사용자 이름과 비밀번호 조합 목록이나 자격 증명을 사용한다. 

일부 사이버 범죄자는 해킹된 RDP 자격 증명을 지하 시장에서 상품으로 구매해 랜섬웨어와 암호 해독기와 함께 배포하거나 민감한 데이터 탈취와 광범위한 네트워크 손상을 초래할 수 있는 좀 더 정교한 공격을 실행하는 다른 공격자에게 상품으로 판매하는 것을 전문으로 한다.
 
보안업체 맥아피 연구진은 새로운 보고서에서 “맥아피 ATR가 RDP 포트에 대한 공격 수와 지하 시장에서 판매되는 RDP 자격 증명의 양이 모두 증가하는 것을 발견했다”고 밝혔다. 

맥아피 측은 인터넷에 노출된 RDP 포트 수가 1월 약 300만 개에서 3월 450만 개 이상으로 증가했다고 말했다. 이들 가운데 1/3 이상이 미국에 있고 다른 1/3은 중국에 있다. 

노출된 RDP 포트가 있는 시스템의 절반 이상이 윈도우 서버를 실행하고 있지만, 약 1/5이 더 이상 보안 업데이트를 지원하지 않는 윈도우 7을 실행하고 있다. RDP는 취약한 비밀번호로 구성되는 경우가 많을 뿐만 아니라 수년 동안 취약점 공격이 증가했기 때문에 문제가 된다. 

지하 시장에서 판매되는 모든 RDP 자격증명의 약 절반은 중국에 있는 기기용이며, 브라질, 홍콩, 인도, 그리고 미국이 그 뒤를 따른다. 맥아피 측은 이 정보를 판매하는 해커가 전체 목록을 게시하지 않는 것은 그 이상의 가치있는 자격 증명과 호스트를 보유하고 있지 않기 때문이라고 판단했다. 


RDP 공격 급증

VPN 서비스 제공업체 아틀라스 VPN(Atlas VPN)의 최근 보고서에 따르면, 3월 10일부터 미국, 스페인, 이탈리아, 독일, 프랑스, 러시아, 중국에서 RDP 공격 수가 급격히 증가했다. 이는 코로나 19에 대한 대응으로 전 세계에서 시행되는 인구 이동 제한 및 폐쇄의 시작과 관련이 있는 것으로 보인다. 

이 보고서는 “RDP 공격은 미국에서 2020년 4월 7일에 최대 141만 7,827건으로 최고조에 달했으며, 2020년 2월 9일부터 3월 9일까지, 3월 10일부터 4월 10일까지 미국의 RDP 공격은 330% 증가했다”고 밝혔다. 또한 3월 10일부터 4월 15일까지 전 세계에서 1억 4,500만 건의 RDP 공격이 발생했다. 

아틀라스 VPN은 “이런 공격은 정확한 사용자 이름과 비밀번호 조합을 찾을 때까지 수많은 사용자 이름과 비밀번호를 체계적으로 대입한다. 공격이 성공하면 사이버 범죄자는 회사 네트워크에 있는 대상 컴퓨터나 서버에 원격으로 액세스할 수 있게 된다”고 말했다. 


RDP 보호하기 

우선 RDP를 인터넷에 직접 노출하는 것은 아무리 좋은 자격 증명 위생, 디지털 인증서 및 2단계 인증을 사용하는 경우라 하더라도 나쁜 보안 관행이다. 패치가 느리면 RDP 취약점으로 인해 서버가 해킹당할 수 있다. RDP는 항상 회사 네트워크에 대한 안전한 VPN 연결과 제로트러스트 원격 액세스 게이트웨이를 통해서만 액세스할 수 있어야 한다. 

맥아피는 다음과 같은 모범 사례를 권장한다. 
 
  • 열려 있는 인터넷을 통한 RDP 연결을 허용해서는 안된다. 
  • 다중요소 인증뿐만 아니라 복잡한 비밀번호를 사용하라.
  • 로그인 시도 실패 횟수가 너무 많은 경우 사용자를 잠그고 IP를 차단하거나 시간 초과를 설정하라. 
  • RDP 게이트웨이를 사용하라. 
  • 도메인 관리자 계정 액세스를 제한하라. 
  • 로컬 관리자 수를 최소화하라. 
  • 방화벽을 사용해 액세스를 제한하라. 
  • 제한된 관리자 모드를 활성화하라. 
  • NLA(Network Level Authentication)를 사용하라. 
  • 로컬 관리자 계정이 고유한지 확인하고, RDP를 사용해 로그인할 수 있는 사용자를 제한하라. 
  • 네트워크 상에서 배치를 고려하라. 
  • 조직 정보가 노출되지 않는 계정 이름 지정 규칙을 사용하라. editor@itworld.co.kr 


2020.05.11

코로나19 기간 RDP 서버 공격 급증에 따른 기업의 대응 방안

Lucian Constantin | CSO
최근 2개의 새로운 보고서가 많은 사람이 재택근무를 하게 되면서 개방된 RDP 포트를 목표로 한 사이버 공격이 급증했다고 밝혔다.   
 
ⓒ Getty Images Bank

많은 기업이 코로나19에 대응해 직원이 재택근무를 할 수 있도록 서두른 결과, 150만 대 이상의 새로운 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP) 서버가 인터넷에 노출됐다. 3, 4월에 미국에서 공개 RDP 포트를 대상으로 한 공격 수는 3배 이상 증가했다. 

직원에게 재택근무하라는 짧은 통지와 함께 기업에서 관리하는 노트북을 제공할 수 있는 기업은 많지 않다. 특정 버전의 윈도우에서만 실행되는 레거시 소프트웨어를 사용하는 기업이라면 더더욱 그렇다. IT 팀 또한 재택근무를 해야 하므로 온프레미스 서버를 원격으로 관리해야 한다는 점도 기업이 풀어야 할 공통적인 과제다. 

컴퓨터의 원격 제어를 위한 윈도우 내장 기술인 RDP는 이런 문제를 쉽게 해결할 수 있지만, 안전하지 않은 방식으로 배포하면 조직에 큰 약점이 될 수 있다. 


RDP, 심각한 문제로 악화 

RDP는 종종 크리덴셜 스터핑(credential stuffing)과 무차별 비밀번호 및 질의 대입 공격의 대상이 되곤 한다. 이 공격은 일반적으로 다른 출처에서 도난된 사용자 이름과 비밀번호 조합 목록이나 자격 증명을 사용한다. 

일부 사이버 범죄자는 해킹된 RDP 자격 증명을 지하 시장에서 상품으로 구매해 랜섬웨어와 암호 해독기와 함께 배포하거나 민감한 데이터 탈취와 광범위한 네트워크 손상을 초래할 수 있는 좀 더 정교한 공격을 실행하는 다른 공격자에게 상품으로 판매하는 것을 전문으로 한다.
 
보안업체 맥아피 연구진은 새로운 보고서에서 “맥아피 ATR가 RDP 포트에 대한 공격 수와 지하 시장에서 판매되는 RDP 자격 증명의 양이 모두 증가하는 것을 발견했다”고 밝혔다. 

맥아피 측은 인터넷에 노출된 RDP 포트 수가 1월 약 300만 개에서 3월 450만 개 이상으로 증가했다고 말했다. 이들 가운데 1/3 이상이 미국에 있고 다른 1/3은 중국에 있다. 

노출된 RDP 포트가 있는 시스템의 절반 이상이 윈도우 서버를 실행하고 있지만, 약 1/5이 더 이상 보안 업데이트를 지원하지 않는 윈도우 7을 실행하고 있다. RDP는 취약한 비밀번호로 구성되는 경우가 많을 뿐만 아니라 수년 동안 취약점 공격이 증가했기 때문에 문제가 된다. 

지하 시장에서 판매되는 모든 RDP 자격증명의 약 절반은 중국에 있는 기기용이며, 브라질, 홍콩, 인도, 그리고 미국이 그 뒤를 따른다. 맥아피 측은 이 정보를 판매하는 해커가 전체 목록을 게시하지 않는 것은 그 이상의 가치있는 자격 증명과 호스트를 보유하고 있지 않기 때문이라고 판단했다. 


RDP 공격 급증

VPN 서비스 제공업체 아틀라스 VPN(Atlas VPN)의 최근 보고서에 따르면, 3월 10일부터 미국, 스페인, 이탈리아, 독일, 프랑스, 러시아, 중국에서 RDP 공격 수가 급격히 증가했다. 이는 코로나 19에 대한 대응으로 전 세계에서 시행되는 인구 이동 제한 및 폐쇄의 시작과 관련이 있는 것으로 보인다. 

이 보고서는 “RDP 공격은 미국에서 2020년 4월 7일에 최대 141만 7,827건으로 최고조에 달했으며, 2020년 2월 9일부터 3월 9일까지, 3월 10일부터 4월 10일까지 미국의 RDP 공격은 330% 증가했다”고 밝혔다. 또한 3월 10일부터 4월 15일까지 전 세계에서 1억 4,500만 건의 RDP 공격이 발생했다. 

아틀라스 VPN은 “이런 공격은 정확한 사용자 이름과 비밀번호 조합을 찾을 때까지 수많은 사용자 이름과 비밀번호를 체계적으로 대입한다. 공격이 성공하면 사이버 범죄자는 회사 네트워크에 있는 대상 컴퓨터나 서버에 원격으로 액세스할 수 있게 된다”고 말했다. 


RDP 보호하기 

우선 RDP를 인터넷에 직접 노출하는 것은 아무리 좋은 자격 증명 위생, 디지털 인증서 및 2단계 인증을 사용하는 경우라 하더라도 나쁜 보안 관행이다. 패치가 느리면 RDP 취약점으로 인해 서버가 해킹당할 수 있다. RDP는 항상 회사 네트워크에 대한 안전한 VPN 연결과 제로트러스트 원격 액세스 게이트웨이를 통해서만 액세스할 수 있어야 한다. 

맥아피는 다음과 같은 모범 사례를 권장한다. 
 
  • 열려 있는 인터넷을 통한 RDP 연결을 허용해서는 안된다. 
  • 다중요소 인증뿐만 아니라 복잡한 비밀번호를 사용하라.
  • 로그인 시도 실패 횟수가 너무 많은 경우 사용자를 잠그고 IP를 차단하거나 시간 초과를 설정하라. 
  • RDP 게이트웨이를 사용하라. 
  • 도메인 관리자 계정 액세스를 제한하라. 
  • 로컬 관리자 수를 최소화하라. 
  • 방화벽을 사용해 액세스를 제한하라. 
  • 제한된 관리자 모드를 활성화하라. 
  • NLA(Network Level Authentication)를 사용하라. 
  • 로컬 관리자 계정이 고유한지 확인하고, RDP를 사용해 로그인할 수 있는 사용자를 제한하라. 
  • 네트워크 상에서 배치를 고려하라. 
  • 조직 정보가 노출되지 않는 계정 이름 지정 규칙을 사용하라. editor@itworld.co.kr 


X