원격 작업 시대를 맞아 원격 접근이 필수 요소가 되면서 접근권한을 모니터링하고 원격 접근을 안전하게 보호해야 할 필요성도 커졌다. FBI는 원격 접근 보호를 강화하기 위한 다음과 같은 단계를 취할 것을 권장했다.
다중 요소 인증(MFA) 사용
- 강력한 비밀번호로 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP) 인증 정보 보호
- 안티바이러스, 스팸 필터, 방화벽을 최신 상태로 유지하고 올바르게 구성
- 네트워크 구성을 감사하고, 업데이트가 불가능한 컴퓨터 시스템을 격리
- 네트워크에서 RDP를 사용하는 시스템을 감사하고 사용되지 않는 RDP 포트를 닫고 가능한 모든 경우 MFA를 적용하고 RDP 로그인 시도를 로깅
- 모든 원격 연결 프로토콜의 로그 감사
- 소셜 엔지니어링 시도를 식별하고 보고하도록 사용자 교육
- 비정상적인 행동을 보이는 사용자의 접근을 식별해 유예 조치
- 소프트웨어 업데이트 최신 유지
이 조언에 따라 윈도우 네트워크를 더 잘 설정하는 방법을 소개한다.
원격 데스크톱 감사 활성화
윈도우 원격 데스크톱 연결은 비교적 쉽지만 시스템의 로그 파일 깊은 곳에 묻혀 있다. 다음 경로를 순서대로 따라가면 된다.- “Applications and Services Logs”
- “Microsoft”
- “Windows”
- “Terminal-Services-RemoteConnectionManager”
- “Operational”
도구를 사용해 로그 파일을 더 효과적으로 분석
여러 서버의 정보를 연계하는 과정은 시간도 많이 걸리고 어렵다. RDPSoft RDS 로그 뷰어(RDPSoft RDS Log viewer)와 같은 도구를 사용하면 시스템의 로그 파일을 검토하고 폴링할 수 있다.
더 면밀히 검토하고 공격을 살피려면 앤디 밀포드가 제공한 지침에 따라 원격 데스크톱 환경에 Sysmon을 추가하는 것이 좋다. 다양한 구성 파일을 사용해서 Sysmon 구성을 필요에 따라 세부적으로 조정할 수 있다. 깃허브 등에서 찾을 수 있는 권장 지침은 이벤트 모니터링을 시작하는 데 도움이 된다. Olafhartong이 제공하는 Sysmon 구성은 이벤트를 마이터 어택(MITRE ATT&CK) 시퀀스에 매핑해 공격이 발생할 이벤트를 더 정확히 찾아낼 수 있게 해준다.
계정 잠금 정책, 신중을 기하라
앤디가 말했듯이 계정 잠금 정책을 설정해 계정에 대한 공격자의 무차별 대입(brute-force) 공격을 차단하라는 것은 시스템 관리자를 위한 전통적인 권장 사항이었다. 그러나 이 경우 공격자가 서비스 거부 공격을 실행할 수 있는 환경이 형성된다. 또한 최종 사용자에게 불편함을 주고 관리자가 해결해야 할 문제도 발생한다. 따라서 앤디는 계정 잠금 활성화를 권장하지 않는다. 공격자는 무차별 대입 공격 없이 사용자 이름과 비밀번호를 수확해서 그냥 로그인할 수 있다.
원격 데스크톱 서버 환경에 리모트 데스크톱 커맨더 추가
리모트 데스크톱 커맨더(Remote Desktop Commander)에서 사용자와 공격자가 로그인을 시도하는 지리적인 위치를 추적할 수 있다. 이 소프트웨어는 세션 호스트 서버와 원격 데스크톱 게이트웨이 서버의 이벤트 로그 파일에서 중요 이벤트를 자동으로 수집 및 연계하고, 누가 네트워크에 연결 중인지를 그래픽으로 보여준다.필자의 원격 데스크톱 연결을 살펴보면 알 수 있듯이 이동통신 연결의 접근 위치는 사용자가 위치한 도시와 다른 경우가 많다. 사용자가 아닌 공급업체의 지리적 위치가 표시되기 때문이다. 추가적인 정보 연계를 통해 사용자가 적절한 방법으로 원격 접근을 하고 있는지 확인해야 할 수 있다.
공격자가 노출된 원격 데스크톱 환경을 찾는 방법 알기
공격자는 검색 엔진을 사용해 원격 데스크톱 웹 환경이 노출된 부분을 찾을 수 있다. 접근 페이지의 URL에는 RDWeb이라는 문구가 포함된 경우가 많다. 앤디가 “RDPwned: 마이크로소프트 원격 데스크톱 서비스 보호 가이드”에서 지적했듯이, 공격자는 HTML에 내장되는 표준 오류 메시지, 예를 들어 “allintext: Unable to display RD Web Access”와 같은 메시지를 검색해 다수의 노출된 RDWeb 서버를 찾을 수 있다. 또한 공격자는 쇼단(Shodan) 검색 엔진에서도 RDP를 검색할 수 있다.
서드파티 원격 접근 도구의 취약점 인지
다른 공급업체의 원격 접근 도구로 인해 시스템이 공격에 노출될 수도 있다. 맬웨어바이츠(Malwarebytes)에 따르면, 팬데믹으로 인해 재택근무가 확산되면서 공격자들은 원격 진입점에 더 집중하고 있다. 1년 전 체크포인트(Check Point) 연구진은 원격 접근 도구에서 16개의 주요 취약점과 25개의 전반적인 보안 취약점을 발견했다.체크포인트 연구진은 RDP 연결을 통한 복사-붙여넣기가 악의적 동작으로 이어질 수 있으므로 이 기능을 비활성화할 것을 권장했다. 연구진이 강조하듯이 클라이언트가 RDP 연결을 통해 복사/붙여넣기 기능을 사용할 경우, 악성 RDP 서버가 클라이언트 컴퓨터의 임의의 파일 위치에 임의의 파일을 눈에 보이지 않게 보낼 수 있다. 클라이언트의 권한 외에는 이를 제한하는 장치가 없다. 예를 들어 클라이언트의 시작(Startup) 폴더에 악성 스크립트를 보낼 수 있다. 재부팅되면 스크립트가 실행되면서 모든 통제 권한을 내주게 된다.
오늘날과 같은 재택근무 시대에는 이 위험에 대한 더 세밀한 접근이 필요하다. 모든 사람에게 클립보드 접속이 필요하지는 않지만 이 기능이 차단되면 필요한 사람은 큰 불편을 겪게 된다. 이 위험은 피싱 공격에 당하지 않도록 최종 사용자를 교육함으로써 대처할 수 있다.