FBI warns companies about hackers increasingly abusing RDP connections
최근 미국의 연방수사국 FBI의 인터넷 범죄수사불평센터에서는 원격데스크탑 프로토콜로 인해 온라인 상의 보안위협이 가중되고 있음을 심각하게 경고한 것으로 나타나 관련 내용을 살펴보기로 한다.
원격데스크탑 프로토콜이라 불리우는 RDP(Remote Desktop Protocol)는 지난 90년대 Microsoft社에서 개발한 독점기술로서 사용자의 컴퓨터에 원격으로 로그인하여 마우스와 키보드 입력 등 시각적 인터페이스를 통해 컴퓨터를 조종할 수 있는 기술로 알려져있다 하겠다. 이러한 원격데스크탑 기술이 가정용 컴퓨터에서는 거의 사용이 되고 있지 않으나, 기업용 네트워크를 활용하는 서버나 컴퓨터 등은 원격으로 시스템 관리자가 접근할 수 없는 경우 해당 기술을 활용해오고 있는 것으로 알려져있다 하겠다.
이러한 기술활용실태와 더불어 FBI는 지난 2016년 중반부터 원격데스크탑 연결이 가능한 컴퓨터의 수가 지속적으로 증가했음을 언급하였는데, 2016년 초기에는 약 3천 3배개여 개의 원격포트가 활성화된 9백만 대의 장치가 있음이 확인되었으며, 1년이 지난 뒤에는 해당 장치가 1.1천만 대로 증가한 것으로 나타났다고 한다.
사이버해커들 또한 이러한 원격테스크탑을 활용하는 기기의 수가 증가함에 따라 사이버공격의 주요 채널로 활용하기 시작하였으며, 지난 수 년 간 원격데스크탑 프로토콜이 연결된 컴퓨터를 통해 해커들이 네트워크를 장악하려는 시도를 이행하였다는 사실을 확인한 보안사고 보고서가 끊임없이 발생하게 되었다고 한다. 이는 현재 전 세계적으로 화제가 되고 있는 랜섬웨어를 통한 사이버공격보다 많은 수치를 기록하고 있으며, 해커들이 원격데스크탑 프로토콜을 악용해 네트워크에 침입하여 무수한 시스템과 컴퓨터를 장악하기 위해 랜섬웨어를 활용한 사례도 파악되었다고 한다.
실제 해커가 시스템이나 컴퓨터에 잠입하기 위해 활용하는 3가지 방법은 아래와 같다고 한다;
1. 시스템 관리자가 서버에 원격데스크탑 프로토콜 접근을 활성화하였으나 암호를 설정하지 않는 경우, 포트 3389에서 컴퓨터 IP주소에 접근하는 모든 사용자로 엔터키를 눌러 로그인할 수 있음
2. 로그인 자격증명을 추정해 사전 공격 방식으로 공통된 사용자명과 암호를 조합하여 조합가능한 모든 경우의 수를 대입하는 브루트 포스 공격을 시행 (brute-force attack)
3. 원격데스크탑 프로토콜에 대한 보안취약점을 노린 악성코드를 활용해 공개된 포트에 침투시킴
하지만 모든 원격데스크탑 프로토콜의 손상이 데이터 유출이나 악성 행위를 초래하지는 않는 것으로 조사되었다고는 하지만, 해킹되거나 보안성이 유출된 원격데스크탑 프로토콜은 온라인 상에서 암묵적인 거래가 이루어지고 있어 또 다른 부차적인 보안위협의 촉매제가 되고 있는 것이 아니냐는 우려도 제기되고 있는 실정이라 하겠다.
이번 FBI의 경고를 통해 기업 및 조직들이 자신들이 활용하고 있는 원격데스크탑 프로토콜 기술의 보안취약점을 인지하고 이에 대비할 수 있는 개선책이나 보완책을 시급히 마련해야 할 시기가 도래한 것으로 보인다.
원문보기