약한 사용자 인증 및 포트 대상 지정은 원격 데스크톱 프로토콜(RDP)에 존재하는 두 가지 주요 취약점입니다.
이 글을 읽은 후에 다음을 할 수 있습니다:
관련 콘텐츠
인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!
글 링크 복사
RDP, 즉 원격 데스크톱 프로토콜은 직원이 다른 장치에서 사무실 데스크톱 컴퓨터에 액세스할 때 원격 데스크톱 세션에 사용되는 주요 프로토콜 중 하나입니다.RDP는 대부분의 Windows 운영 체제에 포함되어 있으며 Mac에서도 사용할 수 있습니다.많은 회사에서 직원들이 재택 근무를 할 수 있도록 RDP를 사용합니다.
취약점은 공격자가 무단 액세스할 수 있도록 하는 소프트웨어 구성 방식의 빈틈 또는 오류입니다. 집 현관에 자물쇠가 부적절하게 설치되어 범죄자가 침입할 수 있는 경우를 상상해 보십시오.
다음은 RDP에서 가장 중요한 취약점입니다.
* 네트워킹에서 포트는 특정 유형의 연결을 위해 지정된 논리적인 소프트웨어 기반 위치입니다. 다른 포트에 다른 프로세스를 할당하면 컴퓨터가 해당 프로세스를 추적하는 데 도움이 됩니다. 예를 들어 HTTP 트래픽은 항상 포트 80으로 이동하고 HTTPS 트래픽은 포트 443으로 이동합니다.
취약한 로그인 자격 증명이 만연하는 것을 줄이려면:
Single Sign-On(SSO): 많은 회사에서 이미 SSO 서비스를 사용하여 다양한 애플리케이션에 대한 사용자 로그인을 관리하고 있습니다. SSO를 통해 기업은 강력한 비밀번호 사용을 강화하고 2단계 인증(2FA)과 같은 훨씬 더 안전한 수단을 구현할 수 있습니다. 앞서 설명한 사용자 로그인 취약성을 보완하기 위해 RDP 원격 액세스를 SSO 뒤로 이동할 수 있습니다. (예를 들어 Cloudflare Zero Trust를 사용하면 회사에서 이를 수행할 수 있습니다.)
비밀번호 관리 및 시행: 일부 회사의 경우 RDP를 SSO 뒤로 이동하는 것이 옵션이 아닐 수 있습니다.최소한 직원들에게 데스크톱 비밀번호를 더 강력한 비밀번호로 다시 설정하도록 요구해야 합니다.
포트 기반 공격으로부터 보호하려면:
포트 3389 잠금: 보안 터널링 소프트웨어는 공격자가 포트 3389에 도달하는 요청을 보내는 것을 막을 수 있습니다. 보안 터널(예: Cloudflare Tunnel)이 있는 경우 터널을 통과하지 않는 모든 요청이 차단됩니다.
방화벽 규칙: 허용 목록에 있는 IP 주소 범위(예: 직원이 가진 것으로 알려진 장치)의 트래픽을 제외하고 포트 3389에 대한 트래픽이 들어올 수 없도록 회사 방화벽을 수동으로 구성할 수 있습니다.그러나 이 방법은 많은 수작업이 필요하며 공격자가 허용 목록에 있는 IP 주소를 가로채거나 직원 장치가 손상되는 경우 공격에 여전히 취약합니다.또한 모든 직원 장치를 미리 식별하고 허용 목록에 추가하는 것은 일반적으로 매우 어렵기 때문에 차단된 직원이 지속해서 IT 요청을 하게 됩니다.
RDP에는 기술적으로는 패치되었지만 확인하지 않으면 여전히 심각한 다른 취약점이 있습니다.
RDP에서 가장 심각한 취약점 중 하나는 "BlueKeep"입니다.BlueKeep(공식적으로 CVE-2019-0708로 분류됨)는 공격자가 특수하게 조작된 요청을 올바른 포트(보통 3389)로 보낼 경우 컴퓨터에서 원하는 모든 코드를 실행할 수 있게 되는 취약점입니다.BlueKeep는 '워머블' 특성이 있으므로 사용자의 조치가 없으면 네트워크 내의 모든 컴퓨터로 확산될 수 있습니다.
이 취약점에 대한 최선의 방어는 필요한 경우가 아니면 RDP를 비활성화하는 것입니다. 방화벽을 사용하여 포트 3389를 차단하는 것도 도움이 될 수 있습니다. 마지막으로 마이크로소프트에서 2019년에 이 취약점을 수정하는 패치를 발표했으며, 시스템 관리자가 이 패치를 설치하는 것이 필수적입니다.
다른 프로그램이나 프로토콜과 마찬가지로 RDP에도 몇 가지 다른 취약점이 있으며 대부분의 약점은 항상 최신 버전의 프로토콜을 사용하여 제거할 수 있습니다. 벤더는 일반적으로 출시하는 소프트웨어의 새 버전마다 취약점을 패치합니다.
RDP 액세스를 간소화하고 보호하기 위해 Cloudflare에서는 SASE 플랫폼의 Zero Trust 보안 제어를 통합한 빠른 성능의 RDP 프록시를 구축했습니다. Cloudflare에서는 이제 클라이언트리스 브라우저 기반 RDP 액세스를 제공합니다. 추가 인프라나 클라이언트 장치에 대한 추가 구성이 필요하지 않습니다. Cloudflare의 SASE 플랫폼과 RDP 액세스에 대해 자세히 알아보세요.
RDP는 사용자가 다른 위치에서 컴퓨터를 사용할 수 있도록 하는 일반적인 기술 표준입니다. 기업은 직원들이 재택근무를 할 때 사무실 컴퓨터에 액세스할 수 있도록 이 프로토콜을 자주 활용합니다.
가장 큰 두 가지 위험 요소는 취약한 로그인 자격 증명과 포트 3389에 대한 제한 없는 액세스입니다. 많은 조직이 RDP 비밀번호를 중앙 집중식 시스템으로 관리하지 않기 때문에, 사용자는 공격자가 쉽게 추측할 수 있는 단순하거나 재사용된 비밀번호를 사용하는 경우가 많습니다. 또한 RDP는 포트 3389를 사용하기 때문에, 공격자는 이 특정 포트를 겨냥해 공격을 시도하거나 무단으로 접근할 수 있습니다.
BlueKeep은 공식적으로 CVE-2019-0708로 지정된 치명적인 보안 취약점으로, 공격자가 RDP 포트에 특정 유형의 요청을 전송함으로써 컴퓨터에서 무단 코드를 실행할 수 있게 합니다. 이 취약점은 ‘웜(worm)’ 형태로 확산될 수 있어, 사용자 개입 없이도 네트워크 전반의 다른 컴퓨터로 자동 전파될 수 있습니다.
RDP를 SSO 서비스와 통합하면, 조직은 원격 액세스를 보다 안전한 로그인 프로세스 뒤에 배치할 수 있습니다. 이를 통해 기업은 더 강력한 비밀번호 정책을 적용하고, 2단계 인증(2FA)과 같은 추가 보안 계층을 구현하여 사용자 신원을 보다 효과적으로 검증할 수 있습니다.
조직은 지정된 안전한 경로를 통과하지 않은 모든 요청을 차단하는 보안 터널링 소프트웨어를 사용하여 이 포트를 보호할 수 있습니다. 또 다른 방법으로는 특정 신뢰할 수 있는 IP 주소에서의 트래픽만 허용하도록 방화벽 규칙을 설정하는 것이 있지만, 이 방식은 대규모 팀의 경우 수동으로 관리하기 어려울 수 있습니다.
Cloudflare는 모든 연결에 Zero Trust 보안 제어를 적용하는 고속 RDP 프록시를 제공합니다. Cloudflare Access와 보안 터널과 같은 도구를 활용하면, 기업은 RDP 리소스를 공용 인터넷에서 숨기고 적절한 권한을 가진 인증된 사용자만 접근할 수 있도록 보장할 수 있습니다.
시작하기
액세스 관리 소개
제로 트러스트 소개
VPN 리소스
용어
학습 센터 탐색