Remote Desktop Protocol은 공격자들이 즐겨 노리는 대상입니다. 3389 포트가 외부에 노출되어 있고, 취약한 암호와 과도한 로그인 텔레메트리가 봇과 초보 공격자 모두에게 빌미를 제공하기 때문입니다. RDP 무차별 대입 공격을 방어하는 핵심은 노출 범위를 줄이고, 인증 강도를 높이며, 로그를 빠짐없이 감시하는 것입니다. 3389 포트는 VPN 또는 RD Gateway 뒤에 숨기고, 모든 접속 지점에 MFA를 적용하세요. Network Level Authentication을 활성화하고, 계정 잠금 정책은 5~10회 실패 시 15~30분 잠금으로 설정하며, Event ID 4625 급증을 상시 모니터링하세요. 공격자들은 매년 더 빠르게 스캔하고 침투합니다. 막연한 기대가 아닌 구체적인 대응 체계가 필요합니다.
요약: 빠른 보안 점검 목록
- 3389 포트를 VPN 또는 RD Gateway 뒤에 배치하여 외부 노출 차단
- 모든 RDP 접속 지점에 다중 인증(MFA) 적용
- 세션 전 검증을 위한 Network Level Authentication(NLA) 활성화
- 계정 잠금 설정: 5~10회 실패 시 15~30분 잠금, 15분 후 초기화
- Windows Event ID 4625(실패) 및 4624(성공) 상시 모니터링
- IP 허용 목록과 지역 차단(geo-blocking)으로 접근 출처 제한
- 최소 14자 이상의 강력한 비밀번호 정책을 유지하세요
RDP 무차별 대입 공격이 성공하는 이유
RDP 포트가 공격자에게 매력적인 이유는 분명합니다. 대규모 스캔으로 몇 분 만에 찾을 수 있고, 로컬 관리자 권한으로 실행되는 경우가 많으며, 비밀번호 하나만 뚫어도 랜섬웨어로 이어질 수 있습니다. 포트 3389는 인터넷에 노출된 채 마치 '접근 가능'이라고 광고하는 광고판처럼 서 있고, 자동화 도구는 별다른 전문 지식 없이도 로그인 화면을 두드릴 수 있습니다. 비밀번호 공격은 급격히 증가하고 있으며, Microsoft는 2021년에서 2022년 사이에만 74% 증가했다고 보고했습니다 이 때문에 무차별 대입 공격 방지 가이드는 항상 3389를 인터넷에 노출하지 않는 것에서 시작하며, 그다음 MFA와 잠금 정책 같은 계층을 추가해 누구도 로그온 화면에 도달하기 전에 차단합니다.
2025년 중반, FDN3 같은 네트워크를 이용한 최근 캠페인은 대규모 비밀번호 스프레이 공격이 수천 개의 시스템에 걸쳐 Windows, VPN, RDP 장치를 얼마나 빠르게 표적으로 삼을 수 있는지 보여줬습니다. 공격은 보안팀이 가장 준비가 덜 된 특정 시간대에 집중되며, 근본적인 문제가 해결되지 않는 한 같은 패턴이 반복됩니다. 로그온 실패의 급격한 증가, 여러 사용자 이름에 걸친 반복 시도, 국가를 오가는 IP 주소는 모두 전형적인 징후입니다. 하지만 적절한 모니터링 없이 이를 인지했을 때는 이미 피해가 시작된 경우가 많습니다. 위험은 현실입니다: Verizon의 2025 데이터 침해 조사 보고서 에 따르면 전체 침해 사고의 44%에서 랜섬웨어가 발견됐으며, RDP는 이러한 공격의 주요 진입점으로 남아 있습니다.
최신 엔드포인트 탐지 솔루션은 세션 수준의 RDP 데이터를 종합해 스프레이 패턴을 더 빨리 식별할 수 있습니다. 하지만 탐지보다 예방이 항상 낫습니다. 다음 섹션이 공격이 사고로 이어지기 전에 차단하는 제어 방법에 집중하는 이유가 바로 이것입니다.
RDP 무차별 대입 공격 예방법: 핵심 보호 방법
가장 빠른 효과는 네트워크 노출 축소, 강화된 로그인 관문, 그리고 내장된 Windows 보안 정책에서 나옵니다. RDP 무차별 대입 공격을 효과적으로 막으려면 이 모든 계층을 결합한 보호 방식을 구현해야 합니다.
열린 문부터 닫기: 공개 3389 제거
RDP를 VPN 뒤에 숨기거나, TLS 암호화를 적용한 포트 443의 Remote Desktop Gateway를 배포하세요. 알려진 IP에 대한 짧은 허용 목록과 게이트웨이 조합은 단순 포트 포워딩보다 항상 낫습니다. 이 조치만으로도 불필요한 트래픽을 크게 줄이고 비밀번호 추측 시도를 급격히 낮출 수 있습니다. 인터넷에서 포트 3389로의 직접 접근을 차단하도록 경계 방화벽을 설정한 다음, 모든 정상 트래픽을 보안 게이트웨이를 통해 라우팅하세요. 공격자는 접근할 수 없는 것을 무차별 대입할 수 없습니다.
RDP에 다단계 인증(MFA) 적용
번호 매칭 앱 알림이나 하드웨어 키처럼 푸시 스팸에 강한 MFA는 비밀번호만 사용하는 침입을 대부분 차단합니다. 게이트웨이 수준에서 또는 디렉터리와 긴밀하게 통합된 RDP 공급자를 통해 MFA를 추가하세요. Microsoft 연구에 따르면, 침해된 계정의 99% 이상이 MFA를 사용하지 않았습니다. 이 통계 하나만으로도 이 제어의 중요성이 설명됩니다. Azure AD와 함께 NPS(Network Policy Server) 통합을 사용하는 RD Gateway를 통해 배포하거나, TOTP 및 하드웨어 토큰을 지원하는 서드파티 솔루션을 사용하세요.
네트워크 수준 인증(NLA) 필수화
NLA는 전체 데스크톱이 로드되기 전에 인증을 강제해, 실패한 세션으로 인한 리소스 소모를 줄이고 공격 표면을 최소화합니다. 암호화된 자격 증명 전송을 위해 NLA와 TLS를 함께 사용하세요. 이를 통해 인증이 CredSSP(Credential Security Support Provider)를 이용해 연결 프로세스의 가장 초반으로 이동합니다. 동료 심사 연구에 따르면, NLA는 인증되지 않은 세션이 서버 리소스를 소모하지 못하도록 막아 활성 공격 중 RDP 지연 시간을 48% 줄일 수 있습니다. 시스템 속성의 원격 탭에서 '네트워크 수준 인증을 실행하는 컴퓨터에서만 연결 허용'을 선택해 활성화하세요.
계정 잠금 정책 적용
봇이 무한정 추측하지 못하도록 합리적인 임계값과 잠금 기간을 설정하세요. 이는 RDP 무차별 대입 공격 방지의 기본 방법으로, 올바르게 설정하면 여전히 효과적입니다. 로컬 보안 정책(secpol.msc)의 계정 정책에서 다음 매개변수로 설정하세요: 잘못된 시도 5~10회의 임계값, 15~30분의 잠금 기간, 15분 후 카운터 재설정. 이 값들은 Windows 보안 권고사항과 업계 프레임워크를 포함한 2025년 여러 보안 기준의 합의에서 도출된 것입니다. 잠긴 계정은 모두 지원 티켓을 발생시키므로, 보안과 헬프데스크 부하 사이의 균형을 맞추세요.
허용 목록 및 지역 차단 활용
문을 두드릴 수 있는 대상을 처음부터 제한하세요. 국가 차단, ASN 차단, 짧은 정적 허용 목록은 소규모 사무실 환경에서 트래픽을 거의 0에 가깝게 줄입니다. 거래가 없는 지역 전체를 차단하고 원격 근무자의 접근을 특정 IP 범위로 제한하도록 방화벽 수준에서 규칙을 설정하세요. 일부 환경에서는 업무 시간에만 RDP를 허용하는 시간 기반 접근 제어를 추가로 구현하기도 합니다.
비밀번호 강화 및 교체 관리
긴 패스프레이즈, 관리자별 고유 비밀번호, 비밀번호 관리자를 사용하세요. 이는 RDP 무차별 대입 보호의 기본이지만, 여전히 너무 많은 침해 사고가 여기서 시작됩니다. 그룹 정책을 통해 복잡성 요건을 적용하고 최소 비밀번호 길이를 14자로 설정하세요. 비밀번호가 길수록 자동화 도구가 무차별 대입으로 크랙하기 어려워집니다. 하나의 침해된 자격 증명이 전체 인프라에 연쇄적으로 영향을 미칠 수 있으므로, 서로 다른 관리자 계정 간에 비밀번호를 재사용하지 마세요.
Windows 및 RDP 스택을 즉시 업데이트하세요
알려진 RDP 취약점을 패치하고 서버와 클라이언트 전반에 업데이트를 배포하세요. 오래된 취약점은 여전히 실제 공격에 활용되며, 공격자는 패치되지 않은 시스템을 먼저 노립니다. 대응이 쉽기 때문입니다. Windows Update, WSUS, 또는 Intune 기준선을 활용해 정기 패치 일정을 수립하고, RDP 인프라가 알려진 취약점에 항상 대응된 상태를 유지하세요.
로그인 실패 이벤트 수집 및 알림 설정
Windows 보안 로그를 SIEM으로 전달하고, 이벤트 ID 4625와 4624를 모니터링하며, 비정상적인 시도 횟수, 접속 출처 위치, 서비스 계정 접근에 대해 알림을 설정하세요. 브루트 포스 공격 방어의 핵심 중 하나는 로그를 지속적으로 주시하는 것입니다. 예방 통제가 실패했을 때 신속한 탐지가 피해를 최소화합니다. 단일 IP에서 1시간 내 10회 이상 로그인 실패 시 알림이 발생하도록 설정하고, RDP 활동을 나타내는 로그온 유형 10(원격 대화형)과 유형 3(네트워크) 패턴을 모니터링하세요.
각 대책은 단독으로도 위험을 줄입니다. 함께 적용하면 실제 공격 상황에서도 견고한 RDP 브루트 포스 공격 방어 체계가 구축됩니다.
| 방법 | 구현 복잡도 | 구성할 위치 | 주요 이점 |
| VPN/RD Gateway | 중간 | 방화벽 또는 RD Gateway(포트 443) | 공개 포트 3389 노출 차단 |
| 다단계 인증(MFA) | 중간 | Gateway, ID 공급자, 또는 RDP 애드온 | 비밀번호 단독 로그인 시도 차단 |
| 네트워크 수준 인증(NLA) | 낮음 | 시스템 속성 → 원격 → NLA 체크박스 | 세션 생성 전 인증 수행 |
| 계정 잠금 정책 | 낮음 | secpol.msc → Account Policies → Account Lockout | 무제한 비밀번호 추측 시도 제한 |
| 이벤트 로그 모니터링 | 중간 | SIEM/EDR 또는 Windows 이벤트 뷰어 | 공격 패턴 조기 탐지 |
| IP 허용 목록/지역 제한 | 낮음 | 방화벽 규칙 또는 IPS/지역 정책 | 연결 출처 접근 제한 |
| 강력한 비밀번호 정책 | 낮음 | 도메인 GPO 또는 로컬 보안 정책 | 브루트 포스 난이도 상승 |
| 정기 패치 | 낮음 | Windows Update, WSUS, 또는 Intune | 알려진 RDP 취약점 해소 |
활성 RDP 무차별 대입 공격 탐지 방법
제어 조치를 적용하기 전에 기본부터 챙겨야 합니다. Windows 보안 로그에서 Event ID 4625(로그온 실패)를 모니터링하세요. 스파이크가 보이면 공격이 진행 중이라는 신호입니다. 몇 분 안에 동일한 출처 IP에서 수십, 수백 건의 4625 이벤트가 발생한다면 무차별 대입 시도를 실시간으로 목격하는 것입니다. 최신 탐지 방식은 Type 3 로그온(NLA를 통한 네트워크 인증) 이후 Type 10 로그온(원격 대화형)이 이어지는 패턴을 추적합니다. Network Level Authentication 도입 이후 인증 흐름이 바뀌었기 때문입니다.
단일 IP에서 여러 사용자 이름으로 로그인 실패가 반복되는 패턴에 주목하세요. 특정 계정을 노리는 공격이 아니라 패스워드 스프레이임을 나타냅니다. 지리적 이상도 중요합니다. 사용자들이 북미에서 근무하는데 동유럽이나 아시아에서 로그인 시도가 들어온다면 즉시 조사해야 할 적신호입니다. 일부 공격자는 주거용 프록시로 실제 위치를 숨기지만, 접속 횟수와 타이밍 패턴이 결국 정체를 드러냅니다.
이 이벤트들을 여러 서버의 활동을 연관 분석할 수 있는 중앙 집중식 로깅 시스템이나 SIEM으로 전달하세요. 환경별 정상 인증 패턴을 기준으로 경보 임계값을 설정하세요. 대형 기업에서 정상으로 보이는 수치가 소규모 비즈니스에서는 의심스러울 수 있습니다. 목표는 무차별 대입 공격이 성공하기 전에 패턴을 파악해 차단하는 것이지, 피해가 발생한 뒤 기록을 남기는 것이 아닙니다.
진행 중인 RDP 무차별 대입 공격 차단 방법
로그온 실패 반복이나 자격증명 스프레이로 경보가 울리면, 순서대로 조치를 취하세요. 첫째, 출처를 격리합니다. 경계 방화벽에서 해당 IP 또는 대역을 차단하세요. 공격 량이 많으면 조사하는 동안 속도를 늦추기 위해 임시 속도 제한을 적용하세요. 실시간으로 공격이 보이는데 자동화 도구가 따라오길 기다릴 필요는 없습니다.
둘째, 계정을 안정화합니다. 공격 대상 계정의 비밀번호를 만료시키고 다른 서비스에서 재사용 여부를 확인하세요. 침해가 의심되면 계정을 비활성화하세요. 사후 수습보다 접근 차단이 낫습니다. 해당 계정의 최근 성공 로그인을 검토해 공격자가 이미 침투했는지 확인하세요.
셋째, 접근 경로를 검증합니다. RD Gateway 또는 VPN가 접근에 필요한지 확인하고, 3389를 인터넷에 다시 노출하는 불법 포트 포워딩 규칙을 제거하세요. 몇 달 전에 임시로 열어두고 닫지 않은 방화벽 규칙 때문에 공격이 성공하는 경우가 있습니다. 넷째, 부작용을 추적합니다. RDP 세션 로그, 새로 추가된 로컬 관리자, 서비스 설치, 예약 작업을 검토하세요. EDR 텔레메트리는 공격자가 짧은 접근 시간 동안 심어두는 지속성 기법을 잡아내는 데 유용합니다.
마지막으로, 탐지 규칙을 다듬습니다. 권한 있는 계정에 대한 로그온 실패 폭주에 대한 규칙을 추가하고, 후속 조치를 위한 티켓팅을 트리거해 이번 교훈이 기본값으로 정착되도록 하세요. 이 조치들은 인시던트를 짧게 끝내고, 탐지 경보가 울린 후 무차별 대입 공격이 피해를 입히는 것을 막는 방법을 구체적으로 보여줍니다.
고급 RDP 무차별 대입 방어 전략
몇 가지 추가 조치가 큰 효과를 냅니다. 특히 인터넷에 노출된 워크로드와 외부에서 접속하는 관리자에게 중요합니다. RD Gateway나 방화벽에 IP별 임계값을 설정하고, RDP 핸드셰이크 실패 폭주에 맞는 IPS 시그니처를 조정하세요. 이렇게 하면 봇이 기계 속도로 두들기는 것을 막고 SOC 경보에 분류 맥락을 더해줍니다. 네트워크 에지에서의 속도 제한은 개별 공격자가 인증 리소스를 모두 소모하지 못하도록 합니다. Black Basta, RansomHub 등 주요 랜섬웨어 그룹들은 RDP 무차별 대입을 초기 침투 기법으로 채택하고 있습니다.
최신 EDR은 관리자 작업과 공격 준비 행위를 구분하는 세션 메타데이터를 제공하며, 관련 호스트 전반에 걸친 위협 헌팅을 지원합니다. 이 맥락 정보가 있으면 공격자가 환경 내에서 측면 이동할 때 체류 시간을 줄일 수 있습니다. 침입을 몇 시간 만에 잡느냐 며칠 만에 잡느냐의 차이는 대부분 올바른 위치에 적절한 텔레메트리가 있느냐에 달려 있습니다.
위험도가 높은 호스트에서 불필요한 드라이브, 클립보드, 프린터 리디렉션을 비활성화하세요. 편의 기능을 끄면 공격자가 데이터를 유출하거나 도구를 환경 안으로 반입하는 난이도가 높아집니다. 최소 권한 원칙과 로컬 관리자 계정 분리를 함께 적용해, 계정 하나가 침해되더라도 전체를 넘겨주지 않도록 하세요. 측면 이동이 느려지면 무차별 대입 시도를 막기도 훨씬 쉬워집니다.
기본 포트 3389를 바꾸는 포트 난독화는 기본 포트만 스캔하는 봇의 소음을 줄여주지만, 의지 있는 스캐너를 막지는 못합니다. 포트를 바꾸더라도 VPN, 허용 목록, MFA와 함께 사용하세요. 난독화만으로는 표적 공격을 막을 수 없습니다. 새 Windows 서버에서는 PowerShell이나 CMD를 관리자 권한으로 실행해 원격 데스크톱 설정, NLA, 방화벽 규칙을 확인하세요. 커맨드라인으로 RDP를 활성화하는 작업은 스크립트로 작성하고 검토하면 깔끔하고 재현 가능하며, 변경 관리 프로세스와 연결해 설정 드리프트를 조기에 잡을 수 있습니다.
RDP 보안 관리는 더 넓은 원격 접근 관리의 일부입니다. 브라우저나 서드파티 앱으로 시스템을 관리한다면 그 부분도 감사하세요.Chrome Remote Desktop 보안 위험예를 들어, 노출된 3389 못지않게 많은 로그 소음을 발생시킬 수 있습니다. 도구 전반에 걸친 Good 위생 관리가 RDP 무차별 대입 방어를 전체적으로 강화합니다.
결론
이제 "RDP 무차별 대입 공격을 어떻게 막을까?"에 대한 명확하고 다층적인 답을 갖추었습니다. VPN나 게이트웨이로 노출을 최소화하고, MFA, NLA, 잠금 정책으로 방어 수준을 높이고, 인증 로그를 면밀히 모니터링하세요. 이 단계들은 문서 안에서만 통하는 이론이 아니라 실제 환경에서 실전 압박 아래 동작하는 실질적인 무차별 대입 공격 방어 방법입니다.
이 통제 조치를 테스트할 깔끔한 환경이 필요하거나 보안이 제대로 갖춰진 프로덕션 발판이 필요하다면, Cloudzy에서 RDP 구매 빠른 연결성, 빠른 I/O를 위한 NVMe 스토리지, 적절한 모니터링 인프라를 제공하는 공급업체를 이용할 수 있습니다. 팀 위치와 가까운 데이터 센터를 선택해 지연 시간을 낮게 유지하고, 필요한 보안 통제를 지원하는 공급업체인지 확인하세요.
원격 데스크톱이 필요하신가요?
99.95% 가동률을 보장하는 안정적인 고성능 RDP 서버. 미국, 유럽, 아시아 주요 도시 어디서든 내 데스크톱을 그대로 사용하세요.
RDP 서버 시작하기
