노출된 포트 3389, 취약한 비밀번호, 시끄러운 로그인 원격 측정으로 인해 봇과 기술이 부족한 행위자의 작업이 쉬워지기 때문에 원격 데스크톱 프로토콜은 여전히 최고의 대상입니다. RDP 무차별 대입 공격을 방지하는 방법을 묻는다면 짧은 대답은 노출을 줄이고, 인증 강도를 높이고, 로그를 매처럼 관찰하는 것입니다. VPN 또는 RD 게이트웨이 뒤에 포트 3389를 숨기고, 모든 액세스 포인트에서 MFA를 시행하고, 네트워크 수준 인증을 활성화하고, 15~30분 동안 5~10회 시도 사이의 계정 잠금 정책을 설정하고, 이벤트 ID 4625 스파이크를 지속적으로 모니터링합니다. 공격자는 매년 더 빠르게 스캔하고, 추측하고, 전환하므로 플레이북에는 희망적인 생각이 아닌 구체적인 제어가 필요합니다.
요약: 빠른 보호 체크리스트
- 공개 노출을 제거하기 위해 VPN 또는 RD 게이트웨이 뒤에 포트 3389를 숨깁니다.
- 모든 RDP 액세스 포인트에 다단계 인증이 필요합니다.
- 세션 전 확인을 위해 NLA(네트워크 수준 인증)를 활성화합니다.
- 계정 잠금 설정: 잘못된 시도 5~10회, 지속 시간 15~30분, 재설정 15분
- Windows 이벤트 ID 4625(실패) 및 4624(성공)를 지속적으로 모니터링합니다.
- IP 허용 목록 및 지역 차단을 사용하여 소스 액세스 제한
- 최소 14자 이상의 강력한 비밀번호 정책 유지
RDP 무차별 대입 공격이 성공하는 이유
Open RDP는 대량 검색으로 몇 분 만에 찾을 수 있고, 로컬 관리자 권한으로 실행되는 경우가 많으며, 취약한 비밀번호 하나가 랜섬웨어로 이어질 수 있다는 점에서 매력적입니다. 포트 3389는 광고판 광고 액세스처럼 공용 인터넷에 노출되며, 자동화된 도구에는 로그인 화면을 망치는 데 전문 지식이 필요하지 않습니다. 비밀번호 공격이 급격히 증가했습니다. Microsoft, 74% 증가 보고 2021년부터 2022년까지만요. 그렇기 때문에 무차별 대입 공격 방지에 대한 가이드는 항상 공용 인터넷에 3389를 노출하지 않는 것부터 시작하고, 누군가가 로그온 화면에 도달하기 전에 MFA 및 잠금 규칙과 같은 레이어를 추가하는 것부터 시작합니다.
2025년 중반 FDN3과 같은 네트워크의 최근 캠페인은 대규모 비밀번호 스프레이가 수천 개의 시스템에서 SSL VPN 및 RDP 장치를 얼마나 빨리 표적으로 삼을 수 있는지를 보여주었습니다. 보안팀의 준비가 가장 덜 된 특정 시간대에 공격이 최고조에 달하며 기본이 무너지기 때문에 패턴이 반복됩니다. 로그온 실패의 갑작스러운 급증, 여러 사용자 이름에 대한 반복적인 시도, 국가 간 IP 이동은 명백한 징후이지만 적절한 모니터링 없이 이를 발견할 때쯤이면 피해가 시작되는 경우가 많습니다. 위험은 높습니다: Verizon의 2025년 데이터 유출 조사 보고서 모든 위반의 44%에 랜섬웨어가 존재하며 RDP가 이러한 공격의 선호 진입점으로 남아 있음을 발견했습니다.
최신 엔드포인트 감지 기능은 세션 수준 RDP 데이터를 함께 연결할 수 있으므로 응답자가 스프레이 및 기도 패턴을 더 빨리 발견할 수 있습니다. 그러나 항상 예방이 탐지보다 중요합니다. 따라서 다음 섹션에서는 공격이 사고가 발생하기 전에 중지하는 제어에 중점을 둡니다.
RDP 무차별 대입 공격을 방지하는 방법: 핵심 보호 방법
가장 빠른 이점은 네트워크 노출 감소, 더 강력한 로그인 게이트 및 기본 제공 Windows 정책에서 비롯됩니다. RDP 무차별 대입 공격을 방지하는 방법을 익히는 것은 이러한 모든 계층을 결합하는 RDP 무차별 대입 보호를 구현하는 것을 의미합니다.
열린 문을 먼저 닫으십시오: 공개 3389 제거
VPN 뒤에 RDP를 숨기거나 TLS 암호화를 사용하여 포트 443에 원격 데스크톱 게이트웨이를 배포하세요. 알려진 IP와 게이트웨이에 대한 짧은 허용 목록은 매번 원시 포트 전달을 능가합니다. 이 움직임은 소음을 줄이고 비밀번호 추측 볼륨을 극적으로 낮춥니다. 인터넷에서 포트 3389에 대한 직접 액세스를 차단하도록 경계 방화벽을 구성한 다음 모든 합법적인 트래픽을 보안 게이트웨이를 통해 라우팅합니다. 공격자는 도달할 수 없는 것에 대해 무차별 공격을 가할 수 없습니다.
RDP에 대한 다단계 인증 켜기
숫자 일치 또는 하드웨어 키가 포함된 앱 프롬프트와 같은 푸시 스팸 방지 MFA는 대부분의 비밀번호 전용 침입을 차단합니다. 게이트웨이 수준에서 또는 긴밀한 디렉터리 통합을 통해 RDP 공급자를 통해 MFA를 추가합니다. Microsoft의 연구에 따르면 손상된 계정의 99% 이상이 MFA를 활성화하지 않은 것으로 나타났습니다. 이는 이 제어가 중요한 이유에 대한 모든 것을 알려줍니다. Azure AD와의 네트워크 정책 서버 통합을 사용하여 RD 게이트웨이를 통해 배포하거나 TOTP 및 하드웨어 토큰을 지원하는 타사 솔루션을 사용하세요.
NLA(네트워크 수준 인증) 필요
NLA는 전체 데스크탑이 로드되기 전에 인증을 강제하여 실패한 세션으로 인한 리소스 소모를 줄이고 공격 표면을 줄입니다. 암호화된 자격 증명 전송을 위해 NLA와 TLS를 페어링합니다. 이는 CredSSP(Credential Security Support Provider)를 사용하여 연결 프로세스의 시작 부분으로 확인을 이동합니다. 동료 검토 연구에 따르면 NLA는 인증되지 않은 세션이 서버 리소스를 소비하는 것을 방지하여 활성 공격 중에 RDP 대기 시간을 48%까지 줄일 수 있습니다. 시스템 속성, 원격 탭에서 "네트워크 수준 인증을 실행하는 컴퓨터에서만 연결 허용"을 선택하여 활성화합니다.
계정 잠금 정책 적용
봇이 영원히 추측할 수 없도록 합리적인 임계값과 잠금 기간을 설정하세요. 이는 전형적인 RDP 무차별 대입 공격 방지 방법이며 올바르게 구성되면 계속 작동합니다. 다음 매개변수를 사용하여 계정 정책에서 로컬 보안 정책(secpol.msc)을 통해 구성합니다. 임계값은 5~10회 잘못된 시도, 잠금 기간은 15~30분, 15분 후 카운터 재설정. 이러한 값은 Windows 보안 권장 사항 및 업계 프레임워크를 포함한 여러 2025년 보안 기준에 대한 합의에서 나온 것입니다. 모든 잠긴 계정에서 지원 티켓이 생성되므로 헬프데스크 업무와 보안의 균형을 유지하세요.
허용 목록 및 지오펜싱 사용
문을 두드릴 수 있는 사람을 제한하세요. 국가 블록, ASN 블록 및 짧은 정적 허용 목록은 많은 소규모 사무실 설정에서 트래픽을 거의 0으로 줄입니다. 방화벽 수준에서 이러한 규칙을 구성하여 거래하지 않는 전체 지역을 차단하고 원격 작업자의 특정 IP 범위에 대한 액세스를 제한합니다. 일부 환경에서는 업무 시간 동안에만 RDP를 허용하는 시간 기반 액세스 제어를 구현하여 이를 더욱 발전시킵니다.
비밀번호 및 교체 강화
긴 암호, 관리자별 고유 비밀 및 비밀번호 관리자를 사용하세요. 이것은 기본적인 RDP 무차별 대입 보호이지만 여전히 여기에서 시작되는 위반이 너무 많습니다. 그룹 정책을 통해 시행되는 복잡성 요구 사항에 따라 최소 암호 길이를 14자로 설정합니다. 비밀번호가 길수록 자동화된 도구가 무차별 대입 방식을 통해 해독하기가 더 어려워집니다. 하나의 손상된 자격 증명이 전체 인프라에 퍼질 수 있으므로 여러 관리 계정에서 비밀번호를 재사용하지 마세요.
Windows 및 RDP 스택을 즉시 업데이트
알려진 RDP 결함을 패치하고 서버와 클라이언트 전체에 걸쳐 업데이트를 진행합니다. 오래된 취약점은 여전히 드러나며 공격자는 패치되지 않은 시스템이 더 쉽기 때문에 먼저 패치되지 않은 시스템을 표적으로 삼습니다. Windows 업데이트, WSUS 또는 Intune 기준을 사용하여 정기적인 패치 일정을 구현하여 RDP 인프라가 알려진 악용에 대해 최신 상태를 유지하도록 합니다.
실패한 로그인 수집 및 알림
Windows 보안 로그를 SIEM으로 전달하고, 이벤트 ID 4625 및 4624를 관찰하고, 비정상적인 볼륨, 소스 지역 및 서비스 계정 적중에 대해 경고합니다. 무차별 대입 공격을 방지하는 방법을 배우려면 항상 로그를 감시해야 합니다. 사후 대응 감지는 예방 제어가 실패할 때 피해를 제한하기 때문입니다. 한 시간 내에 단일 IP에서 10회 이상 실패한 시도에 대한 경고를 구성하고 RDP 활동을 나타내는 유형 10(원격 대화형) 및 유형 3(네트워크) 로그온 패턴을 모니터링합니다.
이들 각각은 그 자체로 위험을 줄여줍니다. 이들은 함께 실제 압력을 견디는 RDP 무차별 대입 공격 방지 방법을 형성합니다.
| 방법 | 구현 복잡성 | 구성 위치 | 주요 이점 |
| VPN/RD 게이트웨이 | 중간 | 방화벽 또는 RD 게이트웨이(포트 443) | 공용 포트 3389 노출 제거 |
| 다단계 인증 | 중간 | 게이트웨이, ID 공급자 또는 RDP 추가 기능 | 비밀번호로만 로그인 시도를 중지합니다. |
| 네트워크 수준 인증 | 낮은 | 시스템 속성 → 원격 → NLA 확인란 | 세션 생성 전 인증 |
| 계정 잠금 정책 | 낮은 | secpol.msc → Account Policies → Account Lockout | 무한한 비밀번호 추측을 제한합니다 |
| 이벤트 로그 모니터링 | 중간 | SIEM/EDR 또는 Windows 이벤트 뷰어 | 공격 패턴 조기 탐지 |
| IP 허용 목록/지오펜스 | 낮은 | 방화벽 규칙 또는 IPS/Geo 정책 | 연결 소스 액세스를 제한합니다. |
| 강력한 비밀번호 정책 | 낮은 | 도메인 GPO 또는 로컬 보안 정책 | 무차별 대입 난이도 증가 |
| 정기 패치 | 낮은 | Windows 업데이트, WSUS 또는 Intune | 알려진 RDP 취약점을 해결합니다. |
활성 RDP 무차별 대입 공격을 탐지하는 방법
제어하기 전에 기본 사항을 주시하십시오. Windows 보안 로그에서 실패한 로그온 시도에 대해 이벤트 ID 4625를 모니터링합니다. 스파이크는 활성 공격을 나타내기 때문입니다. 몇 분 내에 동일한 소스 IP에서 수십 또는 수백 개의 4625 이벤트를 볼 때 실시간으로 무차별 대입 시도를 관찰하고 있는 것입니다. 최신 감지에서는 네트워크 수준 인증 채택으로 인증 흐름이 변경되었으므로 유형 3 로그온(NLA를 통한 네트워크 인증)에 이어 유형 10 로그온(원격 대화형)을 찾습니다.
단일 IP의 여러 사용자 이름에서 실패한 로그인 패턴에 주의하세요. 이는 표적 공격이 아닌 비밀번호 스프레이를 나타냅니다. 지리적 불일치도 중요합니다. 사용자가 북미에서 일하고 있지만 동유럽이나 아시아에서 로그인 시도가 보인다면 이는 즉시 조사할 가치가 있는 위험 신호입니다. 일부 공격자는 실제 위치를 숨기기 위해 주거용 프록시를 사용하지만 볼륨과 타이밍 패턴은 여전히 그들의 존재를 드러냅니다.
여러 서버의 활동을 상호 연관시킬 수 있는 중앙 로깅 시스템 또는 SIEM으로 이러한 이벤트를 전달합니다. 대기업에서는 정상적으로 보이는 것이 중소기업에서는 의심스러울 수도 있으므로 환경의 일반적인 인증 패턴을 기반으로 경고 임계값을 설정하십시오. 목표는 손상이 발생한 후 문서화하는 것이 아니라 무차별 대입 공격과 그 패턴이 성공하기 전에 중지하는 방법을 배우는 것입니다.
진행 중인 RDP 무차별 대입 공격을 중지하는 방법
모니터링에서 반복적인 로그온 실패 또는 자격 증명 스프레이에 대한 경고가 발생하는 경우 해당 단계를 순서대로 수행하세요. 먼저 경계 방화벽에서 IP나 범위를 차단해 소스를 봉쇄한다. 볼륨이 높으면 임시 속도 제한을 적용하여 조사하는 동안 공격 속도를 늦춥니다. 공격이 실시간으로 발생하는 것을 볼 수 있으면 자동화된 도구가 따라잡을 때까지 기다리지 마십시오.
둘째, 대상 계정의 비밀번호를 만료시키고 다른 서비스에서 재사용이 가능한지 확인하여 신원을 안정화합니다. 손상이 의심되는 경우 계정을 비활성화하십시오. 액세스를 방지하는 것이 위반 후 정리하는 것보다 낫기 때문입니다. 해당 계정에 대한 최근 성공적인 로그인을 검토하여 공격자가 인지하기 전에 이미 침입했는지 확인하십시오.
셋째, 액세스에 RD 게이트웨이 또는 VPN이 필요한지 확인하여 액세스 경로를 검증하고 3389를 인터넷에 다시 노출시키는 모든 악성 포트 전달을 제거합니다. 일부 공격은 누군가가 몇 달 전에 임시 방화벽 규칙을 열고 닫는 것을 잊어버렸기 때문에 성공합니다. 넷째, RDP 세션 로그, 새로운 로컬 관리자, 서비스 설치 및 예약된 작업을 검토하여 부작용을 찾아보세요. EDR 원격 측정은 공격자가 짧은 액세스 기간 동안 심는 지속성 움직임을 포착하는 데 도움이 됩니다.
마지막으로 권한 있는 계정에 대한 로그온 실패에 대한 규칙을 추가하여 탐지를 조정하고 후속 조치를 위한 티켓팅을 트리거하여 수업이 기본값이 되도록 합니다. 이러한 조치는 사고를 짧게 유지하고 감지 경고가 발생하면 무차별 대입 공격이 피해를 입히는 것을 방지하는 방법을 정확하게 보여줍니다.
고급 RDP 무차별 대입 보호 전략
특히 인터넷에 연결된 워크로드와 이동 중인 관리자의 경우 몇 가지 추가 단계를 수행하면 효과가 있습니다. RD 게이트웨이 또는 방화벽에 IP당 임계값을 설정하고 RDP 실패한 핸드셰이크 플러드와 일치하는 IPS 서명을 조정합니다. 이를 통해 봇이 기계 속도로 사용자를 망치는 것을 방지하고 SOC 경고에 분류에 대한 더 많은 컨텍스트를 제공합니다. 네트워크 에지의 속도 제한은 개별 공격자가 모든 인증 리소스를 소비하는 것을 방지합니다. Black Basta 및 RansomHub를 포함한 주요 랜섬웨어 그룹은 RDP 무차별 공격을 기본 초기 액세스 기술로 채택했습니다.
최신 EDR은 관리 작업과 단계적 공격을 구별하는 데 도움이 되는 세션 메타데이터를 추가하여 관련 호스트 간의 헌팅을 지원합니다. 이러한 컨텍스트는 공격자가 환경을 통해 측면으로 이동할 때 체류 시간을 단축합니다. 몇 시간 만에 침입을 포착하는 것과 며칠 만에 침입을 포착하는 것의 차이는 올바른 위치에 올바른 원격 측정을 갖추는 데 달려 있는 경우가 많습니다.
고위험 호스트에서 불필요한 드라이브, 클립보드 및 프린터 리디렉션을 끄십시오. 편의 기능을 비활성화하면 침입자가 데이터를 유출하거나 도구를 사용자 환경으로 이동하려는 시도에 대한 마찰이 높아집니다. 최소 권한 원칙과 로컬 관리자 분리를 결합하여 하나의 계정이 손상되더라도 모든 것이 넘겨지지는 않습니다. 측면 움직임이 기어가는 속도로 느려지면 무차별 공격 시도를 중지하는 것이 더 쉽습니다.
기본 3389를 변경하여 포트 난독화는 결정된 스캔을 중지하지 않지만 기본 포트에만 도달하는 봇의 소음을 줄입니다. 이를 변경하더라도 모호함만으로는 표적 공격에 실패하므로 VPN, 허용 목록 및 MFA와 계속 페어링됩니다. 새로운 Windows 서버에서는 PowerShell 또는 CMD를 사용하여 관리자 권한 터미널에서 원격 데스크톱 설정, NLA 및 방화벽 규칙을 확인합니다. 명령줄을 통한 RDP 활성화와 같은 작업은 스크립팅 및 검토 시 깔끔하고 재현 가능하며 이러한 단계를 변경 프로세스에 연결하여 드리프트를 조기에 포착합니다.
RDP 위생은 더 광범위한 원격 액세스 이야기의 일부입니다. 브라우저나 타사 앱을 통해 시스템을 관리하는 경우 해당 시스템도 감사하세요.Chrome 원격 데스크톱 보안 위험예를 들어, 노출된 3389만큼 많은 로그 노이즈를 생성할 수 있습니다. 도구 전반에 걸쳐 위생을 유지하면 RDP 무차별 대입 보호가 전반적으로 강력해집니다.
결론
이제 "RDP 무차별 대입 공격을 방지하는 방법"에 대한 명확하고 계층화된 답변을 얻었습니다. VPN 또는 게이트웨이로 노출을 낮게 유지하고, MFA, NLA 및 잠금 정책으로 기준을 높이고, 인증 로그를 면밀히 관찰하세요. 이러한 단계는 문서뿐만 아니라 실제 압력이 가해지는 실제 환경에서 작동하는 실용적인 무차별 대입 공격 방지를 형성합니다.
이러한 제어 또는 적절한 보안을 갖춘 생산 기반을 테스트하기 위해 깨끗한 환경이 필요한 경우 다음을 수행할 수 있습니다. RDP 구매 빠른 연결, 빠른 I/O를 위한 NVMe 스토리지, 적절한 모니터링 인프라를 포함하는 공급자로부터. 팀의 위치와 일치하는 데이터 센터를 선택하여 대기 시간을 낮게 유지하고 공급자가 필요한 보안 제어를 지원하는지 확인하세요.
원격 데스크톱이 필요하십니까?
가동 시간이 99.95인 안정적인 고성능 RDP 서버입니다. 미국, 유럽, 아시아의 모든 주요 도시로 이동 중에 데스크탑을 가져가세요.
RDP 서버 받기
