사이버 범죄자들은 취약한 비밀번호, 노출된 포트, 부재한 보안 설정을 악용해 Remote Desktop Protocol (RDP) 연결을 끊임없이 공격합니다. 노출된 RDP 서버의 90%가 몇 시간 안에 공격자에게 뚫린다는 점에서, RDP 보안 방법을 이해하는 것은 매우 중요합니다.
즉각적인 위험은 다음과 같습니다. 무차별 대입 비밀번호 공격, 자격 증명 탈취, 랜섬웨어 배포, 그리고 내부 네트워크 횡이동. 검증된 대응 방안은 다음과 같습니다. VPN 전용 접근, 다단계 인증, 네트워크 수준 인증(NLA), 강력한 비밀번호 정책, 그리고 RDP를 인터넷에 직접 노출하지 않는 것입니다.
이 가이드는 공격이 성공하기 전에 차단하는 검증된 보안 조치를 사용해 원격 데스크톱 연결을 안전하게 보호하는 방법을 단계별로 안내합니다.
RDP가 무엇입니까?
Remote Desktop Protocol (RDP)은 네트워크를 통해 다른 컴퓨터를 원격으로 제어하는 Microsoft 기술입니다. 화면 데이터, 키보드 입력, 마우스 움직임을 장치 간에 전송하여, 마치 대상 컴퓨터 앞에 직접 앉아 있는 것처럼 원격 제어가 가능합니다.
RDP는 기본적으로 포트 3389를 사용하며 기본 암호화를 제공하지만, 이러한 기본 설정은 공격자들이 적극적으로 악용하는 심각한 보안 취약점을 만들어냅니다.
RDP는 안전한가요?
아니요. 기본 설정 상태의 RDP는 안전하지 않습니다.
사실: RDP는 기본적으로 128비트 암호화만 제공합니다. 사이버 범죄자들은 성공한 공격의 90%에서 RDP를 표적으로 삼습니다. 인터넷에 노출된 RDP 서버는 매일 수천 건의 공격 시도를 받습니다.
RDP의 취약점: 기본 인증 방식이 취약해 무차별 대입 공격에 그대로 노출됩니다. 네트워크 수준 인증(NLA)이 없으면 로그인 화면이 공격자에게 직접 노출됩니다. 기본 포트 3389는 자동화된 스캔 도구의 지속적인 표적이 됩니다. 기본 다단계 인증이 없어 비밀번호 하나만으로 모든 것을 지켜야 합니다.
해결책: RDP는 VPN 접근, 강력한 인증, 적절한 네트워크 제어, 지속적인 모니터링 등 여러 보안 계층을 갖춰야만 안전해집니다. 최근 분석에 따르면, 사람의 실수가 여전히 주된 원인 으로, 보안 침해 사고의 68%가 소셜 엔지니어링에 속거나 설정 실수를 저지르는 등 악의 없는 인적 요인과 관련된 것으로 나타났습니다.
이러한 보안 실패가 초래하는 금전적 피해는 상당합니다. 데이터 침해 비용은 사상 최고치를 기록했으며 2024년 전 세계 평균 비용은 사고당 488만 달러에 달했습니다. 이는 전년 대비 10% 증가한 수치로, 비즈니스 중단과 복구 비용이 주된 원인으로 꼽힙니다.
원격 데스크톱 연결의 주요 보안 취약점
성공적인 공격 경로로 이어지는 주요 원격 데스크톱 보안 취약점은 다음과 같습니다:
| 보안 취약점 범주 | 일반적인 문제 | 공격 방법 |
| 인증 약점 | 취약한 비밀번호, MFA 미설정 | 무차별 대입 공격 |
| 네트워크 노출 | 직접 인터넷 노출 | 자동 스캔 |
| 설정 문제 | NLA 비활성화, 패치 미적용 시스템 | 알려진 취약점 악용 |
| 접근 제어 문제 | 과도한 권한 | 수평 이동 |
BlueKeep 취약점(CVE-2019-0708)은 이러한 문제가 얼마나 빠르게 심각해지는지 잘 보여줍니다. 이 원격 코드 실행 취약점은 공격자가 인증 없이 시스템을 완전히 장악할 수 있게 했으며, 패치가 적용되지 않은 수백만 대의 Windows 시스템이 영향을 받았습니다.
RDP 보안 강화 방법: 핵심 보안 설정
아래의 원격 접속 보안 방법들은 함께 적용할 때 검증된 보호 효과를 발휘합니다.
RDP를 인터넷에 직접 노출하지 마세요
RDP를 효과적으로 보호하려면 이 원칙은 반드시 지켜야 합니다. 포트 3389를 인터넷에 직접 노출하면 즉각적인 공격 표면이 생기고, 자동화 도구가 몇 시간 안에 이를 탐지해 악용합니다.
실제로 인터넷에 노출된 지 하루도 되지 않아 서버에 로그인 실패 시도가 1만 건 이상 발생하는 것을 목격한 적이 있습니다. 공격자들은 RDP 서비스를 지속적으로 스캔하는 특수 봇넷을 이용해 발견된 서버에 크리덴셜 스터핑 공격을 퍼붓습니다.
구현: 방화벽 규칙으로 RDP 포트에 대한 직접 인터넷 접속을 차단하고, VPN 전용 접속 정책을 적용하세요.
강력하고 고유한 비밀번호를 사용하세요
비밀번호 보안은 Windows 원격 데스크톱 보안의 기본입니다. 현대적인 공격 방식에 대응하려면 최신 위협 기준에 맞는 비밀번호 정책이 필요합니다.
실효성이 검증된 CISA 요구 사항:
- 대소문자, 숫자, 특수문자를 포함한 16자 이상
- 시스템 간 비밀번호 재사용 금지
- 권한 계정의 주기적인 비밀번호 변경
- 사전에 있는 단어나 개인정보 사용 금지
구성: 비밀번호 정책은 그룹 정책에서 컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 계정 정책 > 암호 정책 경로를 통해 설정하세요. 이를 통해 도메인 전체에 정책을 일괄 적용할 수 있습니다.
NLA(네트워크 수준 인증) 활성화
NLA는 RDP 세션 연결 전에 인증을 요구하며, 원격 연결 프로토콜 보안에 필수적인 역할을 합니다.
NLA를 사용하면 공격자가 Windows 로그인 화면에 접근하는 것 자체를 차단하고, 리소스를 많이 소모하는 연결 시도를 막아 인증 실패로 인한 서버 부하를 줄일 수 있습니다.
설정 단계:
- 대상 서버에서 시스템 속성을 엽니다
- 원격 탭으로 이동합니다
- "네트워크 수준 인증을 사용하는 원격 데스크톱 실행 컴퓨터에서만 연결 허용"을 활성화합니다
다중 인증(MFA) 구현 (MFA)
다단계 인증(MFA)은 비밀번호 외에 추가 인증을 요구해 자격 증명 기반 공격을 차단합니다. Windows 원격 데스크톱 보안 연결을 강화하는 단일 조치 중 가장 효과적입니다.
| MFA 방법 | 보안 수준 | 구현 시간 | 적합한 시장 |
| Microsoft 인증자 | 높음 | 2-4시간 | 대부분의 환경 |
| SMS 인증 | 중간 | 1시간 | 빠른 배포 |
| 하드웨어 토큰 | 매우 높음 | 1-2일 | 고보안 구역 |
| 스마트 카드 | 매우 높음 | 2~3일 | 엔터프라이즈 환경 |
Microsoft Authenticator는 대부분의 환경에서 보안성과 편의성 사이에서 최적의 균형을 제공합니다. 보호 효과를 이해하면 사용자들도 빠르게 적응합니다.
VPN 접속 요구
VPN 연결은 암호화된 터널을 생성해 RDP 세션을 포함한 모든 네트워크 트래픽을 보호합니다. 이 방식은 안전한 원격 접속 모범 사례 중 가장 신뢰할 수 있는 보호 수단입니다.
VPN 보안 이점:
- 모든 통신 채널 암호화
- 중앙 집중식 인증 및 접속 로깅
- 네트워크 수준 접근 제어
- 필요 시 지리적 접속 제한
사용자가 먼저 VPN를 통해 접속하면 인증이 두 번 이루어집니다. VPN 서비스에서 한 번, RDP 세션에서 한 번입니다. 이 이중 인증은 다음 상황에서 무단 접속을 지속적으로 차단해 왔습니다 있습니다 RDP 제공업체 목록 구현.
점프 호스트 설정
점프 호스트는 내부 RDP 접속을 위한 통제된 진입점 역할을 합니다. 중앙 집중식 모니터링과 보안 제어를 제공해 원격 데스크톱 배포 환경의 보안 수준을 높입니다.
점프 호스트 아키텍처:
- VPN를 통해서만 접속 가능한 전용 서버
- 세션 전체 로깅 및 녹화
- 사용자별 세분화된 접근 제어
- 자동화된 보안 모니터링
점프 호스트는 멀티홉 과정을 자동화하면서 완전한 감사 추적을 유지하는 연결 관리 도구와 함께 사용할 때 가장 효과적입니다.
SSL 인증서로 RDP 보안 강화
SSL/TLS 인증서는 기본 RDP 보안보다 강화된 암호화를 제공하며, 자격 증명과 세션 데이터를 가로챌 수 있는 중간자 공격을 차단합니다.
인증서 구현:
- 모든 RDP 서버에 대한 인증서를 생성합니다
- RDP 서비스에서 인증서 인증을 요구하도록 구성
- 클라이언트 시스템에 인증 기관 정보 배포
- 인증서 만료 및 갱신 모니터링
신뢰할 수 있는 인증 기관의 공인 인증서는 자체 서명 인증서보다 보안 수준이 높고, 엔터프라이즈 환경에서 클라이언트 구성을 간소화합니다.
PAM 솔루션으로 접근 제한
Privileged Access Management(PAM) 솔루션은 RDP 접근을 종합적으로 제어합니다. 적시 권한 부여와 자동화된 자격 증명 관리를 통해 원격 연결 프로토콜을 보호합니다.
PAM 기능:
- 승인된 요청에 따른 임시 접근 권한 부여
- 자동화된 비밀번호 교체 및 주입
- 실시간 세션 모니터링 및 녹화
- 행동 분석 기반의 위험도별 접근 결정
Delinea Secret Server는 Active Directory와 연동되며, 엔터프라이즈 Windows 원격 데스크톱 보안 구현에 필요한 고급 제어 기능을 제공합니다.
고급 보안 구성
이 구성들은 핵심 보안 방침을 보완하고 심층 방어 체계를 강화합니다.
기본 RDP 포트 변경
RDP의 포트를 변경하면 3389 기본 포트를 집중적으로 탐색하는 자동화 스캔 도구를 차단할 수 있습니다. 완전한 보호 수단은 아니지만, 로그 분석 결과 포트 변경만으로도 공격 시도를 약 80% 줄일 수 있습니다.
구현: 레지스트리 설정을 직접 수정하거나 그룹 정책을 사용해 사용자 지정 포트를 지정한 후, 새 포트를 허용하고 3389를 차단하도록 방화벽 규칙을 업데이트하세요.
계정 잠금 정책 구성
계정 잠금 정책은 인증 실패가 반복될 경우 해당 계정을 자동으로 비활성화합니다. 무차별 대입 공격에 효과적인 방어 수단입니다.
그룹 정책 구성:
- Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies > Account Lockout Policy로 이동
- 잠금 임계값 설정: 실패 횟수 3~5회
- 잠금 지속 시간 설정: 15~30분
- 보안 요구 사항과 사용자 생산성 간의 균형 유지
RDP 활동 모니터링
SIEM(보안 정보 및 이벤트 관리) 시스템은 RDP 이벤트를 다른 보안 데이터와 연계해 위협과 공격 패턴을 탐지하는 중앙화된 모니터링 환경을 제공합니다.
모니터링 요구사항:
- 모든 RDP 서버의 Windows 이벤트 로그 수집
- 인증 실패에 대한 자동 알림
- 접속 출처에 대한 지리적 이상 탐지
- 위협 인텔리전스 피드 연동
연결 관리 플랫폼을 활용하면 세션 동작에 대한 가시성을 높이고, 조사가 필요한 비정상적인 접근 패턴을 식별하는 데 도움이 됩니다.
통합 세션 관리
최신 플랫폼은 통합 인터페이스를 통해 RDP와 SSH 원격 세션을 모두 관리할 수 있으며, 서로 다른 접근 방식에도 일관된 보안 정책을 적용합니다.
통합 관리의 이점:
- 모든 원격 접근에 대한 단일 인증 지점
- 프로토콜 전반에 걸친 일관된 보안 정책
- 세션 녹화 및 감사 추적 중앙화
- 보안을 유지하면서 사용자 경험 간소화
Delinea Secret Server 구현
Delinea Secret Server와 같은 엔터프라이즈 솔루션은 자격 증명 보관 기능을 통합해 비밀번호 노출 없이 완전한 감사 추적을 유지하는 포괄적인 권한 원격 접근 관리를 제공합니다.
PRA 워크플로우:
- 사용자는 중앙화된 플랫폼을 통해 접근을 요청합니다
- 시스템이 정의된 정책에 따라 사용자의 신원과 권한을 검증합니다
- 자격 증명은 자동으로 조회되어 세션에 주입됩니다
- 모든 세션 활동이 실시간으로 기록됩니다
- 접근 권한은 예약된 시간에 자동으로 종료됩니다
이 방식은 자격 증명 탈취를 방지하는 동시에 보안 프레임워크 컴플라이언스에 필요한 상세한 감사 추적을 제공합니다.
추가 보안 조치
이러한 추가 조치는 핵심 보안 관행을 보완하고 RDP 전반에 걸쳐 심층 방어를 제공합니다. 필수 보안 관행이 주된 방어선을 형성하는 한편, 이 보조 통제를 함께 적용하면 공격 표면을 더욱 줄이고 전반적인 보안 태세를 강화할 수 있습니다.
소프트웨어를 최신 상태로 유지하세요
정기적인 보안 업데이트는 공격자가 실제로 악용하는 새로운 취약점을 차단합니다. BlueKeep(CVE-2019-0708)과 DejaBlue 같은 치명적인 RDP 취약점은 신속한 패치 적용이 얼마나 중요한지, 그리고 업데이트를 미뤘을 때 얼마나 심각한 위험이 따르는지를 잘 보여줍니다.
패치 적용 일정은 위험한 취약점 노출 구간을 만들어냅니다. 연구에 따르면 조직이 보안 패치를 적용하는 데 걸리는 시간은 공격자가 취약점을 악용하는 데 걸리는 시간보다 훨씬 깁니다. 치명적 취약점의 50%를 해결하는 데 평균 55일이 소요되는 반면, 대규모 익스플로잇은 공개 후 불과 5일 만에 시작되는 경우가 많습니다.
업데이트 관리:
- RDP가 활성화된 모든 시스템에 패치 자동 배포 적용
- Microsoft Security Bulletin 구독
- 운영 환경 적용 전 스테이징 환경에서 업데이트 테스트
- 치명적 취약점에 대한 긴급 패치 절차 수립
세션 관리
세션을 올바르게 구성하면 비활성 연결이 공격에 노출되는 것을 방지할 수 있습니다.
| 설정 | 값 | 보안 이점 |
| 유휴 시간 초과 | 30분 | 자동 연결 해제 |
| 세션 제한 | 8시간 | 강제 재인증 |
| 연결 제한 | 사용자당 2개 | 탈취 방지 |
위험한 기능 비활성화
RDP의 리디렉션 기능은 데이터 유출 경로가 될 수 있으므로, 반드시 필요한 경우가 아니라면 비활성화해야 합니다.
| 기능 | 위험 | 비활성화 방법 |
| 클립보드 | 데이터 도용 | 그룹 정책 |
| 프린터 | 악성코드 주입 | 관리 템플릿 |
| 드라이브 | 파일 접근 | 레지스트리 설정 |
결론
RDP를 안전하게 사용하려면 단일 보안 수단에 의존하는 대신 여러 보안 계층을 함께 적용해야 합니다. 가장 효과적인 방법은 VPN 접근 제어, 강력한 인증, 적절한 모니터링, 그리고 정기적인 업데이트를 조합하는 것입니다.
다른 보안 조치를 갖추고 있더라도 RDP를 인터넷에 직접 노출하지 마세요. 대신, VPN 우선 정책이나 완전한 감사 기능과 제어된 접근 채널을 제공하는 RDP Gateway 솔루션을 도입하세요.
RDP 보안은 새롭게 등장하는 위협에 지속적으로 주의를 기울이고, 정기적인 보안 점검을 통해 보호 효과를 유지해야 합니다. 전문적으로 관리되는 솔루션을 원한다면 RDP 서버 호스팅 기본적으로 포괄적인 보안 조치를 적용하는 공급업체를 고려해보세요.
