RDP(원격 데스크톱 프로토콜) 연결은 취약한 비밀번호, 노출된 포트, 누락된 보안 제어를 악용하는 사이버 범죄자의 지속적인 공격에 직면해 있습니다. 공격자는 노출된 RDP 서버의 90%를 몇 시간 내에 성공적으로 손상시키므로 RDP를 보호하는 방법을 이해하는 것이 중요합니다.
즉각적인 위험은 다음과 같습니다. 무차별 암호 공격, 자격 증명 도용, 랜섬웨어 배포, 측면 네트워크 이동 등이 있습니다. 검증된 솔루션은 다음과 같습니다. VPN 전용 액세스, 다단계 인증, 네트워크 수준 인증, 강력한 비밀번호 정책 및 RDP를 인터넷에 직접 노출하지 않습니다.
이 가이드에서는 공격이 성공하기 전에 중지하는 테스트된 보안 조치를 사용하여 원격 데스크톱 연결을 보호하는 방법을 정확하게 보여줍니다.
RDP란 무엇입니까?
RDP(원격 데스크톱 프로토콜)는 네트워크를 통해 다른 컴퓨터를 제어하기 위한 Microsoft의 기술입니다. 장치 간에 화면 데이터, 키보드 입력 및 마우스 움직임을 전송하여 마치 대상 컴퓨터에 앉아 있는 것처럼 원격 제어가 가능합니다.
RDP는 기본적으로 포트 3389를 사용하고 기본 암호화를 포함하지만 이러한 기본 설정으로 인해 공격자가 적극적으로 악용할 수 있는 심각한 보안 취약점이 발생합니다.
RDP는 안전합니까?
아니요. RDP는 기본 설정으로 안전하지 않습니다.
사실: RDP는 기본적으로 128비트 암호화만 제공합니다. 사이버 범죄자는 성공적인 공격의 90%에서 RDP를 표적으로 삼습니다. 인터넷에 노출된 RDP 서버는 매일 수천 건의 공격 시도에 직면합니다.
RDP가 실패하는 이유: 약한 기본 인증은 무차별 대입 공격을 허용합니다. 네트워크 수준 인증 누락으로 인해 로그인 화면이 공격자에게 노출됩니다. 기본 포트 3389는 자동화 도구에 의해 지속적으로 검사됩니다. 내장된 다단계 인증은 비밀번호를 유일한 보호 수단으로 남겨두지 않습니다.
해결책: RDP는 VPN 액세스, 강력한 인증, 적절한 네트워크 제어 및 지속적인 모니터링을 포함한 여러 보안 계층을 구현하는 경우에만 안전해집니다. 최근 분석에 따르면 인간의 실수가 주요 원인으로 남아 있음 보안 위반의 68%는 사회 공학에 빠지거나 구성 실수를 저지르는 등 악의적이지 않은 인간 요소와 관련되어 있습니다.
이러한 보안 실패로 인한 재정적 영향은 상당합니다. 데이터 유출 비용이 사상 최고치를 기록했습니다. 2024년에는 사고당 전 세계 평균 비용이 488만 달러에 달할 것으로 예상됩니다. 이는 주로 비즈니스 중단 및 복구 비용으로 인해 전년도보다 10% 증가한 수치입니다.
일반적인 원격 데스크톱 연결 보안 문제
성공적인 공격 벡터를 생성하는 주요 원격 데스크톱 연결 보안 문제는 다음과 같습니다.
| 취약점 카테고리 | 일반적인 문제 | 공격방법 |
| 인증 약점 | 취약한 비밀번호, MFA 누락 | 무차별 공격 |
| 네트워크 노출 | 직접 인터넷 접속 | 자동 스캐닝 |
| 구성 문제 | NLA 비활성화, 패치되지 않은 시스템 | 알려진 취약점 악용 |
| 액세스 제어 문제 | 과도한 권한 | 측면 운동 |
BlueKeep 취약점(CVE-2019-0708)은 이러한 문제가 얼마나 빨리 확대되는지 보여줍니다. 이 원격 코드 실행 결함으로 인해 공격자는 인증 없이 완전한 시스템 제어권을 얻을 수 있었고 패치가 적용되지 않은 수백만 개의 Windows 시스템에 영향을 미쳤습니다.
RDP를 보호하는 방법: 필수 보안 관행
이러한 원격 액세스 보안 모범 사례를 함께 구현하면 입증된 보호 기능을 제공합니다.
RDP를 인터넷에 직접 노출하지 마십시오
RDP를 효과적으로 보호하는 방법을 배울 때 이 규칙은 협상할 수 없습니다. 포트 3389가 인터넷에 직접 노출되면 자동화된 도구가 몇 시간 내에 찾아서 악용할 수 있는 즉각적인 공격 표면이 생성됩니다.
저는 인터넷에 노출된 첫 날에 서버에서 10,000번 이상의 로그인 시도 실패를 목격했습니다. 공격자는 지속적으로 RDP 서비스를 검색하고 발견된 서버에 대해 크리덴셜 스터핑 공격을 시작하는 특수 봇넷을 사용합니다.
구현: 방화벽 규칙을 통해 RDP 포트에 대한 모든 직접 인터넷 액세스를 차단하고 VPN 전용 액세스 정책을 구현합니다.
강력하고 고유한 비밀번호를 사용하세요
암호 보안은 Windows 원격 데스크톱 보안의 기초를 형성하며 최신 공격 방법에 저항하려면 현재 위협 표준을 충족해야 합니다.
유효한 CISA 요건:
- 전체 복잡성을 포함한 최소 16자
- 시스템 전체에서 재사용되지 않는 고유한 비밀번호
- 권한 있는 계정에 대한 정기 교체
- 사전에 나온 단어나 개인정보가 없습니다.
구성: 컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 계정 정책 > 암호 정책에서 그룹 정책을 통해 암호 정책을 설정합니다. 이렇게 하면 도메인 전체에 적용됩니다.
네트워크 수준 인증(NLA) 활성화
네트워크 수준 인증은 RDP 세션을 설정하기 전에 인증이 필요하므로 원격 연결 프로토콜 보안을 위한 필수 보호 기능을 제공합니다.
NLA는 공격자가 Windows 로그인 화면에 접근하는 것을 방지하고 리소스를 많이 사용하는 연결 시도를 차단하며 실패한 인증 시도로 인한 서버 부하를 줄입니다.
구성 단계:
- 대상 서버에서 시스템 속성 열기
- 원격 탭으로 이동
- "네트워크 수준 인증을 사용하여 원격 데스크톱을 실행하는 컴퓨터에서만 연결 허용"을 활성화합니다.
다단계 인증(MFA) 구현
Multi-Factor Authentication은 비밀번호 외에 추가 확인을 요구하여 자격 증명 기반 공격을 차단합니다. 이는 Windows 원격 데스크톱 보안 연결 보안에 대한 가장 효과적인 단일 개선 사항을 나타냅니다.
| MFA 방법 | 보안 수준 | 구현 시간 | 최고의 대상 |
| 마이크로소프트 인증자 | 높은 | 2~4시간 | 대부분의 환경 |
| SMS 확인 | 중간 | 1시간 | 빠른 배포 |
| 하드웨어 토큰 | 매우 높음 | 1~2일 | 보안 수준이 높은 구역 |
| 스마트 카드 | 매우 높음 | 2~3일 | 엔터프라이즈 환경 |
Microsoft Authenticator는 대부분의 배포에서 보안과 유용성의 최상의 균형을 제공합니다. 사용자는 보호 이점을 이해하고 나면 빠르게 적응합니다.
VPN 액세스 필요
VPN 연결은 RDP 세션을 포함한 모든 네트워크 트래픽을 보호하는 암호화된 터널을 생성합니다. 이 접근 방식은 안전한 원격 액세스 모범 사례에 대한 가장 안정적인 보호를 제공합니다.
VPN 보안 이점:
- 모든 통신 채널 암호화
- 중앙 집중식 인증 및 액세스 로깅
- 네트워크 수준 액세스 제어
- 필요한 경우 지리적 제한
사용자가 VPN을 통해 먼저 연결하면 두 번 인증됩니다. 한 번은 VPN 서비스에, 또 한 번은 RDP 세션에 인증됩니다. 이러한 이중 인증을 통해 지속적으로 무단 접근을 차단해 왔습니다. 그만큼 최고의 RDP 제공업체 구현.
점프 호스트 설정
점프 호스트는 내부 RDP 액세스를 위한 제어된 진입점 역할을 하며, 원격 데스크톱 배포 보안을 강화하는 중앙 집중식 모니터링 및 보안 제어 기능을 제공합니다.
점프 호스트 아키텍처:
- VPN을 통해서만 접근 가능한 전용 서버
- 세션 로깅 및 녹음 완료
- 사용자별 세분화된 액세스 제어
- 자동화된 보안 모니터링
점프 호스트는 전체 감사 추적을 유지하면서 멀티 홉 프로세스를 자동화하는 연결 관리자 도구와 결합될 때 가장 잘 작동합니다.
SSL 인증서로 RDP 보안
SSL/TLS 인증서는 기본 RDP 보안 이상의 향상된 암호화를 제공하고 자격 증명 및 세션 데이터를 가로챌 수 있는 중간자 공격을 방지합니다.
인증서 구현:
- 모든 RDP 서버에 대한 인증서 생성
- 인증서 인증을 요구하도록 RDP 서비스 구성
- 클라이언트 시스템에 인증 기관 정보 배포
- 인증서 만료 및 갱신 모니터링
신뢰할 수 있는 기관의 전문 인증서는 자체 서명된 인증서보다 더 나은 보안을 제공하고 엔터프라이즈 환경에서 클라이언트 구성을 단순화합니다.
PAM 솔루션을 사용하여 액세스 제한
PAM(Privileged Access Management) 솔루션은 RDP 액세스에 대한 포괄적인 제어를 제공하고 원격 연결 프로토콜 보안을 위한 적시 권한 및 자동화된 자격 증명 관리를 구현합니다.
PAM 기능:
- 승인된 요청에 따른 임시 액세스 프로비저닝
- 자동 비밀번호 교체 및 삽입
- 실시간 세션 모니터링 및 녹음
- 행동 분석을 사용한 위험 기반 액세스 결정
Delinea Secret Server는 Active Directory와 통합되는 동시에 엔터프라이즈 Windows 원격 데스크톱 보안 구현에 필요한 고급 제어 기능을 제공합니다.
고급 보안 구성
이러한 구성은 필수 보안 관행을 보완하고 심층 방어 보호를 제공합니다.
기본 RDP 포트 변경
포트에서 RDP 변경 3389 기본 포트를 대상으로 하는 자동 검색 도구를 차단합니다. 포괄적인 보호는 아니지만 포트 변경으로 인해 로그 분석을 기준으로 공격 시도가 약 80% 감소합니다.
구현: 레지스트리 설정을 수정하거나 그룹 정책을 사용하여 사용자 지정 포트를 할당한 다음 방화벽 규칙을 업데이트하여 3389를 차단하면서 새 포트를 허용하세요.
계정 잠금 정책 구성
계정 잠금 정책은 인증 시도가 반복적으로 실패하면 자동으로 계정을 비활성화하여 무차별 대입 공격으로부터 효과적으로 보호합니다.
그룹 정책 구성:
- 컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 계정 정책 > 계정 잠금 정책으로 이동합니다.
- 잠금 임계값 설정: 3~5회 시도 실패
- 잠금 기간 구성: 15~30분
- 보안 요구 사항과 사용자 생산성의 균형을 유지하세요
RDP 활동 모니터링
SIEM(보안 정보 및 이벤트 관리) 시스템은 RDP 이벤트를 다른 보안 데이터와 연관시켜 위협과 공격 패턴을 식별하는 중앙 집중식 모니터링을 제공합니다.
모니터링 요구 사항:
- 모든 RDP 서버에 대한 Windows 이벤트 로그 수집
- 인증 실패에 대한 자동 경고
- 연결 소스에 대한 지리적 이상 감지
- 위협 인텔리전스 피드와 통합
연결 관리자 플랫폼은 세션 동작에 대한 추가적인 가시성을 제공하고 조사가 필요한 비정상적인 액세스 패턴을 식별하는 데 도움이 될 수 있습니다.
통합 세션 관리
최신 플랫폼은 통합 인터페이스를 통해 RDP 및 SSH 모두에 대한 여러 원격 세션 관리를 지원하여 다양한 액세스 방법에 걸쳐 일관된 보안 정책을 제공합니다.
통합 관리 이점:
- 모든 원격 액세스를 위한 단일 인증 지점
- 프로토콜 전반에 걸쳐 일관된 보안 정책
- 중앙 집중식 세션 기록 및 감사 추적
- 보안이 유지되면서 단순화된 사용자 경험
Delinea Secret Server 구현
Delinea Secret Server와 같은 엔터프라이즈 솔루션은 완전한 감사 추적을 유지하면서 비밀번호 노출을 제거하는 통합 자격 증명 보관 기능을 통해 포괄적인 권한 있는 원격 액세스 관리를 제공합니다.
PRA 작업 흐름:
- 사용자는 중앙 집중식 플랫폼을 통해 액세스를 요청합니다.
- 시스템은 정의된 정책에 대해 신원과 권한을 검증합니다.
- 자격 증명은 자동으로 검색되어 세션에 삽입됩니다.
- 모든 세션 활동은 실시간으로 기록됩니다.
- 액세스는 예정된 간격에 따라 자동으로 종료됩니다.
이 접근 방식은 자격 증명 도용을 방지하는 동시에 보안 프레임워크를 준수하는 데 필요한 자세한 감사 추적을 제공합니다.
추가 보안 조치
이러한 추가 조치는 핵심 보안 관행을 보완하고 포괄적인 RDP 보안을 위한 심층 방어 보호를 제공합니다. 필수 사례가 기본 방어를 형성하는 동안 이러한 보완 제어를 구현하면 공격 표면이 더욱 줄어들고 전반적인 보안 태세가 강화됩니다.
소프트웨어를 최신 상태로 유지
정기적인 보안 업데이트는 공격자가 적극적으로 악용하는 새로 발견된 취약점을 해결합니다. BlueKeep(CVE-2019-0708) 및 DejaBlue와 같은 심각한 RDP 취약점은 시기적절한 패치의 중요성과 지연된 업데이트의 심각한 위험을 보여줍니다.
패치 타임라인은 위험한 취약점 기간을 생성합니다. 연구에 따르면 조직에서는 훨씬 더 많은 시간이 소요됩니다. 공격자가 악용하는 데 필요한 것보다 보안 수정 사항을 적용하는 데 평균 55일이 소요되며 심각한 취약점의 50%를 해결하는 반면 대량 악용은 일반적으로 공개된 지 5일 이내에 시작됩니다.
업데이트 관리:
- 모든 RDP 지원 시스템에 대한 자동 패치 배포
- Microsoft 보안 게시판 구독
- 프로덕션 전에 스테이징 환경에서 업데이트 테스트
- 심각한 취약점에 대한 긴급 패치 절차
세션 관리
적절한 세션 구성은 비활성 연결이 계속 악용되는 것을 방지합니다.
| 환경 | 값 | 보안 혜택 |
| 유휴 시간 초과 | 30분 | 자동 연결 해제 |
| 세션 제한 | 8시간 | 강제 재인증 |
| 연결 제한 | 사용자당 2개 | 하이재킹 방지 |
위험한 기능 비활성화
RDP 리디렉션 기능은 데이터 유출 경로를 생성할 수 있으므로 특별히 필요한 경우가 아니면 비활성화해야 합니다.
| 특징 | 위험 | 비활성화 방법 |
| 클립보드 | 데이터 도난 | 그룹 정책 |
| 인쇄기 | 악성코드 주입 | 관리 템플릿 |
| 운전하다 | 파일 액세스 | 레지스트리 설정 |
결론
RDP를 보호하는 방법을 배우려면 단일 보호 방법에 의존하기보다는 여러 보안 계층을 구현해야 합니다. 가장 효과적인 접근 방식은 VPN 액세스, 강력한 인증, 적절한 모니터링 및 정기적인 업데이트를 결합하는 것입니다.
다른 보안 조치와 관계없이 RDP를 인터넷에 직접 노출하지 마십시오. 대신 완전한 감사 기능을 갖춘 제어된 액세스 채널을 제공하는 VPN 우선 정책 또는 RDP 게이트웨이 솔루션을 구현하십시오.
효과적인 RDP 보안을 위해서는 새로운 위협에 대한 지속적인 관심과 보호 효과를 유지하기 위한 정기적인 보안 평가가 필요합니다. 전문적으로 관리되는 솔루션의 경우 다음을 고려하십시오. RDP 서버 호스팅 기본적으로 포괄적인 보안 조치를 구현하는 공급자입니다.
