포트 3389: RDP (Remote Desktop Protocol)

포트 3389는 Windows 컴퓨터가 Remote Desktop Protocol 연결을 기다리는 곳입니다. RDP를 사용하면 마치 직접 키보드 앞에 앉아 있는 것처럼 네트워크를 통해 Windows 컴퓨터를 제어할 수 있습니다. 시스템 관리자에게는 없어서는 안 될 도구이지만, 공격자에게는 꿈에 그리던 기회입니다.

RDP는 왕국의 열쇠입니다. 침입에 성공한 공격자는 발판 하나를 얻는 게 아니라 집 전체를 손에 넣습니다. 완전한 관리자 권한. 모든 파일. 모든 애플리케이션. 보안 소프트웨어를 비활성화하고, 로그를 삭제하고, 네트워크 더 깊숙이 파고들 수 있는 능력까지.

수백만 개의 조직이 이 서비스를 인터넷에 직접 노출하고 있습니다.

RDP가 실제로 하는 일

Remote Desktop Protocol은 두 컴퓨터 사이에 그래픽 연결을 만듭니다. 키보드와 마우스 입력이 원격 컴퓨터로 전달되고, 화면 업데이트가 돌아옵니다. Microsoft는 1996년 Windows NT 4.0과 함께 이를 도입했고, XP 이후 모든 Windows 버전에 기본 탑재되어 있습니다.

이 프로토콜은 단순히 키 입력을 전달하는 것 이상을 합니다. 클립보드 공유, 프린터 리다이렉션, 오디오 스트리밍, 파일 전송을 처리합니다. 로컬 컴퓨터에서 텍스트를 복사해서 원격 세션에 붙여넣을 때, RDP가 그것을 가능하게 합니다. 원격 서버에서 로컬 프린터로 인쇄할 때도 RDP가 처리합니다.

기본적으로 RDP는 TCP 포트 3389에서 수신 대기합니다.

공격자들이 포트 3389를 좋아하는 이유

완전한 제어권. 웹 애플리케이션을 침해하면 하나의 데이터베이스에 접근할 수 있을 뿐입니다. RDP를 침해하면 해당 계정이 접근할 수 있는 모든 것을 손에 넣습니다. 악성 코드 설치. 데이터 유출. 랜섬웨어 배포. 그 컴퓨터를 이용해 다른 시스템 공격까지.

엄청난 규모. 수백만 대의 Windows 서버와 워크스테이션이 RDP를 실행합니다. VPN이 불편하다는 이유로 많은 곳에서 인터넷에 직접 노출합니다. 공격 표면이 광대합니다.

취약한 자격 증명. 사용자 이름과 비밀번호 인증이 여전히 표준입니다. 자동화 도구들이 Administrator 계정을 대상으로 수천 가지 조합을 시도합니다. 흔한 비밀번호가 생각보다 자주 통합니다.

심각한 취약점. BlueKeep (CVE-2019-0708)은 공격자가 아무런 인증 없이 Windows 컴퓨터에서 코드를 실행할 수 있게 했습니다. 웜처럼 전파될 수 있었습니다—침해된 컴퓨터 하나가 자동으로 다른 컴퓨터를 공격할 수 있었죠. Microsoft가 패치를 배포했습니다. 수개월이 지난 후에도 백만 개의 시스템이 여전히 취약한 상태였습니다.

인증 없이 원격 코드 실행을 허용하는 취약점. 패치 제공됨. 백만 개의 시스템이 여전히 노출됨. 이것이 현실의 RDP 보안입니다.

공격이 이루어지는 방식

무차별 대입 공격이 가장 단순한 방법입니다. 자동화 도구들이 관리자 계정에 흔한 비밀번호를 시도합니다: "password," "admin123," "Welcome1," 회사 이름, 계절별 변형. 시간당 수천 가지 조합을 시도합니다. 결국 누군가의 취약한 비밀번호가 뚫립니다.

크리덴셜 스터핑은 다른 침해 사고에서 유출된 비밀번호를 사용합니다. 사람들은 비밀번호를 재사용합니다. 침해된 웹사이트의 자격 증명이 RDP 서비스에도 통하는 경우가 많습니다. 공격자는 추측할 필요가 없습니다—이미 다른 곳에서 여러분의 비밀번호를 가지고 있으니까요.

취약점 악용은 패치되지 않은 시스템을 표적으로 합니다. BlueKeep은 유일한 사례가 아니었습니다. DejaBlue (CVE-2019-1181과 CVE-2019-1182)도 같은 패턴을 따랐습니다. RDP 취약점은 계속 나타납니다. 프로토콜이 복잡하고 코드베이스가 오래되었기 때문입니다.

중간자 공격은 암호화가 잘못 구성되었거나 사용자가 인증서 경고를 그냥 클릭해 넘길 때 트래픽을 가로챕니다. 최신 RDP는 강력한 암호화를 지원합니다. 경고를 무시하는 사용자들이 그것을 무력화합니다.

침해 이후에 벌어지는 일

랜섬웨어 운영자들은 특히 RDP를 선호합니다. 관리자 권한에 파일 시스템 제어가 더해지면 모든 것을 암호화할 수 있습니다. 조직들은 침해된 RDP 자격 증명 하나에서 시작된 공격 이후 수백만 달러의 몸값을 지불해왔습니다.

그러나 랜섬웨어는 하나의 결과일 뿐입니다. 공격자들은 다음을 할 수 있습니다:

• 파일 시스템을 탐색하고 민감한 데이터를 훔칩니다
• 데이터베이스에 접근하고 레코드를 유출합니다
• 탐지를 피하기 위해 보안 소프트웨어를 비활성화합니다
• 흔적을 지우기 위해 로그를 삭제합니다
• 재부팅 후에도 살아남는 지속적인 백도어를 설치합니다
• 내부 네트워크를 통해 다른 시스템으로 횡적 이동을 합니다
• 침해된 컴퓨터를 이용해 파트너와 고객을 공격합니다

RDP 보안 강화 방법

절대 RDP를 인터넷에 직접 노출하지 마십시오. 이 단 하나의 실천이 대부분의 RDP 공격을 방지합니다. 사용자가 먼저 VPN을 통해 연결하도록 요구하십시오. VPN은 인증을 추가하고 공격 표면을 이미 네트워크에 있는 사람들로 좁혀줍니다.

NLA(Network Level Authentication)를 활성화하십시오. NLA는 완전한 RDP 세션을 수립하기 전에 인증을 요구합니다. 인증되지 않은 공격자는 Windows 로그인 화면에조차 도달할 수 없습니다. 이는 BlueKeep과 같은 사전 인증 익스플로잇을 차단합니다.

다중 인증을 요구하십시오. 공격자가 피싱을 통해 자격 증명을 훔치더라도, 두 번째 인증 요소 없이는 인증할 수 없습니다. 최신 솔루션은 MFA를 RDP에 직접 통합합니다.

계정 잠금 정책을 구현하십시오. 몇 번의 로그인 실패 후 계정을 잠그십시오. 이는 무차별 대입 공격을 완전히 차단합니다.

기본 포트를 변경하십시오. 3389에서 비표준 포트로 이동하면 포트 3389를 특정해서 노리는 자동화 공격을 막을 수 있습니다. 공격자는 모든 포트를 스캔해서 여전히 찾아낼 수 있으므로 이는 제한적인 보호입니다—하지만 불필요한 노이즈를 줄여줍니다.

시스템을 최신 상태로 유지하십시오. Microsoft는 RDP 보안 업데이트를 정기적으로 배포합니다. 반드시 적용하십시오. 패치가 나온 후 수개월이 지나도록 BlueKeep에 취약한 상태로 남아 있던 조직들은 스스로 그 선택을 한 것입니다.

네트워크를 분리하십시오. 시스템 하나가 침해되어도 모든 것에 접근할 수 있어서는 안 됩니다. 방화벽을 사용해 RDP 트래픽을 필요한 시스템과 네트워크로만 제한하십시오.

접근 로그를 모니터링하십시오. 비정상적인 위치에서의 로그인 실패. 새벽 3시의 성공적인 로그인. 일반적인 사용 패턴과 맞지 않는 접근 패턴. 이런 것들은 반드시 알림을 발생시켜야 합니다.

더 나은 대안들

Remote Desktop Gateway는 HTTPS를 통해 RDP를 프록시합니다. 클라이언트는 포트 443에서 게이트웨이에 연결하고, 게이트웨이가 내부 RDP 서버로의 연결을 중개합니다. 포트 3389를 노출하지 않고도 TLS 암호화와 중앙화된 접근 제어를 얻을 수 있습니다.

Azure Virtual Desktop과 유사한 클라우드 솔루션은 노출된 포트를 완전히 없앱니다. 연결이 수신 서비스로 인바운드되는 게 아니라 가상 데스크톱에서 아웃바운드로 시작됩니다.

**ZTNA(Zero Trust Network Access)**는 접근을 허용하기 전에 신원, 기기 상태, 맥락을 확인하여 기존 VPN의 암묵적 신뢰를 지속적인 검증으로 대체합니다.

배스천 호스트는 강화된 점프 서버 역할을 합니다—RDP 접근의 유일한 진입점으로서, 집중적인 보안 모니터링이 가능하게 해줍니다.

핵심 원칙

심층 방어. 단 하나의 통제에만 의존하지 마십시오.

VPN 접근, NLA, MFA, 모니터링, 패치, 네트워크 분리를 결합하십시오. 여러 겹의 장벽을 만드십시오. 각각이 실패할 수 있다고 가정하십시오. 하나의 통제가 실패해도 전체가 무너지지 않도록 설계하십시오.

하지만 한 가지만 기억한다면: 절대 RDP를 인터넷에 직접 노출하지 마십시오.

RDP 침해를 당하는 조직들은 편의를 위해 노출하는 경우가 많습니다. 몇 분의 VPN 불편함을 감수하는 대신, 랜섬웨어, 데이터 도난, 경력을 끝내는 침해의 위험을 감수하는 거래를 한 것입니다. 처음부터 해서는 안 될 거래였습니다.

RDP 보안에 관해 자주 묻는 질문

RDP 포트를 3389에서 변경하는 것만으로 충분한가요?

아닙니다. 포트 변경은 3389를 특정해서 노리는 자동화 스캔을 막지만, 공격자는 모든 포트를 스캔할 수 있습니다. 이는 모호성에 의존하는 보안 방식으로, 노이즈를 줄이는 데는 유용하지만 단독으로는 결코 충분하지 않습니다. 항상 포트 변경을 VPN 접근, NLA, MFA, 네트워크 분리와 함께 사용하십시오.

왜 랜섬웨어 공격자들은 RDP를 특별히 노리나요?

RDP는 랜섬웨어 운영자들에게 필요한 것을 정확히 제공합니다: 파일 시스템 전체에 암호화 악성 코드를 배포할 수 있는 완전한 관리자 권한. 일단 내부에 들어오면, 공격자는 보안 소프트웨어를 비활성화하고, 내부 네트워크를 통해 다른 시스템으로 이동하고, 닿을 수 있는 모든 것을 암호화할 수 있습니다. 최대 피해를 위한 가장 효율적인 진입점입니다.

NLA와 일반 RDP 인증의 차이는 무엇인가요?

일반 RDP 인증은 신원을 증명하기 전에 Windows 로그인 화면을 보여줍니다. NLA는 아무것도 보기 전에 인증을 요구합니다—연결을 수립하는 것 자체에 신원 증명이 필요합니다. 이는 인증되지 않은 공격자가 로그인 화면에조차 도달하지 못하게 하여 사전 인증 익스플로잇을 차단합니다.

VPN 없이 RDP를 안전하게 사용할 수 있나요?

예, 적절한 대안을 통해서는 가능합니다. Remote Desktop Gateway는 HTTPS를 통해 RDP를 프록시합니다. Azure Virtual Desktop은 인바운드 연결을 기다리는 대신 아웃바운드 연결을 시작합니다. 이러한 솔루션들은 포트 3389를 노출하지 않고도 안전한 원격 접근을 제공합니다. 인터넷에 RDP를 직접 노출하는 것은 결코 안전하지 않습니다.