원격 근무, 분산된 팀, 클라우드 연결 환경으로 전환하는 조직이 늘어나면서 원격 액세스 솔루션은 인력의 유연성을 구현하는 데 필수적인 도구가 되었습니다.
그러나 원격 액세스의 증가는 중요한 기술 발전이지만, 공격자에게는 더 많은 액세스 포인트와 더 많은 기회를 제공했습니다.
오늘날 랜섬웨어 그룹과 사이버 범죄자들이 사용하는 가장 일반적인 초기 액세스 방법 중 하나는 원격 액세스 공격과 원격 데스크톱 프로토콜(RDP)의 악용입니다.
한 가지 긍정적인 추세는 다음과 같습니다. 그 어느 때보다 상세한 보고가 이루어지고 있다는 점입니다. 보안 공급업체, IR 팀, 언론 매체는 공격자가 액세스 권한을 얻는 방법, 사용하는 원격 액세스 도구, 권한을 상승시키는 방법을 정확하게 보여주는 사고 분석을 자주 발표합니다.
주의를 기울이려는 조직에게 이러한 수준의 투명성은 두 가지 주요 이점을 제공합니다:
- 원격 액세스 취약점이 어떻게 악용되는지 정확히 알 수 있습니다.
- 위험을 줄이려면 환경에서 무엇이 바뀌어야 하는지 알 수 있습니다.
이 가이드에서는 가장 일반적인 원격 액세스 취약점, 공격자가 이를 악용하는 방법, 환경을 보호하고 RDP 기반 랜섬웨어 공격을 방지하기 위해 취할 수 있는 구체적인 단계를 자세히 설명합니다.
일반적인 원격 액세스 취약점
원격 액세스 취약점은 많은 성공적인 사이버 공격의 근간입니다. 공격자가 네트워크에 침투하여 데이터를 훔치거나 악성 소프트웨어를 배포할 수 있는 열린 문을 제공합니다.
전 세계적으로 원격 근무가 확대됨에 따라 원격 액세스 위험도 커지고 있습니다. 세계경제포럼에 따르면 2030년까지 전 세계 디지털 일자리가 25% 증가할 것으로 예상되며, 공격자의 잠재적 진입 지점이 될 수 있는 수백만 개의 새로운 원격 엔드포인트가 추가될 것으로 보입니다.
이는 보안 태세를 강화하고 잠재적인 침해를 예방하기 위해 이러한 취약점을 이해하는 것이 중요하다는 것을 강조합니다.
아래에서는 오늘날 조직이 직면하는 가장 일반적인 원격 액세스 취약성에 대해 설명합니다:
정보 및 가시성 부족
많은 조직에서 VPN 구성, RDP 설정 및 타사 액세스 제어와 같은 원격 액세스 시스템에 대한 종합적인 가시성과 이해가 부족합니다.
원격 액세스 도구와 엔드포인트에 대한 명확한 인벤토리가 없으면 잘못된 구성이 발생하기 쉽습니다. 이러한 지식의 격차는 다음과 같은 결과로 이어질 수 있습니다:
- 잘못 구성된 VPN 및 방화벽
- 민감한 데이터의 우발적 노출
- 보안이 취약한 장치를 통해 권한이 없는 사용자가 액세스하는 것
또한 원격 근무자는 자신도 모르게 보안되지 않은 공용 Wi-Fi에 연결하여 중간자 공격의 위험이 높아질 수 있습니다.
비밀번호 공유 및 취약한 자격 증명
비밀번호 공유는 흔하지만 위험한 관행입니다. 특히 원격 액세스 시스템에서 직원들이 자격 증명을 공유하면 책임 소재를 추적하기가 어려워집니다.
재사용되거나 취약한 비밀번호는 시스템을 무차별 대입 공격이나 크리덴셜 스터핑에 취약하게 만듭니다. 또한 직원이 퇴사할 때 공유 비밀번호를 변경하지 않으면 직원이 떠난 후에도 시스템이 공격에 노출될 수 있습니다.
보안되지 않거나 오래된 소프트웨어
랜섬웨어 및 기타 유형의 멀웨어는 패치되지 않은 소프트웨어를 악용합니다. 많은 조직에서 사이버 범죄자의 표적으로 알려진 오래된 RDP 소프트웨어, VPN 클라이언트 또는 기타 원격 액세스 시스템을 계속 사용하고 있습니다. 이러한 시스템의 취약점:
- 패치되지 않은 익스플로잇을 통해 멀웨어가 전달되도록 허용
- 공격자가 원격 코드를 실행할 수 있도록 허용
- 민감한 데이터 및 시스템에 대한 백도어 접근 경로를 제공
많은 소프트웨어 공급업체에서 이러한 취약점을 수정하기 위한 패치를 정기적으로 배포하지만, 업데이트를 적용하지 않으면 시스템이 노출될 수 있습니다. 오래되었거나 안전하지 않은 타사 소프트웨어, 플러그인 또는 확장 프로그램도 의도하지 않은 진입 지점을 제공할 수 있습니다.
원격 근무를 위한 개인 장치 사용
조직의 IT 부서에서 관리하지 않는 개인 장치는 업무에 사용할 경우 상당한 위험을 초래할 수 있습니다. 직원은 다음에서 연결할 수 있습니다:
- 기업 수준의 보안 제어 기능이 없는 보안되지 않은 개인 장치
- 엔드포인트 암호화와 같은 회사 보안 정책을 준수하지 않는 장치
- 승인되지 않은 앱이나 서비스를 업무에 사용하는 섀도 IT
또한 이러한 장치는 정기적인 보안 업데이트가 제공되지 않아 멀웨어 및 랜섬웨어 공격에 취약할 수 있습니다. 개인 디바이스는 일반적으로 회사에서 관리하는 디바이스와 동일한 수준의 제어, 모니터링 또는 인증이 부족하여 무단 액세스에 취약합니다.
부적절한 패치 관리
많은 조직이 시스템 패치 및 업데이트에 어려움을 겪고 있으며, 특히 레거시 인프라 또는 제한된 IT 리소스를 다루는 경우 더욱 그렇습니다. 패치가 적용되지 않은 시스템은 네트워크를 적극적으로 스캔하여 취약점을 찾는 사이버 범죄자들의 쉬운 표적이 됩니다. 패치가 지연되거나 누락된 경우:
- 공격자는 원격 액세스 소프트웨어의 알려진 취약점을 악용할 수 있습니다.
- 자동화된 공격 도구는 패치가 적용되지 않은 장치를 검색하여 감염시킬 수 있습니다.
- 악성 코드는 이러한 취약점을 진입 지점으로 사용하여 네트워크 전체로 확산될 수 있습니다.
RDP의 경우, 공격자는 취약하거나 패치가 적용되지 않은 서비스에 대한 무차별 대입 공격을 사용하여 액세스 권한을 얻는 경우가 많습니다.
취약한 백업
백업은 사이버 공격이 발생했을 때 복구에 매우 중요하지만, 보안되지 않은 백업도 공격의 대상이 될 수 있습니다. 공격자는 종종 노출된 클라우드 백업이나 암호화되지 않은 데이터를 찾아 2차 공격 지점으로 사용합니다. 강력한 액세스 제어와 암호화가 없으면 이러한 백업은 데이터 도난이나 랜섬웨어의 쉬운 진입 지점이 될 수 있습니다.
장치 관리 미흡
정기적인 장치 업데이트와 보안 검사를 소홀히 하면 멀웨어 및 랜섬웨어 감염의 위험이 높아질 수 있습니다. 시간이 지남에 따라 장치는 취약점이 누적됩니다:
- 사이버 범죄자가 악용할 수 있는 공격 표면 증가
- 권한 또는 보안 인증서가 오래된 경우 무단 액세스를 허용할 수 있음
- 공격자가 장치를 감염시켜 나중에 대규모 네트워크 침입을 위한 런치패드로 사용할 수 있도록 합니다.
보안 침해의 위험을 줄이려면 정기적인 장치 위생 관리와 보안 소프트웨어 업데이트가 필수적입니다.
피싱 공격
피싱은 여전히 가장 널리 퍼져 있는 무단 액세스 방법 중 하나입니다. 사이버 범죄자들은 다음과 같은 수법을 사용합니다:
- 합법적으로 보이는 사기성 이메일: 공격자는 종종 신뢰할 수 있는 회사, 공급업체 또는 내부 부서를 사칭하는 이메일을 보냅니다. 이러한 메시지에는 가짜 송장, 비밀번호 재설정 링크 또는 사용자가 악성 링크를 클릭하거나 민감한 정보를 공유하도록 속이기 위한 긴급 요청이 포함될 수 있습니다.
- 스미싱(SMS 피싱) 또는 비싱(보이스 피싱): 사이버 범죄자들은 문자 메시지와 전화를 이용해 신뢰할 수 있는 것처럼 보이기도 합니다. 스미싱 메시지에는 사기성 웹사이트로 연결되는 링크나 계정을 ‘인증’하라는 긴급한 메시지가 포함될 수 있습니다. 비싱은 발신자가 은행, IT 지원 또는 정부 기관을 사칭하여 피해자에게 로그인 정보, 금융 정보 또는 보안 코드를 공개하도록 압력을 가하는 방식입니다.
- 가짜 로그인 포털: 공격자는 이메일이나 클라우드 계정과 같은 서비스에 대한 로그인 페이지와 유사한 가짜 페이지를 설정합니다. 이러한 페이지는 실제 브랜드와 URL을 매우 유사하게 모방하여 사용자가 사용자 이름과 비밀번호를 입력하도록 속인 다음 정보를 탈취합니다.
공격자들은 이제 머신 러닝을 포함한 고급 전술을 사용하여 개인화된 피싱 메시지와 도메인 스푸핑을 만들어 공격의 신뢰도를 높이고 있습니다. 자격 증명이 탈취되면 RDP, VPN 또는 클라우드 서비스와 같은 원격 액세스 시스템에 액세스하는 데 쉽게 사용할 수 있습니다.
공격자가 원격 액세스 취약점을 악용하여 액세스 권한을 얻는 방법
랜섬웨어 공격의 상당수는 변종에 관계없이 피싱 또는 원격 데스크톱 기반 침입으로 시작된다는 사실은 오랫동안 알려져 왔습니다.
이전 섹션에서 언급한 피싱은 공격에 성공하면 공격자에게 엔드포인트 세션과 유효한 사용자 자격 증명을 넘겨주는 명백한 진입 지점입니다. 그러나 원격 데스크톱 공격(상용 원격 액세스 도구를 통해 수행되는 공격 포함)도 동일한 결과를 가져옵니다.
공격자가 수천 개의 비밀번호를 테스트하는 무차별 대입 공격을 사용하든, 이전 침해 사고에서 구매하거나 훔친 인증 정보를 사용하든 RDP 기반 공격은 여전히 똑같이 효과적이므로 피싱과 어깨를 나란히 하며 초기 공격의 주요 벡터로 자리 잡고 있습니다.
RDP 악용의 실제 사례
잘 알려진 사례로는 2019년에 처음 발견된 랜섬웨어 변종으로, 최근 정부 기관의 합동 사이버 보안 권고가 발령될 정도로 다시 기승을 부리고 있는 메두사락커(MedusaLocker)가 있습니다. 메두사락커 공격자는 주로 편의를 위해 의도적으로 공개되거나 실수로 열려 있는 노출된 RDP 연결을 노립니다. 액세스 권한을 얻은 후에는 랜섬웨어를 배포하고 중요한 데이터를 암호화한 후 금전을 요구합니다.
Sophos의 연구원들이 문서화한 또 다른 영향력 있는 사례에서는 LockBit 랜섬웨어를 활용하는 그룹이 RDP를 통해 미국 정부 네트워크에 침투한 방법을 공개했습니다. 놀랍게도 공격자들은 랜섬웨어 배포를 시작하기 전 5개월 동안 탐지되지 않고 네트워크 전반에서 측면 탐색을 수행했습니다.
공격자가 원격 액세스를 사용하여 권한을 상승시키고 측면 이동을 수행하는 방법
공격자가 원격 액세스 취약점을 악용하여 액세스 권한을 얻는 방법을 이해했으니 이제 원격 액세스를 사용하여 어떻게 권한을 상승시키고 측면 이동을 수행하는지 살펴보겠습니다:
공격자가 로컬 액세스를 확보하면, MITRE ATT&CK 프레임워크에 따르면 다음 논리적 단계는 측면 이동입니다. 이 단계에서는 원격 액세스 메커니즘(특히 내부 RDP)이 일반적으로 악용됩니다.
랜섬웨어 사고 대응 회사인 Coveware의 최근 데이터에 따르면 랜섬웨어 공격의 약 70%에서 측면 이동이 발생한다고 합니다. 분석가들은 이 단계가 “주로 초기 액세스가 이루어진 후 내부 원격 데스크톱(RDP)을 악용하는 것으로 구성된다”고 지적합니다.
공격자는 측면으로 이동하여 권한을 확대하고, 추가 엔드포인트에 액세스하고, 민감한 데이터를 찾고, 랜섬웨어를 배치하여 영향력을 극대화합니다.
랜섬웨어 공격에서 원격 액세스 오용을 방지하는 효과적인 전략
위협 행위자가 악의적인 목적으로 원격 액세스를 지속적으로 악용하는 상황에서 IT 및 보안 리더는 위험을 줄이기 위한 결정적인 조치를 취해야 합니다. 다음은 오용을 방지하기 위해 조직이 취할 수 있는 가장 효과적인 조치입니다:
외부 원격 액세스 사용 안 함
공격자는 공용 인터넷에 노출된 데스크톱과 서버에서 무차별 암호 대입으로 자격 증명을 알아내는 경우가 많습니다. RDP 무차별 암호 대입 시도를 자동으로 차단하는 Microsoft의 최신 Windows 11 업데이트조차도 공격자가 도난당한 자격 증명을 가지고 있는 경우 위협을 완전히 완화할 수는 없습니다.
조직의 59%가 인증정보 탈취에 초점을 맞춘 피싱 기반 캠페인을 경험하고 있으며, 인증정보 판매에 특화된 다크 웹 서비스가 존재하는 상황에서 많은 공격자가 더 이상 무차별 대입에 의존하지 않는다는 것은 분명한 사실입니다.
가능하면 외부에서 액세스할 수 있는 RDP 및 기타 데스크톱 수준의 원격 액세스 경로를 제거하세요.
RDP를 완전히 중단하는 방안 검토
외부 및 내부 기반 원격 데스크톱 액세스에 대해 Microsoft는 RDP 서비스의 보안을 최대한 보장하기 위한 조치를 취했습니다. 하지만 여전히 두 가지 문제가 남아 있습니다:
- 첫째, 모든 조직이 모든 엔드포인트에서 RDP 보안을 유지하는 것은 아닙니다.
- 둘째, 보안이 우수하더라도 랜섬웨어 조직은 제로데이 익스플로잇을 찾고 있으며(그리고 이를 위해 7자리 숫자의 금액을 기꺼이 지불합니다), 거의 모든 Microsoft 환경에서 RDP가 널리 보급되어 있어 널리 사용되는 ‘상품’ 애플리케이션을 활용할 방법을 찾는 해커의 주요 표적이 되고 있습니다.
세부적인 액세스 제어 기능을 갖춘 안전한 최신 원격 액세스 솔루션으로 전환하면 위험 요소를 크게 줄일 수 있습니다.
보안 인증 사용
멀티팩터 인증(MFA)은 원격 액세스 오용에 대한 가장 효과적인 방어 수단 중 하나입니다. 스마트카드, 인증서, 인증 앱 또는 하드웨어 키와 같은 두 번째 요소를 요구하면 도난당한 비밀번호를 효과적으로 사용할 수 없게 되고 자격 증명이 손상된 경우에도 무단 액세스를 방지할 수 있습니다.
정기적인 소프트웨어 업데이트 및 패치
모든 원격 액세스 도구와 소프트웨어를 정기적으로 업데이트하고 패치를 적용하는 것은 공격자를 차단하는 데 매우 중요합니다. 패치가 적용되지 않은 시스템은 사이버 범죄자의 주요 표적이므로 최신 업데이트를 유지하는 것은 네트워크를 보호하는 데 필수적입니다.
직원 교육 및 훈련
사이버 보안 교육에 투자하여 원격 액세스와 관련된 위험에 대한 인식을 높이세요. 피싱 및 비밀번호 관리의 위험성에 대해 직원을 교육하면 자격증명 도용 및 무단 액세스 가능성을 줄이는 데 도움이 됩니다.
함께 읽어보시기 바랍니다: VNC와 SSH 비교: 안전한 시스템 관리를 위한 올바른 원격 액세스 프로토콜 선택하기.
너무 늦기 전에 RealVNC로 원격 액세스 보안 강화하기
사이버 보안 전략은 현재의 위협 환경을 반영하여 지속적으로 진화해야 합니다. 조직이 실제 환경에서 공격자가 활동하는 방식에 맞춰 대응할 수 있도록 지원하는 것이 바로 이러한 이유로 MITRE ATT&CK와 같은 프레임워크가 존재합니다.
조직이 생산성 우선의 편의성보다 보안 우선의 구성을 우선시할 때까지 원격 액세스는 랜섬웨어 그룹의 주요 표적이 될 것입니다.
오늘날의 공격 패턴을 연구하고 위의 권장 사항을 구현함으로써 조직은 원격 액세스 환경의 보안을 크게 강화하고 내부 및 외부 공격 표면을 줄일 수 있습니다.
요컨대, 원격 액세스 보안은 선택 사항이 아니라 보안 위험을 방지하기 위한 기본 요소입니다.
지금이야말로 원격 액세스 솔루션을 평가하고 오늘날의 위협을 방어할 수 있을 만큼 견고한지 확인해야 할 때입니다.
RealVNC의 보안 원격 액세스 솔루션이 랜섬웨어 공격으로부터 네트워크를 보호하고 무단 액세스 시도를 차단하는 데 어떻게 도움이 되는지 자세히 알아보십시오.
자주 묻는 질문
다음은 원격 액세스 공격에 대해 가장 자주 묻는 질문에 대한 답변입니다.
원격 액세스 공격이란 무엇인가요?
원격 액세스 공격은 사이버 범죄자가 RDP, VPN, SSH 또는 클라우드 기반 원격 도구와 같은 원격 액세스 방법을 통해 시스템이나 네트워크에 무단으로 침입할 때 발생합니다. 이러한 공격에는 일반적으로 자격 증명 도용, 피싱 또는 패치되지 않은 취약점 악용이 포함됩니다. 대부분의 경우 공격자는 이러한 시도를 자동화하여 노출된 다수의 시스템을 표적으로 삼습니다.
원격 액세스와 관련된 취약점에는 어떤 것이 있나요?
일반적인 취약점으로는 잘못 구성된 RDP, 취약하거나 재사용된 비밀번호, 노출된 엔드포인트, 오래되었거나 패치되지 않은 소프트웨어, 보안되지 않은 개인 장치, 불충분한 인증 제어 등이 있습니다. 이러한 취약점은 공격자가 네트워크를 손상시킬 수 있는 쉬운 진입 지점을 제공합니다.
원격 액세스의 세 가지 주요 유형은 무엇인가요?
원격 액세스의 주요 형태는 다음과 같습니다:
- 원격 데스크톱 프로토콜(RDP): RDP는 널리 사용되지만 개방형 포트와 취약한 자격 증명으로 인해 자주 공격 대상이 됩니다.
- 가상 사설망(VPN): VPN은 트래픽을 암호화하지만 손상될 경우 단일 장애 지점이 될 수 있습니다.
- 클라우드 기반 원격 액세스 솔루션: 이러한 도구는 계정 보안과 적절한 MFA 구성에 크게 의존합니다.
