세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
공격자들, RDP로 랜섬웨어 직접 설치한다
  |  입력 : 2017-11-17 11:12
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
자동화한 공격 차단됨에 따라 RDP로 랜섬웨어 수동 설치
인터넷에 RDP 서버 노출하거나 방치하지 않도록 주의해야


[보안뉴스 오다인 기자] 공격자들은 오래된 공격 기술을 새롭게 변형해서 사용하기도 한다. 일부 공격자들이 보안이 약한 마이크로소프트의 원격 데스크톱 프로토콜(RDP: Remote Desktop Protocol) 서비스를 매개로 윈도우 네트워크에 침투해서 랜섬웨어를 설치하기 시작했다.

[이미지=iclickart]


보안 업체 소포스(Sophos)는 최근 이 같은 공격이 빈발하고 있다고 밝혔다. 피해자 대부분은 30명 이하의 직원으로 운영되는 소규모 회사였다. 이들은 윈도우 네트워크를 원격으로 관리하는 일을 외부에 맡겨온 것으로 나타났다.

멀웨어가 피싱 등의 수단으로 대량 배포되는 일반적인 랜섬웨어 공격과는 다르게 이번 공격의 범죄자들은 윈도우 시스템을 한 번에 하나씩 침투하면서 RDP 액세스를 사용해 수동으로 랜섬웨어를 깔고 있는 중이다.

소포스에 따르면, 이런 행태는 왜 조직들이 필요치 않은 네트워크상의 모든 컴퓨터에서 RDP를 반드시 꺼두어야 하는지, 외부 연결 시 왜 VPN을 사용해야 하는지, 왜 가능한 한 강력한 인증을 실행해야 하는지를 설명한다.

소포스의 선임 기술자인 폴 더클린(Paul Ducklin)은 “작은 회사들은 RDP가 IT 지원을 받는 유일한 창구일 수 있다”고 지적했다. RDP는 다른 도시나 심지어 해외에 위치한 서드파티가 윈도우 네트워크에 원격으로 접근해서 이를 로컬 사용자와 거의 동일한 수준에서 제어할 수 있게 해준다. 더클린은 RDP가 편리한 도구일 수 있지만 기업들이 자주 그러는 것처럼 인터넷에 노출시킨 채로 방치한다면 공격자들이 무차별 대입 공격(brute force attack)을 시도해서 기업 네트워크에 침투할 수 있다고 경고했다.

“RDP 서버가 인터넷에 노출돼 있다는 건 아무데서나 들어오는 연결을 수용하겠다는 의미입니다. 다른 회사, 다른 도시, 다른 나라의 컴퓨터 사용자를 포함해서요. 대략적으로 말하자면, 어떤 컴퓨터든 어떤 모바일 기기든 인터넷에서 패킷을 외부로 보낼 수 있다면 자신의 서버로도 연결을 받아들일 수 있고 어떤 식으로든 반응을 하게 됩니다.”

최근 소포스는 공격자가 인터넷에 열려 있는 RDP 시스템을 찾기 위해 쇼단(Shodan)과 센시스(Censys) 같은 스캐닝 서비스를 사용하기 시작했다는 흔적을 발견했다. 이후, 공격자들은 NLBrute 툴을 사용해서 RDP 비밀번호를 추측하고 대입해 보거나 무차별 대입 공격을 통해 시스템에 침투하려고 시도한다.

“소규모 기업체 다수가 RDP 연결 처리용으로 만들어진 컴퓨터를 갖고 있거나 RDP 사용자를 메인 서버로 직접 연결시키는 것을 허용하고 있습니다.” 더클린은 “공격자들이 쇼단을 통해 열려있는 포트를 찾은 뒤 네트워크 내 어딘가에 위치한 RDP로 이동한다”고 설명했다.

RDP를 겨냥한 공격은 예전에도 있었다. 예전과 지금의 차이는 공격자들이 시스템에 랜섬웨어를 설치하기 위해 RDP 액세스를 점점 더 많이 사용하기 시작했다는 점이다. 소포스가 조사한 몇 가지 사례의 경우, 공격자들은 랜섬웨어를 설치하기에 앞서 그들이 접근한 네트워크의 보안 설정을 비활성화하거나 무력화하기 위해 일련의 조치들을 취했다.

이 같은 조치 가운데는 셧다운(shutdown) 비허용 프로세스를 죽이는 것, 잠긴 파일을 삭제하는 것, 구성 설정을 변경하는 것, 안티 멀웨어 툴을 비활성화 하는 것, 데이터베이스 서비스를 끄는 것, 백업 파일을 삭제하는 것 등이 있었다. 시스템이 최대한 취약하게 조작되고 나면, 공격자는 해당 시스템에 먹힐 때까지 여러 가지 랜섬웨어 변종들을 시도해볼 수 있게 된다. 더클린은 “여러 사례에서 암호화 화폐 채굴 소프트웨어가 한동안 작동되는 것을 목격했다”고도 덧붙였다.

IT 리서치 기업 가트너(Gartner)의 애널리스트 아비바 리탄(Avivah Litan)은 해커가 RDP를 통해 무차별 대입 공격으로 시스템에 침입하기 위해 수년 간 NLBrute를 사용해왔다고 말했다. 리탄은 NLBrute 툴 사용법에 대한 유튜브(YouTube) 영상도 존재한다고 지적했다.

그러나 리탄은 랜섬웨어에 감염시키려고 RDP 공격을 점차 더 많이 사용하는 건 새로운 방식이라고도 말했다. “이번 공격을 보고 예전에 발생한 온라인 뱅킹 공격이 떠올랐습니다. 은행들이 자동화한 공격이나 대규모 공격을 차단하기 위해 보다 강력한 제어를 시행하자 범죄자들은 한 번에 하나의 사용자를 대상으로 RDP를 사용해 수동으로 공격을 진행하기 시작했죠.”

리탄은 RDP를 이용한 공격이 조직에 거대한 위협이 될 수 있다고 경고했다. 엔드포인트 보안 제어는 이 같은 공격에 대처하는 데 그리 효과적이지 않다. RDP를 통해 들어오는 공격은 사람이 손으로 직접 실행하는 공격인데, 엔드포인트 보안 툴들은 대개 악성 파일을 검색하거나 완전히 자동화된 공격을 차단하는 데서 그치기 때문이다.

보안 업체 트립와이어(Tripwire)의 취약점 공개 리서치 팀 매니저인 타일러 레굴리(Tyler Reguly)는 RDP를 사용하고자 하는 조직들이라면 해당 액세스가 필요한지 스스로에게 먼저 질문해봐야 한다고 말했다. “윈도우 컴퓨터에 RDP 액세스를 실행하는 건 리눅스 서버에 시큐어 셸(SSH) 액세스를 제공하는 것과 다르지 않습니다. 따라서 RDP 액세스를 실행하는 데에는 명확한 정당화가 필요하고, 꼭 필요한 기업이 있다면 RDP 사용을 두려워할 이유도 없다고 볼수 있습니다.”

또한, 레굴리는 RDP 서비스를 실행할 때 강력한 비밀번호나 이중인증 같은 최소한의 보안은 꼭 필요하다고도 덧붙였다. 가능하다면 RDP 서비스에 접근할 때 VPN 연결을 요청하고 직접적인 인터넷 액세스를 피해야 한다.

더클린은 이와 함께 비밀번호 추측 공격을 제한하기 위해 계정 폐쇄(lockout) 정책도 정해두어야 한다고 말했다. 비밀번호 추측에 3번 실패하면 5분 간 계정을 폐쇄해두는 단순한 조치만으로도 범죄자들이 1시간에 최대 48개의 비밀번호만 시도할 수 있도록 제한할 수 있다. 즉, 무차별 대입 공격이 별다른 쓸모가 없도록 만드는 것이다.

최근 몇 주 동안 RDP와 관련한 경고는 소포스가 발표한 것이 두 번째다. 10월, 보안 업체 플래시포인트(Flashpoint)는 다크웹 시장에서 수만 건의 무차별 대입 RDP 액세스가 판매되고 있다고 경고한 바 있다. 플래시포인트의 보고서에 따르면, 이런 액세스를 판매하고 있는 집단 중 하나인 온라인 익명성 서비스 업체 얼티메이트 어노니미티 서비스(Ultimate Anonymity Services) 한 곳에서만 35,000개 이상의 무차별 대입 RDP가 판매되고 있었다.

플래시포인트의 사이버 범죄 애널리스트 올리비아 로울리(Olivia Rowley)는 공격자들이 침해된 RDP 서버를 랜섬웨어 설치 등의 다양한 목적으로 사용하고 있다고 짚었다.

“일부 사이버 범죄자들에겐 침해된 RDP를 또 다른 사기의 기초 단계로 사용하는 게 더 유리할지도 모릅니다. 가짜 구매를 진행하는 것 같은 일 말이죠. 게다가 사이버 범죄자들은 침해된 RDP가 민감한 파일이나 기업 고유의 정보를 담고 있다는 사실을 발견할 수도 있습니다. RDP가 정보 유출의 툴로도 사용될 수 있다는 말입니다.”
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)