Home > 전체기사
다크웹 암시장에서 한 공항의 시스템 접근 권한 판매 중
  |  입력 : 2018-07-12 11:52
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
RDP 포트 검색해주는 ‘RDP 매장’, 거대 산업으로 자라고 있어
공격자들의 초기 작업 해결해주는 RDP 서비스...커다란 위협될 것


[보안뉴스 문가용 기자] 다크웹의 암시장에는 불법적인 거래가 이뤄진다. 도난당한 데이터와 크리덴셜, 신용카드 정보 등이 바로 그것이다. 그런데 최근 여기에 한 가지 아이템이 추가되었다고 한다. 바로 한 국제 공항에 마련된 자동화 시스템에 침투하게 해주는 원격 데스크톱 툴이다. 가격도 10달러밖에 되지 않는다고 한다.

[이미지 = iclickart]


이러한 거래 행위를 발견한 건 보안 업체 맥아피(McAfee)다. 맥아피의 연구원들은 러시아의 ‘궁극적 익명 서비스(Ultimate Anonymity Service, UAS)’라는 RDP 매장에서 인터넷에 공개된 RDP 포트가 광고되고 있는 걸 발견했다. 추적을 더해 후보 IP 주소 65,536개를 세 개로 줄이고, 이를 통해 IP 주소를 확보하는 데 성공했다. 이를 바탕으로 WHOIS의 기록을 검토했고, 그 결과 한 대형 공항의 주소를 찾아낼 수 있었다고 한다. 공항의 이름은 아직 발표하지 않고 있다.

RDP는 마이크로소프트가 개발한 프로토콜로, 그래픽 인터페이스를 통해 다른 장비에 접근할 수 있게 해준다. 시스템 관리자들 전용으로 만들었으나, 공격자들에게 새로운 공격 기회를 제공해주기도 한다. 최근 미국 기업들을 골치 아프게 했던 삼삼(SamSam) 랜섬웨어의 경우, 바로 이 RDP 프로토콜을 악용했다.

이런 RDP 포트 중 인터넷에 열려 있는 걸 찾아주는 RDP 검색 서비스들은 대형 사이버 공격의 가장 기초적인 작업을 도와준다고 맥아피는 설명한다. “RDP를 통하면 피싱이나 멀웨어, 익스플로잇 키트를 사용하지 않고도 시스템에 접근할 수 있게 됩니다. 보통 공격자들은 RDP를 통해 스팸을 하거나, 암호화폐를 채굴하거나, 랜섬웨어 공격을 합니다. 엉뚱한 경보를 발생시켜 관심을 끈 후 다른 공격을 가하기도 하죠. 물론 데이터나 각종 개인정보를 훔치는 것은 기본이고요.”

맥아피는 “RDP는 관리자들을 위해 만들어졌지만 공격자들에게 더 유용한 프로토콜”이라고 말한다. 특히 수석 과학자인 라지 사마니(Raj Samani)는 “안전하게 써야만 관리자들이 제대로 편리함을 누릴 수 있게 된다”고 강조한다.

“RDP 포트는 보통 3389번에 배정되는데, 이러한 RDP 매장들은 인터넷을 통해 접근이 가능한 3389번 포트가 어디에 있는지 알려주고, 그에 대한 대가를 받습니다. 보통은 사용자들의 환경설정 오류나 다중인증 부재로 인해 3389 포트가 열린 채 방치되어 있습니다.” 사마니의 설명이다. “RDP 매장은 이런 곳을 찾아내 IP 주소, 국가, 주, 우편번호 등을 알아낸 후 이를 광고하기 시작합니다. 접근 가능하게 해주는 대가로 3달러에서 20달러를 받죠.”

RDP 매장 운영자 스스로는 스스로 RDP 포트를 통해 공격을 하거나 정찰을 하지 않는다고 한다. “돈을 낸 사람들이 접근하도록 통로만 마련할 뿐입니다. 이런 류의 정보를 얼마나 많이 가지고 있는지, RDP 매장이 하나의 산업으로 떠오를 지경입니다.”

맥아피는 UAS에서 광고되고 있는 정보를 통해 한 공항의 관리자 계정과, 그 공항과 관련이 있는 두 개 회사의 계정 두 개에까지 도달했다. 이 두 회사는 공항 보안 및 감시 시스템에 특화되어 있는 곳이었다. 또한 공항의 내부 자동화 시스템과 관련이 있는 도메인도 하나 찾아냈다.

“그렇게 중요한 사회 기반 시설이 공격자에게 활짝 열려 있다는 게 걱정되고 안타깝습니다.” 맥아피의 위협 분석가인 존 포커(John Fokker)의 설명이다. “이 공항만이 아닙니다. RDP 매장에는 여러 정부 시스템에 대한 접근권도 거래되고 있었습니다. 의료 분야 시스템에 대한 접근권도 활발하게 거래되고 있고요.”

사마니는 “RDP 검색이 하나의 정식 산업이 되고 있다는 것에 주목해야 한다”고 주장한다. “이제 해커들이 모래사장에서 바늘 찾기 하듯이 공격을 할 필요가 없어졌어요. 공격이 더 효율적으로 변하고, 그만큼 더 정확하고 무서워지는 것이죠.”

사마니는 “RDP를 보호하려면 이중인증과 어려운 비밀번호를 모두 적용해 브루트포스 공격의 가능성을 차단해야 한다”고 설명한다. “또한 RDP가 인터넷고 절대 연결되지 않도록 해야 하고, 로그인 시도가 너무 많이 실패할 경우 해당 IP를 차단해야 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
신기술이 무서운 속도로 등장하고 있습니다. 가장 시급히 보안 장치/정책/규정규정/표준이 도입되어야 하는 분야는 무엇이라고 생각하십니까?
클라우드와 컨테이너
SDN(소프트웨어 정의 네트워크)
인공지능과 자동화
블록체인
소셜 미디어
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

코맥스
홈시큐리티 / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

동양유니텍
IR PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

보쉬시큐리티시스템즈
CCTV / 영상보안

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

두현
DVR / CCTV / IP

테크어헤드
얼굴인식 소프트웨어

옵티언스
IR 투광기

엔토스정보통신
DVR / NVR / CCTV

구네보코리아
보안게이트

비전정보통신
IP카메라 / VMS / 폴

디케이솔루션
메트릭스 / 망전송시스템

씨오피코리아
CCTV 영상 전송장비

KPN
안티버그 카메라

세종텔레콤
스마트케어 서비스

진명아이앤씨
CCTV / 카메라

티에스아이솔루션
출입 통제 솔루션

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

신우테크
팬틸드 / 하우징

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

창우
폴대

케이티앤씨
CCTV / 모듈 / 도어락

유시스
CCTV 장애관리 POE

지에스티엔지니어링
게이트 / 스피드게이트

인터코엑스
영상 관련 커넥터

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

대원전광
렌즈

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향