원격 데스크톱이 해킹될 수 있나요? 예방을 위한 실용적인 위험 점수

원격 데스크톱 액세스는 해킹될 수 있지만, 대부분의 사건은 할리우드의 해킹 사건이 아닙니다. 대부분의 사건은 노출된 서비스, 재사용 가능한 자격 증명 및 지나치게 광범위한 액세스의 예측 가능한 결과입니다. 이 가이드는 IT 팀에 RDP, HTML5 포털, VDI 및 원격 지원 도구에 적용되는 도구에 구애받지 않는 위험 점수를 제공합니다. 그런 다음 이 점수를 우선 순위 수정 사항에 매핑합니다.

원격 데스크톱 도구에서 "해킹됨"은 무엇을 의미합니까?

원격 데스크톱은 하나의 제품이 아닙니다. 원격 데스크톱은 Microsoft 원격 데스크톱 프로토콜(RDP), 원격 데스크톱 서비스, Azure 가상 데스크톱과 같은 VDI, 세션을 프록시하는 브라우저 포털, 그리고 온디맨드 연결을 생성하는 원격 지원 도구를 포함할 수 있는 액세스 경로의 집합입니다.

사고 보고서에서 "원격 데스크톱이 해킹되었다"는 일반적으로 다음 결과 중 하나를 의미합니다:

• 계정 탈취: 공격자가 도난당한 또는 추측된 자격 증명을 사용하여 정상적으로 로그인합니다.
• 접근 경로 남용: 노출된 게이트웨이, 열린 포트, 약한 정책 또는 잘못된 구성은 무단 액세스를 더 쉽게 만듭니다.
• 로그인 후 손상: 공격자는 합법적인 세션 기능을 사용하여 수평 이동, 데이터 유출 또는 랜섬웨어를 배포합니다.

이 구분은 중요합니다. 예방 성공적인 로그인 가능성을 줄이고 로그인이 할 수 있는 작업을 제한하는 것에 관한 것입니다.

원격 데스크톱이 공격 대상이 되는 이유는 무엇인가요?

원격 데스크톱 액세스는 상호작용적이고 설계상 높은 권한을 가지기 때문에 매력적입니다. RDP는 일반적이며 널리 지원되고, 종종 TCP 포트 3389를 통해 접근할 수 있어 스캔하고 타겟팅하기 쉽습니다. Vectra는 다음과 같이 요약합니다. 기본 문제 RDP의 보급과 제공하는 접근 수준은 적절하게 관리되지 않을 때 자주 공격의 대상이 됩니다.

클라우드플레어는 두 가지 반복적인 약점인 약한 인증과 제한되지 않은 포트 접근으로 동일한 위험 요인을 구성하며, 이는 RDP가 노출될 때 무차별 대입 공격과 자격 증명 채우기 기회를 결합합니다.

중간 시장의 현실은 위험을 증가시킵니다. 하이브리드 근무, 공급업체 접근, 인수 및 분산 IT 운영은 "접근 확산"을 만듭니다. 원격 액세스는 정책 및 모니터링보다 더 빠르게 확장되며, 공격자는 그 격차를 선호합니다.

원격 데스크톱 해킹 위험 점수(RDRS)란 무엇인가요?

원격 데스크톱 해킹 위험 점수(RDRS)는 빠르고 설계 시간 모델입니다. 목표는 보안 감사의 대체가 아닙니다. 목표는 위험 요인을 순위 매겨 IT 팀이 각각의 타협 가능성을 신속하게 줄이는 세 가지 변경을 할 수 있도록 하는 것입니다.

각 기둥을 0에서 3까지 점수 매기고, 총합을 15로 계산하세요.

• 0: 강력한 제어, 낮은 실용적 위험
• 1: 주로 제어됨, 사소한 차이
• 2: 부분 제어, 현실적인 공격 경로가 존재함
• 3: 높은 위험, 시간이 지남에 따라 악용될 가능성이 있음

기둥 1: 노출 면

노출 표면은 공격자가 외부에서 도달할 수 있는 것에 대한 것입니다. 가장 높은 위험 패턴은 여전히 "최소한의 출입문 제어가 있는 직접적으로 접근 가능한 원격 데스크톱 서비스"입니다.

점수 안내:

1. 0: 원격 데스크톱은 인터넷에 도달할 수 없으며, 액세스는 제어된 경로를 통해 중개됩니다.
2. 1: 원격 데스크톱은 제한된 네트워크를 통해서만 접근할 수 있습니다. VPN 또는 엄격하게 범위가 제한된 허용 목록.
3. 2: 게이트웨이 또는 포털은 인터넷에 노출되어 있지만, 정책은 앱, 그룹 또는 지역에 따라 일관성이 없습니다.
4. 3: 직접 노출이 존재합니다(일반적인 예로는 열린 RDP, 잊혀진 NAT 규칙, 허용적인 클라우드 보안 그룹이 포함됩니다).

혼합 재산에 대한 실용적인 참고 사항:

노출 표면은 RDP, VDI 게이트웨이, HTML5 포털 및 원격 지원 콘솔에 적용됩니다. 이 중 하나라도 공개된 출입구라면 공격자는 이를 찾을 것입니다.

기둥 2: 아이덴티티 표면

신원 표면은 공격자가 유효한 사용자로 변하는 것이 얼마나 쉬운지를 나타냅니다. Cloudflare는 강조합니다. 비밀번호 재사용 및 관리되지 않는 자격 증명 자격 증명 채우기 및 원격 액세스 시나리오에서의 무차별 대입 공격을 위한 주요 촉진 요인으로.

점수 안내:

• 0: MFA가 필요하며, 특권 계정은 분리되고 레거시 인증은 허용되지 않습니다.
• 1: MFA는 존재하지만 모든 곳에 있는 것은 아니며, "단일 서버" 또는 "단일 공급업체"에 대한 예외가 존재합니다.
• 2: 비밀번호는 일부 원격 데스크톱 경로 또는 공유 관리자의 신원이 존재하는 주요 제어 수단입니다.
• 3: 인터넷에 노출된 로그인은 비밀번호에만 의존하거나 로컬 계정이 서버 전반에 걸쳐 널리 사용됩니다.

실용적인 메모:

신원은 원격 데스크톱 보안이 일반적으로 처음으로 실패하는 곳입니다. 공격자는 인증이 쉬우면 익스플로잇이 필요하지 않습니다.

기둥 3: 권한 부여 영역

인증 영역은 유효한 사용자가 도달할 수 있는 것과 그 시점을 의미합니다. 많은 환경이 누가 로그인할 수 있는지에 초점을 맞추지만, 누가 무엇에 로그인할 수 있는지, 어디서, 어떤 시간대에 로그인할 수 있는지는 간과합니다.

점수 안내:

• 0: 최소 권한 액세스는 앱 또는 데스크탑별로 명시적인 그룹과 별도의 관리자 경로로 시행됩니다.
• 1: 그룹은 존재하지만 접근이 넓습니다. 왜냐하면 운영상 더 간단하기 때문입니다.
• 2: 사용자는 너무 많은 서버나 데스크톱에 접근할 수 있으며, 시간 제한과 출처 제한이 일관되지 않습니다.
• 3: 인증된 사용자는 핵심 시스템에 접근할 수 있으며, 관리자는 관리되지 않는 엔드포인트에서 어디서나 RDP를 사용할 수 있습니다.

실용적인 메모:

인증은 중간 시장 믹스를 가장 잘 지원하는 기둥이기도 합니다. Windows, macOS, 계약자 및 제3자 공급업체가 모두 접근해야 할 때, 세분화된 인증은 하나의 유효한 로그인이 전체 자산 접근으로 변하는 것을 방지하는 제어입니다.

기둥 4: 세션 및 엔드포인트 표면

세션 표면은 원격 세션이 시작된 후 수행할 수 있는 작업입니다. 엔드포인트 표면 연결 장치가 부여된 액세스에 대해 충분히 신뢰할 수 있는지 여부입니다.

점수 안내:

• 0: 특권 액세스는 강화된 관리 작업 공간 또는 점프 호스트를 요구하며, 고위험 세션 기능은 필요에 따라 제한됩니다.
• 1: 세션 제어는 존재하지만 데이터 민감도에 맞춰 조정되지 않았습니다.
• 2: 엔드포인트는 동일한 세션 기능을 가진 관리형 및 비관리형의 혼합입니다.
• 3: 고급 권한 원격 데스크톱 액세스는 최소한의 제한으로 모든 장치에서 허용됩니다.

실용적인 메모:

이 기둥은 브라우저 기반 액세스와 특히 관련이 있습니다. HTML5 포털은 OS 마찰을 제거하고 온보딩을 간소화하지만, 액세스를 광범위하게 부여하는 것도 더 쉽게 만듭니다. 정책 질문은 "어떤 사용자가 어떤 리소스에 브라우저 액세스를 얻는가"가 됩니다.

기둥 5: 운영 표면

운영 표면은 취약점이 얼마나 오랫동안 유지되는지를 결정하는 유지 관리 자세입니다. 이것은 탐지 엔지니어링이 아닙니다. 이것은 예방 현실입니다: 패치 및 구성 변화가 느리면 노출이 다시 발생합니다.

점수 안내:

• 0: 원격 액세스 구성 요소가 신속하게 패치됩니다. 구성은 버전 관리됩니다. 액세스 검토는 일정에 따라 발생합니다.
• 1: 패치는 서버에는 좋지만 게이트웨이, 플러그인 또는 지원 서비스에는 약합니다.
• 2: 드리프트가 존재하며; 예외가 축적되고; 레거시 엔드포인트가 남아 있습니다.
• 3: 소유권이 불분명하며, 원격 액세스 변경 사항이 종단 간에 추적되지 않습니다.

실용적인 메모:

운영 표면은 중간 시장의 복잡성이 가장 많이 드러나는 곳입니다. 적절하게 관리되지 않으면 여러 팀과 여러 도구가 간극을 만들어 공격자들이 인내심을 가지고 이를 악용할 수 있습니다.

점수에서 보호 조치로 어떻게 전환하나요?

점수는 다음에 수행되는 작업을 변경하는 경우에만 유용합니다. 총점을 사용하여 변화의 잠재적 시나리오를 선택하세요. 목표는 노출을 줄여 위험을 최소화하는 것입니다.

• 0–4 (낮음): 드리프트를 검증하고, 남은 약한 기둥을 강화하며, 도구 간의 일관성을 강화합니다.
• 5–9 (중간): 노출과 신원을 우선시한 다음, 권한을 강화하십시오.
• 10–15 (높음): 직접 노출을 즉시 제거하고, 강력한 인증을 추가한 다음, 접근 범위를 공격적으로 좁히십시오.

시나리오 1: IT 관리자 RDP와 최종 사용자 VDI

일반적인 패턴은 "관리자는 RDP를 사용하고, 사용자는 VDI를 사용한다."입니다. 공격 경로는 보통 가장 약한 신원이나 가장 노출된 관리자 경로를 통해 이루어지며, VDI 제품 자체를 통해서는 아닙니다.

우선 수정 사항:

1. 관리자 경로의 노출을 먼저 줄이되, 최종 사용자 접근은 그대로 유지합니다.
2. 특권 계정 분리를 시행하고 MFA 일관되게.
3. 관리자 대화형 로그온을 허용하는 호스트를 제한합니다.

참고:

이 시나리오는 동일한 플랫폼이 두 가지를 모두 포함하더라도 관리 액세스를 별도의 제품으로 취급하고 별도의 정책을 적용하는 것의 이점을 누립니다.

시나리오 2: 계약자 및 BYOD를 통한 HTML5

브라우저 기반 액세스는 혼합 OS 환경에서 유용한 다리 역할을 합니다. 위험은 "쉬운 액세스"가 "광범위한 액세스"가 되는 것입니다.

우선 수정 사항:

• 사용하세요 HTML5 포털 제어된 출입문으로서, 포괄적인 게이트웨이가 아닙니다.
• 계약자에게 전체 데스크톱 대신 특정 애플리케이션을 게시하십시오.
• 시간 제한 및 그룹 기반 할당을 사용하여 계약자의 접근이 창이 닫힐 때 자동으로 종료되도록 하십시오.

참고:

TSplus Remote Access는 사용자가 사용자 정의 가능한 웹 포털을 통해 로그인하고 브라우저 내에서 전체 데스크톱 또는 게시된 애플리케이션에 액세스하는 HTML5 클라이언트 모델을 설명합니다. 우리는 브라우저 기반 로그인 프로세스의 높은 보안을 위해 싱글 사인온 및 다중 인증을 권장합니다.

시나리오 3: 동일한 환경에서 원격 지원 도구

원격 지원 도구는 종종 "헬프데스크용"이 아니라 "생산용"이기 때문에 간과됩니다. 공격자는 신경 쓰지 않습니다. 지원 도구가 무인 액세스를 생성하거나 권한을 상승시킬 수 있다면, 원격 데스크톱 공격 표면의 일부가 됩니다.

우선 수정 사항:

• 관리자 기능과 헬프데스크 기능을 분리합니다.
• 승인된 엔드포인트 및 명시된 그룹에 대한 무인 액세스를 제한합니다.
• 기업 아이덴티티 및 MFA와 지원 도구 인증을 가능한 경우 일치시킵니다.

참고:

예를 들어, 지원 관련 문제를 피하기 위해 TSplus Remote Support는 자체 호스팅되며, 초대는 호스트가 지원 에이전트에게 생성하고 로그인 코드는 매번 변경되는 일회용 숫자 세트입니다. 게다가, 호스트가 앱을 단순히 종료하면 연결이 완전히 끊어집니다.

TSplus Remote Access는 "노출 감소" 패턴에 어떻게 적합합니까?

소프트웨어 제품 기반 보안

예방 계획에서 TSplus Remote Access는 게시 및 배포 패턴으로 적합합니다: 사용자가 그룹과 어떻게 연결하고 무엇에 접근할 수 있는지, 언제 그리고 어떤 장치에서 접근할 수 있는지를 표준화하거나 차별화할 수 있으므로 원격 액세스는 임시방편이 아닌 정책 기반이 됩니다.

TSplus Advanced Security는 애플리케이션 서버를 보호하도록 설계되었으며, 우연에 맡기지 않습니다. 설치되는 순간부터 알려진 악성 IP가 차단되며 작동을 시작합니다. 신중하게 선택된 각 기능은 보안 강화에 기여합니다. 서버와 애플리케이션 보호 각 데스크탑이므로.

정책 선택으로서의 연결 모드 (RDP, RemoteApp, HTML5…)

연결 모드가 "단순한 UX"로 취급될 때 보안 결정이 누락됩니다. TSplus Remote Access에는 RDP 클라이언트, RemoteApp 클라이언트 및 HTML5 클라이언트라는 세 가지 잘 알려진 연결 모드가 있으며, 각각은 다른 배달 경험에 매핑됩니다. 우리의 빠른 시작 가이드는 고전적인 원격 데스크톱 연결, 휴대용 TSplus RDP 클라이언트, MS RemoteApp 클라이언트, 그리고 웹 포털을 통한 Windows 및 HTML5 클라이언트를 포함하는 유연한 옵션 목록을 확장합니다.

예방 조치:

연결 모드는 일관성을 유지하는 데 도움이 될 때 위험을 줄일 수 있습니다.

• RDP 클라이언트 액세스는 관리 작업을 위해 내부에 유지될 수 있으며 최종 사용자는 게시된 앱을 사용할 수 있습니다.
• RemoteApp은 단일 애플리케이션만 필요한 사용자에게 "전체 데스크톱 노출"을 줄여줍니다.
• HTML5는 취약한 엔드포인트 전제 조건을 대체할 수 있으며, 이는 여러 임시 출입구 대신 하나의 통제된 출입구를 시행하는 데 도움이 됩니다.

TSplus Advanced Security의 “guard RDP” 진행에서

위험 점수는 일반적으로 동일한 주요 문제점을 식별합니다: 인터넷 소음, 반복된 자격 증명 시도, 그리고 서버 간의 일관되지 않은 접근 패턴. 여기서 TSplus Advanced Security는 원격 데스크톱 환경을 위한 가드레일 계층으로 자리 잡고 있습니다. 랜섬웨어 중심 보호 및 당사 제품, 문서 또는 블로그 페이지에 설명된 세션 강화 주제.

위험 점수 모델에서 Advanced Security는 예방의 "가능성 감소" 부분을 지원합니다:

• 자격 증명 남용 시도를 방해하여 비밀번호 추측이 배경 상수로 남지 않도록 합니다.
• 공공 출입구가 불가피할 때 IP 및 지리적 규칙으로 접근 경로를 제한하십시오.
• 단일 로그인이 랜섬웨어 영향을 미칠 가능성을 줄이는 보호 우선 제어를 추가하십시오.

결론: 예방이 충분할까?

위험 점수는 손상 가능성을 줄입니다. 이는 안전을 보장하지 않으며, 특히 자격 증명이 피싱이나 정보 탈취 프로그램에 의해 도난당할 수 있는 혼합 환경에서는 더욱 그렇습니다. 그렇기 때문에 탐지 및 대응 계획이 여전히 중요합니다. 다섯 가지 기둥을 점수화하고, 가장 약한 부분을 먼저 수정한 다음, 원격 액세스가 예외의 집합이 아닌 통제된 서비스가 될 때까지 재점수화합니다.

일반적으로 일관성을 목표로 하십시오. 접근 경로를 표준화하고, 범위를 넓히지 않으면서 엔드포인트 장벽을 제거하는 HTML5를 사용하며, 각 그룹이 필요로 하는 것만 명확한 시간 창과 함께 게시하십시오.

위에서 보듯이, Remote Access는 액세스를 구조화하고 게시합니다. Advanced Security 서버를 공격자로부터 보호하여 그 접근을 방어합니다. 문제는 공격자가 있을지 여부가 아닙니다. 오히려 "당신의 경계가 얼마나 잘 보호되고 있습니까?"입니다.

추가 읽기 및 조치:

그 관점에서, 다음 단계로 나아가고자 하는 팀을 위해 RDP 기반 랜섬웨어 침입에 초점을 맞춘 우리의 탐지 엔지니어링 가이드는 흥미로울 수 있습니다. 이는 높은 신호 패턴을 지적하며 “ 첫 30–60분 동안 해야 할 일 .” 예방 모델이 구현된 후 훌륭한 후속 조치를 제공하며, 인프라의 보안을 위해 Advanced Security 및 기타 TSplus 소프트웨어 설정을 극대화할 수 있는 아이디어도 제공할 수 있습니다.

자주 묻는 질문:

원격 데스크톱이 "안전"한 소프트웨어일지라도 해킹될 수 있나요?

네. 대부분의 침해는 노출된 접근 경로와 약한 신원을 통해 발생하며, 소프트웨어 취약점을 통해 발생하지 않습니다. 원격 데스크톱은 자격 증명이 획득된 후 자주 사용되는 경로입니다.

RDP는 본질적으로 안전하지 않습니까?

RDP는 본질적으로 안전하지 않지만, RDP는 인터넷에 접근 가능하고 주로 비밀번호로 보호될 때 높은 위험에 처합니다. 포트 타겟팅과 약한 인증은 일반적인 원인입니다.

HTML5 원격 데스크톱 포털이 해킹 위험을 줄이나요?

단일 제어된 출입구 뒤에 접근을 중앙 집중화하고 일관된 인증 및 권한 부여를 제공하면 가능합니다. 엄격한 정책 없이 광범위한 접근을 쉽게 허용하면 위험이 증가합니다.

원격 데스크톱 해킹 위험을 줄이는 가장 빠른 방법은 무엇인가요?

노출을 줄인 다음, 신원을 강화하십시오. 원격 데스크톱 경로가 공개적으로 접근 가능하고 비밀번호 기반인 경우, 환경은 "결국 침해된 것으로 간주해야" 합니다.

혼합 환경에서 무엇을 먼저 수정해야 할지 어떻게 알 수 있나요?

위험 점수인 RDRS를 사용하고 가장 높은 기둥을 먼저 수정하십시오. 대부분의 환경에서 노출과 신원이 소요된 시간당 가장 큰 위험 감소를 생성합니다.