HAURI

전체메뉴 열기

Boan News

보안뉴스 매체사 기사

보안매체 기사

다크웹의 스터디셀러 RDP 크리덴셜에 주목하라
등록일 :
2018.09.18
원격 데스크톱 관리 툴, 관리자에게 편하면 해커에게도 편리
RDP 접근 못하는 해커들에게 공격의 문 편하게 열여주는 역할


[보안뉴스 문가용 기자] 보안이라는 것에도 유행이 있다. 그러나 원격 데스크톱 프로토콜(RDP) 포트들은 다크웹에서 꾸준히 잘 팔리는 ‘스테디셀러’다. 그만큼 기업 네트워크로 들어가고자 하는 해커들이 많기 때문이다.

[이미지 = iclickart]


RDP는 마이크로소프트가 만든 프로토콜이자 클라이언트 인터페이스로 윈도우 등 몇 가지 플랫폼에서 사용되고 있다. 윈도우의 경우 RDP가 XP 버전에서부터 기본으로 지원됐다. 대부분 정상적인 원격 관리 상황에서 사용되는 것으로, 주로 IT 관련 작업을 아웃소싱할 때 RDP가 활용된다.

그러나 관리자가 원격에서 접근할 수 있다면, 해커들도 마찬가지다. 이들 역시 가짜 관리자가 되어 RDP를 통해 시스템에 들어가 네트워크를 휘젓고 다니기 시작했다. “결론부터 말하자면 RDP의 꾸준한 인기는 다크웹에서 형성된 ‘서비스형 범죄(crime as a service)’ 시장 덕분일고 할 수 있습니다.” 보안 업체 트렌드 마이크로(Trend Micro)의 수석 사이버보안 담당자인 에드 카브레라(Ed Cabrera)의 설명이다.

무슨 말일까? “RDP에 대한 접근 권한을 사게 되면 매우 쉽게 네트워크에 침투할 수 있게 됩니다. RDP만 침해한 후 더 이상 공격하지 않고, 문만 열어두고 그 경로를 다른 해커들에게 파는 부류들이 늘어나고 있습니다. 원래는 RDP 접근권을 전문으로 파는 온라인 마켓이 있었습니다만 현재는 묶음 상품 등 꽤나 많은 곳에서 RDP를 거래하고 있습니다.”

RDP 접근 권한을 구매한 자들이 할 수 있는 일들은 꽤나 다양하다. 크리덴셜을 수집할 수도 있고, 계정을 탈취할 수도 있으며, 암호화폐를 채굴하는 것도 가능하다. 이것 말고도 더 있다. 물론 실력이 좋다면 스스로 RDP 포트를 찾아 접근할 수 있지만, 다크웹에서 구매하면 훨씬 일이 간단해진다. 그렇기에 기술 수준과 상관없이 다크웹의 많은 해커들이 RDP를 요구하기 시작한 것이다.

그러면서 열린 RDP를 찾아주는 자동화 툴들도 등장하기 시작했다. 그리고 이런 툴들의 ‘짝퉁’ 버전들도 성행할 정도다. 보안 업체 플래시포인트(Flashpoint)의 루크 로드헤퍼(Luke Rodeheffer)와 마이크 미모소(Mike Mimoso)는 “공격 툴의 원래 개발자가 지원 중단 등 툴에 더 이상 관여하지 않겠다는 의지를 보이는 순간 갑자기 변종들이 우후죽순 생겨나기 시작한다”고 설명한다. 그러면서 “이런 툴들은 현재까지도 계속해서 이득을 거두는데, 특히 러시아어로 된 다크웹 포럼에서 많이 발견된다”고 말한다.

인기가 그렇게 많다는 RDP는 다크웹에서 어느 정도 가격에 거래될까? 이는 RDP 서비스 종류에 따라 차이가 난다. 올해 초 보안 업체 맥아피(McAfee)의 전문가들은 대형 국제 공항의 RDP 접근 권한이 러시아의 한 다크웹 매장에서 판매되고 있는 것을 발견했다고 발표한 바 있다. 당시 가격은 10달러밖에 되지 않았다. 하지만 이것이 모든 RDP 값을 반영한다고 볼 수 없다. 공항보다 더 인기가 높은 분야나 조직의 RDP라면 가격이 높아질 수 있다.

보안 업체 소포스(Sophos)의 수석 연구 과학자인 쳇 위즈니우스키(Chet Wisniewski)는 다크웹에서 구매할 수 있는 RDP 포트의 양이 너무 많기 때문에 가격이 내려갈 수밖에 없다고 설명한다. “이건 도난당한 신용카드 정보가 다크웹에서 보였던 패턴과 비슷합니다. 개인정보도 마찬가지고요. 한 동안 대규모 유출 사고가 이어지더니 다크웹에서 정보는 헐값에 거래되기 시작했죠.”

당신의 RDP 크리덴셜, 안전한가?
앞서 설명했지만 RDP 크리덴셜을 확보한 공격자들은 여러 가지 공격을 실시할 수 있게 된다. “현대의 사이버 공격 대부분은 사용자 이름과 비밀번호로 구성된 크리덴셜로부터 시작될 때가 많다”고 카브레라는 말한다. “크리덴셜만 있으면 피싱 캠페인을 시작할 수도 있고, 랜섬웨어 공격을 할 수도 있으며, 데이터 침해도 일으킬 수 있습니다. 또한 특정 서버 인프라를 곧바로 겨냥해서 공격하는 것도 가능해지고요.”

“만약 저에게 RDP 크린덴셜이 있다면, 해당 서버에 접속해 탑재되어 있는 브라우저를 실행시키고 거의 모든 것을 다운로드할 수 있습니다. RDP 크리덴셜을 확보하는 게 어려운 거지, 일단 한 번 확보되면 별 다른 해킹 기술이 없는 사람이라도 치명적인 공격을 실시할 수 있게 됩니다. 바보도 피해를 일으킬 수 있다는 말입니다.”

보통 RDP 공격자들은 한 번 침투에 성공한 이후 관리자 계정의 비밀번호를 탈취하려고 시도한다. 그렇게 함으로써 활동 범위를 넓히려는 것이다. 이 과정에서 시스템 변경 소프트웨어를 다운로드 받아 설치할 수도 있다. 안티멀웨어 소프트웨어가 설치되는 경우도 있다. 소포스의 전문가들은 “공격자들이 데이터베이스 서비스들도 꺼둠으로써 파일을 취약한 상태로 만들거나, 아예 데이터베이스를 암호화하는 랜섬웨어 공격을 하기도 한다”고 설명한다.

위즈니우스키는 “관리자에게 편리하다면, 해커들에게도 편리한 것”이라고 요약했다. 원격 제어 소프트웨어를 인터넷에 노출시켜둔다면, 관리자 외의 인물도 접근할 위험성이 있다는 것이다. 다만 원격 접근 툴에 다가가는 것에 성공했다고 해서 곧바로 관리자급 권한이 생기는 건 아니다. “그래서 관리자 크리덴셜을 찾아 헤매는 게 보통인 것입니다.”

가격은 표적에 따라 천차만별
RDP를 살 확률이 높은 사람들은 주로 해킹 기술력이 낮은 범죄자들이라고 위즈니우스키는 설명한다. “낮은 기술력을 가졌기 때문에 RDP에 접근할 수 없는 사람들 사이에서 수요가 높은 건 당연한 일입니다. RDP에 스스로 접근이 가능한 실력을 가진 해커들의 경우라도 보안이 삼엄한, 가치가 높은 표적의 RDP가 시장에 나와 있다면 구매하는 경우가 왕왕 있습니다.” 가치가 높은 표적이란 세계적인 대기업이나 국방 기관 등을 말한다.

게다가 RDP 시장의 형태도 계속해서 변하고 있다는 게 문제다. “그냥 정보를 묶음으로 판매하고 돈을 주고 매입하는, 단순 거래 형태가 아닙니다. 다크웹 시장에 나타났던 모든 아이템들이 그랬어요. 처음에는 물물교환처럼 원시적인 형태로 거래가 진행되다가도, 그 다음부터는 보다 고급화된 서비스가 등장하죠. 지금 RDP 판매자들도 항목화 등을 차별적으로 한다거나 보증 서비스를 추가하는 등으로 시장을 진화시키고 있습니다.”

그런 ‘발전된’ 형태의 서비스는 가격이 더 오른다. “예를 들어 100개의 RDP 서버 크리덴셜을 묶음으로 판매하면 10달러를 받을 수 있습니다. 하지만 이 RDP 서버들이 어떤 조직에 속해 있는지 파악하고, 이중 가치가 높은 것들을 솎아 내거나 항목들을 분류해 정리해 놓으면 가격이 더 올라갈 수 있습니다. 물론 이렇게 해도 별다른 매력이 없거나 가치가 낮은 RDP 서버들은 묶음으로 판매되는 게 일반적입니다.”

RDP라는 아이템은 판매자들에게도 꽤나 매력적이다. RDP 접근 성공 이후에 진행시켜야 할 공격은 리스크가 커서, 범죄 행위를 전문으로 하는 자들이 아니라면 꺼려지기 때문이다. 그런데 다크웹에 RDP 접근 크리덴셜에 대한 수요가 생겨나니 RDP 판매자들은 더 이상 리스크를 고민할 필요 없이 수익을 낼 수 있게 되었다. 이 또한 RDP가 꾸준한 인기를 갖게 되는 요소이기도 하다.

그렇다면 방어는 어떤 식으로 해야 할까? 위즈니우스키는 꼭 필요하지 않은 경우 서버들을 인터넷에 연결시키지 말라고 권장한다. “연결시켜야만 하는 경우라면 VPN을 사용하거나 접근 권한을 최대한 엄격하게 적용해야 합니다. 이러한 조치는 난이도가 높진 않지만, 귀찮을 수 있는 작업이기 때문에 많은 조직들에서 잘 하지 않습니다.”

3줄 요약
1. 다크웹의 스테디셀러, RDP 크리덴셜.
2. 기술력 낮은 해커들은 RDP 접근 문제 손쉽게 해결할 수 있어서 인기.
3. 판매자들에게 매력적인 이유는, 별다른 리스크 없이 RDP 접근 권한만 판매해 수익 올릴 수 있어서.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  • - 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • - 본 정보에 대한 이용문의는 "보안뉴스(www.boannews.com)"로 문의하여 주십시오.

Top