해커가 서버에 직접 접속해 감염시켜…복호화 비용 10배 이상 요구

▲ 해커가 원격데스크톱으로 접속한 로그 (자료제공: 하우리)

[아이티데일리] 하우리(대표 김희천)는 최근 악의적인 해커가 원격데스크톱으로 시스템에 직접 접속해 수동으로 랜섬웨어를 감염시키고 가격을 협상하는 타깃형 랜섬웨어가 국내에서 여러 차례 발견되고 있어 사용자들의 각별한 주의가 요구된다고 9일 밝혔다.

원격데스크톱은 윈도우에 기본으로 탑재돼 있는 프로그램으로, 먼 거리에 있는 다른 컴퓨터를 연결해 동일한 윈도우 환경을 제공해주는 기능이다. 하지만, 추측 가능한 쉬운 비밀번호를 사용할 경우 무차별 대입공격에 취약하다는 단점이 있다.

하우리 측에 의하면 해커는 원격데스크톱 프로토콜(RDP)을 사용하는 시스템을 찾은 후 흔히 사용하는 쉬운 비밀번호를 대입해 시스템에 접속한 후 랜섬웨어를 감염시키고 비트코인을 요구했다. 이렇게 해커가 직접 감염시킨 랜섬웨어는 기존에 불특정 다수를 대상으로 감염시키는 랜섬웨어에 비해 복호화에 대한 가격이 10배 이상으로 더 비싼 비용을 요구한다.

이러한 공격 방법은 지난해 말부터 해외에서 발견되기 시작했으며, 최근 국내에서도 피해사례가 발견되고 있다. 파일을 암호화하거나 파일을 삭제하는 등 다양한 피해도 다양한 방법으로 입히고 있다.

장준영 하우리 보안대응팀장은 “랜섬웨어 감염경로가 다각화되고 있고 공격자가 시스템을 확인한 후 중요도에 따라 요구하는 비트코인이 달라진다는 점에서 다른 랜섬웨어에 비해 매우 위협적이다”라며, “기업의 중요한 자산이 외부로 유출될 수 있으므로 외부와 연결된 시스템의 경우는 원격데스크톱을 비활성화하거나 꼭 필요한 경우에는 RDP 포트 변경과 비밀번호를 어렵게 설정하고 IP 제한을 통해 허용된 사용자만 접근할 수 있도록 해야 한다”고 밝혔다.

한편, 하우리는 이 같은 피해를 막기 위해 원격데스크톱 비활성화 방법과 포트 변경, IP 접근 제한 등 보안 강화 방법을 권고했다(아래 참조).
 

■ 원격데스크톱(RDP) 비활성화 방법
1) 제어판 → 시스템 및 보안 → 시스템 → 원격 액세스 허용으로 이동
2) ‘이 컴퓨터에 대한 원격 연결 허용 안 함’으로 설정

▲ ‘이 컴퓨터에 대한 원격 연결 허용 안 함’으로 설정한다

■ 원격데스크톱(RDP) 포트 변경
1) 레지스트리 편집기에서 HKEY_LOCAL_MACHINE₩SYSTEM₩CurrentControlSet₩Control₩Terminal Server₩WinStations₩RDP-Tcp 경로 이동
2) PortNumber 값을 기본 포트 3389(0x00000d3d)에서 다른 값으로 변경
3) 레지스트리 편집기에서 HKEY_LOCAL_MACHINE₩SYSTEM₩CurrentControlSet₩Control₩Terminal Server₩Wds₩rdpwdTdstcp 경로 이동
4) PortNumber 값을 기본 포트 3389(0x00000d3d)에서 2)에서 변경한 값으로 변경

▲ PortNumber 값을 기본 포트 3389(0x00000d3d)에서 2)에서 변경한 값으로 변경한다

5) 제어판 → 시스템 및 보안 → Windows 방화벽으로 이동
6) 고급설정에서 인바운드규칙에 2)에서 변경한 값으로 새 규칙(TCP) 추가

■ IP 접근 제한
1) Windows 방화벽에서 새로 추가한 규칙의 속성에서 영역 탭으로 이동
2) ‘원격 IP 주소’ 항목에서 접근을 허용할 IP 추가

▲ ‘원격 IP 주소’ 항목에서 접근을 허용할 IP 추가한다

저작권자 © 아이티데일리 무단전재 및 재배포 금지