본문 바로가기

벌새::Security

원격 데스크톱 프로토콜(RDP)을 통한 BitLocker 디스크 암호화 방식의 랜섬웨어(Ransomware) 주의 (2016.11.3)

반응형

악성코드를 직접 감염시키지 않고 관리가 부실한 팀뷰어(TeamViewer) 원격 제어 프로그램을 통해 금전 피해를 유발하는 사례를 소개한 적이 있었습니다.

 

하지만 팀뷰어(TeamViewer)와 같은 원격 제어 프로그램을 설치하지 않은 환경에서도 Windows 운영 체제에 기본적으로 내장된 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP)을 통해 접근하여 디스크 암호화를 통해 금전을 요구하는 랜섬(Ransom) 행위가 확인되어 간단하게 살펴보도록 하겠습니다.

 

우선 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP)은 외부에서 원격 접속이 가능하도록 지원하는 기능으로 Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows 10 운영 체제 중 Enterprise, Pro, Ultimate 버전에 기본 내장되어 있습니다.

 

특히 해외 랜섬웨어(Ransomware) 피해 사례 중에는 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP)을 통해 접속하여 파일 암호화를 수행하는 악성 파일을 실행하여 돈을 요구하는 사례가 보고되고 있습니다.

 

최근 오늘의 유머 게시판에 올라온 랜섬웨어(Ransomware) 피해 사례에서는 사용자 몰래 누군가가 PC에 접속하여 Windows 운영 체제에서 제공하는 디스크 암호화 기능인 BitLocker를 이용하여 C 드라이브를 제외한 나머지 드라이브를 암호화한 후 PLEASE READ.txt 메시지 파일을 통해 금전을 요구하는 피해 내용이 올라왔습니다.

 

 

디스크 자체를 AES 암호화 알고리즘을 이용하여 암호화할 수 있는 BitLocker 보안 기능은 Windows 운영 체제 자체에 포함된 기능으로 최초 디스크 암호화가 완료된 상태에서는 해당 디스크에 접근이 가능하지만 Windows 재부팅이 이루어진 후에는 암호화된 디스크 접근 시 암호를 요구합니다.

 

공식적으로 BitLocker 디스크 암호화가 이루어진 경우에는 비밀번호를 모를 경우 무차별 대입 공격(Brute Force Attack) 방식으로 비밀번호를 찾을 경우 비밀번호 길이에 따라 엄청난 시간이 소요된다는 점에서 현실성이 없으며, 실제로 해당 해커는 35자리 비밀번호를 사용했다는 점에서 풀 수 없다고 봐야합니다.

 

그런데 이번 사례와 같이 악성코드 감염으로 인한 랜섬웨어(Ransomware) 감염이 아닌 활성화된 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP)을 통해 접근하여 사용자 몰래 BitLocker 기능으로 디스크 암호화를 진행할 경우에는 아무리 좋은 보안 솔루션을 갖추고 있다고 하여도 막기 어렵습니다.

 

 

외부에서 접근한 공격자는 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP)을 사용하는 사용자를 찾아 보안 설정이 부실할 경우 접근한 것으로 추정되고 있습니다.

 

실제로 KISA에서도 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP) 사용자를 대상으로 약한 비밀번호를 이용하여 외부와의 원격을 허용할 경우 악의적인 해커가 접근할 수 있는 문제에 대해 보안 권고를 한 상태입니다.

 

그러므로 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP)을 사용할 수 있는 환경에서는 기본값에서 원격 지원 연결 허용이 이루어지지 않도록 체크 박스를 해제하시기 바라며, 만약 반드시 사용해야 할 경우에는 무차별 대입 공격(Brute Force Attack)에 쉽게 뚫리는 비밀번호를 사용하지 마시기 바랍니다.

 

특히 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP)이 사용하는 기본 포트(3389 / TCP)를 다른 포트 번호로 변경하는 것도 방법으로 제시하고 있습니다.

 

BitLocker 기능을 이용한 디스크 암호화를 통한 금전 협박을 피해자는 기지를 발휘하여 운좋게 비밀번호를 추출하는데 성공하였지만 원격으로 접속하여 악성코드 감염을 통해 금융 정보 또는 민감한 자료를 수집할 수 있다는 점에서 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP)을 사용하지 않을 경우에는 반드시 해제하시기 바랍니다.

728x90
반응형