‘원격 데스크탑 프로토콜’ 통해 ‘액티브 디렉토리(AD) 서버’ 장악
손상된 자격 증명 증가로 RDP 허점, 사상 처음 취약점 악용보다 많아져
[애플경제 전윤미 기자] 원격시대가 본격화되면서, RDP(Remote Desktop Protocol), 즉 Active Directory(AD) 및 ‘원격 데스크톱 프로토콜’의 허점을 악용한 사이버공격이 급증하고 있는 것으로 나타났다.
최근 미국의 사이버보안업체 ‘소포스’(Sophos)에 따르면 사이버 공격자들은 갈수록 AD와 원격 데스크톱 프로토콜을 목표로 삼는 경우가 늘어나고 있다. 이에 “이러한 툴에 대한 보안이 매우 중요해졌다”는 얘기다.
보안업체 ‘소포스’ 2023년 상반기 폭증
이에 따르면 랜섬웨어가 공격 사례 중 가장 많은 비중을 차지하는가 하면, AD와 RDP 허점을 이용한 경우도 급증하고 있다. 실제로 ‘소포스’ 집계에 의하면 2023년 상반기 동안 전체 사이버 공격의 95%에서 RDP 허점을 노린 것으로 드러났다.
‘소포스’는 “지난 몇 년간 보안 전문가들에 의해 다소 개선이 있었지만, RDP의 허점은 계속해서 공격자들의 매력적인 목표가 되고 있다”면서 “이에 반해 마이크로소프트의 경우 기본적으로 RDP에 무차별적인 보호 기능을 설정하지 않는 것도 문제”라고 지적했다.
특히 날로 손쉽게 손상된 자격 증명의 증가가 RDP의 취약점을 한층 높였다. 또 손상된 자격 증명이 가장 근본적인 원인이 되고 있으며, 이는 사상 처음으로 공격자들이 취약점을 악용하는 것보다 더 많아진 현상으로 나타났다.
2023년 상반기에 손상된 자격 증명은 취약성을 악용하는 것에 비해 50%를 차지했는데, 이는 취약점을 악용한 사례가 23%에 달한 것과 대조를 보인다.
“다중인증 구현 미흡도 또 다른 원인”
또 다른 큰 원인은 사이버보안 업계의 지속적인 노력에도 불구하고 MFA(다중인증) 구현이 미흡한 점도 한몫했다. 소포스에 따르면 2023년 상반기부터 39%의 IR 사례에서 MFA가 구성되지 않은 사실이 드러날 정도다.
Shier는 보고서에서 "손상된 자격 증명의 사용이 만연하고 단일 요소 인증이 일반적이 되고 있는 현실에서 공격자가 RDP를 선호하는 것은 너무나 당연한 일이다."라고 밝혔다.
보고서에 따르면 공격자들이 RDP를 사용하는 방식도 주목할 만하다. RDP와 관련된 IR 사고의 77%에서 내부 접근과 측면 이동에만 도구를 사용했는데, 이는 2022년의 65%에서 크게 증가한 것이다.
공격 위한 Active Directory 체류시간 매우 짧아져
AD를 공격하기 위해 머무르는 시간도 매우 짧아진 것으로 드러나 우려를 더해주고 있다.
특히 세계 보안 정보 대회인 ‘Black Hat USA 2023’에선 금년 들어 공격자들이 AD를 훼손시키는데, 소요되는 시간을 분석해본 적이 있다. 그 결과, 평균이나 중앙값보다 훨씬 소요 시간이 짧아진 것으로 나타났다. ‘소포스’에 따르면 2023년 상반기 모든 공격의 평균 ‘AD (공격) 소요 시간’은 약 16시간에 해당하는 0.68일에 불과했다.
만약 해커가 AD 서버에 침투할 경우 이는 피해 기업에겐 치명적이다. 아예 “기업 내의 가장 중요하고 강력한 자산(AD서버)을 장악한 셈이어서, 모든 것을 마음대로 할 수 있게 된다”는 것이다.
해커는 이를 통해 높은 권한을 가진 계정을 빼돌리거나, 새 계정을 만들거나, 합법적인 계정을 비활성화하는 등 못하는게 없다. 또한 범죄자가 공격을 수행하는 동안 AD 서버가 악성 프로그램 배포를 위한 도구로 악용될 수도 있어 더욱 충격을 주고 있다.
AD서버 보안 매우 취약…‘디펜더’ 비활성화로 탐지 우회도
그럼에도 불구하고, 많은 AD 서버들에 대한 보호나 보안이 매우 불충분한 경우가 많다는 지적이다. 실제로 실수로 공공 인터넷에 AD 서버를 노출한 어느 기업의 경우 “대부분의 AD 서버가 ‘Microsoft Defender’로만 보호되거나, 때로는 전혀 보호되지 않는다는 점이 조사 결과 밝혀졌다”는 것이다.
설상가상으로 최근의 사이버 공격자들은 ‘Defender’를 비활성화하는 데 매우 능숙해졌다는 얘기다. "는 것을 발견했습니다. 이는 2021년부터 벤더가 관찰한 추세입니다. 보안업체 ‘마이터(MITRE)’도 “공격자들이 방화벽과 바이러스 백신 보호뿐만 아니라 위협 탐지 기능도 우회하는 ‘Impair Defense’라고 하는 기술을 구사하기도 한다”고 경고했다.
‘소포스’는 “이런 수법은 더욱 확산되면서 2021년에는 사이버 공격의 24% 가량이 이런 기법이었다면, 2022년에는 36%까지 상승했고, 2023년 상반기에는 43%까지 지속적으로 상승했다”고 밝혔다.
그러므로 “기업은 가장 중요한 것이 RDP의 올바른 사용과 철저한 관리”라며 “항상 감사와 검증이 필요하며, 조직 전반에 걸쳐 다중인증요소(MFA)를 보편화해야 한다”고 강조했다.