세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
다크웹 암시장에서 한 공항의 시스템 접근 권한 판매 중
  |  입력 : 2018-07-12 11:52
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
RDP 포트 검색해주는 ‘RDP 매장’, 거대 산업으로 자라고 있어
공격자들의 초기 작업 해결해주는 RDP 서비스...커다란 위협될 것


[보안뉴스 문가용 기자] 다크웹의 암시장에는 불법적인 거래가 이뤄진다. 도난당한 데이터와 크리덴셜, 신용카드 정보 등이 바로 그것이다. 그런데 최근 여기에 한 가지 아이템이 추가되었다고 한다. 바로 한 국제 공항에 마련된 자동화 시스템에 침투하게 해주는 원격 데스크톱 툴이다. 가격도 10달러밖에 되지 않는다고 한다.

[이미지 = iclickart]


이러한 거래 행위를 발견한 건 보안 업체 맥아피(McAfee)다. 맥아피의 연구원들은 러시아의 ‘궁극적 익명 서비스(Ultimate Anonymity Service, UAS)’라는 RDP 매장에서 인터넷에 공개된 RDP 포트가 광고되고 있는 걸 발견했다. 추적을 더해 후보 IP 주소 65,536개를 세 개로 줄이고, 이를 통해 IP 주소를 확보하는 데 성공했다. 이를 바탕으로 WHOIS의 기록을 검토했고, 그 결과 한 대형 공항의 주소를 찾아낼 수 있었다고 한다. 공항의 이름은 아직 발표하지 않고 있다.

RDP는 마이크로소프트가 개발한 프로토콜로, 그래픽 인터페이스를 통해 다른 장비에 접근할 수 있게 해준다. 시스템 관리자들 전용으로 만들었으나, 공격자들에게 새로운 공격 기회를 제공해주기도 한다. 최근 미국 기업들을 골치 아프게 했던 삼삼(SamSam) 랜섬웨어의 경우, 바로 이 RDP 프로토콜을 악용했다.

이런 RDP 포트 중 인터넷에 열려 있는 걸 찾아주는 RDP 검색 서비스들은 대형 사이버 공격의 가장 기초적인 작업을 도와준다고 맥아피는 설명한다. “RDP를 통하면 피싱이나 멀웨어, 익스플로잇 키트를 사용하지 않고도 시스템에 접근할 수 있게 됩니다. 보통 공격자들은 RDP를 통해 스팸을 하거나, 암호화폐를 채굴하거나, 랜섬웨어 공격을 합니다. 엉뚱한 경보를 발생시켜 관심을 끈 후 다른 공격을 가하기도 하죠. 물론 데이터나 각종 개인정보를 훔치는 것은 기본이고요.”

맥아피는 “RDP는 관리자들을 위해 만들어졌지만 공격자들에게 더 유용한 프로토콜”이라고 말한다. 특히 수석 과학자인 라지 사마니(Raj Samani)는 “안전하게 써야만 관리자들이 제대로 편리함을 누릴 수 있게 된다”고 강조한다.

“RDP 포트는 보통 3389번에 배정되는데, 이러한 RDP 매장들은 인터넷을 통해 접근이 가능한 3389번 포트가 어디에 있는지 알려주고, 그에 대한 대가를 받습니다. 보통은 사용자들의 환경설정 오류나 다중인증 부재로 인해 3389 포트가 열린 채 방치되어 있습니다.” 사마니의 설명이다. “RDP 매장은 이런 곳을 찾아내 IP 주소, 국가, 주, 우편번호 등을 알아낸 후 이를 광고하기 시작합니다. 접근 가능하게 해주는 대가로 3달러에서 20달러를 받죠.”

RDP 매장 운영자 스스로는 스스로 RDP 포트를 통해 공격을 하거나 정찰을 하지 않는다고 한다. “돈을 낸 사람들이 접근하도록 통로만 마련할 뿐입니다. 이런 류의 정보를 얼마나 많이 가지고 있는지, RDP 매장이 하나의 산업으로 떠오를 지경입니다.”

맥아피는 UAS에서 광고되고 있는 정보를 통해 한 공항의 관리자 계정과, 그 공항과 관련이 있는 두 개 회사의 계정 두 개에까지 도달했다. 이 두 회사는 공항 보안 및 감시 시스템에 특화되어 있는 곳이었다. 또한 공항의 내부 자동화 시스템과 관련이 있는 도메인도 하나 찾아냈다.

“그렇게 중요한 사회 기반 시설이 공격자에게 활짝 열려 있다는 게 걱정되고 안타깝습니다.” 맥아피의 위협 분석가인 존 포커(John Fokker)의 설명이다. “이 공항만이 아닙니다. RDP 매장에는 여러 정부 시스템에 대한 접근권도 거래되고 있었습니다. 의료 분야 시스템에 대한 접근권도 활발하게 거래되고 있고요.”

사마니는 “RDP 검색이 하나의 정식 산업이 되고 있다는 것에 주목해야 한다”고 주장한다. “이제 해커들이 모래사장에서 바늘 찾기 하듯이 공격을 할 필요가 없어졌어요. 공격이 더 효율적으로 변하고, 그만큼 더 정확하고 무서워지는 것이죠.”

사마니는 “RDP를 보호하려면 이중인증과 어려운 비밀번호를 모두 적용해 브루트포스 공격의 가능성을 차단해야 한다”고 설명한다. “또한 RDP가 인터넷고 절대 연결되지 않도록 해야 하고, 로그인 시도가 너무 많이 실패할 경우 해당 IP를 차단해야 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)