• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

또 다른 보안 취약지점, 원격 데스크톱 제어 솔루션 2014.08.06

백오프 멀웨어, 원격 데스크톱 소프트웨어 통해 해킹

최근 발생한 PoS 사고의 주범, 점점 늘어나는 추세


 ▲ 대문 밖이 늘 이렇다면야 뭐가 걱정일까

[보안뉴스 문가용] PoS가 여전히 취약하다. 여기서 많은 정보가 새나가고 있다. 소매업자들의 해이와 낮은 자금력이 좀처럼 메워지지 않고 있는 것이다. 미국 국토안전부는 7월 31일 지난 몇 달 간 일어났던 PoS 정보 유출사고와 관련이 있는 것으로 밝혀졌다며, 백오프(Backoff)라는 이름의 PoS 멀웨어에 대한 보고서를 발표했다.

 

“최근 발생한 여러 가지 유출사고를 조사한 결과 원격으로 사무실 데스크톱을 조정할 수 있는 애플리케이션을 사용하는 사업장을 집중적으로 노린 악성 활동들을 적발할 수 있었습니다. 이런 애플리케이션들에는 마이크로소프트의 리모트 데스크톱(Remote Desktop), 애플의 리모트 데스크톱, 크롬의 리모트 데스크톱, 스플래시탑 2(Splashtop 2), 펄스웨이(Pulseway), 로그미인(LogMEIn), 조인미(Join.Me) 등이 있습니다”라는 내용으로 이 보고서는 시작한다.


“이런 애플리케이션들은 사무 공간 외에서도 사무용 컴퓨터에 접속해 업무를 수행할 수 있게 해주는 편리성을 제공하지만 해커들에게 로그인 정보가 유출되면 무작위 공격에 시스템 전체를 노출시키게 됩니다. 보통 해커들은 이런 방법으로 관리자 계정을 탈취해서 멀웨어를 이식시킵니다. 그렇게 한 후 소비자들의 정보를 암호화된 POST 요청을 통해 전송합니다.”


보고서에 의하면 이런 식의 공격이 점점 늘어나고 있는 추세하고 한다. 이를 반증하듯 델웨어 레스토랑 협회(Delware Restaurant Association)는 보고서에 언급된 원격 데스크톱 애플리케이션 중 파일 공유와 데이터 백업을 원활하게 해주는 로그미인을 통해 1900명의 개인정보가 유출된 것으로 보인다고 발표한 바 있다. 지미 존스(Jimmy John┖s)라는 미국 샌드위치 브랜드 역시 비슷한 사고로 수사 중에 있다.


일반 사무 환경에서 원격 데스크톱 제어 소프트웨어의 사용자 수가 점점 늘어나고 있는 추세이며 이런 소프트웨어의 제작자 중에는 ‘큰 손’들이 많아 이번 보고서의 내용은 큰 파장을 예고하고 있다. 그래서 국토부는 보고서에 사용자들을 위한 보안 가이드를 포함시켰다. 그 내용을 정리해보면 다음과 같다.


1. 사용자 계정이 일정 시간 동안 사용되지 않거나 수차례 로그인 시도가 실패했을 때 계정이 잠기도록 설정한다. 이렇게 함으로써 해커의 공격 횟수에 최소한의 제한을 둘 수 있다.

2. 하나의 원격 데스크톱 제어 소프트웨어에 로그인 할 수 있는 사용자 및 시스템의 수를 제한한다.

3. 소프트웨어 및 하드웨어 모두에 방화벽을 설정해 원격 데스크톱 리스닝 포트에 대한 접근을 제한한다(디폴트는 TCP 3389).


4. 원격 데스크톱 리스닝 포트의 디폴트 값을 바꾼다.

5. 암호를 복잡하게 설정한다. 암호의 유효 기간은 짧게 하고 암호 자체를 길고 복잡하게 만들면 공격의 성공률을 급감시킬 수 있다.

6. 원격 제어 장치는 다중 인증을 기본으로 해야 한다.

7. 원격 데스크톱 게이트웨이를 설치해서 접근을 제한한다.


8. 원격 데스크톱을 IPsec, SSH, SSL 등을 통해 터널링함으로써 인증 및 암호화의 단계를 증가시킨다.

9. 지불과 관련된 행위나 정보를 처리할 때 역시 다중 인증을 기본으로 한다.

10. 일반 사용자가 관리자 계정에 준하는 권한을 갖지 못하도록 한다.

11. 시스템을 주기적으로 점검한다.


12. 회사 및 조직 차원에서는 이런 툴들을 중앙에서 관리하고 제어할 수 있는 방침을 마련한다.

13. 중앙에서 관리할 수 있는 툴 혹은 솔루션을 마련했다면 리스닝 포트를 사용할 필요가 없어진다. 고로 완전히 닫아버린다.

14. 이제 다중 인증은 필수요소다. 하지만 이에 대한 인식이 없거나 다중 인증을 도입할 여력이 안 된다면 직원들이 최소한 회사 내에서만 사용하는 암호를 만들어 쓰도록 한다.


‘보안’이란 단어 하나로 보안이 해야 할 일을 전부 설명하기에는 턱없이 부족하다. 보호해야 할 것은 너무나 많고 그 방법은 너무나 적다. 대문을 최대한 단단히 잠가버려야 하는데, 이걸 너무 닫다보면 업무에 장애가 걸려버린다. 이럴 땐 최소 제일 바깥에 있는 대문이라도 단단히 잠가야 한다. 많은 시스템에서 원격 데스크톱 제어 소프트웨어가 바로 이 바깥 대문이 될 수 있음을 기억하자.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>