원격 데스크톱 해킹 시도 증상 확인
최근 컴퓨터가 이상하게 느려지거나, 로그인 기록에 알 수 없는 접속이 보인다면 원격 데스크톱(RDP) 공격을 의심해야 합니다. 이벤트 뷰어에서 이벤트 ID 4625(로그온 실패)가 반복적으로 나타나거나, 방화벽 로그에 3389 포트로의 무차별 접속 시도가 기록되고 있다면 즉시 조치가 필요합니다.
⚠️ 긴급 점검 사항: 작업 관리자 → 사용자 탭에서 현재 접속 중인 계정을 확인하십시오. 본인이 사용하지 않는 세션이 활성화되어 있다면 즉시 연결을 끊고 아래 설정을 진행하시기 바랍니다.
RDP 해킹의 기술적 원인 분석
원격 데스크톱은 기본적으로 TCP 3389 포트를 사용합니다. 해커들은 이 포트가 열려있는 시스템을 자동 스캔 도구로 탐지하고, 사전 공격(Dictionary Attack)이나 무차별 대입 공격(Brute Force)을 통해 관리자 계정의 비밀번호를 뚫으려 시도합니다. 특히 Administrator, admin, user 같은 기본 계정명과 약한 비밀번호 조합은 몇 분 안에 뚫립니다.
Windows 서버나 Pro 버전에서 RDP를 활성화한 채 인터넷에 직접 연결된 환경이라면, 하루에도 수백 번의 해킹 시도를 받게 됩니다. 포트 변경만으로도 이러한 자동화된 공격의 99%를 차단할 수 있습니다.
1단계: 기본 RDP 보안 설정 강화
포트 변경 전에 먼저 기본 보안 설정을 점검해야 합니다. 이 과정을 생략하면 포트를 바꿔도 여전히 취약점이 남아있을 수 있습니다.
- Win + R → gpedit.msc 입력하여 로컬 그룹 정책 편집기를 실행합니다.
- 컴퓨터 구성 → Windows 설정 → 보안 설정 → 계정 정책 → 계정 잠금 정책으로 이동합니다.
- 계정 잠금 임계값을 3회로 설정합니다. (3번 틀리면 계정 잠금)
- 계정 잠금 기간을 30분으로 설정합니다.
- 계정 잠금 카운터 원래대로를 30분으로 설정합니다.
이 설정만으로도 무차별 대입 공격의 효율성을 크게 떨어뜨릴 수 있습니다. 해커가 3번 틀리면 30분간 해당 계정으로 접속할 수 없게 됩니다.
2단계: 레지스트리를 통한 RDP 포트 변경
이제 핵심인 포트 변경 작업을 진행합니다. 기본 3389 포트를 다른 번호로 바꾸면 자동화된 스캔 도구들이 RDP 서비스를 탐지하지 못합니다.
⚠️ 필수 백업: 레지스트리 수정 전 반드시 시스템 복원 지점을 생성하시기 바랍니다. 제어판 → 시스템 → 시스템 보호 → 만들기 순으로 진행하십시오.
- Win + R → regedit 입력하여 레지스트리 편집기를 실행합니다.
- 다음 경로로 이동합니다: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
- PortNumber 항목을 더블클릭합니다.
- 10진수를 선택하고, 새로운 포트 번호를 입력합니다. (예: 13389, 33890 등)
- 확인을 클릭하고 레지스트리 편집기를 종료합니다.
포트 번호 선택 가이드라인
포트 번호는 1024~65535 범위에서 선택해야 합니다. 다음 포트들은 피하시기 바랍니다:
- 80, 443 (웹 서버)
- 21, 22 (FTP, SSH)
- 25, 110, 143 (메일 서버)
- 1433, 3306 (데이터베이스)
권장 포트: 13389, 23389, 33890, 49152 등 기존 3389와 연관성이 있어 기억하기 쉬운 번호를 선택하는 것이 실용적입니다.
3단계: 방화벽 규칙 업데이트
포트를 변경했다면 Windows 방화벽 설정도 함께 수정해야 합니다. 기존 3389 포트 허용 규칙은 삭제하고, 새로운 포트에 대한 규칙을 생성해야 합니다.
- Win + R → wf.msc 입력하여 고급 보안이 포함된 Windows Defender 방화벽을 실행합니다.
- 인바운드 규칙을 클릭합니다.
- 기존 원격 데스크톱 관련 규칙을 찾아 사용 안 함으로 설정합니다. (삭제하지 말고 비활성화)
- 새 규칙을 클릭합니다.
- 포트 → TCP → 특정 로컬 포트 → 새로 설정한 포트 번호 입력
- 연결 허용 → 모든 프로필 선택 → 규칙 이름을 RDP Custom Port로 설정
라우터 포트포워딩 설정 변경
공유기를 사용하는 환경이라면 포트포워딩 설정도 업데이트해야 합니다. 공유기 관리 페이지(보통 192.168.1.1 또는 192.168.0.1)에 접속하여:
- 고급 설정 → 포트포워딩 메뉴로 이동
- 기존 3389 포트 규칙을 삭제
- 새로운 포트 번호로 규칙을 생성 (내부 포트와 외부 포트 모두 동일한 번호)
- 대상 IP는 RDP 서버의 내부 IP 주소로 설정
4단계: 연결 테스트 및 검증
설정 완료 후 반드시 테스트를 진행해야 합니다. 컴퓨터를 재부팅한 후 다음 방법으로 연결을 확인하시기 바랍니다.
- Win + R → mstsc 입력하여 원격 데스크톱 연결을 실행합니다.
- 컴퓨터 이름 입력란에 IP주소:포트번호 형식으로 입력합니다. (예: 192.168.1.100:13389)
- 외부에서 접속하는 경우 공인IP:포트번호 형식으로 입력합니다.
- 정상 연결되는지 확인합니다.
연결이 안 되는 경우 다음 사항을 점검하십시오:
- 레지스트리 값이 올바르게 입력되었는지 재확인
- 방화벽 규칙이 새로운 포트를 허용하도록 설정되었는지 확인
- 공유기 포트포워딩이 새로운 포트로 설정되었는지 확인
- netstat -an | find “:포트번호” 명령으로 포트가 정상적으로 LISTENING 상태인지 확인
추가 보안 강화 방안
포트 변경만으로는 완벽한 보안이 아닙니다. 다음과 같은 추가 조치를 통해 보안 수준을 더욱 높일 수 있습니다.
네트워크 수준 인증(NLA) 활성화
시스템 속성 → 원격 → 네트워크 수준 인증을 사용하여 원격 데스크톱을 실행하는 컴퓨터에서만 연결 허용 옵션을 체크합니다. https://store-laf.org 의 원격 접속 보안 가이드에서 상세히 다루고 있듯이 이 설정은 인증되지 않은 연결 시도를 사전에 차단합니다.
특정 IP 주소로 접근 제한
고정 IP를 사용하는 환경이라면 방화벽에서 특정 IP 주소에서만 RDP 접속을 허용하도록 설정할 수 있습니다. 방화벽 규칙 생성 시 범위 탭에서 이 IP 주소 또는 이 IP 주소 범위를 선택하여 접근을 제한합니다.
전문가 팁: RDP 접속 로그를 정기적으로 모니터링하려면 이벤트 뷰어에서 Windows 로그 → 보안 항목을 확인하십시오. 이벤트 ID 4624(성공적인 로그온)와 4625(실패한 로그온)를 필터링하면 비정상적인 접속 시도를 쉽게 발견할 수 있습니다. 또한 fail2ban 같은 도구를 활용하면 반복적인 실패 시도를 자동으로 차단할 수 있어 보안성이 크게 향상됩니다. 원격 접속 보안과 함께 유심(USIM) 락 설정: 폰 분실 시 소액결제 피해 막기도 필수적인데, 모바일 기기를 통한 원격 접속이 늘어나면서 폰 분실 시 발생할 수 있는 2차 피해까지 예방하는 것이 종합적인 보안 관리의 핵심입니다.
작성자 소개
