편의위해 사용한 원격 관리, 보안에는 `독`

SANS 인터넷 스톰센터의 조사에 따르면 RDP를 감염 매개체로 이용하는 RDP 스캔 트래픽이 지난달 말 이후 급증한 것으로 나타났다.
SANS 인터넷 스톰센터의 조사에 따르면 RDP를 감염 매개체로 이용하는 RDP 스캔 트래픽이 지난달 말 이후 급증한 것으로 나타났다.

사무실에 있는 컴퓨터를 집 등 외부 출장 시 편리하게 사용할 수 있는 ‘원격 데스크톱’ 관리 프로그램을 감염시키는 ‘모트로 웜(Motro Worm)’이 등장, 사용자들의 주의가 요망된다.

 22일 관련 업계에 따르면 마이크로소프트가 개발한 원격의 컴퓨터에 그래픽 사용자 인터페이스를 제공하는 원격 데스크톱 프로토콜 ‘RDP(Remote Destop Protocol)’를 이용한 최초의 웜 ‘모트로 웜’이 대량 트래픽을 유발중인 것으로 나타났다. 모트로 웜에 감웜되면 특정 C&C 서버로부터 전달된 악의적인 원격 명령을 실행, 좀비 PC가 될 수 있다.

 실제로 보안 기관인 SANS 인터넷 스톰센터의 조사에 따르면 RDP를 감염 매개체로 이용하는 RDP 스캔 트래픽이 지난달 말 이후 급증한 것으로 나타났다.

 또한 보안전문업체 HB개리(Gary) 등에 의하면 최근 중국 해커들의 미국 등 국가와 정부 시스템에 지능형 지속위험(APT)을 통한 수많은 공격을 시도하는 등 APT 공격이 급격히 늘었다. 보안 담당자들은 RDP를 감염시키는 모트로 웜 역시 APT 공격을 위한 도구의 하나로 사용될 수 있는 만큼 모든 악성코드에 대해 전 방위로 방어하는 자세가 필요하다고 지적했다. 우연히 감염된 RDP 웜으로 내부 통로가 해커에게 개방되면 그 다음부터는 좀비 PC가 돼 데이터유출 및 각종 사이버테러에 악용될 수 있기 때문이다.

 한국인터넷진흥원 침해사고대응단 코드분석팀 이동근 팀장은 “모트로 웜은 RDP 프로토콜의 취약점을 공격하는 것이 아니라 안전하게 패스워드가 설정되지 않은 시스템을 대상으로 공격한다”며 “편의를 위해 RDP를 켜 둘 것이 아니라 가능하면 사용을 삼가고 쉽게 추측하기 어려운 암호를 사용해야한다”고 말했다.

장윤정기자 linda@etnews.com