원격 근무, 외부 유지보수, 서버 관리가 늘어나면서 RDP 원격 데스크톱을 사용하는 경우가 많습니다. RDP는 멀리 떨어진 윈도우 PC나 서버에 접속해 마치 앞에 앉아 있는 것처럼 조작할 수 있게 해주는 기능입니다.
하지만 RDP를 아무 설정 없이 인터넷에 열어두면 랜섬웨어 공격의 주요 침투 경로가 될 수 있습니다. 공격자는 노출된 원격 데스크톱 포트를 찾고, 약한 비밀번호를 반복해서 시도하거나 탈취한 계정으로 접속한 뒤 내부 파일과 백업 저장소까지 암호화할 수 있습니다.
이번 글에서는 개인 사용자와 소규모 회사가 바로 점검할 수 있는 RDP 보안 설정 방법을 정리하겠습니다. 원격 데스크톱을 꺼야 하는 경우, 꼭 써야 할 때 적용해야 하는 NLA, MFA, VPN, 방화벽, 계정 잠금, 로그 점검, 백업 연결까지 순서대로 설명하겠습니다.
랜섬웨어 예방 전체 흐름을 먼저 보고 싶다면 랜섬웨어 예방 체크리스트 글을 함께 참고하면 좋습니다. 랜섬웨어가 어떤 방식으로 피해를 만드는지 기본 개념부터 알고 싶다면 랜섬웨어의 이해와 대응 전략 글을 먼저 읽어보면 이해하기 쉽습니다.
RDP란?
RDP는 Remote Desktop Protocol의 줄임말입니다. 한국어로는 원격 데스크톱 프로토콜이라고 부릅니다. 사용자는 원격 데스크톱 연결 프로그램을 통해 다른 윈도우 PC나 서버에 접속하고, 화면을 보면서 키보드와 마우스로 조작할 수 있습니다.
예를 들어 사무실에 있는 윈도우 서버에 집에서 접속하거나, 외부 업체가 회사 서버를 원격으로 관리할 때 RDP가 사용될 수 있습니다. 윈도우 서버를 운영하는 환경에서는 매우 편리한 기능이지만, 보안 설정이 약하면 외부 공격자에게도 같은 편리함을 제공하게 됩니다.
RDP는 보통 윈도우 환경에서 많이 사용됩니다. 서버 운영체제의 차이를 함께 이해하고 싶다면 리눅스 서버와 윈도우 서버 차이점 글도 참고하면 좋습니다.
RDP가 랜섬웨어 침투 경로가 되는 이유
RDP가 위험한 이유는 기능 자체가 나빠서가 아닙니다. 문제는 원격 접속 기능이 외부에 그대로 노출되고, 계정 보안이 약하며, 로그나 백업 관리가 제대로 되지 않을 때 발생합니다.
공격자는 인터넷에 공개된 RDP 서비스를 찾은 뒤 다음과 같은 방식으로 접근을 시도할 수 있습니다.
- 약한 비밀번호를 반복해서 입력하는 무차별 대입 공격
- 이미 유출된 계정과 비밀번호를 이용한 로그인 시도
- 보안 업데이트가 되지 않은 원격 데스크톱 취약점 악용
- 관리자 계정 탈취 후 내부 서버 이동
- 접속 후 보안 프로그램 중지, 백업 삭제, 랜섬웨어 실행
특히 소규모 회사에서는 관리자 계정 하나로 여러 PC와 서버를 관리하거나, 외부 접속 편의를 위해 RDP를 공유기에 포트포워딩해두는 경우가 있습니다. 이런 구조는 공격자 입장에서 매우 좋은 표적이 됩니다.
RDP 보안의 기본 원칙
RDP 보안은 복잡하게 생각하기보다 아래 원칙으로 접근하면 됩니다.
| 원칙 | 설명 | 우선순위 |
|---|---|---|
| 사용하지 않으면 끄기 | 원격 데스크톱이 필요 없는 PC에서는 RDP를 비활성화 | 매우 높음 |
| 인터넷 직접 공개 금지 | 3389 포트를 그대로 외부에 열어두지 않기 | 매우 높음 |
| VPN 또는 RD Gateway 사용 | 원격 접속은 먼저 인증된 경로를 거치도록 구성 | 높음 |
| MFA 적용 | 비밀번호가 유출되어도 추가 인증 없이는 접속하지 못하게 설정 | 높음 |
| NLA 활성화 | 원격 세션이 열리기 전에 먼저 사용자 인증 수행 | 높음 |
| 방화벽 IP 제한 | 허용된 사무실, VPN, 관리자 IP에서만 접속 허용 | 높음 |
| 계정 잠금 정책 | 비밀번호 반복 시도를 막기 위해 실패 횟수 제한 | 높음 |
| 로그 확인 | 반복 로그인 실패, 야간 접속, 해외 IP 접속 여부 점검 | 중요 |
| 백업 분리 | RDP로 접속한 계정이 백업까지 삭제하지 못하게 분리 | 매우 높음 |
1. 필요 없는 RDP는 먼저 끄기
가장 안전한 RDP 보안 설정은 필요 없는 RDP를 켜두지 않는 것입니다. 원격 접속이 필요 없는 개인 PC, 직원 PC, 회계 PC, NAS 관리용 PC에 원격 데스크톱이 켜져 있다면 먼저 꺼야 합니다.
윈도우에서는 보통 다음 위치에서 원격 데스크톱 설정을 확인할 수 있습니다.
- 설정
- 시스템
- 원격 데스크톱
- 원격 데스크톱 사용 여부 확인
윈도우 버전과 환경에 따라 메뉴 이름은 조금 다를 수 있습니다. 회사 환경에서는 그룹 정책이나 중앙 관리 도구로 원격 데스크톱 사용 여부를 일괄 관리하는 것이 좋습니다.
중요한 기준은 간단합니다. “정말 외부에서 이 PC에 접속해야 하는가?”라는 질문에 명확히 답할 수 없다면 RDP는 꺼두는 것이 안전합니다.
2. RDP를 인터넷에 직접 공개하지 않기
RDP 보안에서 가장 중요한 항목은 인터넷에 직접 공개하지 않는 것입니다. 공유기에서 3389 포트를 내부 PC나 서버로 포트포워딩해두면 외부에서 해당 장비로 바로 접속할 수 있습니다. 편하긴 하지만 공격자도 같은 경로를 사용할 수 있습니다.
특히 다음과 같은 설정은 피하는 것이 좋습니다.
- 공유기에서 외부 3389 포트를 내부 서버로 포트포워딩
- 클라우드 서버 보안 그룹에서 3389 포트를 전체 IP에 개방
- 방화벽에서 모든 외부 IP의 RDP 접속 허용
- 관리자 계정으로 외부 RDP 직접 접속 허용
- 비밀번호만으로 외부 원격 접속 허용
RDP가 꼭 필요하다면 직접 공개 대신 VPN, RD Gateway, Zero Trust 접속 서비스 같은 중간 인증 경로를 사용하는 것이 좋습니다. 이 방식은 원격 데스크톱 서버를 외부에 바로 노출하지 않고, 먼저 인증된 사용자만 내부 원격 접속으로 들어오도록 만드는 구조입니다.
3. VPN 또는 RD Gateway를 먼저 거치게 하기
RDP를 외부에서 꼭 사용해야 한다면 사용자가 먼저 VPN 또는 RD Gateway 같은 안전한 접속 경로를 거치도록 구성하는 것이 좋습니다.
VPN을 사용하면 외부 사용자가 먼저 회사 네트워크에 인증하고 들어온 뒤 내부 IP로 RDP에 접속할 수 있습니다. 이때 VPN 계정에도 MFA를 적용하고, 접속 가능한 내부 시스템을 최소화해야 합니다.
RD Gateway는 원격 데스크톱 접속을 위한 게이트웨이 역할을 합니다. 모든 RDP 접속을 서버에 직접 연결하지 않고 게이트웨이를 통해 처리할 수 있어 인증, 정책, 로그 관리를 더 체계적으로 할 수 있습니다.
소규모 회사에서 현실적인 구성은 다음과 같습니다.
| 환경 | 권장 방식 | 주의할 점 |
|---|---|---|
| 개인 PC 원격 접속 | 가능하면 RDP 직접 공개 금지, 필요 시 신뢰 가능한 원격 접속 솔루션과 MFA 사용 | 공유기 포트포워딩은 피하기 |
| 소규모 사무실 서버 | VPN 접속 후 내부 RDP 사용 | VPN 계정 MFA와 접속 로그 확인 필요 |
| 윈도우 서버 여러 대 | RD Gateway 또는 중앙 원격 접속 관리 | 관리자 계정 분리와 정책 관리 필요 |
| 클라우드 윈도우 서버 | 보안 그룹에서 허용 IP 제한, 가능하면 Bastion 또는 전용 접속 경로 사용 | 3389 전체 공개 금지 |
4. NLA를 활성화하기
NLA는 Network Level Authentication의 줄임말입니다. 원격 데스크톱 세션이 완전히 열리기 전에 사용자를 먼저 인증하도록 하는 기능입니다.
NLA가 꺼져 있으면 원격 연결 과정에서 불필요한 노출이 늘어날 수 있습니다. 반대로 NLA를 켜두면 인증되지 않은 사용자가 원격 세션에 접근하기 어려워지고, 원격 데스크톱 보안이 강화됩니다.
윈도우에서는 보통 원격 데스크톱 설정에서 “네트워크 수준 인증을 사용하여 원격 연결 허용”과 비슷한 항목을 확인할 수 있습니다. 문구는 윈도우 버전에 따라 조금 다를 수 있습니다.
NLA 설정을 점검할 때는 다음을 확인하세요.
- RDP가 꼭 필요한 장비에서만 원격 데스크톱 사용
- NLA 사용 옵션 활성화
- 오래된 원격 데스크톱 클라이언트 사용 제한
- 최신 윈도우 업데이트 적용
- 관리자 계정의 비밀번호와 MFA 정책 함께 점검
5. 방화벽으로 접속 가능한 IP를 제한하기
RDP를 반드시 사용해야 한다면 방화벽에서 접속 가능한 IP를 제한해야 합니다. 모든 외부 IP에서 RDP에 접속할 수 있게 열어두는 것은 매우 위험합니다.
예를 들어 다음과 같이 제한할 수 있습니다.
- 사무실 고정 IP에서만 접속 허용
- VPN 대역에서만 접속 허용
- 관리용 PC IP에서만 서버 RDP 접속 허용
- 클라우드 보안 그룹에서 허용 IP를 최소화
- 더 이상 사용하지 않는 IP는 즉시 제거
윈도우 방화벽에서는 고급 보안이 포함된 Windows Defender 방화벽에서 인바운드 규칙의 범위 항목을 조정해 원격 IP를 제한할 수 있습니다. 회사 도메인 환경이라면 그룹 정책으로 여러 서버의 방화벽 규칙을 일괄 관리하는 방식도 고려할 수 있습니다.
주의할 점은 단순히 RDP 포트를 3389에서 다른 번호로 바꾸는 것만으로는 충분한 보안 대책이 아니라는 점입니다. 포트 변경은 자동 스캔을 조금 줄이는 데 도움이 될 수 있지만, 근본적인 보안 대책은 인터넷 직접 공개 차단, IP 제한, MFA, NLA, 계정 잠금, 로그 모니터링입니다.
6. MFA를 적용하기
RDP 보안에서 비밀번호만 믿는 것은 위험합니다. 비밀번호는 피싱, 재사용, 유출, 무차별 대입 공격으로 노출될 수 있습니다. 그래서 원격 접속에는 가능하면 MFA를 적용해야 합니다.
MFA는 다중 인증을 의미합니다. 비밀번호 외에 휴대폰 앱 승인, 보안 키, 일회용 코드 같은 추가 확인을 요구하는 방식입니다. 비밀번호가 유출되더라도 추가 인증이 없으면 접속을 막을 수 있습니다.
일반적인 RDP 단독 접속에는 MFA 적용이 쉽지 않을 수 있습니다. 이 경우 다음과 같은 방식으로 구성합니다.
- VPN 접속 단계에서 MFA 적용
- RD Gateway에 MFA 적용
- 원격 접속 솔루션에서 MFA 사용
- 관리자 계정에는 반드시 MFA 적용
- 중요 서버 접속 계정은 일반 사용자 계정과 분리
소규모 회사라면 모든 직원에게 한 번에 적용하기 어렵더라도, 서버 관리자 계정과 원격 접속 계정부터 MFA를 적용하는 것이 좋습니다.
7. 관리자 계정 사용을 줄이고 권한을 분리하기
RDP로 접속하는 계정이 관리자 권한을 가지고 있으면 공격자가 계정을 탈취했을 때 피해 범위가 크게 늘어납니다. 특히 도메인 관리자 계정이나 서버 로컬 관리자 계정으로 일상적인 원격 접속을 하는 것은 피해야 합니다.
권한 관리는 다음 원칙으로 접근하면 됩니다.
- 일상 업무 계정과 관리자 계정 분리
- RDP 접속 허용 사용자를 최소화
- 퇴사자와 외부 업체 계정 즉시 비활성화
- 공유 관리자 계정 사용 금지
- 필요한 시간에만 관리자 권한 부여
- 백업 저장소 관리 계정은 서버 로그인 계정과 분리
특히 백업 서버나 NAS 관리자 계정은 RDP 로그인 계정과 분리해야 합니다. RDP 계정이 탈취되더라도 백업까지 삭제하지 못하도록 막는 것이 중요합니다. NAS 백업 구조는 NAS 백업 전략 정리 글에서 더 자세히 볼 수 있습니다.
8. 계정 잠금 정책을 설정하기
RDP 공격에서 자주 사용되는 방식 중 하나가 비밀번호 반복 시도입니다. 공격자는 여러 비밀번호를 계속 입력하면서 맞는 조합을 찾으려고 합니다. 이를 줄이기 위해 계정 잠금 정책을 설정해야 합니다.
계정 잠금 정책은 일정 횟수 이상 로그인에 실패하면 계정을 잠시 잠그는 설정입니다. 예를 들어 5회 또는 10회 실패 시 일정 시간 동안 로그인을 차단하도록 구성할 수 있습니다.
소규모 회사에서는 다음 항목을 점검하세요.
- 비밀번호 최소 길이 설정
- 관리자 계정의 강력한 비밀번호 사용
- 반복 로그인 실패 시 계정 잠금
- 동일한 비밀번호 재사용 금지
- 외부 업체 계정의 사용 기간 제한
- 로그인 실패 기록 정기 확인
계정 잠금 정책은 사용자 불편을 만들 수 있으므로 너무 짧거나 과도하게 설정하면 업무에 영향을 줄 수 있습니다. 하지만 RDP가 외부 접속과 연결된 환경이라면 최소한의 계정 보호 정책은 반드시 필요합니다.
9. 윈도우와 원격 접속 관련 보안 업데이트 적용하기
RDP는 윈도우 기능이므로 윈도우 보안 업데이트가 중요합니다. 과거에도 원격 데스크톱 관련 취약점은 악성코드 전파나 랜섬웨어 공격에 악용될 수 있는 위험 요소로 다뤄졌습니다.
보안 업데이트 점검 항목은 다음과 같습니다.
- 윈도우 업데이트 최신 상태 확인
- 윈도우 서버 보안 업데이트 정기 적용
- 지원 종료된 운영체제 사용 중단
- VPN, 방화벽, 원격 접속 솔루션 업데이트
- 백신과 EDR 보안 패턴 업데이트
- 서버 재부팅이 필요한 업데이트는 일정 관리 후 적용
업데이트를 미루는 이유는 보통 업무 중단 때문입니다. 하지만 랜섬웨어 피해로 업무가 멈추는 것과 비교하면 정기 점검 시간을 확보하는 편이 훨씬 안전합니다.
10. RDP 로그를 확인하기
RDP 보안은 설정에서 끝나지 않습니다. 실제로 누가 언제 어디서 접속했는지 확인해야 합니다. 특히 반복 로그인 실패와 평소와 다른 시간대 접속은 중요한 이상 징후입니다.
확인하면 좋은 항목은 다음과 같습니다.
- 짧은 시간에 반복된 로그인 실패
- 업무 시간 외 접속
- 해외 또는 낯선 IP에서 접속 시도
- 퇴사자 계정 접속 시도
- 관리자 계정 로그인 증가
- 원격 접속 후 백업 폴더 접근
- 보안 프로그램 중지 시도
윈도우 이벤트 뷰어, 방화벽 로그, VPN 로그, RD Gateway 로그를 함께 확인하면 원격 접속 흐름을 더 잘 파악할 수 있습니다. 회사 규모가 커지면 중앙 로그 수집이나 보안 관제 도구를 고려하는 것이 좋습니다.
11. 클립보드와 드라이브 리디렉션 제한하기
RDP에는 로컬 PC의 클립보드, 프린터, 드라이브를 원격 서버와 연결하는 기능이 있습니다. 편리하지만 보안 관점에서는 데이터 유출이나 악성 파일 이동 경로가 될 수 있습니다.
업무상 꼭 필요하지 않다면 다음 기능을 제한하는 것이 좋습니다.
- 로컬 드라이브 리디렉션
- 클립보드 복사 붙여넣기
- 프린터 리디렉션
- USB 장치 리디렉션
- 불필요한 파일 전송 기능
특히 외부 업체가 서버에 접속하는 환경에서는 파일 복사와 드라이브 연결을 제한해야 합니다. 유지보수 작업에 필요한 범위만 허용하고, 작업 종료 후 계정과 접속 권한을 회수하는 것이 좋습니다.
12. 백업 저장소를 RDP 계정과 분리하기
RDP 보안에서 자주 놓치는 부분이 백업 저장소입니다. 원격 접속 계정을 탈취한 공격자가 백업 폴더까지 접근할 수 있다면, 원본 파일과 백업 파일이 동시에 암호화되거나 삭제될 수 있습니다.
그래서 백업은 RDP 계정과 분리해야 합니다.
- 서버 로그인 계정과 백업 관리 계정 분리
- 백업 폴더에 일반 사용자 쓰기 권한 최소화
- 백업 서버에 직접 RDP 접속 제한
- 백업 저장소는 별도 네트워크 또는 별도 계정으로 관리
- 중요 백업은 이뮤터블 또는 에어갭 구조로 보관
- 정기적으로 복구 테스트 수행
백업 복사본을 여러 위치에 나누는 기본 구조는 3-2-1 백업 원칙 글에서 확인할 수 있습니다. 백업이 실제로 복구 가능한지 확인하는 방법은 백업 복구 테스트 체크리스트 글을 참고하면 됩니다.
랜섬웨어가 백업 삭제까지 시도하는 상황이 걱정된다면 에어갭 백업과 변경 불가 백업 글도 함께 보면 좋습니다.
개인 사용자를 위한 RDP 보안 설정
개인 사용자는 대부분 RDP를 꼭 사용할 필요가 없습니다. 집 밖에서 개인 PC에 접속해야 하는 특별한 이유가 없다면 원격 데스크톱은 꺼두는 것이 좋습니다.
| 점검 항목 | 권장 설정 | 완료 |
|---|---|---|
| RDP 사용 여부 | 사용하지 않으면 원격 데스크톱 끄기 | □ |
| 공유기 포트포워딩 | 3389 포트포워딩 제거 | □ |
| 윈도우 계정 | 강력한 비밀번호와 PIN 사용 | □ |
| 보안 업데이트 | 윈도우 업데이트 최신 상태 유지 | □ |
| 중요 파일 백업 | 외장하드 또는 클라우드에 분리 백업 | □ |
| 원격 접속 대체 | 필요 시 MFA가 있는 신뢰 가능한 원격 접속 방식 사용 | □ |
개인 사용자는 복잡한 서버 보안보다 “사용하지 않는 원격 접속 끄기”와 “중요 자료 분리 백업”만으로도 큰 위험을 줄일 수 있습니다.
소규모 회사를 위한 RDP 보안 설정
소규모 회사는 원격 근무와 외부 유지보수 때문에 RDP를 완전히 없애기 어려울 수 있습니다. 이 경우에는 접속 경로, 계정, 권한, 로그, 백업을 함께 관리해야 합니다.
| 구분 | 필수 점검 항목 | 권장 수준 |
|---|---|---|
| 접속 경로 | RDP 직접 공개 금지, VPN 또는 RD Gateway 사용 | 필수 |
| 인증 | MFA 적용, 강력한 비밀번호, 계정 잠금 정책 | 필수 |
| 권한 | 일반 계정과 관리자 계정 분리 | 필수 |
| 방화벽 | 허용 IP 최소화, 불필요한 3389 차단 | 필수 |
| 업데이트 | 윈도우 서버, VPN, 방화벽, 보안 제품 최신화 | 필수 |
| 로그 | 로그인 실패, 야간 접속, 관리자 로그인 확인 | 중요 |
| 백업 | RDP 계정과 백업 삭제 권한 분리, 복구 테스트 수행 | 필수 |
소규모 회사는 보안 담당자가 따로 없더라도 위 표만 정기적으로 확인해도 위험을 크게 줄일 수 있습니다.
RDP 보안에서 자주 하는 실수
RDP 보안에서 가장 흔한 실수는 “비밀번호만 강하면 괜찮다”고 생각하는 것입니다. 실제로는 비밀번호 외에도 접속 경로, 방화벽, MFA, 권한, 로그, 백업이 함께 관리되어야 합니다.
다음 실수는 피하는 것이 좋습니다.
- RDP 3389 포트를 인터넷에 그대로 열어두기
- 관리자 계정 이름을 그대로 사용하기
- 짧거나 재사용된 비밀번호 사용하기
- MFA 없이 외부 원격 접속 허용하기
- 외부 업체 계정을 작업 후에도 계속 활성화해두기
- 퇴사자 계정 방치하기
- 방화벽에서 모든 IP 접속 허용하기
- RDP 계정이 백업 폴더까지 삭제 가능하게 두기
- 로그인 실패 기록을 확인하지 않기
- 보안 업데이트를 장기간 미루기
RDP 보안 점검표
아래 체크리스트는 글을 저장해두고 정기적으로 확인하기 좋습니다.
| 번호 | 점검 내용 | 완료 |
|---|---|---|
| 1 | 사용하지 않는 PC와 서버의 RDP를 껐는가? | □ |
| 2 | 인터넷에 3389 포트가 직접 공개되어 있지 않은가? | □ |
| 3 | RDP 접속은 VPN 또는 RD Gateway를 거치도록 구성했는가? | □ |
| 4 | MFA를 적용했는가? | □ |
| 5 | NLA를 활성화했는가? | □ |
| 6 | 방화벽에서 허용 IP를 제한했는가? | □ |
| 7 | 계정 잠금 정책을 설정했는가? | □ |
| 8 | 관리자 계정과 일반 계정을 분리했는가? | □ |
| 9 | 퇴사자와 외부 업체 계정을 정리했는가? | □ |
| 10 | 윈도우와 VPN, 방화벽 보안 업데이트를 적용했는가? | □ |
| 11 | 로그인 실패와 야간 접속 로그를 확인하고 있는가? | □ |
| 12 | 백업 저장소가 RDP 계정과 분리되어 있는가? | □ |
| 13 | 정기적으로 백업 복구 테스트를 수행하는가? | □ |
RDP 보안과 백업은 함께 봐야 합니다
RDP 보안은 침투 가능성을 줄이는 작업입니다. 하지만 보안 설정을 아무리 잘해도 사고 가능성을 완전히 0으로 만들 수는 없습니다. 그래서 백업과 복구 계획이 함께 필요합니다.
랜섬웨어 대응에서는 다음 흐름을 함께 준비해야 합니다.
- RDP와 원격 접속 경로를 줄여 침투 가능성 낮추기
- 관리자 계정과 백업 계정을 분리해 피해 범위 줄이기
- 3-2-1 백업 원칙으로 복사본을 분산 보관하기
- 에어갭 또는 이뮤터블 백업으로 삭제 방지하기
- 정기적인 복구 테스트로 실제 복구 가능성 확인하기
- 감염 후 복구 절차를 문서로 준비하기
감염 후 어떤 순서로 대응해야 하는지는 랜섬웨어 감염 후 복구 절차 글에서 확인할 수 있습니다. 클라우드와 내부 백업을 어떻게 조합할지 고민된다면 클라우드 백업과 온프레미스 백업 차이점 글도 참고하면 좋습니다.
자주 묻는 질문
Q1. RDP를 무조건 끄는 것이 좋나요?
사용하지 않는다면 끄는 것이 가장 안전합니다. 다만 서버 관리나 원격 근무 때문에 꼭 필요하다면 인터넷 직접 공개를 피하고 VPN, RD Gateway, MFA, NLA, 방화벽 IP 제한을 함께 적용해야 합니다.
Q2. RDP 포트를 3389에서 다른 번호로 바꾸면 안전한가요?
포트 변경만으로 안전하다고 볼 수는 없습니다. 자동 스캔을 조금 줄일 수는 있지만, 공격자가 포트를 찾을 수 있으므로 근본적인 대책은 직접 공개 차단, MFA, IP 제한, 계정 잠금, 로그 점검입니다.
Q3. NLA는 꼭 켜야 하나요?
대부분의 환경에서는 켜는 것이 좋습니다. NLA는 원격 세션이 열리기 전에 사용자를 먼저 인증하게 해주므로 원격 데스크톱 보안을 강화하는 데 도움이 됩니다.
Q4. 개인 PC도 RDP 공격을 받을 수 있나요?
공유기 포트포워딩이나 클라우드 PC 설정으로 RDP가 인터넷에 노출되어 있다면 개인 PC도 공격 대상이 될 수 있습니다. 개인 사용자는 RDP를 사용하지 않으면 꺼두는 것이 좋습니다.
Q5. 회사에서는 VPN만 있으면 충분한가요?
VPN은 중요한 보호 수단이지만 그것만으로 충분하지 않습니다. VPN 계정에도 MFA를 적용하고, RDP 대상 서버를 제한하며, 관리자 권한과 백업 저장소 권한을 분리해야 합니다.
Q6. RDP 로그는 얼마나 자주 봐야 하나요?
소규모 회사라면 최소 주 1회 이상 로그인 실패, 야간 접속, 관리자 계정 접속을 확인하는 것이 좋습니다. 중요한 서버는 더 자주 확인하거나 자동 알림을 구성하는 것이 좋습니다.
Q7. RDP 계정이 탈취되면 백업도 위험한가요?
RDP 계정이 백업 폴더나 백업 서버에 접근할 수 있다면 위험합니다. 백업은 별도 계정과 별도 권한으로 관리하고, 최소 하나의 복사본은 에어갭 또는 이뮤터블 방식으로 보호하는 것이 좋습니다.
마무리
RDP는 원격으로 윈도우 PC와 서버를 관리할 수 있는 편리한 기능입니다. 하지만 외부에 직접 공개된 RDP, 약한 비밀번호, MFA 없는 관리자 계정, 방치된 외부 업체 계정, 업데이트되지 않은 서버는 랜섬웨어 공격의 좋은 침투 경로가 될 수 있습니다.
가장 먼저 해야 할 일은 필요 없는 RDP를 끄고, 꼭 필요한 RDP도 인터넷에 직접 공개하지 않는 것입니다. 이후 VPN 또는 RD Gateway, MFA, NLA, 방화벽 IP 제한, 계정 잠금, 권한 분리, 로그 모니터링을 순서대로 적용해야 합니다.
마지막으로 RDP 보안은 백업 전략과 함께 관리해야 합니다. 원격 접속 계정이 탈취되더라도 백업까지 삭제되지 않도록 계정과 권한을 분리하고, 정기적으로 복구 테스트를 수행해야 합니다. 원격 접속 보안과 백업 복구 준비가 함께 되어 있을 때 랜섬웨어 피해를 줄일 수 있습니다.
참고자료
'IT지식' 카테고리의 다른 글
| 랜섬웨어 예방 체크리스트: 개인과 소규모 회사가 꼭 해야 할 보안 설정 (1) | 2026.06.16 |
|---|---|
| 랜섬웨어 감염 후 복구 절차: 백업 확인부터 시스템 복원까지 (0) | 2026.06.15 |
| 에어갭 백업이란? 랜섬웨어 대비를 위한 오프라인 백업 전략 (2) | 2026.06.14 |
| 클라우드 백업과 온프레미스 백업 차이점: 어떤 백업 방식이 더 안전할까? (1) | 2026.06.11 |
| 백업 복구 테스트 체크리스트: 백업은 있는데 복구가 안 되는 이유 (1) | 2026.06.10 |