원격 관리용으로 열어놓은 포트가 있다면 한 시라도 빨리 포트 번호를 임의로 바꾸거나 막으시는게 좋습니다.

원격 관리용으로 흔히 많이 열어놓는 포트 번호로 22/tcp (SSH)나 3389/tcp (RDP)가 많이 있습니다. 그런데 이런 포트를 집중 공략하는 공격 시도는 생각보다 빈번하고 흔하게 들어옵니다.

제 경우, RDP 포트 번호를 바꾼 이후 보안 감사 기록에서 로그온 실패 관련 이벤트가 바꾼 시점 이후로 전혀 기록되지 않고 있음을 확인했습니다. (스크린 샷에서 보이는 마지막 실패 기록이 2024년 1월 15일 오전 9시경이고, 이 글을 쓰는 시점은 2024년 1월 16일 오전 9시경입니다.) :smiley:

기본 포트 번호를 잘 사용하지 않는 임의의 포트 번호로 바꾸기만 해도, 해당 포트 번호를 따로 알려주지 않는 이상 Brute Force 공격을 막아내는데 큰 도움이 됩니다. 복잡한 비밀 번호를 사용하기 때문에 공격 성공을 위해서 공격자가 테스트해야 하는 가지수도 기본적으로 많지만, 여기에 65500가지 경우의 수를 곱하는 효과를 낼 수 있으므로 공격 성공을 위한 이익률을 한층 더 낮출 수 있는 셈이 됩니다.

7 Likes

과기부+KISA에서 제공하는 보안 취약점 분석 가이드라인과 평가방법에 대한 자료를 추가로 공유합니다.

분량은 엄청 많지만, 도움이 되는 자료입니다.

4 Likes