윈도우 환경에서 무차별 대입 공격(Brute-Force Attack)은 공격자가 사용자의 계정 비밀번호를 알아내기 위해 가능한 모든 조합을 반복적으로 시도하는 해킹 기법을 말합니다.
특히 윈도우 시스템에서는 외부에서 접속 가능한 통로인 원격 데스크톱 프로토콜(RDP)과 MS-SQL 서버가 주요 공격 대상이 됩니다.
발생 여부 확인 방법
원격데스크톱(RDP)을 열어둔 PC와 VM 둘다 시스템 로그-보안 탭에 감사 실패가 발생한 경우 주로 랜섬웨어, 대입 공격으로 판단을 할 수 있습니다.
주로 1~2번 정도는 실패가 있는 경우는 있지만 1초에 2~10회는 대한 패스워드 대입 공격 입니다.
윈도우에서의 주요 공격 유형
- 원격 데스크톱(RDP) 공격: 윈도우의 원격 제어 포트(기본 3389)를 통해 관리자 계정(Administrator 등)의 비밀번호를 무작위로 입력하여 시스템 권한을 획득하려 합니다.
- MS-SQL 서버 공격: 데이터베이스 관리 시스템인 MS-SQL의 기본 포트(1433)를 겨냥해 'sa'와 같은 관리자 계정 탈취를 시도합니다.
- 크리덴셜 스터핑(Credential Stuffing): 다른 사이트에서 유출된 계정 정보를 윈도우 로그인에 그대로 대입해보는 방식입니다.
주요 방어 방법
윈도우 시스템을 안전하게 보호하기 위해 다음과 같은 조치를 권장합니다.
- 계정 잠금 정책 설정: Microsoft 지원 페이지의 가이드에 따라 일정 횟수 이상 로그인 실패 시 계정을 일시적으로 잠그도록 설정하면 자동화된 공격을 효과적으로 차단할 수 있습니다.
- 기본 포트 번호 변경: RDP(3389)나 MS-SQL(1433)의 포트 번호를 기본값이 아닌 다른 번호로 변경하여 공격 표면을 줄입니다.[설정은 임의의 포트 번호로 지정 합니다]
- 복잡한 비밀번호 사용: 영문 대소문자, 숫자, 특수 문자를 혼합한 12자리 이상의 강력한 비밀번호를 설정합니다.
- 다중 인증(MFA) 도입: 비밀번호 외에 추가적인 인증 단계를 거치도록 설정하여 보안성을 높입니다.
- 불필요한 서비스 차단: 외부 연결이 필요 없는 경우 방화벽에서 관련 포트를 폐쇄합니다.
