개요

최근 Windows 11 빌드에서는 기본적으로 계정 잠금 정책이 활성화되어 있어 10분 동안 로그인 시도가 10회 실패한 경우, 사용자 계정(관리자 계정 포함)이 자동으로 잠깁니다.

공격자들은 일반적으로 자동화 된 도구를 사용하여 계정에 대한 무차별 암호 대입 공격을 통해 암호를 추측합니다. 하지만 최신 Windows 11 빌드(Insider Preview 22528.1000 이상)에서는 이제 올바른 암호를 10 번 연속으로 입력하지 못한 경우 기본적으로 차단하도록 설정되어 있습니다.

Microsoft 엔터프라이즈 및 OS 보안 담당 부사장인 David Weston은 이러한 내용을 목요일 트위터에 게시하였습니다.

"Win11 빌드에는 RDP 및 기타 무차별 암호 벡터를 완화하기 위한 DEFAULT 계정 잠금 정책이 있습니다. 이러한 정책은 랜섬웨어 및 기타 공격에서 매우 일반적으로 사용되는 무차별 공격을 훨씬 어렵게 만듭니다”

Weston이 말한 바와 같이, 자격 증명에 대한 무차별 대입 공격은 위협 행위자가 공격 대상 시스템의 계정 암호를 모를 때 RDP를 통해 시스템에 침투하기 위해 사용하는 인기있는 전술 중 하나입니다.

엔터프라이즈 네트워크를 침해하기 위해 RDP를 사용하는 것은 사이버 범죄자들 사이에서 널리 이용되는 전술입니다. FBI는 RDP가 랜섬웨어 공격으로 이어지는 사이버 공격의 약 70-80% 비중을 차지한다고 말했습니다.

[그림 1] Windows 11 계정 잠금 정책 (David Weston)

Microsoft, 가장 많이 사용되는 공격 벡터들에 대한 보안 조치 진행

Microsoft는 공격자들에 의해 가장 많이 사용되는 공격 벡터들에 대해 대응하기 위해 보안 조치를 진행하고 있습니다. 다운로드한 문서의 Office 매크로를 자동으로 차단한다거나 Azure AD에서 MFA(다단계 인증)를 적용하는 등 랜섬웨어 운영자가 Windows 네트워크 및 시스템을 침투하는 데 사용하는 다양한 공격 벡터들에 대한 보안 정책을 마련하고 있습니다.

계정 잠금 정책은 Windows 10 시스템에서도 사용할 수 있습니다. 그러나 기본적으로 사용하도록 설정되어 있지 않으므로 추가적인 보안 설정이 필요합니다.

관리자는 Windows 10에서 다음과 같은 과정을 통해 이 정책을 구성할 수 있습니다. 

먼저 실행 창을 열고, gpedit.msc를 검색한 다음 Enter 키를 누릅니다. 로컬 그룹 정책 편집기가 열리면 Computer Configuration> Windows Settings> Security Settings> Account Policies> Account Lockout Policy 를 통해 보안 정책을 구성합니다.

[그림 2] Windows 11 계정 잠금 정책 (David Weston)

이러한 보안 정책은 특히 원격 근무자가 인터넷에 노출되어 있는 회사 자산에 액세스 하기 위해 RDP를 사용하는 경우 중요한 보안 개선이 될 수 있습니다.

2018 년 FBI IC3 보고서에 따르면, RDP를 대상으로 한 공격은 손상된 네트워크의 RDP 액세스를 판매하는 다크 웹 마켓 플레이스의 인기가 높아짐에 따라 2016 년 중반 이후 급격히 증가한 것으로 보고되었습니다.

출처

https://www.bleepingcomputer.com/news/microsoft/windows-11-now-blocks-rdp-brute-force-attacks-by-default/

보안관제센터 MIR Team