![[그림 1] RDP 공격 현황 (출처 : Kaspersky)](https://prod-files-secure.s3.us-west-2.amazonaws.com/dadce419-c708-414f-a284-244035d690f4/b5eb5d62-eb8e-442c-8b12-d2eabde59ab3/image.png)
원격 데스크톱(Remote Desktop Protocol : RDP)은 마이크로소프트사 Windows OS의 구성요소로 ITU-T.128 어플리케이션 프로토콜의 확장이다. 최초 1996년 Windows NT 4.0에서 Terminal Service Client로 출시되었고, 이후 2009년 Remote Desktop Service(RDS)에 포함되게 되었으며, 원격의 다른 컴퓨터에 그래픽 사용자 인터페이스를 제공한다. 원격 데스크톱은 원격근무 지원 , 시스템 관리자, 엔지니어 등에게 편의를 제공하기 위해서 다양한 조직에서 사용하고 있다. 그러나 원격 데스크톱은 공격자들이 기업 시스템이나 개인 PC등에 침투하는 데 악용되고 있다. 해커들은 시스템에 흔적을 남길 수 있는 커맨드 라인 기반의 백도어보다 안정성과 기능성의 이점을 가진 원격 데스크톱을 선호한다.
[그림 1] RDP 공격 현황 (출처 : Kaspersky)
[그림 1]은 Kaspersky에서 2020년 4월에 발표한 원격 데스크톱에 대한 무차별 대입 공격의 국가별 현황을 나타낸 것이다. COVID-19이후 원격 근무가 활발해지는 2020년 3월 이후부터 원격 데스크톱에 대한 공격이 급증한 것을 확인할 수 있으며, 원격 데스크톱에 대한 공격은 높은 위험도를 가진 보안 위협이고 현재까지도 지속적으로 발생하고 있다.
![[표 1] 원격데스트톱(RDP)관련 로그 ID 및 로그 위치, 로그 파일 위치](https://prod-files-secure.s3.us-west-2.amazonaws.com/dadce419-c708-414f-a284-244035d690f4/f3b14cf2-4639-4516-9ead-7d84bed20fde/image.png)
[표 1] 원격데스트톱(RDP)관련 로그 ID 및 로그 위치, 로그 파일 위치
원격데스크톱(RDP) 악용한 침해 사고 시 Windows XP, Windows Vista 이후에 가장 일반적으로 접할 수 있는 이벤트 로그 ID, 로그의 위치는 [표 1]과 같으며, 해당 이벤트 로그 ID가 의미하는 바를 아래 흐름으로 알아보고자 한다.
더 나아가 공격자가 측면이동(Lateral Movement)을 위해 원격데스크톱을 이용할때 이벤트 로그가 어떻게 생성되는지 함께 알아보자.