그린스테이지

윈도우 10/11 원격 데스크톱 포트 변경으로 해킹 시도 차단

2025년 12월 21일 · 1분 읽기

원격 데스크톱 포트, 그냥 두셨습니까?

원격 데스크톱(RDP)은 관리자에게는 필수 도구이지만, 공격자에게는 완벽한 표적입니다. 기본 포트 3389는 전 세계 모든 스캐너의 첫 번째 타겟입니다. 지금 당장 로그를 확인해보십시오. 수많은 로그인 실패 기록이 보일 겁니다. 이 글은 단순히 포트 번호를 바꾸는 법을 넘어, RDP를 ‘사용 가능하면서도 안전하게’ 만드는 실전 절차를 안내합니다.

증상 확인: 당신의 RDP는 지금 안전한가?

별다른 증상이 없어도 위험은 이미 시작되었을 수 있습니다. 다음 중 하나라도 해당되면 이 가이드를 즉시 실행해야 합니다.

  • 이벤트 뷰어(eventvwr.msc)에서 ‘Windows 로그’ > ‘보안’ 로그를 열어 이벤트 ID 4625(로그인 실패)가 빈번하게 기록되어 있음.
  • 서버나 PC의 리소스(CPU, 메모리) 사용량이 특정 시간대에 이유 없이 높아짐.
  • 방화벽 로그에 3389 포트로의 지속적인 연결 시도가 감지됨.
  • “너무 많은 로그인 시도 실패”라는 메시지를 본 경험이 있음.

이러한 시도는 단순한 스캔을 넘어, 자동화된 무차별 대입 공격(Brute-force Attack)의 전형적인 패턴입니다.

원인 분석: 왜 기본 포트 3389가 위험한가

원격 데스크톱 서비스는 기본적으로 TCP 3389 포트를 수신 대기합니다. 이는 공개된 표준입니다, 공격자들은 인터넷 전체를 스캔하여 이 포트가 열려 있는 모든 ip 주소를 목록화합니다. 이후 자동화 도구를 이용해 흔히 사용되는 아이디(Administrator, admin, user 등)와 약한 암호 조합을 수천, 수만 번 시도합니다. 포트를 변경하는 행위는 이 공격 표면(Attack Surface)을 크게 줄이는 ‘은신’ 전략에 가깝습니다. 공격자가 당신의 시스템에 RDP 서비스가 돌아가는지 찾는 것부터 난관에 부딪히게 만듭니다.

주의사항: 포트 변경은 보안의 한 조각일 뿐, 만능 해결책이 아닙니다. 반드시 강력한 암호 정책(대소문자, 숫자, 특수문자 조합, 길이 12자 이상)과 함께 적용되어야 합니다, 아울러, 이 작업은 레지스트리를 수정하므로, 시작 전 시스템 복원 지점을 생성하거나 레지스트리를 백업하는 것이 필수입니다.

해결 방법 1: 레지스트리 편집기를 통한 포트 변경 (표준 방법)

가장 직접적이고 확실한 방법입니다. 관리자 권한이 필요하며, 각 단계를 정확히 따라야 합니다.

  1. 레지스트리 백업: Win + R 키를 눌러 regedit 입력 후 실행. 상단 메뉴에서 ‘파일’ > ‘내보내기’를 선택. ‘범위’를 ‘모두’로 설정한 후 안전한 위치에 백업 파일(예: registry_backup.reg) 저장. 이는 문제 발생 시 복구할 수 있는 안전장치입니다.
  2. 포트 값 수정: 레지스트리 편집기에서 다음 경로로 이동합니다.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
  3. 오른쪽 창에서 PortNumber 항목을 더블 클릭합니다. ‘진수’를 10진수로 선택합니다. 기본값은 3389(10진수)로 표시됩니다.
  4. 값 데이터를 1025에서 65535 사이의 사용하지 않는 포트 번호로 변경합니다. 0-1024는 잘 알려진 포트(Well-known ports)이므로 피하는 것이 좋습니다. 가령 3390이나 54321 등으로 변경합니다. 변경 후 확인을 클릭합니다.
  5. 컴퓨터 재부팅: 변경 사항을 적용하려면 시스템을 재시동해야 합니다. “나중에 다시 시작”을 선택하지 마십시오.

해결 방법 2: Windows 방화벽 규칙 추가 (변경된 포트 허용)

포트 번호만 바꾸고 방화벽을 설정하지 않으면, 변경된 포트로의 연결이 차단되어 원격 접속 자체가 불가능해집니다. 반드시 수행해야 할 후속 작업입니다.

  1. 고급 보안이 포함된 Windows Defender 방화벽을 엽니다. Win + R 후 wf.msc 입력 또는 제어판에서 찾아 실행.
  2. 왼쪽 창에서 인바운드 규칙을 클릭한 후, 오른쪽 ‘작업’ 창에서 새 규칙…을 클릭합니다.
  3. 규칙 종류 선택에서 포트를 선택하고 다음을 클릭.
  4. ‘특정 로컬 포트’를 선택하고, 방금 레지스트리에서 변경한 포트 번호(예: 3390)를 입력합니다. 다음을 클릭.
  5. ‘연결 허용’을 선택하고 다음을 클릭. (도메인, 개인, 공용 프로필 중 필요한 환경에 체크. 일반적으로 ‘도메인’과 ‘개인’을 선택) 다음을 클릭.
  6. 규칙 이름을 명확하게 지정합니다. 예: “RDP – Custom Port 3390”. 설명도 추가하면 좋습니다. 마침을 클릭.
  7. 기본 규칙 비활성화: 인바운드 규칙 목록에서 ‘원격 데스크톱 – 사용자 모드(TCP-In)’라는 이름의 규칙(포트 3389용)을 찾아 마우스 오른쪽 클릭 > 규칙 사용 안 함을 선택합니다. 이로써 오래된 3389 포트는 완전히 차단됩니다.

해결 방법 3: 연결 테스트 및 문제 해결

모든 설정 후 정상 작동을 확인하고, 문제가 발생할 경우 대처하는 방법입니다.

목표물에 여러 화살이 분산되어 맞는 실패 vs 정확히 중심에 한 화살이 명중하는 성공 비교 이미지.

연결 테스트 방법

다른 컴퓨터에서 원격 데스크톱 연결 클라이언트(mstsc)를 실행합니다. ‘컴퓨터’ 입력란에 IP주소:새포트번호 형식으로 입력합니다. 예: 192.168.1.100:3390. 콜론(:)을 꼭 포함시켜야 합니다. 정상적으로 로그인 창이 나타나면 성공입니다.

자주 발생하는 문제와 해결책

  • “원격 컴퓨터를 찾을 수 없음”: 클라이언트에서 입력한 IP 주소와 포트 번호를 다시 확인. 대상 컴퓨터의 방화벽에서 새 규칙이 정상적으로 생성되고 활성화되었는지 확인(wf.msc). 자세한 안내 사항 확인을 참고하세요.
  • 연결이 거부됨: 대상 컴퓨터의 RDP 서비스가 실행 중인지 확인. services.msc를 실행하여 ‘Remote Desktop Services’의 상태가 ‘실행 중’인지 확인.
  • 포트 변경 후 기존 3389로도 접속됨: 방법 2의 7번 단계를 잊지 않았는지 확인. 기본 3389 규칙을 반드시 비활성화해야 합니다.
  • 라우터/외부 접속 설정: 인터넷에서 접속해야 한다면, 공유기(라우터)에서 포트 포워딩(Port Forwarding) 설정도 새 포트 번호로 변경해야 합니다. 기존 3389 포트 포워딩 규칙을 삭제하거나 수정합니다.

전문가 팁: 포트 변경 이상의 고급 보안 강화

포트 변경은 기본적인 은신처를 제공그렇지만, 더 강력한 보안 계층을 추가할 수 있습니다.

컴퓨터 모니터에 표시된 아웃룩 스타일 이메일 관리 프로그램 인터페이스.

1. 네트워크 수준 인증(NLA) 강제 사용: 이는 연결 시도 시, 사용자 인증을 먼저 완료한 후에만 세션을 생성하도록 합니다. 공격자의 부하를 시스템에 걸기 전에 차단하는 효과가 있습니다. 설정 방법: ‘시스템’ > ‘원격 데스크톱’ 설정에서 ‘네트워크 수준 인증을 사용하여 원격 데스크톱을 실행하는 컴퓨터에서만 연결 허용’을 반드시 체크합니다.

2. 로컬 관리자 계정 이름 변경: ‘Administrator’라는 계정명은 공격자의 첫 번째 타겟입니다. 로컬 사용자 및 그룹(lusrmgr.msc)에서 해당 계정의 이름을 변경하십시오. 예: SysAdmin01. 이는 무차별 대입 공격의 효율을 현저히 떨어뜨립니다.

3. VPN 터널 뒤에 RDP 숨기기: 가장 안전한 방법은 RDP 포트를 인터넷에 전혀 노출시키지 않는 것입니다. 사무실 네트워크에 VPN(예: Windows Server의 SSTP VPN, WireGuard, OpenVPN)을 구축하고, VPN으로 접속한 후에만 내부 IP(및 기본 3389 포트)로 RDP를 사용하는 것입니다. 이 경우 외부에서는 RDP 서비스 자체를 발견할 수 없게 됩니다.

모니터링: 포트 변경 후에도 방심은 금물입니다. 정기적으로 ‘이벤트 뷰어’의 보안 로그를 점검하여, 새 포트로의 비정상적인 접근 시도가 없는지 확인하는 습관을 들이십시오. 이러한 지속적인 관리 과정은 회복 탄력성 기르기: 실패를 딛고 다시 일어서는 마음 근육을 함께 단련하는 효과도 있습니다.

결론적으로, 원격 데스크톱(RDP) 보안 강화는 단순히 설정 몇 가지를 변경하는 것으로 끝나지 않습니다. 네트워크 수준 인증 적용, 로컬 관리자 계정명 변경, VPN 뒤에서의 접속 제한과 같은 기본 방어책을 철저히 적용하는 동시에, 정기적인 로그 모니터링과 접근 시도 점검을 병행해야 합니다. 이러한 다층적 접근과 지속적인 관리가 결합될 때, 외부 공격으로부터 시스템을 안전하게 보호하고 안정적인 원격 업무 환경을 유지할 수 있습니다. 보안은 지속적인 주의와 점검이 요구되는 과정임을 항상 명심하십시오.

Related

관련 콘텐츠