[보안 상식] 윈도우 원격 데스크톱 접속(연결) 흔적 없애기
컴퓨터 작업을 하다 보면 어쩔 수 없이 특정 윈도우 서버로 원격 접속을 해야 할 경우가 가끔 있습니다. 그런데, 경력이 오래 된 전문가나 상급 엔지니어의 경우에도 의외로 방심해서 실수하는 경우가 의외로 많습니다. 수십년 경력의 보안전문가도 음주후 작업(^^;;) 때문에 "으아~ X됐다" 하면서 갑자기 뛰쳐 나가는 경우를 최근 보았기 때문입니다.
바로 피씨방이나 공항 등의 공개된 PC에서 원격 접속후에, 흔적을 지우지 않고 다리를 털고 일어날 경우의 치명적인 보안 유출 문제입니다. 자칫 아주 심각한 보안상 구멍이 되기도 합니다. 실제 경험상 거의 대다수의 정보 유출은 인재입니다.
원격 터미널 접속(데스크톱 접속) 정보 유출 시나리오(MS Windows계열)
엔지니어A 씨는 중요한 작업을 할 경우 사무실이나 서재의 개인용 컴퓨터에서만 합니다. 그러나 영업상 또는 다른 용무로 외부에 나가 있을 경우에 데이터센터(IDC)의 윈도우 서버로 다음과 같이 접속합니다.
반복적인 익숙한 작업이기 때문에 무심코 '내 자격 증명 기억' 을 선택했을 경우에, 재앙이 시작될 수 있습니다. 우선 이렇게 해서 A씨는 인증 과정을 거쳐서 서버에 접속하고 열심히 업무를 본 후, 피씨를 떠나게 됩니다.
만약 다음에 그 피씨를 사용하는 행인B씨가 같은 컴퓨터를 사용할 때, 원격 데스크톱 접속을 띄우게 된다면 어떻게 될까요?
행인B씨는 위의 창을 마주하게 됩니다. 이미 A씨는 터미널 인증 정보를 피씨에 고스란히 남겨 두었기 때문에, B씨가 연결을 누르는 순간 아무런 제약 없이, 심지어 로그인 과정도 없이 A씨가 사용하던 서버에 접속이 가능해 집니다. 자칫하면 막대한 손실(수억, 수백억의 금전적 손실이나 한 사람 또는 한 나라의 미래까지도...)로 연결 될 수 있는 시나리오가 되는 거지요. 순간의 방심이 미래를 망가뜨릴 수도 있습니다.
원격 데스크톱 연결 흔적 없애기
다음의 절차에 따라 접속 흔적을 삭제할 수 있습니다.
1. Default.rdp 파일 지우기: 이 파일에는 원격 데스크톱 접속 정보가 인증정보와 함께 자동 저장됩니다.
탐색기에 익숙한 경우는 탐색기에서 파일을 찾아서 지워도 됩니다(단, 휴지통의 파일도 지워야 겠지요). 혹은, cmd.exe 를 실행해서 Default.rdp 파일을 찾습니다. "dir /a Def*" 로 파일을 확인 한 후, "del /a Default.rdp" 를 실행해서 파일을 지웁니다.
2. 레지스트리의 원격 데스크톱 접속 주소 지우기: \HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default
MRU0 는 첫 번째 원격 접속 주소를 담고 있는 레지스트리 항목입니다. 마우스 우클릭으로 메뉴를 띄운 후에 삭제합니다.
이제 모든 접속 정보가 소거되었습니다. 다시 한 번 강조하지만, 방심은 절대 금물입니다! ^^. 피치 못해서 공용 피씨를 사용할 경우에 항상 잊지 말고 확인해서 대처하시고, 아주 특별한 경우가 아니면, 원격 데스크톱 접속을 공용피씨에서 사용하지 않으시기를 권고해 드립니다.
- Barracuda -