Microsoft는 최근 가장 실용적으로 유용한 보안 업데이트 중 하나를 출시했습니다. 원격 데스크톱 파일이 정기적으로 전달되는 환경에서 작업하는 경우 이 업데이트에 주목할 가치가 있습니다. Windows 10 및 Windows 11 모두에 대한 2026년 4월 누적 업데이트는 공격자가 RDP 파일을 시스템 백도어로 사용하는 것을 방지하도록 설계된 일련의 새로운 보호 기능을 제공합니다.
RDP 파일의 문제
원격 데스크톱 프로토콜 파일은 기업 환경의 필수 요소입니다. 이를 통해 관리자는 원격 시스템에 대한 연결을 미리 구성할 수 있습니다. 이는 동일한 기능이 상당히 쉽게 무기화될 수 있다는 사실을 깨닫기 전까지는 충분히 무해해 보입니다. 잘못된 RDP 파일을 열면 장치가 공격자가 제어하는 서버에 자동으로 연결되어 이러한 일이 발생했다는 사실을 알지 못한 채 로컬 드라이브, 클립보드 콘텐츠 및 인증 자격 증명에 대한 액세스 권한을 넘겨줄 수 있습니다.

이것은 이론적인 위협도 아닙니다. 러시아 정부가 후원하는 해킹 그룹 APT29는 이미 실제 피싱 캠페인에서 이 기술을 정확히 사용했으며, 악성 RDP 파일을 사용하여 피해자의 데이터와 자격 증명을 조용히 빼돌렸습니다. 공격은 표면적으로 의심스러워 보이지 않기 때문에 정확하게 효과적입니다. 그것은 단지 파일일 뿐이며 파일은 안전하다고 느낍니다.
RDP 파일이 서명되지 않은 경우 Windows는 “주의: 알 수 없는 원격 연결” 경고하고 게시자를 알 수 없음으로 표시합니다. 이는 파일을 만든 사람이 누구인지, 파일이 실제로 무엇을 하는지 확인할 수 있는 방법이 없음을 알려주는 Microsoft의 방식입니다. 파일이 디지털 서명된 경우에도 Windows는 연결하기 전에 게시자의 적법성을 확인하라는 메시지를 계속 표시합니다. 파일에 서명한다고 해서 자동으로 신뢰할 수 있는 파일이 되는 것은 아니며 Microsoft는 해당 파일을 신뢰할 수 있는 것처럼 취급하지 않습니다.
마이크로소프트가 바꾼 것
새로운 보호 기능은 여러 계층에서 작동합니다. 업데이트를 설치한 후 처음으로 RDP 파일을 열면 Windows는 RDP 파일이 실제로 수행하는 작업과 위험을 설명하는 일회성 교육 프롬프트를 표시합니다. 이를 확인하고 확인을 누릅니다.

그 시점부터 열려고 하는 모든 RDP 파일은 연결이 설정되기 전에 보안 대화 상자를 트리거합니다. 해당 대화 상자는 파일이 확인된 게시자에 의해 디지털 서명되었는지 여부를 알려주고 연결하려는 원격 시스템의 주소를 표시하며 드라이브, 클립보드 액세스 및 연결된 장치를 포함하여 파일이 리디렉션하려는 모든 로컬 리소스를 나열합니다. 결정적으로 이러한 모든 리디렉션은 기본적으로 꺼져 있습니다. 즉, 적극적으로 허용하도록 선택하지 않는 한 아무 것도 공유되지 않습니다.
이러한 보호 기능은 RDP 파일을 직접 열 때만 적용됩니다. Windows 원격 데스크톱 클라이언트 자체를 통한 연결은 이 업데이트의 영향을 받지 않으므로 환경은 변경되지 않습니다. 이러한 경고를 일시적으로 비활성화해야 하는 관리자는 레지스트리 키를 통해 비활성화할 수 있지만 실제 공격에서 RDP 파일 남용 이력을 고려하여 보호 조치를 유지하는 것이 좋습니다. 이는 추가 대화 상자로 인한 불편함이 제공하는 보안 이점만큼 가치가 있는 경우 중 하나입니다.