홈으로 돌아가기

RDP 스캐닝 AS213438: 급증과 위험

GreyNoise가 네덜란드 AS213438의 21 IP에 RDP 스캐닝 집중을 지적, 2026년 4월 글로벌 트래픽의 최대 67% 제공. 역학, 지리적 변화 및 보호 권장사항 분석. 이는 위협 모니터링 접근 방식을 변화시킵니다.

AS213438에서 RDP 스캐닝 급증: 67% 트래픽
Advertisement 728x90

AS213438 내 RDP 스캔 급증: 트래픽 폭증과 지리적 변화 분석

GreyNoise 모니터링 시스템은 네덜란드에 위치한 ColocaTel Inc.와 연결된 자율 시스템 AS213438 소속 21개 IP 주소에서 전 세계적으로 비정상적인 RDP 프로토콜 스캔 트래픽이 집중 발생했음을 확인했습니다. 2026년 4월 5일부터 7일까지 이 IP들은 전 세계 RDP 스캔 트래픽의 최대 67.4%를 차지하며 중앙집중형 인터넷 정찰 활동을 시사했습니다.

스캔 활동의 규모와 동향

2026년 4월 5일부터 7일 사이, AS213438 소속 21개 IP 주소는 총 186만 건의 RDP Crawler 세션을 생성했습니다. 이는 해당 기간 동안 전 세계 트래픽의 49.7%에 해당하며, 4월 7일에는 67.4%까지 치솟았습니다. 비교를 위해, 나머지 3,644개의 스캔 소스가 합쳐진 트래픽과 유사한 수준이었습니다.

활동은 암스테르담과 레릴스타트 지역에 주로 위치한 4개의 /24 네트워크 블록에 집중되었습니다. AS213438 내부에서는 일일 트래픽이 18만 건에서 200만 건으로 무려 11배 증가했다가, 4월 8일에는 99.9% 감소했으며 4월 9일에는 완전히 중단되었습니다. 유사한 패턴은 2026년 3월에도 관측되었습니다.

Google AdInline article slot

원격 Windows 시스템 접근에 사용되는 RDP 프로토콜은 여전히 취약한 공격 경로입니다. 스캔은 오픈 포트를 식별한 후 보통 무차별 대입 공격으로 이어지며, 이러한 집중 현상은 외부에 노출된 기업 네트워크에 더 큰 위험을 초래합니다.

위협 소스의 지리적 변화

2026년 4월 초, 네덜란드는 일시적으로 다른 국가들을 제치고 세계 최대의 RDP 스캔 발생국이 되었습니다. 점유율은 7.17%에서 53.86%로 급등했으며, 루마니아는 29.89%에서 15.78%로 하락했습니다. 루마니아의 트래픽 양 자체는 안정적이었지만, 네덜란드 인프라의 급격한 증가로 인해 상대적 비중이 크게 달라졌습니다.

  • 주요 활동 블록: AS213438 내 4개 /24 네트워크
  • 최대 기여도: RDP Crawler 트래픽의 최대 85%, 기타 RDP 관련 태그 포함 시 88%까지
  • 3월 대비: 반복되는 급증 후 침묵 패턴
  • 글로벌 맥락: 21개 IP 대 3,644개 기타 소스

이러한 변화는 스캐닝 인프라의 이동성을 보여주며, 유럽 데이터 센터가 자동화된 사이버 작전의 중심 역할을 하고 있음을 강조합니다.

Google AdInline article slot

원인과 네트워크 보안에 미치는 영향

이러한 급증은 클라우드 리소스를 활용한 대규모 네트워크 탐색 활동을 반영합니다. 네덜란드에 등록된 ColocaTel Inc.는 확장 가능한 호스팅 서비스를 제공하며, 갑작스러운 트래픽 증가는 취약한 RDP 서버를 사전에 매핑하기 위한 조직적 캠페인이었을 가능성을 시사합니다.

이로 인해 보안 시스템에 부하가 가중됩니다. 방화벽 및 IDS/IPS는 이상 징후를 탐지할 수 있지만, 트래픽의 중앙집중화는 차단 조치를 용이하게 합니다. 기업 입장에서는 공개된 RDP 포트를 점검하고 VPN 또는 제로 트러스트 아키텍처로 전환해야 할 시급한 필요성이 있습니다. 장기적으로 이러한 패턴은 정찰 단계에서 표적형 랜섬웨어 공격으로의 위협 진화를 가속화합니다.

더 넓은 맥락에서, RDP는 여전히 MITRE ATT&CK 프레임워크의 상위 10대 공격 벡터에 포함되며, 연간 수십억 건의 글로벌 스캔이 다중 인증(MFA)이 없는 오래된 Windows 버전을 중심으로 집중되고 있습니다.

Google AdInline article slot

핵심 요약

  • AS213438 내 21개 IP에서 발생한 67.4%의 트래픽 집중은 분산형 위협의 구조를 재편함
  • 반복되는 '급증-붕괴' 패턴은 향후 공격 준비를 시사
  • 네덜란드로의 지배권 이동은 지리적 차단 전략의 필요성 강조
  • 85~88%의 활동이 RDP 특화로 윈도우 기반 네트워크의 위험 증가
  • 권고사항: 공용 RDP 접근 비활성화 및 다중 인증 도입

— Editorial Team

Advertisement 728x90

다음 읽기