KB5083769 / KB5082127 기준
IT/보안
원격 데스크톱 .rdp 파일,
서명 있으면 더 위험한 이유
2026년 4월 14일, Microsoft는 Windows 패치 튜즈데이(KB5083769)를 통해 원격 데스크톱 .rdp 파일 처리 방식을 전면 바꿨습니다. 그런데 업데이트를 설치한 직후부터 기업 IT 담당자들 사이에서 혼란이 터져 나오기 시작했습니다. “경고창이 왜 뜨는 거지?”, “서명된 파일인데도 왜 경고가 나오지?” — 이 두 가지 질문, 사실 핵심이 반대로 뒤집혀 있습니다.
(3월 대비 2배)
피해 조직 수 (2024.10)
모든 리디렉션 기본값
이번 업데이트, 뭐가 달라졌나요?
2026년 4월 14일 Microsoft가 배포한 누적 업데이트 KB5083769(Windows 11 24H2/25H2)와 KB5082127(Windows Server 2019)에는 조용하지만 중요한 변화가 담겨 있습니다. 원격 데스크톱 .rdp 파일을 열 때 작동하는 방식이 근본적으로 바뀐 것입니다. (출처: Microsoft 공식 지원 문서, 2026.04.14)
핵심 변화는 두 가지입니다. 첫째, .rdp 파일을 처음 여는 순간 피싱 위험을 설명하는 일회성 교육 경고 대화상자가 나타납니다. 한 번 허용하면 같은 계정에서는 다시 표시되지 않습니다. 둘째, 파일을 열 때마다 연결 전에 보안 확인 대화상자가 뜨고, 여기에는 원격 컴퓨터 주소와 로컬 리소스 공유 요청 항목들이 모두 기본적으로 OFF 상태로 표시됩니다. 드라이브, 클립보드, 카메라, 마이크 등 항목 하나하나를 사용자가 직접 켜야만 연결에서 사용됩니다.
이것은 단순한 UI 변경이 아닙니다. Microsoft는 2024년 하반기부터 본격화된 .rdp 파일 악용 피싱 캠페인에 대응하기 위해 이 변경을 적용했습니다. CVE-2026-26151로 등록된 이 취약점은 “Windows 원격 데스크톱의 위험 작업에 대한 UI 경고 부족”으로 분류되며, 공격 벡터가 네트워크(AV:N), 복잡도 낮음(AC:L), 권한 없음(PR:N)으로 문이 활짝 열려 있던 구조였습니다. (출처: CVE.org, CVE-2026-26151)
💡 공식 발표문과 실제 공격 흐름을 함께 놓고 보니, 이번 변경은 “RDP 프로토콜 자체”가 아니라 “.rdp 파일 클릭 한 번”으로 시작되는 공격 경로를 차단하는 데 초점이 맞춰져 있습니다. 수동으로 컴퓨터 이름을 입력해 연결하는 방식에는 이 변경이 적용되지 않습니다.
.rdp 파일이 위험한 진짜 이유 — 화면 접근 없이도 드라이브가 통째로 넘어갑니다
많은 분이 “원격 데스크톱 = 상대방 화면이 내 화면에 나타나는 것”으로만 생각합니다. 그런데 Google 위협 인텔리전스 그룹(GTIG)이 2024년 10월 분석한 공격 캠페인을 보면, 이 생각이 얼마나 위험한 오해인지 드러납니다. (출처: Google Cloud Security Blog, 2025.01)
해당 캠페인에서 사용된 .rdp 파일에는 drivestoredirect:s:*라는 한 줄이 포함되어 있었습니다. 이것은 “피해자의 모든 드라이브를 공격자 서버에 통째로 마운트하라”는 명령입니다. 피해자는 원격 화면이 뜨지 않아도, 연결 후 몇 초 안에 하드디스크 전체가 공격자 서버에서 읽기·쓰기 가능한 상태가 됩니다. 파일 도용, 악성코드 심기, 시작 폴더에 RAT(원격 접근 트로이목마) 배치까지 가능합니다.
더 충격적인 부분은 클립보드 리디렉션입니다. redirectclipboard:i:1 설정이 포함된 파일을 열면, 연결이 유지되는 동안 피해자가 복사하는 모든 내용 — 비밀번호, 계좌번호, 인증 코드 — 이 공격자 서버로 실시간 전송됩니다. 피해자가 가상화 환경(VMware 등)을 사용하고 호스트 클립보드를 공유 중이라면 호스트 PC의 클립보드까지 노출됩니다. 클릭 한 번으로 이 모든 일이 벌어집니다.
| 리디렉션 유형 | .rdp 파일 파라미터 | 공격자가 얻는 것 |
|---|---|---|
| 드라이브 전체 | drivestoredirect:s:* | 파일 도용, 악성코드 심기 |
| 클립보드 | redirectclipboard:i:1 | 실시간 비밀번호·인증코드 탈취 |
| 스마트카드/Windows Hello | redirectsmartcards:i:1 | 기업 내부 시스템 인증 우회 |
| WebAuthn(FIDO2 키) | redirectwebauthn:i:1 | 피싱 인증 프롬프트 리디렉션 |
| 마이크/카메라 | redirectcomports:i:1 | 대화 도청, 영상 녹화 |
표 기준: Microsoft 공식 문서 + Google GTIG 2024년 캠페인 분석 (출처: learn.microsoft.com, cloud.google.com)
서명된 파일이 오히려 더 무서운 이유
💡 공식 보안 경고 문서와 실제 공격 사례를 함께 놓고 보니, “서명 있음 = 안전”이라는 직관이 거꾸로 작동하는 상황이 있었습니다.
보통 “디지털 서명이 있다”고 하면 안전하다고 느끼게 됩니다. 그런데 2024년 10월 러시아 국가 연계 해킹 그룹 Midnight Blizzard(APT29·SVR)가 감행한 캠페인을 보면 이 직관이 정확히 반대입니다. 이들은 100개 이상의 조직에 수천 명의 목표를 대상으로 .rdp 파일을 배포했는데, 그 파일들은 Let’s Encrypt 인증서로 정상 서명된 파일이었습니다. (출처: Microsoft Threat Intelligence Blog, 2024.10.29)
서명된 파일을 이전 버전 Windows에서 열면 노란색 경고 배너가 뜨지 않았습니다. 피해자가 보는 화면에는 “알 수 없는 게시자”라는 경고가 없고, 출처를 확인하는 다이얼로그도 훨씬 덜 눈에 띄는 방식으로 표시됐습니다. 서명 자체가 “무언가 공식적이고 검증된 것”이라는 심리적 신뢰를 만들어 준 셈입니다.
Microsoft도 이 점을 업데이트 문서에서 명확히 경고합니다. “서명은 파일이 서명된 이후 변조되지 않았음을 확인할 뿐, 파일이 안전하다고 보장하지 않는다”고 공식 문서에 딱 이렇게 나옵니다. 공격자들은 합법적인 조직과 매우 유사한 이름 — 예를 들어 ‘Contoso Ltd’ 대신 ‘Contoso Security’ — 으로 인증서를 발급받아 서명할 수 있습니다. (출처: Microsoft Learn, understanding-security-warnings)
2026년 4월 업데이트 이후에는 서명 여부와 무관하게 매번 연결 전에 보안 대화상자가 뜹니다. 서명이 없으면 “주의: 알 수 없는 원격 연결”이라는 배너가, 서명이 있으면 “이 원격 연결의 게시자 확인”이라는 배너가 뜨는 방식으로 두 가지로 구분됩니다. 어느 쪽이든 연결 목적지와 리소스 접근 요청을 확인하라는 메시지입니다. 서명된 파일이라도 게시자 이름을 직접 읽고 검증해야 합니다.
경고창 2종 해부 — 어떤 게 뜨면 위험한가요?
업데이트 후에 나타나는 경고창은 크게 두 가지입니다. 직접 확인했을 때 느낌이 꽤 달랐습니다.
① 처음 실행 시 일회성 경고
업데이트 후 .rdp 파일을 처음 여는 순간에만 표시됩니다. .rdp 파일이 무엇인지, 피싱 위험이 무엇인지를 설명하는 교육용 안내입니다. 여기서 허용하면 같은 계정에서는 두 번 다시 표시되지 않습니다. 처음 한 번만 읽고 넘어가는 구조라 장기적으로 보안 감도를 유지하기 어렵다는 한계가 있습니다.
② 연결 시마다 표시되는 보안 대화상자
.rdp 파일을 열 때마다 매번 나타납니다. 여기에는 원격 컴퓨터 주소와 요청된 리소스 목록이 표시되고, 항목들이 기본적으로 모두 꺼진 상태로 나옵니다. 드라이브 접근이 필요하면 직접 체크해야 하고, 클립보드가 필요하면 직접 체크해야 합니다. 아무 생각 없이 “연결”을 눌러도 리소스 리디렉션이 자동으로 발생하지 않습니다.
⚠️ 이 상황에서는 즉시 연결을 끊으세요
- 원격 컴퓨터 주소가 예상하지 못한 외부 IP이거나 낯선 도메인일 때
- 이메일로 받은 .rdp 파일을 아무 확인 없이 열었을 때
- 게시자 이름이 회사명처럼 보이지만 실제 확인한 적 없는 이름일 때
- 드라이브 전체 접근이나 마이크·카메라 공유를 “요청”하는 파일일 때
주목할 점은 이 업데이트가 수동으로 컴퓨터 이름을 입력해서 연결하는 방식에는 적용되지 않는다는 것입니다. 원격 데스크톱 연결 앱에서 직접 호스트명이나 IP를 입력해 접속하는 경우 이 새 경고창이 뜨지 않습니다. 공격자들이 악용하는 파일 기반 경로를 정조준한 변경입니다. (출처: Microsoft Learn, 2026.04.14)
기업 IT 담당자가 바로 확인해야 할 것들
💡 경고창이 많이 뜬다고 보안 설정을 되돌리면, 바로 그 순간부터 취약 상태로 돌아갑니다. 이 부분이 실제 운영에서 가장 많은 혼란을 만드는 지점입니다.
업데이트 적용 직후 Spiceworks, Reddit /r/sysadmin 등 IT 커뮤니티에서는 “경고창 때문에 헬프데스크 업무가 느려졌다”, “경고가 뜨자마자 레지스트리로 되돌렸다”는 글들이 올라왔습니다. 하지만 롤백은 임시 대응이고, Microsoft는 공식 문서에 “향후 Windows 업데이트에서 이전 버전 설정 지원이 제거될 수 있다”고 명시했습니다. 결국 지금 환경을 새 방식에 맞춰 전환하는 게 더 낫습니다.
일시적으로 이전 동작으로 되돌려야 하는 경우, 다음 레지스트리 값을 설정할 수 있습니다 (출처: Microsoft Learn 공식 문서):
레지스트리 경로
HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client
이름: RedirectionWarningDialogVersion
형식: REG_DWORD
값: 1
단, 이 방법은 임시 조치이며 향후 업데이트에서 지원이 없어질 수 있습니다. 더 근본적인 접근은 아래 세 가지입니다.
- 배포하는 .rdp 파일에 서명 적용: 자체 CA 인증서 또는 신뢰할 수 있는 인증서로 서명하면 “알 수 없는 게시자” 경고를 “이름 있는 게시자 확인” 경고로 바꿔 사용자 혼란을 줄일 수 있습니다.
- 불필요한 리디렉션 비활성화: 드라이브 전체 접근이나 마이크, 카메라 리디렉션이 실제로 필요한 업무인지 재검토하고, 필요하지 않은 항목은 그룹 정책(GPO)으로 차단합니다. 경로:
Computer Configuration → Administrative Templates → Windows Components → Remote Desktop Services - 외부 공개 IP로 나가는 RDP 아웃바운드 트래픽 차단: 내부 인프라가 아닌 외부 서버로의 RDP 연결을 방화벽 수준에서 막으면 .rdp 파일 피싱이 작동하더라도 실제 연결은 차단됩니다.
일반 사용자는 이것만 기억하면 됩니다
기술적인 배경을 전혀 몰라도 됩니다. .rdp 파일이 뭔지 몰랐던 분이라면 오히려 이번 업데이트가 훨씬 명확한 안내를 해주고 있습니다.
규칙 1. 이메일로 받은 .rdp 파일은 열지 않습니다. 회사 IT 부서에서 공식 채널(사내 인트라넷, 메신저 등)로 보내지 않은 이상, 이메일 첨부 파일로 온 .rdp는 무조건 의심해야 합니다. 파일 이름이 “AWS IAM Compliance Check.rdp”처럼 그럴듯해도 마찬가지입니다. 실제 2024년 캠페인에서 사용된 파일 이름들이 이렇게 생겼습니다. (출처: Microsoft Security Blog, 2024.10.29)
규칙 2. 경고창이 뜨면 주소부터 확인합니다. 업데이트 후 경고창이 뜨면 가장 먼저 “원격 컴퓨터” 주소를 확인하세요. 아는 회사 서버 주소인지, 모르는 외부 도메인인지 한 줄만 읽으면 됩니다. 모르는 주소라면 닫으면 그만입니다.
규칙 3. 리소스 항목은 필요한 것만 켭니다. 기본 OFF 상태에서 필요 이상으로 드라이브 접근, 클립보드, 카메라를 켜는 습관은 불필요합니다. 화면만 보면 되는 원격 지원이라면 드라이브 공유나 클립보드 공유는 끈 채로 연결해도 됩니다.
✅ 업데이트 설치 확인 방법
Windows 설정 → Windows 업데이트 → 업데이트 기록 → KB5083769(Windows 11) 또는 KB5082127(Windows Server 2019) 검색. 표시되면 이미 적용된 상태입니다.
Q&A
마치며
이번 2026년 4월 업데이트에서 가장 기억해야 할 교훈은 단순합니다. “서명 있음 = 안전”은 틀린 전제입니다. 공격자들은 Let’s Encrypt 같은 무료 인증서로도 파일에 서명할 수 있고, 그렇게 서명된 파일이 오히려 기존 경고창을 우회하는 데 활용돼 왔습니다. Microsoft는 이 허점을 막기 위해 서명 여부와 무관하게 매번 명시적 확인을 요구하는 방향으로 바꿨습니다.
또 하나 놓치기 쉬운 부분은 .rdp 파일 피싱이 원격 화면 접근 없이도 작동한다는 점입니다. 드라이브 전체 마운트, 클립보드 실시간 수집, 스마트카드 인증 우회 — 이 모든 게 피해자 화면에 원격 세션이 보이지 않는 상태에서도 이루어질 수 있습니다. 파일 하나를 클릭한 것뿐인데 로컬 PC가 공격자 서버에 통째로 연결된 상태가 된다는 사실, 이번 업데이트가 왜 필요했는지 말해줍니다.
개인 사용자라면 이메일로 받은 .rdp 파일을 열지 않는 것만으로도 대부분의 위험을 피할 수 있습니다. 기업 IT 담당자라면 지금이 .rdp 파일 배포 방식과 리디렉션 정책을 전면 점검할 시점입니다. 경고창을 끄는 것이 해결책이 아니라, 경고창이 뜨지 않아도 되는 환경을 만드는 것이 목표여야 합니다.
본 포스팅 참고 자료
- Microsoft Learn — RDP 파일을 열 때 보안 경고 이해 (2026.04.14 기준): learn.microsoft.com/ko-kr/windows-server/remote/…
- Microsoft Security Blog — Midnight Blizzard RDP 피싱 캠페인 (2024.10.29): microsoft.com/en-us/security/blog/2024/10/29/…
- Google Threat Intelligence Group — Windows Rogue Remote Desktop Protocol (2025.01): cloud.google.com/blog/topics/threat-intelligence/…
- CrowdStrike — 2026년 4월 패치 튜즈데이 분석: crowdstrike.com/en-us/blog/patch-tuesday-analysis-april-2026/
- CVE.org — CVE-2026-26151 상세: cve.org/CVERecord?id=CVE-2026-26151
본 포스팅은 작성 시점(2026.04.23) 기준 공식 문서와 보안 연구 자료를 바탕으로 작성됐습니다. 본 포스팅 작성 이후 서비스 정책·UI·기능이 변경될 수 있으며, Microsoft의 추가 업데이트에 따라 내용이 달라질 수 있습니다. 레지스트리 수정 등의 작업은 반드시 IT 전문가와 상의 후 진행하시기 바랍니다.
댓글 남기기