Windows 10 레드스톤 1 버전에서 SSH 서버 사용과 주의사항

윈도우10 레드스톤1 버전이 출시된 이후, 저는 이런저런 일로 Windows로 부팅을 하게 되었는데, 오늘 어쩌다보니 제 노트북에 엄청난 헛점이 있다는 것을 알게 되었습니다.

밖에서 노트북을 쓰다 이례적으로 일어난 일..

오늘 밖에 노트북을 들고나가서 작업을 하던 중, 공개 Wi-Fi를 쓰게 되었는데, 저는 항상 공개 Wi-Fi를 쓰기 전에, 검사해보는 것이 있습니다. 바로 포트 번호 체킹인데요. 왜 이것을 체킹하냐면, 혹시라도 Windows의 경우, 사용하다가 나도 모르게 프로그램을 설치했는데, KMS Emulator 등과 같은 악성 프로그램이 설치되었는지를 확인하기 위해서입니다. 공개 Wi-Fi는 누구나 들어올 수 있기 때문에 포트번호 하나하나라도 조심해야겠죠?

그런데, 여태까지 Windows에서 보지 못했던 포트 번호 1개가 열려있었습니다.

바로 22번 포트번호의 LISTEN 상태인데, 사실 Windows에서 원격을 사용한다면, RDP를 주로 사용하지, SSH는 잘 사용하지 않습니다. 기본으로 제공하지 않을 뿐더러 서버가 아니면 굳이 쉘을 원격으로 연결할 수 있게끔 하지 않지요. 그런데, 놀랍게도 제가 사용하던 Windows에 이런 일이 벌어진 것입니다.

제 노트북은 당시, Administrator의 로컬 계정이 열려있던 상태였고, 패스워드 조차 걸려있지 않았던 상태라 만약 누군가가 접속했다면 무방비하게 해킹을 당할 수도 있었던 상황이었습니다. 

Windows 내 SSH 서버 존재 확인

윈도우 운영체제에서 SSH 서버를 가동하려면, 예전에는 OpenSSH Server 프로그램을 다운로드 받아 설치하여 사용하는 것으로 알고 있습니다. Windows에서는 기본적으로 SSH 서비스를 지원하지 않기 때문에, 써드 파티 소프트웨어를 따로 설치해 사용하는 방법이 최선인 것이지요.

그런데, 저는 OpenSSH Client를 사용했다면 사용했을지 몰라도, Server 프로그램은 설치한 적이 없는데, 어떻게 된건지 22번 포트가 열려 있어서 혹시나 함에 WSL에서 작동하는 것이 아닌가하여 확인을 해봤습니다.

하지만 WSL에서는 SSH 데몬이 동작하고 있지 않았습니다. 

확인하다 못해 아무리 생각해도 SSH가 동작하고 있을만한 프로그램을 찾지 못해 저는 결국 Windows Firewall에서 찾아보기로 했습니다.

방화벽을 확인해보니 Windows 자체에서 SSH 서버가 돌고 있는 것을 확인할 수 있었습니다. 

Default SSH 서버 사용하기

기본 SSH 서버는 Windows 10 Redstone 1 버전에서 새로이 등장한 듯하였습니다. 아직 설치하자마자 자동으로 구동되는지는 확인할 수 없었는데, 만약 본인 PC에 SSH 서버를 사용하고 싶다면.(그럴리는 거의 없겠지만 혹시라도...) 아래와 같이 서비스를 구동하시면 됩니다.

[제어판] - [시스템 및 보안] - [관리 도구] - [서비스]

두 개의 서비스가 모두 구동되어야 합니다. 물론 Broker 서비스가 동작하려면 Proxy 서비스가 자동으로 동작하니 사실 그렇게 신경은 안쓰셔도 됩니다. 서비스가 구동되면 바로, Windows 방화벽의 경고 창과 함께 허용을 눌러주시면 SSH 서버가 활성화가 됩니다.

SSH 서버 사용 주의사항

SSH 서버는 원격으로 쉘을 연결시켜주는 프로토콜입니다. 물론 리눅스는 보안이 많이 강화되어 있어서 root 계정의 접근을 금지시키거나 패스워드가 없는 계정에 대해서는 접속을 하지 못하게 막고 있지만 Windows에 기본으로 있는 SSH 서버는 그렇지 않습니다. 이 문제는 굉장히 중요한 문제이기 때문에 반드시 읽어주셨으면 좋겠네요.

1. SSH 서버로 로그인하려는 모든 계정에 반드시 패스워드를 설정하세요.

2. 공개 네트워크(Wi-Fi, 보안 없는 Wi-Fi, WEP을 사용하는 Wi-Fi 등)에서 절대 사용하지 마세요.

3. 만약 본인이 원하지 않았는데, 서비스가 구동 중이라면 반드시 정지시켜주세요.

특히 Administrator 등의 로컬 계정에는 이 서버 사용이 굉장히 취약합니다. Windows 8 이상의 운영체제에서는 Microsoft 온라인 계정으로 로그인이 가능한데, 물론 이 계정 또한 고유의 Windows 이름이 있어서 이걸로도 SSH 서버를 통해 로그인이 가능하지만 온라인 계정은 기본적으로 패스워드를 설정해야하기 때문에 큰 위험이 존재하지는 않습니다.

하지만 Administrator 등의 로컬 계정에서는 비밀번호 없이 Windows를 사용할 수 있는데, 이는 SSH 서버에서도 똑같이 적용되어 SSH 클라이언트에서 접속할 때, 계정 입력 후 비밀번호를 공백상태로 두면 바로 로그인이 되는 엄청난 헛점이 존재합니다.
(사실 Linux에서는 이 부분이 막혀있어서, "설마 그러겠어?" 하고, 테스트를 진행해봤는데, 엄청나게 소름돋았습니다..... )

더욱이 이 문제가 더 심화되면, 악성 프로그램이 직접 이 서비스를 제어할 수 있다는 취약점 또한 생길 수 있게 됩니다. 사용자가 모르는 사이에 악성 프로그램은 사용자의 컴퓨터에 침투해, SSH Broker를 작동시킨 후, Administrator 계정을 활성화 시키는 코드를 심습니다. 게다가 이 정보를 해커의 C&C 서버 등으로 전송해 원격 환경이 오픈될 경우, 사용자는 그들의 조작에 놀아나게 될 가능성도 충분히 있다는 이야기가 됩니다. 그러므로 반드시 로컬 계정이든, 온라인 계정이든 SSH 서버를 사용하지 않든 이번 버전에서는 반드시 모든 계정에 패스워드를 걸어두는 것이 제일 안전하다고 판단합니다.

마치며....

노트북에 굉장히 중요한 파일들도 많지만 외부로 연결되어 있는 데이터들도 존재하여 보안에 은근히 신경을 써야될 부분들이 많습니다. 그렇기 때문에 Windows는 더욱 더 조심해서 사용하게 되고, 오늘과 같은 상황이 더 심화되는 것을 막을 수 있었던 계기가 되었습니다.

만약, 혹시라도 주변에 있는 사람들이 레드스톤 1 버전으로 업데이트하였는데, 22번 포트번호가 작동 중이라면 Windows 서비스에서 SSH Broker를 정지시켜주세요. 자동으로 동작하는지의 여부는 정확하게 확인하지 못했지만, 그래도 이 부분은 굉장히 중요한 보안 이슈이므로 반드시 짚고 넘어가야 할 것입니다.