· RustDesk Team · 배포  · 9 분 소요

RustDesk 콘솔에 낯선 기기가 보인다면? 먼저 조사부터 하세요

RustDesk 콘솔에서 낯선 기기가 보이시나요? 백신 샌드박싱이 원인 중 하나일 수 있지만, 설정 유출이나 무단 등록 가능성부터 먼저 배제해야 합니다.

RustDesk 콘솔에 낯선 기기가 보인다면? 먼저 조사부터 하세요

RustDesk 콘솔에 낯선 기기가 나타났다는 사실만으로는 그 원인을 알 수 없습니다. 백신 샌드박싱이 잘 알려진 가능성이지만, 동일한 증상이 설정 유출, 무단 등록, 노출된 토큰, 배포 실수에서 비롯될 수도 있습니다.

짧은 답변

일부 백신(AV)/EDR 제품은 낯선 실행 파일을 클라우드 샌드박스에서 실행합니다. 샌드박스가 서버 설정이 포함된 클라이언트 빌드를 전달받아 ID 서버에 접속할 수 있다면, 짧은 시간 동안 등록될 수 있습니다. 하지만 클라우드 제공업체의 IP 주소나 낯선 하드웨어 이름만으로는 이 설명이 입증되지 않습니다. 공격자 역시 클라우드 호스트를 사용하기 때문입니다. 이 사안을 성급히 넘겨짚기 전에 증거를 보존하고 검토하세요.

자세히 살펴보기

이런 일이 발생하는 이유

RustDesk 클라이언트는 실행 중일 때 설정된 ID/랑데부 서버에 접속할 수 있으면 해당 서버에 등록됩니다. 이 때문에 공개 GitHub 스레드에서도 논의된 것처럼 샌드박스 실행이 그럴듯한 원인이 될 수 있지만, 동시에 설정된 클라이언트나 유효한 배포 자료를 입수한 사람이라면 누구든 비슷한 등록을 만들어낼 수 있다는 의미이기도 합니다.

이 이벤트를 분류하기 전에 서버의 등록 및 연결 로그, 해당 기기가 처음 감지된 시각과 소스 IP, 배포 기록, 커스텀 클라이언트의 배포 경로를 검토하세요. 노출된 비밀번호, API/배포 토큰, 서버 설정이나 키는 필요에 따라 교체하세요. 동일한 자격 증명이 다른 곳에서도 재사용되었는지, 그리고 알 수 없는 기기가 세션을 시도했거나 완료했는지 확인하세요.

등록을 막는 방법

이 문제는 콘솔 설정 두 가지로 해결할 수 있으며, 어느 쪽이 적합한지는 실제 신규 기기를 아직 활발히 온보딩하고 있는지에 따라 달라집니다.

옵션 1 — 신규 기기 등록을 완전히 비활성화. 기기 목록이 대체로 안정적이고 정기적으로 새 기기를 추가하지 않는다면, 이것이 가장 간단한 해결책입니다. Settings → Others → Disable new devices on web console으로 이동하세요. 이렇게 하면 샌드박스에 의한 등록이든 아니든 어떤 새 기기도 전혀 등록될 수 없습니다.

옵션 2 — 배포 토큰 요구. MSP가 신규 고객을 온보딩하거나 IT 팀이 새 기기에 이미지를 배포하는 등 여전히 정기적으로 신규 기기를 도입하고 있다면, 「새 기기 비활성화」라는 일괄 설정은 오히려 방해가 됩니다. 대신 Settings → Others → Require deployment for new devices를 활성화하고, API 토큰(Devices 권한을 Read and write로 설정)을 생성한 뒤, 설치 프로세스가 각 기기에서 문서화된 배포 명령을 실행하도록 하세요:

rustdesk --deploy --token <api_token>

정확한 플래그는 릴리스마다 달라질 수 있으므로 이는 예시로만 참고하고, 스크립트에 적용하기 전에 RustDesk Server Pro 문서에서 최신 문법을 확인하세요. 유효한 토큰을 제시하는 기기만 인벤토리에 추가됩니다. 샌드박스에서 실행되는 백신 검사는 이 토큰을 알거나 제공할 방법이 없으므로 등록에 실패하지만, 실제 배포 작업은 정상적으로 계속 진행됩니다. 이는 또한 MSP가 기술자가 각 기기에 직접 로그인하지 않고도 RMM이나 스크립트 설치를 통해 기기를 등록하는 데 사용하는 방식이기도 합니다.

관련된 더 좁은 범위의 제어 옵션: 등록 자체는 열어두되 검토를 마치기 전까지 미할당 기기를 화면에 보이지 않게 하고 싶다면, Settings → Others → Only admin can access unassigned devices 옵션도 있습니다. 이 옵션은 등록 자체를 막지는 않지만, 검토할 기회를 갖기 전에 나타난 항목을 일반 사용자가 보거나 건드릴 수 없게 해줍니다.

결과를 평가하는 방법

등록되었다는 사실만으로 공격자가 다른 엔드포인트를 장악했다고 증명되지는 않지만, 원인이 설명되기 전까지는 여전히 무단 활동으로 간주해야 합니다. 알려진 보안 스캔 시점과 일치하고 이후 별다른 접근이 없는 단기 등록이라면 샌드박스 가설을 뒷받침할 수 있습니다. 예기치 않은 세션, 반복적인 등록, 유효한 자격 증명의 사용, 또는 설정된 클라이언트가 의도된 배포 경로를 벗어나 유포된 경우에는 사고 대응이 필요합니다.

누가 이런 질문을 하나요

신규 서버 운영자는 IT 관리자든 MSP든, 등록 제어를 강화하기도 전에 셀프 호스팅 서버를 구축한 지 며칠 만에 이 문제를 겪곤 합니다. 무해한 스캔과 무단 등록이 콘솔에서는 비슷하게 보일 수 있기 때문에 초기 조사가 중요합니다.

관련 질문

Frequently asked questions

제가 설치한 적 없는 알 수 없는 기기가 RustDesk 콘솔에 나타나는 이유는 무엇인가요?

백신이나 엔드포인트 보호 솔루션의 샌드박싱이 일시적인 등록을 만들어낼 수 있지만, 알 수 없는 기기는 설정 유출, 노출된 배포 토큰, 무단 등록, 또는 배포 실수를 나타내는 것일 수도 있습니다. 로그, 자격 증명, 키, 토큰, 배포 기록을 통해 원인이 파악될 때까지는 이를 보안 이벤트로 취급하고, 이후 신규 기기 등록을 제한하세요.

알 수 없는 기기가 아예 등록되지 않도록 막으려면 어떻게 해야 하나요?

기기 목록이 안정적이고 정기적으로 새 기기를 추가하지 않는다면, 콘솔의 Settings → Others → Disable new devices on web console에서 신규 기기 등록을 비활성화하세요. 이후에는 샌드박스에 의한 것이든 아니든 어떤 새 기기도 등록될 수 없습니다. 여전히 정기적으로 기기를 온보딩하고 있다면, 실제 배포 작업이 계속 정상 작동하도록 대신 배포 토큰을 사용하세요.

새 기기에 배포 토큰을 요구하려면 어떻게 해야 하나요?

웹 콘솔에서 Settings → Others → Require deployment for new devices를 활성화하고, Devices 권한을 Read and write로 설정한 API 토큰을 생성한 뒤, 설치 프로세스가 각 신규 기기에서 rustdesk --deploy --token <api_token>을 실행하도록 하세요(macOS와 Linux에서는 sudo 사용). 유효한 토큰을 제시하는 기기만 등록할 수 있으므로, 샌드박스에서 실행되는 백신 검사는 스스로를 추가할 수 없는 반면 RMM이나 스크립트 배포는 정상적으로 계속 진행됩니다.

무해한 백신 스캔과 실제 침입을 어떻게 구분하나요?

알려진 보안 스캔 시점과 일치하고 이후 세션이 없는 단기 등록이라면 샌드박스라는 설명을 뒷받침할 수 있습니다. 예기치 않은 세션, 반복적인 등록, 유효한 자격 증명의 사용, 또는 설정된 클라이언트가 의도된 배포 경로를 벗어나 유포된 경우는 무해하지 않으며 사고 대응이 필요합니다.

블로그로 돌아가기
RustDesk 무인 원격 접속: 설정 가이드

RustDesk 무인 원격 접속: 설정 가이드

RustDesk 무인 원격 접속을 제대로 설정하는 방법을 안내합니다. 영구 비밀번호 설정, 부팅 시 자동으로 시작되는 서비스 실행, 그리고 사전 구성된 클라이언트를 통한 대규모 배포까지 다룹니다.

RustDesk와 원격 접속 사기: 우리의 대응

RustDesk와 원격 접속 사기: 우리의 대응

RustDesk가 Google Play에서 철수하고 경고 문구와 퍼블릭 서버 로그인 요건을 추가한 이유, 그리고 사용자가 비밀번호, 2단계 인증(2FA), IP 허용 목록으로 피제어 기기를 강화하는 방법을 설명합니다.