- 공격 방어 솔루션(보안 소프트웨어)에서 기록된 MAC
- 실제 외부 공격자의 MAC 주소는 내부에서 알 수 없습니다.
- 방화벽이나 엔드포인트 보안 솔루션은 패킷을 수신한 **내부 NIC(네트워크 인터페이스 카드)**의 MAC을 로그에 기록하는 경우가 많습니다.
- 따라서 모든 공격 로그에 같은 MAC이 찍히는 것은 공격자의 MAC이 아니라, 서버/PC의 NIC MAC일 가능성이 높습니다.
- RDP 브루트포스 공격 특성
- RDP(3389 포트) 공격은 보통 봇넷에서 여러 IP를 사용해 동시에 시도합니다.
- 이때 각각 다른 공격 IP가 찍히지만, 내부 장비 입장에서는 동일한 인터페이스로 수신하므로 MAC 주소는 같게 표시됩니다.
- 만약 외부 MAC이 보이는 경우
- NAT나 ISP 장비 구간에서 기록되는 특수 케이스일 수 있으나, 일반적으로는 불가능합니다.
- 즉, 이 경우도 내부 장비의 MAC이 찍혔을 가능성이 매우 높습니다.
📌 결론
- 공격자의 MAC 주소를 알 수 있는 것은 아니다.
- 로그에 보이는
70-30-5D-BE-1F-1C는 공격자 MAC이 아니라 당신 서버의 NIC(또는 방화벽 장비)의 MAC일 가능성이 높습니다. - 공격 IP가 다양한 것은 정상적인 RDP 브루트포스 패턴입니다. (봇넷에서 수백·수천 개 IP를 동원)
📌 대응 방안
- RDP 직접 노출 차단
- 방화벽에서 3389 포트 외부 접근 차단.
- VPN이나 전용 게이트웨이 통해서만 RDP 접속 허용.
- Fail2Ban / IDS 활용
- 여러 번 로그인 실패 시 자동 차단.
- 이미 탐지된 IP 대역(92.63.x.x, 185.156.x.x, 80.66.x.x 등)은 블랙리스트 추가.
- 보안 점검
- 관리자 계정 이름 변경 (기본
Administrator사용 금지). - 강력한 비밀번호 + MFA(다중 인증) 적용.
- 관리자 계정 이름 변경 (기본
👉 정리하면:
공격 IP는 봇넷에서 계속 바뀌고, MAC이 같아 보이는 것은 공격자가 같은 MAC을 쓰는 게 아니라 서버 측 NIC MAC이 찍히는 것이에요.