마이크로소프트(MS)가 최근 배포한 7월 보안 업데이트로 인해 원격 데스크탑 연결이 중단되는 문제가 발생했다. 이번 문제는 레거시 RPC over HTTP 프로토콜을 사용하는 원격 데스크탑 게이트웨이(RD Gateway)를 구성한 조직에서 주로 나타났다.
이번 문제로 인해 원격 데스크탑 연결이 약 30분마다 끊기며 사용자들은 다시 서버에 연결해야 하는 상황이 반복되었다. 해당 문제는 시스템 이벤트 로그에서 0xc0000005 예외 코드와 함께 이벤트 1000으로 기록되며, RD 게이트웨이 서비스 종료 이슈로 알려졌다.
여러 관리자들이 이번 업데이트 후 RD Gateway 서비스가 30분마다 중단된다고 보고했다.
한 관리자는 "우리는 500명 이상의 사용자에게 애플리케이션을 제공하고 있으며, 엄청난 시간과 비용 손실이 있었다. 이번 업데이트를 제거하니 문제가 완전히 해결되었다"고 밝혔다.
다른 관리자도 "2019 서버에 패치를 적용한 후 RD Gateway 문제가 발생했다. 하루 종일 무작위로 대규모 연결 끊김이 발생했으며, 이벤트 로그에는 서비스 재시작 외에 별다른 정보가 없었다"고 말했다.
이번 문제는 다음과 같은 윈도우 서버 버전과 보안 업데이트에서 발생했다:
- Windows Server 2022 (KB5040437)
- Windows Server 2019 (KB5040430)
- Windows Server 2016 (KB5040434)
- Windows Server 2012 R2 (KB5040456)
- Windows Server 2012 (KB5040485)
MS는 현재 원격 데스크탑 연결 실패를 완화하기 위한 수정 작업을 진행 중이며, 임시 해결책으로 두 가지 방법을 제시했다.
첫 번째는 RD Gateway를 통해 파이프 및 포트 \pipe\RpcProxy\3388 연결을 차단하는 것이다. 두 번째는 윈도우 레지스트리 편집기를 사용하여 Terminal Server Client 아래 RDGClientTransport 레지스트리 키를 편집하고, 'DWORD' 키를 찾아 'Value Data' 필드를 '0x0'으로 설정하는 것이다. 레지스트리를 수정하기 전에 백업을 만들어 문제가 발생했을 때 쉽게 복원할 수 있도록 하는 것이 중요하다.
이와 같은 문제는 이번이 처음이 아니다. MS는 2022년 6월 보안 업데이트 후에도 RRAS를 사용하는 서버에서 RDP 및 VPN 연결 문제가 발생한 바 있으며, 2022년 1월에도 원격 데스크탑 연결 및 성능 문제를 해결하기 위해 긴급 업데이트를 배포한 적이 있다.
심각한 영향을 받은 경우 문제가 해결될 때까지 문제 업데이트를 롤백하는 것이 가장 현실적인 해결책일 수 있다.
최근 크라우드스트라이크 등 보안 관련 업데이트에서 지속적으로 사고가 발생하고 있어, 업데이트시 테스트 과정을 철저히 해야한다는 목소리가 높다.