“20년 된 낡은 자물쇠 여전해”... 韓 NTLM 노출 자산 6.3만개 ‘빨간불’ 작성일 01-17 48 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="BJ58GdQ9mb"> <p contents-hash="b135f33f42c6096c4cc0e8305331c4b136050c01aa2d8efa59055d594d4f09d7" dmcf-pid="bJ58GdQ9wB" dmcf-ptype="general"><strong>구글 클라우드, Net-NTLMv1 프로토콜의 취약점과 공격 위험성 강력 경고 <br>쇼단 분석 결과 한국 내 6만 개 이상 자산 노출... 기업 내부망 침투의 교두보 <br>NTLMv2 또는 커버로스(Kerberos) 전환 필수... 호환성 핑계로 미루면 뚫린다</strong></p> <p contents-hash="052c16cab010d9d5ec50b2f870cca450e6b557c54c631db29992109343aed3a9" dmcf-pid="Ki16HJx2wq" dmcf-ptype="general">[보안뉴스 조재호 기자] 2026년 새해에도 ‘좀비 프로토콜’이 한국의 사이버 공간을 위협하고 있다. 마이크로소프트(MS)가 수년 전부터 사용 중단을 권고해 온 구형 인증 프로토콜 ‘Net-NTLMv1’이 여전히 국내 다수의 서버와 PC에서 작동 중인 것으로 드러났다. 특히 공격자가 미리 계산된 암호표인 ‘레인보우 테이블(Rainbow Table)’을 이용하면 반나절 안에 비밀번호를 탈취할 수 있어 즉각적인 조치가 요구된다.</p> <figure class="figure_frm origin_fig" contents-hash="08818c83d524157d8e9a7bb45b28066bf1c39f7492d632126fa8e1746adc1e64" dmcf-pid="9ntPXiMVOz" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202601/17/552815-KkymUii/20260117173943588hung.jpg" data-org-width="750" dmcf-mid="zh2DfhmjD9" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202601/17/552815-KkymUii/20260117173943588hung.jpg" width="658"></p> </figure> <div contents-hash="9fcdc1c2c7801e35899da637343caac7a7defb0d8c3636d87ee773276c913104" dmcf-pid="2LFQZnRfO7" dmcf-ptype="general"> <div> <p>[출처: gettyimagesbank]</p> </div> <br>구글 클라우드(Google Cloud)의 위협 인텔리전스 조직 맨디언트(Mandiant)는 지난 15일(현지시각) 기술 리포트를 통해 기업 환경 내 Net-NTLMv1 사용의 위험성을 다시 한번 강조했다. Net-NTLMv1은 사용자의 패스워드를 검증하는 챌린지-응답(Challenge-Response) 방식의 인증 프로토콜이나, 암호화 강도가 매우 낮은 DES 알고리즘을 사용해 현대적인 컴퓨팅 파워(최근 100만원대 PC 사양) 앞에서는 사실상 평문이나 다름없어 실질적 보호 기능을 잃었다는 지적이다. </div> <p contents-hash="eb0df845407166454993176d012ca3138ecd480e8669561a3bcd81b91c8d9d75" dmcf-pid="Vo3x5Le4Ou" dmcf-ptype="general">공격 시나리오는 단순하지만 치명적이다. 해커는 네트워크상의 인증 트래픽을 가로챈 뒤, ‘레인보우 테이블’이라 불리는 거대한 해시 데이터베이스와 대조한다. 맨디언트에 따르면, 복잡한 연산 없이 단순히 표를 찾아보는(Lookup) 것만으로도 암호를 알아낼 수 있다. 사전에 계산된 테이블을 활용하면, 무차별 대입 공격 대비 수천배 빠르게 해시값의 원문을 복원할 수 있는데, 공격자가 손쉽게 계정을 탈취하고 내부망을 장악(Lateral Movement)할 수 있다는 이야기다.</p> <p contents-hash="262f263cadcb992e09079815f545d8e4ea94dd502eb0544555a61d2b8984710a" dmcf-pid="fg0M1od8wU" dmcf-ptype="general">더 큰 문제는 이러한 취약한 자산이 국내에 광범위하게 방치되어 있다는 점이다. 2026년 1월 기준, 인터넷 연결 장치 검색 엔진인 ‘쇼단(Shodan)’을 통해 분석한 결과, NTLM 인증 정보가 노출된 국내 자산은 총 6만3673개에 달하는 것으로 파악됐다. 이 시스템 중 NTLMv1을 허용하는 경우 레인보우 테이블 공격에 직접 노출되며, NTLMv2만 허용하더라도 내부 침투 후 설정 변조를 통한 공격 대상이 될 수 있다.</p> <figure class="figure_frm origin_fig" contents-hash="3f7f4b3749732f145f143a650156b0b70ba9f22915ecd1221f39e6bc5c058f90" dmcf-pid="4apRtgJ6Op" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202601/17/552815-KkymUii/20260117173944873etyh.jpg" data-org-width="750" dmcf-mid="quIprK71IK" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202601/17/552815-KkymUii/20260117173944873etyh.jpg" width="658"></p> </figure> <div contents-hash="eda96382f09abc7504c7eae316784b8c9d81df30d751b52a2e1474ab82d20825" dmcf-pid="8NUeFaiPE0" dmcf-ptype="general"> <div> <p>▲쇼단 검색 결과 화면, 국내 NTLM 노출 자산은 6만3673개로 조회됐다. [출처: 보안뉴스]</p> </div> <br>쇼단은 전 세계에 연결된 서버, CCTV, IoT 기기 등 모든 인터넷 자산의 정보를 수집해 보여주는 검색 엔진으로, 보안 전문가들에게는 ‘취약점 점검 도구’로, 해커들에게는 ‘공격 대상을 찾는 지도’로 불린다. 즉, 누구나 쇼단에 검색어만 입력하면 보안이 허술한 한국 기업의 서버 6만여개를 식별할 수 있다는 의미다. </div> <p contents-hash="681ef4728dd330a0461528a5afe43f7df6a81968f127817bb066119a66e129f4" dmcf-pid="6ZLSdXyOw3" dmcf-ptype="general">구글 맨디언트 측은 “공격자들은 최신 보안 기술이 적용된 커버로스(Kerberos)보다 뚫기 쉬운 NTLMv1을 집요하게 노린다”며 “하위 호환성을 이유로 이를 켜두는 것은 공격자에게 뒷문을 열어주는 것과 같다”고 경고했다. </p> <p contents-hash="d58f083727747df183eebc9fcd672e05faae63effe6b9415eecb5206e683ad49" dmcf-pid="P5ovJZWIwF" dmcf-ptype="general">또, NTLMv2만 사용하도록 설정했더라도 안심할 수 없다. 맨디언트에 따르면 공격자가 내부망 침투 후 로컬 관리자 권한을 확보하면, 인증 수준을 NTLMv1으로 낮춰 공격을 수행한 뒤 설정을 원복해 흔적을 지우는 사례도 확인됐다. </p> <p contents-hash="10bf776f82c11b59320ea93cb8c0d9e6fe933e2f82cd69ee8d0ee5a8ae32bf80" dmcf-pid="Q1gTi5YCrt" dmcf-ptype="general">이에 따라 보안 전문가들은 그룹 정책(GPO)을 통해 Net-NTLMv1을 강제로 비활성화할 것을 권고했다. ‘LAN Manager 인증 수준’을 최소 ‘NTLMv2 응답만 보내기’ 이상으로 설정하거나, 가능하면 NTLM 자체를 차단하고 커버로스 인증을 전면 도입해야 한다.</p> <p contents-hash="d4ee78929a98b4ff1fed00063814226319af91dc5c01ab1221179db1d469d8fb" dmcf-pid="xtayn1Ghm1" dmcf-ptype="general">김동현 크리밋 대표는 “하위 호환성을 이유로 Net-NTLMv1을 유지할 이유가 전혀 없다”며 “구형 프린터나 레거시 ERP 때문에 기술 현대화를 미루는 기업이 많은데, 장비 교체 비용과 랜섬웨어 피해 금액을 비교해보면 답은 명확하다”고 말했다.</p> <p contents-hash="a0f2da285c68402220e55d1759918eaec5344e1553d7cabefabf9d8be7217640" dmcf-pid="yo3x5Le4m5" dmcf-ptype="general">2026년 현재, 기술적 부채(Technical Debt)를 청산하지 못한 기업은 해커들의 가장 쉬운 먹잇감이 되고 있다. 6만 개가 넘는 한국의 ‘열린 문’을 닫기 위한 결단이 필요한 시점이다.</p> </section> </div> <p class="" data-translation="true">Copyright © 보안뉴스. 무단전재 및 재배포 금지.</p> 관련자료 이전 차량에 치인 후 끌려가…키애나 언더우드, 뺑소니 사망 [IS해외연예] 01-17 다음 [2026년 보안 핫 키워드-10] AI 고도화에 따른 지능형 관제와 예측 선제 대응 보안 01-17 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
