인증 기술은 오래되면 될수록 도리어 위협이 된다. MS의 유명 인증 기술인 NTLM은 역사의 한 획을 그었을 정도로 중요한 기술이지만 역사책 안에서만 그렇다. 현역으로 쓰기에는 문제가 많다.

3줄 요약
1. 90년대 초반에 개발된 인증 메커니즘이 아직도 사용됨.
2. 없애려는 노력 활발하나, 그 노력 무산시키는 게 가능.
3. 사용 현황 파악하여 없애고, 새 메커니즘 도입이 정답.

[보안뉴스 문가용 기자] 오래된 보안 프로토콜 중 하나인 NTLM의 첫 번째 버전이 여전히 악용될 수 있다는 연구 결과가 발표됐다. MS로부터 시작해 수많은 기업들이 없애려고 노력하는 바로 그 첫 버전이 여전히 살아있어 공격 통로가 된다니 무슨 말일까?


[이미지 = gettyimagesbank]

NTLM 1과 2
보안 업체 실버포트(Silverfort)는 “NTLM의 첫 번째 버전(NTLMv1)은 1993년, 보안 인식이 지금보다 현저히 낮았을 때 MS가 개발했다”고 설명한다. 태생적으로 보안에 취약할 수밖에 없었다는 뜻이다. “특히 NTLM 릴레이 공격이라는 것이 개발된 이후 NTLM은 본격적으로 몰락하기 시작했습니다.”

그래서 나온 것이 NTLMv2이다. “암호화 방식이 강화되고, 인증을 위해 요구되는 정보가 늘어나는 등 보안이 강화된 것이 특징입니다. 하지만 NTLM 자체가 오래된 프로토콜이라는 한계점을 극복할 수는 없었습니다. 보다 최신 인증 방식으로 대체하는 것이 낫습니다.”

실버포트가 NTLM을 아예 버리라고 요구하는 데에는 이유가 있다. “액티브 디렉토리(Active Directory, AD) 사용자 계정의 64%가 NTLM을 통해 정기적으로 인증을 진행하고 있습니다. MS가 이미 폐기했을 정도로 약점이 많은 프로토콜인데 액티브 디렉토리와는 그리 밀접한 관계를 유지하고 있는 게 모순이긴 합니다. 이걸 이미 많은 조직들이 알고 있고, 그래서 NTLMv1 때문에 발생하는 문제들을 해결하기 위해 각종 보안 정책들을 도입하고 있습니다. 하지만 이런 정책들을 여전히 우회할 수 있으며, 따라서 NTLMv1이 가지고 있던 보안 취약점을 악용할 수 있게 됩니다. 성공한 공격자는 횡적 이동과 권한 상승을 할 수 있습니다.”

참고로 현재 액티브 디렉토리에서 사용자 인증 표준으로 자리를 잡은 것은 NTLM이 아니다. NTLM의 취약점들과 공략 기법이 발굴된 이후부터는 케르베로스(Kerberos)라는 인증 방식이 대세로 남아 있다. “하지만 NTLM 인증만을 지원하는 레거시 시스템들을 운영하는 조직들이 여전히 존재하며, 이 때문에 NTLM은 죽지 않고 살아있습니다.”

NTLMv1, 죽여도 죽지 않아
NTLM의 개발사인 MS도 진작부터 NTLM의 문제점을 인지하고 있었고, 지난 수십년 동안 더 안전한 인 방식을 도입하기 위해 여러 가지 조치를 취해 왔다. 2024년 12월에는 NTLM 개발 중단을 공식적으로 발표하기도 했다. “NTLM이 보안에 있어 암적인 존재라는 걸 확실하게 짚고 넘어간 것이죠. 하지만 그렇다고 해서 실제 현장에서 NTLM이 곧 사라질 지는 아직 의문입니다. 그런 가운데 NTLMv1을 익스플로잇 하는 공격이 여전히 가능하다는 게 발견된 것입니다.”

실버포트는 NTLM의 여러 특성(혹은 약점)들을 이용해 NTLMv1이 정책적으로 비활성화 된 상태에서도 여전히 사용되도록 할 수 있는지 연구를 진행했고, 결국 성공했다고 한다. “그룹 정책으로 NTLMv1알 막아둔다 하더라도 데이터를 구조화 하고 악성 애플리케이션을 적절히 활용한다면 그러한 차단 정책들을 우회하는 게 가능하다는 걸 증명할 수 있었습니다.” 다만 그 방법은 안전을 위해 당분간 상세히 공개되지 않을 예정이라고 한다.

다만 NTML 문제로 위험해질 수 있는 부류를 크게 두 가지로 꼽고는 있다. “서드파티 또는 자체 개발한 온프레미스 애플리케이션을 사용하는 조직이 하나입니다. 다른 하나는, 특정 애플리케이션을 조직 차원에서 사용하는데, 그 애플리케이션을 윈도만이 아니라 여러 OS와 연결하여 사용하는 조직입니다. 이런 경우 공격자는 사용자 크리덴셜을 오프라인 상에서 크랙할 수 있고, 이를 통해 횡적 이동 및 권한 상승 공격을 할 수 있게 됩니다.”

실버포트는 자신들의 주장을 실험실에서 구현하는 데 성공했고, 개념 증명까지 완료해 MS에 은밀히 제보했다. MS는 윈도 11 버전 24H2와 윈도 서버 2025부터 수정 및 보완 사항을 적용할 것이라고 알려 왔다. “조직 내에 NTLM이 사용되고 있다면(첫 번째 버전이든 두 번째 버전이든) 윈도 업데이트 상황을 유심히 모니터링해야 할 것입니다.”

그래서?
NTLM은 역사적으로 중요한 인증 메커니즘이었다. 하지만 지금은 오히려 상당한 보안 위협으로 간주되고 있다. 현대적 보안 기능이 부재해 공격자들의 ‘쉬운 표적’으로 전락한 지 오래이기 때문이다. 특히 NTLMv1의 경우, 쉽게 익스플로잇 될 수 있으며, 공격자에게 무단 침입 및 데이터 접근을 허용해주기도 한다. 따라서 NTLMv2로의 업그레이드가 요구되고 있긴 하나, 사실 그것마저도 최적의 권장 사항은 아니다.

NTLM의 개발사인 MS는 NTLMv1을 폐지하기 위해 그룹 정책 메커니즘을 고안해 확산시키고 있지만, 이 역시 안전한 방법은 아니라는 사실이 이번 실버포트의 연구로 드러났다. 즉 “MS가 고안한 방법”이라고 해서 맹신하는 게 답이 될 수 없다는 것이다. NTLM이 사용되고 있는 현황을 파악하여 보다 현대화 된 인증 메커니즘으로 대체하는 게 더 안전하다. 이를 실버포트 측은 4단계로 정리해 권하고 있다.

1) 도메인 내 모든 NTLM 인증에 대한 감사 로그를 활성화 한다.
2) NTLM 인증을 기본 인증 또는 대체 인증 방식으로 사용하는 모든 애플리케이션을 파악해 매핑한다.
3) 클라이언트에게 NTLMv1 메시지를 사용하도록 요청하는 취약 애플리케이션을 파악해둔다.
4) NTLM을 현대적인 인증 방식으로 바꾼다.

NTLM 버전 1과 2에 대한 보다 상세한 내용과, 각 버전의 보안 취약점과 개선점, 실버포트의 익스플로잇 공격이 성공하게 된 기술적 배경과 특성은 이번 주 23일에 발행되는 프리미엄 리포트 내 확장판을 통해 공개될 예정입니다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>