구글 클라우드, Net-NTLMv1 프로토콜의 취약점과 공격 위험성 강력 경고
쇼단 분석 결과 한국 내 6만 개 이상 자산 노출... 기업 내부망 침투의 교두보
NTLMv2 또는 커버로스(Kerberos) 전환 필수... 호환성 핑계로 미루면 뚫린다
[보안뉴스 조재호 기자] 2026년 새해에도 ‘좀비 프로토콜’이 한국의 사이버 공간을 위협하고 있다. 마이크로소프트(MS)가 수년 전부터 사용 중단을 권고해 온 구형 인증 프로토콜 ‘Net-NTLMv1’이 여전히 국내 다수의 서버와 PC에서 작동 중인 것으로 드러났다. 특히 공격자가 미리 계산된 암호표인 ‘레인보우 테이블(Rainbow Table)’을 이용하면 반나절 안에 비밀번호를 탈취할 수 있어 즉각적인 조치가 요구된다.
[출처: gettyimagesbank]
구글 클라우드(Google Cloud)의 위협 인텔리전스 조직 맨디언트(Mandiant)는 지난 15일(현지시각) 기술 리포트를 통해 기업 환경 내 Net-NTLMv1 사용의 위험성을 다시 한번 강조했다. Net-NTLMv1은 사용자의 패스워드를 검증하는 챌린지-응답(Challenge-Response) 방식의 인증 프로토콜이나, 암호화 강도가 매우 낮은 DES 알고리즘을 사용해 현대적인 컴퓨팅 파워(최근 100만원대 PC 사양) 앞에서는 사실상 평문이나 다름없어 실질적 보호 기능을 잃었다는 지적이다.
공격 시나리오는 단순하지만 치명적이다. 해커는 네트워크상의 인증 트래픽을 가로챈 뒤, ‘레인보우 테이블’이라 불리는 거대한 해시 데이터베이스와 대조한다. 맨디언트에 따르면, 복잡한 연산 없이 단순히 표를 찾아보는(Lookup) 것만으로도 암호를 알아낼 수 있다. 사전에 계산된 테이블을 활용하면, 무차별 대입 공격 대비 수천배 빠르게 해시값의 원문을 복원할 수 있는데, 공격자가 손쉽게 계정을 탈취하고 내부망을 장악(Lateral Movement)할 수 있다는 이야기다.
더 큰 문제는 이러한 취약한 자산이 국내에 광범위하게 방치되어 있다는 점이다. 2026년 1월 기준, 인터넷 연결 장치 검색 엔진인 ‘쇼단(Shodan)’을 통해 분석한 결과, NTLM 인증 정보가 노출된 국내 자산은 총 6만3673개에 달하는 것으로 파악됐다. 이 시스템 중 NTLMv1을 허용하는 경우 레인보우 테이블 공격에 직접 노출되며, NTLMv2만 허용하더라도 내부 침투 후 설정 변조를 통한 공격 대상이 될 수 있다.
▲쇼단 검색 결과 화면, 국내 NTLM 노출 자산은 6만3673개로 조회됐다. [출처: 보안뉴스]
쇼단은 전 세계에 연결된 서버, CCTV, IoT 기기 등 모든 인터넷 자산의 정보를 수집해 보여주는 검색 엔진으로, 보안 전문가들에게는 ‘취약점 점검 도구’로, 해커들에게는 ‘공격 대상을 찾는 지도’로 불린다. 즉, 누구나 쇼단에 검색어만 입력하면 보안이 허술한 한국 기업의 서버 6만여개를 식별할 수 있다는 의미다.
구글 맨디언트 측은 “공격자들은 최신 보안 기술이 적용된 커버로스(Kerberos)보다 뚫기 쉬운 NTLMv1을 집요하게 노린다”며 “하위 호환성을 이유로 이를 켜두는 것은 공격자에게 뒷문을 열어주는 것과 같다”고 경고했다.
또, NTLMv2만 사용하도록 설정했더라도 안심할 수 없다. 맨디언트에 따르면 공격자가 내부망 침투 후 로컬 관리자 권한을 확보하면, 인증 수준을 NTLMv1으로 낮춰 공격을 수행한 뒤 설정을 원복해 흔적을 지우는 사례도 확인됐다.
이에 따라 보안 전문가들은 그룹 정책(GPO)을 통해 Net-NTLMv1을 강제로 비활성화할 것을 권고했다. ‘LAN Manager 인증 수준’을 최소 ‘NTLMv2 응답만 보내기’ 이상으로 설정하거나, 가능하면 NTLM 자체를 차단하고 커버로스 인증을 전면 도입해야 한다.
김동현 크리밋 대표는 “하위 호환성을 이유로 Net-NTLMv1을 유지할 이유가 전혀 없다”며 “구형 프린터나 레거시 ERP 때문에 기술 현대화를 미루는 기업이 많은데, 장비 교체 비용과 랜섬웨어 피해 금액을 비교해보면 답은 명확하다”고 말했다.
2026년 현재, 기술적 부채(Technical Debt)를 청산하지 못한 기업은 해커들의 가장 쉬운 먹잇감이 되고 있다. 6만 개가 넘는 한국의 ‘열린 문’을 닫기 위한 결단이 필요한 시점이다.
[조재호 기자(sw@boannews.com)]
쇼단 분석 결과 한국 내 6만 개 이상 자산 노출... 기업 내부망 침투의 교두보
NTLMv2 또는 커버로스(Kerberos) 전환 필수... 호환성 핑계로 미루면 뚫린다
[보안뉴스 조재호 기자] 2026년 새해에도 ‘좀비 프로토콜’이 한국의 사이버 공간을 위협하고 있다. 마이크로소프트(MS)가 수년 전부터 사용 중단을 권고해 온 구형 인증 프로토콜 ‘Net-NTLMv1’이 여전히 국내 다수의 서버와 PC에서 작동 중인 것으로 드러났다. 특히 공격자가 미리 계산된 암호표인 ‘레인보우 테이블(Rainbow Table)’을 이용하면 반나절 안에 비밀번호를 탈취할 수 있어 즉각적인 조치가 요구된다.
[출처: gettyimagesbank]
구글 클라우드(Google Cloud)의 위협 인텔리전스 조직 맨디언트(Mandiant)는 지난 15일(현지시각) 기술 리포트를 통해 기업 환경 내 Net-NTLMv1 사용의 위험성을 다시 한번 강조했다. Net-NTLMv1은 사용자의 패스워드를 검증하는 챌린지-응답(Challenge-Response) 방식의 인증 프로토콜이나, 암호화 강도가 매우 낮은 DES 알고리즘을 사용해 현대적인 컴퓨팅 파워(최근 100만원대 PC 사양) 앞에서는 사실상 평문이나 다름없어 실질적 보호 기능을 잃었다는 지적이다.
공격 시나리오는 단순하지만 치명적이다. 해커는 네트워크상의 인증 트래픽을 가로챈 뒤, ‘레인보우 테이블’이라 불리는 거대한 해시 데이터베이스와 대조한다. 맨디언트에 따르면, 복잡한 연산 없이 단순히 표를 찾아보는(Lookup) 것만으로도 암호를 알아낼 수 있다. 사전에 계산된 테이블을 활용하면, 무차별 대입 공격 대비 수천배 빠르게 해시값의 원문을 복원할 수 있는데, 공격자가 손쉽게 계정을 탈취하고 내부망을 장악(Lateral Movement)할 수 있다는 이야기다.
더 큰 문제는 이러한 취약한 자산이 국내에 광범위하게 방치되어 있다는 점이다. 2026년 1월 기준, 인터넷 연결 장치 검색 엔진인 ‘쇼단(Shodan)’을 통해 분석한 결과, NTLM 인증 정보가 노출된 국내 자산은 총 6만3673개에 달하는 것으로 파악됐다. 이 시스템 중 NTLMv1을 허용하는 경우 레인보우 테이블 공격에 직접 노출되며, NTLMv2만 허용하더라도 내부 침투 후 설정 변조를 통한 공격 대상이 될 수 있다.
▲쇼단 검색 결과 화면, 국내 NTLM 노출 자산은 6만3673개로 조회됐다. [출처: 보안뉴스]
쇼단은 전 세계에 연결된 서버, CCTV, IoT 기기 등 모든 인터넷 자산의 정보를 수집해 보여주는 검색 엔진으로, 보안 전문가들에게는 ‘취약점 점검 도구’로, 해커들에게는 ‘공격 대상을 찾는 지도’로 불린다. 즉, 누구나 쇼단에 검색어만 입력하면 보안이 허술한 한국 기업의 서버 6만여개를 식별할 수 있다는 의미다.
구글 맨디언트 측은 “공격자들은 최신 보안 기술이 적용된 커버로스(Kerberos)보다 뚫기 쉬운 NTLMv1을 집요하게 노린다”며 “하위 호환성을 이유로 이를 켜두는 것은 공격자에게 뒷문을 열어주는 것과 같다”고 경고했다.
또, NTLMv2만 사용하도록 설정했더라도 안심할 수 없다. 맨디언트에 따르면 공격자가 내부망 침투 후 로컬 관리자 권한을 확보하면, 인증 수준을 NTLMv1으로 낮춰 공격을 수행한 뒤 설정을 원복해 흔적을 지우는 사례도 확인됐다.
이에 따라 보안 전문가들은 그룹 정책(GPO)을 통해 Net-NTLMv1을 강제로 비활성화할 것을 권고했다. ‘LAN Manager 인증 수준’을 최소 ‘NTLMv2 응답만 보내기’ 이상으로 설정하거나, 가능하면 NTLM 자체를 차단하고 커버로스 인증을 전면 도입해야 한다.
김동현 크리밋 대표는 “하위 호환성을 이유로 Net-NTLMv1을 유지할 이유가 전혀 없다”며 “구형 프린터나 레거시 ERP 때문에 기술 현대화를 미루는 기업이 많은데, 장비 교체 비용과 랜섬웨어 피해 금액을 비교해보면 답은 명확하다”고 말했다.
2026년 현재, 기술적 부채(Technical Debt)를 청산하지 못한 기업은 해커들의 가장 쉬운 먹잇감이 되고 있다. 6만 개가 넘는 한국의 ‘열린 문’을 닫기 위한 결단이 필요한 시점이다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
