제로데이 보안 위협으로부터 Windows NTLM 자격 증명 보호

제로데이 보안 위협으로부터 Windows NTLM 자격 증명 보호

기존 NTLM(NT LAN Manager) 인증 프로토콜은 Windows 기기에서 여전히 널리 사용되고 있지만, 심각한 사이버 보안 위험을 초래합니다.기본적으로 활성화된 NTLM은 취약점으로 작용하여 맬웨어 공격 시 시스템 비밀번호가 노출될 수 있습니다.공격자는 정교한 중간자 공격(MitM) 기법을 사용하여 이러한 취약점을 악용하는 경우가 많으므로, 사용자는 NTLM 자격 증명을 보호하기 위한 적극적인 조치를 취하는 것이 매우 중요합니다.

NTLM 위협 이해

NTLM은 비밀번호를 해시된 형식으로 변환하여 네트워크를 통해 실제 비밀번호를 전송하지 않고도 확인할 수 있도록 합니다.하지만 이 방법은 공격에 취약합니다.악성코드가 시스템에 침투하면 비밀번호가 쉽게 유출될 수 있습니다.

체크포인트 보안 연구원들은 최근 취약점을 강조하며, 폴란드와 루마니아 전역의 정부 및 기업 부문에서 주로 중요 데이터를 노리는 지속적인 사이버 위협으로 이어진 “CVE-2025-24054” 취약점에 대해 자세히 설명했습니다.공격자들은 해시 패스(PtH), 레인보우 테이블, 릴레이 공격 등 다양한 기법을 사용하여 주로 상위 관리자 계정을 노리고 있습니다.

이러한 공격은 종종 조직을 대상으로 하지만, 개인 사용자도 예외는 아닙니다.악성 파일과의 간단한 상호작용만으로도 비밀번호가 노출될 수 있습니다.따라서 Windows 시스템을 정기적으로 업데이트하는 것이 매우 중요합니다. Microsoft는 이러한 유형의 악용을 차단하기 위한 보안 업데이트를 발표했습니다.

1. PowerShell을 사용하여 NTLM 인증 비활성화

NTLM 관련 위험으로부터 방어력을 강화하려면 먼저 PowerShell을 통해 NTLM 인증을 비활성화하세요.다음 단계를 따르세요.

  1. 관리자 모드에서 PowerShell을 실행합니다.
  2. SMB(서버 메시지 블록)를 통한 NTLM 사용을 차단하려면 다음 명령을 실행하세요.

Set-SMBClientConfiguration -BlockNTLM $true

NTLM 공격으로부터 보호하기 위해 PowerShell에서 대상 SMB 클라이언트 구성을 수정합니다.

A를 눌러 수정 사항을 확인하세요. SMB를 통해 NTLM을 차단하면 PtH 및 릴레이 공격에 대한 취약성을 크게 줄일 수 있지만, NTLM을 사용하는 구형 장치에는 영향을 미칠 수 있습니다.

호환성 문제가 발생하는 경우 다음을 사용하여 설정을 되돌리세요.

Set-SMBClientConfiguration -BlockNTLM $false

2.레지스트리 편집기에서 NTLMv2로 전환

보안 강화를 위해서는 기존 NTLM에서 더욱 안전한 NTLMv2로 전환하는 것이 중요합니다.먼저 레지스트리를 백업하고 레지스트리 편집기를 관리자 권한으로 실행하세요.다음 경로로 이동하세요.

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Lsa(로컬 보안 기관) 레지스트리 키 및

LmCompatibilityLevel DWORD 값을 찾거나 만드세요. NTLMv2 응답만 전송되도록 하려면 이 값을 “3”, “4” 또는 “5”로 설정하여 NTLMv1을 효과적으로 차단하세요.

다음으로, 다음 레지스트리 경로를 조정하세요.

COMPUTER\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters

RequireSecuritySignature DWORD가 “1”로 설정되어 있는지 확인하세요.이렇게 설정하면 SMB 연결에 보안 서명이 의무화되어 자격 증명 도용에 대한 보호 계층이 추가됩니다.

3. Windows 보안에서 클라우드 보호 활성화

레지스트리를 수정하지 않으려는 경우, 기본 제공 Windows 보안 기능을 활용하면 온라인 위협으로부터 상당한 보호 효과를 얻을 수 있습니다.이 기능을 사용하려면 ‘바이러스 및 위협 방지’ > ‘설정 관리’ > ‘클라우드 기반 보호’ 로 이동하세요.

Windows 보안에서 클라우드 기반 보호 기능 활성화.

4.추가 보안 조치 탐색

앞서 언급한 단계 외에도 NTLM 자격 증명 도용에 대한 방어를 강화하기 위해 Microsoft에서 권장하는 다음과 같은 사항을 고려해 보세요.

  • 의심스러운 링크 피하기: 많은 NTLM 관련 위협은 클릭베이트나 악성 링크를 통해 확산됩니다. Windows 보안에서 이러한 위협을 감지하더라도 노출을 최소화하기 위해 주의를 기울이십시오.
  • 정기적으로 시스템을 업데이트하세요. 새로 발견된 취약점으로부터 보호하기 위해 Windows 업데이트를 지속적으로 확인하고 적용하세요.
  • 다중 요소 인증(MFA) 활용: MFA를 구현하면 보호 계층이 한 단계 더 강화되어 무단 액세스가 훨씬 더 어려워집니다.
  • 자신과 다른 사람들을 교육하세요. 소셜 엔지니어링 전략과 피싱 계획을 알고 있으면 실수로 노출되는 것을 방지하는 데 도움이 될 수 있습니다.

이러한 중요한 단계를 수행하면 Windows NTLM 자격 증명이 손상될 가능성이 크게 줄어들어 전반적인 시스템 보안이 향상됩니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다