제로 데이 위협으로부터 Windows NTLM 자격 증명을 보호하는 방법

Windows 장치는 기본적으로 활성화된 NTLM이라는 오래된 로그인 방법을 사용합니다. 악성 코드 공격이 발생할 경우, 해커에게 시스템 비밀번호가 노출될 수 있습니다. 해커는 다양한 형태의 중간자 공격을 사용하여 Windows 로그인 정보를 훔칠 수 있습니다. 다행히도 몇 가지 간단한 NTLM 설정 변경을 통해 Windows NTLM 자격 증명을 제로 데이 위협으로부터 보호할 수 있습니다.

Windows NTLM 위협이 비밀번호를 훔치는 방법

NTLM (NT LAN Manager)은 여전히 많은 Windows 장치에서 사용되는 오래된 인증 방법입니다. 이는 비밀번호를 코드(해시)로 변환하여 네트워크를 통해 비밀번호를 전송하지 않고 사용자 확인을 수행합니다. 그러나 PC가 손상되면 로그인 비밀번호가 공격자에게 노출되므로 이 방법은 안전하지 않습니다.

2025년 4월, 보안 연구원 Check Point는 “CVE-2025-24054”라는 취약점을 통한 NTLM 해시 노출에 대해 블로그를 게시했습니다. 그들의 주장에 따르면, 이는 폴란드와 루마니아의 정부 및 기업 사용자를 대상으로 하는 지속적인 사이버 공격입니다. 공격자는 pass-the-hash (PtH), 레인보우 테이블 및 릴레이 공격을 포함한 다양한 유형의 중간자 공격을 사용하고 있습니다. 그들의 주요 목표는 특권 사용자 또는 관리자입니다.

NTLM 공격은 종종 기업과 정부를 표적으로 삼지만, 가정용 사용자도 취약합니다. 악성 파일과 상호작용하는 것만으로도 시스템 비밀번호가 누출될 수 있습니다.

Microsoft는 CVE-2025-24054에 대한 보안 패치를 발표했습니다. 그러므로 이러한 공격을 방지하려면 항상 Windows 시스템을 최신 상태로 유지하는 것이 좋습니다. 그 외에도 할 수 있는 몇 가지 다른 방법이 있습니다.

1. PowerShell을 통해 NTLM 인증 비활성화

관리자 모드에서 PowerShell을 열고 다음을 입력합니다. 타겟 SMB 클라이언트 구성을 수정할 것인지에 대한 질문이 나타납니다. 이 경우 A를 클릭하십시오.

Set-SMBClientConfiguration -BlockNTLM $true

SMB를 통한 NTLM 차단은 최신 Windows 장치에 영향을 주지 않습니다. 그러나 구형 프린터, NAS 서버 또는 기타 레거시 장치에서 문제가 발생하는 경우 언제든지 NTLM을 SMB로 허용하도록 다시 전환할 수 있습니다.

Set-SMBClientConfiguration -BlockNTLM $false

서버 메시지 블록(SMB)은 파일 공유 및 네트워크 연결에 사용됩니다. 이는 PtH, 릴레이 공격 및 기타 중간자 공격에 가장 일반적으로 사용되는 연결 중 하나입니다. SMB를 통한 NTLM을 차단함으로써 공격자에게 주요 게이트웨이를 제거하는 것입니다.

2. 레지스트리 편집기에서 구형 NTLM 프로토콜 비활성화

많은 Windows 세션은 현재 “Kerberos”에서 호스팅됩니다. Kerberos는 티켓 기반 암호화 인증을 사용하는 매우 안전한 프로토콜입니다. 그러나 많은 용도가 있는 NTLM을 완전히 비활성화할 필요는 없습니다. 대신 NTLMv1 대신 보다 안전한 NTLMv2 프로토콜로 전환하겠습니다.

이 작업은 레지스트리 편집기에서 수행할 수 있습니다. 먼저 레지스트리를 백업하십시오. 다음으로 관리자 모드에서 레지스트리 편집기를 열고 다음 경로로 이동합니다:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

“로컬 보안 권한”(Lsa)의 레지스트리 키 아래에서 네트워크 보안 LAN 관리자 인증 수준 값인 “LmCompatibilityLevel”로 이동합니다. 없다면 위의 이미지처럼 Lsa 아래에 D-WORD(32비트)를 생성합니다.

“LmCompatibilityLevel”을 두 번 클릭하여 엽니다. 기본값으로 “0”이 표시됩니다. 이를 “3”, “4” 또는 “5”로 설정하면 Windows 장치가 NTLMv2 응답만을 보내고 모든 레거시 NTLMv1 응답을 차단합니다.

위의 변경을 한 후 다음 경로로 이동하십시오:

COMPUTER\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters

여기에서 “RequireSecuritySignature” 또는 “EnableSecuritySignature”라는 D-WORD 값을 찾습니다. 그 기본값은 “1”이어야 합니다. 만약 그렇지 않다면 “1”로 변경하십시오. 이렇게 하면 모든 향후 SMB 연결에서 SMB 보안 서명을 요구하게 됩니다. 이는 귀하의 장치 자격 증명이 도난당하는 것을 방지합니다.

3. Windows 보안에서 클라우드 보호 유지

위의 레지스트리 변경은 무해합니다. 하지만 이를 원하지 않는 경우 온라인에서 발생하는 피싱 공격과 같은 모든 위협을 방지하는 새로운 Windows 보안 기능을 통해 장치를 보호할 수 있습니다. 이는 바이러스 및 위협 보호 -> 설정 관리 -> 클라우드 제공 보호에서 접근할 수 있습니다.

관련: Microsoft Defender와 같은 엔드포인트 보호 프로그램에 대한 접근 권한을 가지면 제로 아워 위협으로부터 추가적인 보호를 받을 수 있습니다.

4. 기타 보안 조치

Microsoft는 NTLM 자격 증명 도난의 희생자가 되지 않기 위해 다음과 같은 추가 보안 메커니즘을 권장합니다:

• 다단계 인증 활성화: 다단계 인증 메커니즘을 통해 비밀번호 및 PIN 기반 로그인 보안을 강화할 수 있습니다. 설정 -> 계정 -> 로그인 옵션으로 이동하십시오. 여기에서 Windows Hello와 USB 장치를 사용한 물리적 보안 키 생성과 같은 다양한 옵션을 찾을 수 있습니다.
• 의심스러운 링크 클릭을 피하십시오: NTLM 악성 코드는 일반적으로 악성 링크를 통해 전파됩니다. 비록 Windows 보안에 의해 차단될 수 있지만, 이러한 원격 공격에 대해 위험을 감수할 이유가 없습니다. 악성 메시지를 감지하고 피하는 방법에 대한 자세한 가이드를 확인하십시오.