마이크로소프트가 경고한 구형 프로토콜, 한국 기업 6만 곳 위협
마이크로소프트가 수년 전부터 사용 중단을 권고해온 구형 인증 프로토콜 Net-NTLMv1이 국내 사이버 보안에 심각한 위협으로 떠올랐다. 2026년 1월 현재, 쇼단(Shodan) 검색 엔진을 통해 확인된 결과 국내 6만3673개 자산이 NTLM 인증 정보를 외부에 노출한 채 운영되고 있는 것으로 드러났다.
이는 단순히 숫자상의 문제가 아니다. 누구나 쇼단에 특정 검색어만 입력하면 보안이 허술한 한국 기업의 서버를 식별할 수 있다는 의미로, 사실상 공격 대상 목록이 공개된 셈이다.
반나절이면 뚫린다… DES 알고리즘의 치명적 약점
구글 클라우드의 위협 인텔리전스 조직 맨디언트(Mandiant)는 Net-NTLMv1이 사용하는 DES 알고리즘이 레인보우 테이블 공격에 극도로 취약하다고 경고했다. 공격자는 사전에 계산된 해시 값 테이블을 이용해 불과 반나절 안에 비밀번호를 탈취할 수 있다.
이러한 취약점은 이론이 아닌 현실이다. 실제로 랜섬웨어 공격의 초기 침투 경로로 구형 인증 프로토콜이 악용되는 사례가 빈번히 보고되고 있다.
교원그룹 랜섬웨어 피해… 정보 유출 여부 미확인
실제 피해 사례도 속출하고 있다. 교원그룹은 지난 1월 10일 오전 8시경 랜섬웨어 피해 정황을 발견하고 즉시 개인정보보호위원회 등 관계 기관에 신고를 완료했다.
그러나 일주일이 지난 현재까지도 고객정보 유출 여부는 확인되지 않고 있다. 이는 랜섬웨어 공격이 얼마나 정교하게 이루어지고 있으며, 피해 규모를 파악하는 것조차 쉽지 않다는 점을 보여준다.
하위 호환성이라는 변명… 랜섬웨어 피해 자초
보안 전문가들은 하위 호환성을 이유로 기술 현대화를 미루는 것이 결국 랜섬웨어 피해를 자초하는 행위라고 강하게 비판하고 있다.
레거시 시스템과의 호환을 위해 구형 프로토콜을 유지하는 것이 단기적으로는 편할 수 있지만, 장기적으로는 기업의 생존을 위협하는 치명적인 보안 구멍이 된다는 것이다.
지금 당장 해야 할 보안 조치
보안 전문가들은 다음과 같은 즉각적인 조치를 권고하고 있다:
1. Net-NTLMv1 강제 비활성화
그룹 정책(Group Policy)을 통해 Net-NTLMv1을 강제로 비활성화해야 한다. 이는 기술적으로 복잡하지 않으며, 즉시 실행 가능한 조치다.
2. 커버로스 인증 전면 도입
마이크로소프트가 권장하는 커버로스(Kerberos) 인증을 전면적으로 도입해야 한다. 커버로스는 현대적이고 안전한 인증 프로토콜로, NTLM의 취약점을 근본적으로 해결할 수 있다.
3. 외부 노출 자산 점검
쇼단과 같은 검색 엔진에 자사의 NTLM 인증 정보가 노출되어 있는지 즉시 확인하고, 노출된 경우 긴급 조치를 취해야 한다.
결론: 더 이상 미룰 수 없는 보안 현대화
6만 개가 넘는 국내 자산이 구형 인증 프로토콜의 위험에 노출되어 있다는 사실은 충격적이다. 마이크로소프트가 수년 전부터 경고해왔음에도 불구하고 여전히 많은 기업들이 보안 현대화를 미루고 있는 현실이 드러난 셈이다.
랜섬웨어 공격이 날로 정교해지고 있는 지금, 구형 보안 체계를 유지하는 것은 문을 열어두고 도둑을 기다리는 것과 다름없다. 기업들은 하위 호환성이라는 명분 뒤에 숨지 말고, 지금 당장 Net-NTLMv1을 비활성화하고 커버로스 인증으로 전환해야 한다.
보안은 선택이 아닌 생존의 문제다.
#NTLM보안취약점 #랜섬웨어피해 #사이버보안 #마이크로소프트보안경고 #교원그룹랜섬웨어 #Net-NTLMv1 #커버로스인증 #기업정보보안 #개인정보유출 #IT보안