30년 만에 마이크로소프트가 NTLM을 포기하다... 그 이유는?

기술
By 메르완 레다

NTLM(New Technology LAN Manager)은 30년 이상 윈도우의 핵심 인증 프로토콜로 자리매김해 왔습니다. NTLM은 기업들이 기존 LAN Manager 인증 방식에서 최신 엔터프라이즈 네트워크로 전환하는 데 도움을 주었습니다.

하지만 시대는 변했습니다. 그렇게 발표되었습니다. Microsoft 최근 마이크로소프트는 새로운 버전의 윈도우에서 NTLM 프로토콜을 기본적으로 비활성화할 계획을 발표했습니다. 이는 1993년 출시 이후 조직 인증 방식으로 사용되어 온 NTLM 프로토콜의 사용이 종료됨을 의미합니다.

마이크로소프트, NTLM 인증 프로토콜 비활성화

이러한 변화는 기존의 보안 모델이 오늘날의 "불신이 지배하는" 세상에 더 이상 적합하지 않다는 것을 시사합니다. 다음은 NTLM이 단종되고 Kerberos로 대체된 이유에 대한 분석입니다.

NTLM에 대한 간략한 요약

NTLM(Network Management for New Technology) LAN은 기업 네트워크가 비교적 규모가 작고 사무실이라는 물리적 경계 내에 국한되어 있던 1990년대에 개발되었습니다. 또한, NTLM은 챌린지-응답 인증 프로토콜로서, 암호를 네트워크를 통해 전송하는 대신 해시된 암호를 사용합니다.

NTLM은 중앙 도메인 컨트롤러가 없는 로컬 네트워크 환경이나 도메인이 아닌 작업 그룹에서 장치가 사용되는 환경에 더 적합했습니다.

하지만 NTLM은 하이브리드 네트워크, 원격 근무 환경, 클라우드 기반 환경 및 최신 위협에 맞춰 특별히 설계된 것은 아닙니다. 이러한 한계에도 불구하고 NTLM이 완전히 사라지는 것은 아닙니다. Kerberos를 사용할 수 없을 때 백업 인증 방법으로 사용될 것입니다.

마이크로소프트는 왜 NTLM 지원을 종료하는 걸까요?

마이크로소프트가 NTLM 가상 머신을 비활성화하기로 한 결정은 한 가지 중요한 현실에 기인합니다. 바로 NTLM이 현대적인 기준에서 근본적으로 안전하지 않다는 것입니다. 그 이유를 몇 가지 살펴보겠습니다.

  • NTLM은 취약한 암호화 방식을 사용하며, 최신 해킹 기술에 민감한 구식 해시 함수에 크게 의존합니다. Hashcat, John the Ripper, Rainbow Tables와 같은 도구를 사용하면 해커는 NTLM 해시에서 암호를 쉽게 추출할 수 있습니다.
  • 이 프로토콜은 하이재킹 공격에 취약합니다. 하이재킹 공격에서 공격자는 사용자를 속여 악성 서버에 인증하도록 유도합니다. 인증 요청을 가로채면 공격자는 이를 다른 서버로 리디렉션하여 무단 접근 권한을 획득합니다. 이와 대조적으로, 케르베로스는 이러한 악용을 방지하도록 특별히 설계되었습니다.
  • NTLM은 오래전에 설계되었기 때문에 제로 트러스트 보안, 클라우드 ID 관리 또는 다중 요소 인증(MFA)과 같은 최신 보안 모델을 지원하지 않습니다.

Kerberos 인증은 NTLM 인증과 어떻게 다른 방식으로 작동하나요?

케르베로스 입력

NTLM에서 사용하는 암호 해싱 교환 시스템과는 달리, Kerberos 티켓 기반 인증 시스템입니다. 모든 규모의 조직에 보안 솔루션을 제공합니다. Windows 2000부터 도메인에 연결된 모든 Windows 장치의 기본 인증 프로토콜이 되었습니다.

이 프로토콜은 대칭 키 암호화와 키 배포 센터(KDC)를 사용하여 사용자 신원을 확인합니다. KDC는 티켓팅 시스템(TGS), 암호 저장을 위한 케르베로스 데이터베이스, 그리고 인증 서버로 구성됩니다.

초기 인증 과정에서 케르베로스 프로토콜은 선택된 티켓을 최종 사용자의 장치에 저장합니다. 서비스는 암호를 검색하는 대신 이 티켓을 검증합니다. 따라서 케르베로스 인증은 KDC(키 도메인 컨트롤러)가 호스트, 사용자 또는 서비스를 검증할 권한을 가진 자체 환경 내에서 이루어집니다.

케르베로스를 선택하는 이유는 무엇인가요?

케르베로스를 사용하는 주요 장점 중 하나는 상호 인증입니다. 케르베로스를 통해 사용자와 다른 서비스 시스템은 서로를 검증할 수 있습니다. 전체 과정에서 서버와 사용자는 서로의 신뢰성을 확인할 수 있습니다.

또한, 각 티켓에는 타임스탬프와 유효 기간 데이터가 포함되어 있으며, 관리자는 인증 기간을 제어할 수 있습니다. 재사용 가능한 인증 시스템을 통해 각 사용자는 케르베로스 프로토콜을 통해 한 번만 인증을 받으면 됩니다. 이후에는 사용자가 개인 정보를 다시 입력할 필요가 없습니다.

 

메르완 레다 2632 게시물 0 코멘트
아래 ICO도 확인해 보세요 작성자의 추가 정보

댓글이 닫혀있다.