Ⅰ. LAN Manager란?
1980년대 Microsoft가 IBM과 함께 개발한 초기 네트워크 운영체제 LAN Manager에서 비롯된 인증 프로토콜입니다. Windows 네트워크 환경에서 파일 공유, 프린터, 도메인 리소스에 접근할 때 신원을 증명하는 메커니즘으로 사용되었으며, 이후 NTLM → NTLMv2로 진화해 왔습니다. 오늘날 "LAN Manager 인증"이라는 표현은 넓은 의미로 LM / NTLM / NTLMv2 세 가지 프로토콜 계열 전체를 통칭하는 경우가 많습니다.
Ⅱ. LM / NTLM / NTLMv2 비교
세 프로토콜은 같은 "Challenge-Response" 방식을 기반으로 하지만, 해시 알고리즘과 보안 강도가 크게 다릅니다.
ⅰ. Challenge-Response 기본 흐름
중요한 포인트는 패스워드 자체를 전송하지 않고, 해시 기반 응답값을 전송한다는 점입니다. 그러나 이 응답값이 캡처되면 오프라인 크래킹이나 릴레이 공격에 악용될 수 있습니다.
ⅱ. 프로토콜별 상세 비교
| 구분 | LM | NTLMv1 (NT LAN Manager) |
NTLMv2 |
| 등장 시기 | 1980년대 | Windows NT 3.1 | Windows NT SP4(1998) |
| 해시 알고리즘 | DES (7자씩 분할) | MD4 (전체 패스워드) | HMAC-MD5 |
| 대소문자 구분 | X (모두 대문자 변환) | O | O |
| 최대 패스워드 길이 | 14자 제한 | 제한 없음 | 제한 없음 |
| 솔트(Salt) 적용 | X | X | O(Nonce 기반 부분 솔트) |
| 주요 취약점 분할 | DES → 쉽게 크래킹, Pass-the-Hash | Pass-the-Hash, 릴레이 공격 | 릴레이 공격 여전히 가능 |
| 현재 상태 | Vista 이후 기본 비활성화 | 취약, 사용 자제 권고 | 현재 Windows 기본 프로토콜 |
ⅲ. LM Hash의 치명적 약점
LM은 패스워드를 7자씩 두 덩이로 나눠 각각 DES 암호화하기 때문에, 15자 패스워드도 결국 "7자 + 7자 + 공백 패딩"으로 분리되어 해킹 난이도가 크게 낮아집니다. 또한 모두 대문자로 변환해 경우의 수도 줄어듭니다.
Ⅲ. LAN Manager 인증 수준 정책
Windows 그룹 정책(GPO)의 Network security: LAN Manager authentication level 설정으로 인증 프로토콜 수준을 제어합니다.
ⅰ. 정책 위치
| 컴퓨터 구성 → Windows 설정 → 보안 설정 → 로컬 정책 → 보안 옵션 → "네트워크 보안: LAN Manager 인증 수준" |
ⅱ. 레지스트리 경로
| HKLM\System\CurrentControlSet\Control\LSA\LMCompatibilityLevel |
| 레벨 값 | 정책 설정 | 클라이언트 동작 | 서버(DC) 동작 |
| 0 | LM & NTLM 응답 전송 | LM 사용 | LM, NTLM, NTLMv2 모두 수락 |
| 1 | LM & NTLM — NTLMv2 세션 보안 협상 시 사용 | 협상 가능 시 NTLMv2 | LM, NTLM, NTLMv2 모두 수락 |
| 2 | NTLM 응답만 전송 | NTLMv1 사용 | LM, NTLM, NTLMv2 모두 수락 |
| 3 | NTLMv2 응답만 전송 | NTLMv2 사용 | LM, NTLM, NTLMv2 모두 수락 |
| 4 | NTLMv2 응답만 전송. LM 거부 | NTLMv2 사용 | LM 거부, NTLM·NTLMv2 수락 |
| 5 | NTLMv2 응답만 전송. LM & NTLM 거부 | NTLMv2만 사용 | LM·NTLM 거부, NTLMv2만 수락 |
※ Microsoft 및 보안 권고 기준: 레벨 5 설정 권장
Ⅳ. NTLMv2 단독 적용 시 보안 강화 효과
ⅰ. 왜 NTLMv2가 더 안전한가?
1) 클라이언트·서버 양쪽 Nonce 포함
: 응답값 생성 시 클라이언트 챌린지도 추가되어, 서버 챌린지만 있는 NTLMv1보다 동일 해시 재사용(릴레이)이 어려워집니다.
2) 타임스탬프 포함
: 응답값에 타임스탬프가 포함되어 재전송 공격(Replay Attack) 방어가 강화됩니다.
3) HMAC-MD5 기반
: DES/MD4 대비 연산 강도가 높아 오프라인 브루트포스 시간이 늘어납니다.
Ⅴ. NTLMv2 단독 적용 시 영향도(Impact Analysis)
레벨 5로 올릴 때 가장 중요한 것이 하위 호환성 확인입니다.
ⅰ. 영향 없는 환경
1) Windows Vista / Server 2008 이상 전체
2) Windows XP SP3 이상(NTLMv2 기본 지원)
3) Server 2008 R2 이상은 이미 기본값이 NTLMv2만 전송
ⅱ. 영향 가능 환경(호환성 주의)
| 대상 | 영향 내용 | 조치 |
| Windows XP SP2 이하, Windows 9x/ME | NTLMv2 지원 안 함 → 도메인 인증 불가 | 운영 종료 또는 Active Directory 클라이언트 확장팩 설치 |
| Windows NT 4.0 SP3 이하 | NTLMv2 미지원 | 즉시 운영 종료 권장 |
| Samba 구버전(Linux/NAS) | NTLMv2 미지원 버전에서 파일 공유 단절 가능 | Samba 4.x 이상으로 업그레이드 필요 |
| 구형 네트워크 프린터/복합기 | LM/NTLM만 지원하는 장비에서 인증 단절 | 펌웨어 업데이트 또는 로컬 계정 전환 |
| 시간 동기화 미흡 환경 | 서버-클라이언트 시계 차이 30분 초과 시 NTLMv2 인증 실패 | NTP 서버 동기화 필수 확인 |
ⅲ. 적용 전 체크리스트
1) 환경 내 Windows XP SP2 이하 / NT 4.0 잔존 여부 확인
2) 구형 NAS, 복합기, 프린터의 인증 방식 지원 여부 확인
3) Linux/Samba 연동 시 Samba 버전(4.x 이상 권장) 확인
4) 전체 환경 NTP 시간 동기화 상태 점검
5) 소규모 파일럿(테스트 OU)에 먼저 레벨 5 GPO 적용 후 검증
6) 이벤트 뷰어 Security 로그에서 4625(로그온 실패) 모니터링
Ⅵ. GPO 적용 방법
그룹 정책 편집기 경로 적용 외에, 레지스트리 직접 설정도 가능합니다.
ⅰ. 레지스트리 직접 설정 (레벨 5 = NTLMv2만 허용)
| REG ADD "HKLM\System\CurrentControlSet\Control\LSA" ^ /v LMCompatibilityLevel /t REG_DWORD /d 5 /f |
GPO 적용 시 도메인 전체에 일괄 배포가 가능하며, 앞서 설명한 체크리스트를 반드시 선행하고 파일럿 OU 검증 후 단계적으로 확대하는 것이 안전합니다.
Ⅶ. LM/NTLM의 미래: Kerberos로의 전환
Microsoft는 NTLM 계열 전체를 단계적으로 폐지하고 Kerberos 기반 인증으로 전환하는 방향을 공식화하고 있습니다. 도메인 환경에서는 이미 Kerberos가 기본이며, NTLM은 Kerberos가 불가능한 상황(워크그룹, 구형 장비 연동)에서만 폴백으로 사용하는 구조가 권장됩니다
'시스템(Windows)' 카테고리의 다른 글
| Windows 보안 채널 데이터 디지털 암호화 또는 서명 완전 정복 (1) | 2026.03.04 |
|---|---|
| wevtutil(Windows Event Utility)에 대해 알아보겠습니다. (0) | 2026.02.27 |
| 이벤트 뷰어(Event Viewer)에 대해 알아보겠습니다. (0) | 2026.02.26 |
| PowerShell과 cmdlet 에 대해 알아보겠습니다. (0) | 2026.02.23 |
| SFC(System File Checker) 에 대해 알아보겠습니다. (1) | 2025.08.06 |