Ⅰ. 보안 채널(Secure Channel)이란?
Windows 도메인 환경에서 컴퓨터(도메인 구성원)와 도메인 컨트롤러(DC) 사이에 형성되는 인증·신뢰 통신 채널입니다. 컴퓨터가 도메인에 가입하면 컴퓨터 계정(Machine Account)이 생성되고, 이후 시스템이 시작될 때마다 이 계정의 패스워드를 사용해 DC와 보안 채널을 수립합니다.
보안 채널을 통해 전달되는 정보는 다음과 같습니다.
ⅰ. 사용자 로그온 자격 증명(Credentials)
ⅱ. 컴퓨터 계정 패스워드 변경
ⅲ. 그룹 정책(GPO) 적용 및 갱신
ⅳ. Kerberos/NTLM 인증 패킷
ⅴ. 도메인 트러스트 관련 정보
이 채널이 무결성(서명)·기밀성(암호화) 없이 평문으로 흐르면, 중간자(Man-in-the-Middle) 공격이나 패킷 변조 공격에 그대로 노출됩니다.
Ⅱ. 보안 채널(Secure Channel) 필요성
ⅰ. 위협 시나리오
서명(Signing)이 없으면 데이터 변조(Tampering) 가 가능하고, 암호화(Encryption)가 없으면 패킷 도청(Sniffing) 이 가능합니다. 두 가지를 함께 적용해야 완전한 보호가 됩니다.
Ⅲ. 보안 채널(Secure Channel) 3가지 관련 정책 설명
Microsoft는 보안 채널 보호를 위해 3개의 연관 정책을 제공합니다.
ⅰ. 정책 위치
컴퓨터 구성 → Windows 설정 → 보안 설정 → 로컬 정책 → 보안 옵션 or secpol.msc → 로컬 정책 → 보안 옵션
ⅱ. 3가지 정책 비교
| 정책 이름 | 동작 | 권장 값 |
| 보안 채널 데이터를 디지털 암호화 또는 서명 (항상) | DC가 암호화 또는 서명을 지원하지 않으면 보안 채널 자체를 수립하지 않음 | 사용 |
| 보안 채널 데이터를 디지털 암호화 (가능한 경우) | DC가 지원하면 암호화 협상 시도, 미지원 DC와도 채널은 허용 | 사용 |
| 보안 채널 데이터를 디지털 서명 (가능한 경우) | DC가 지원하면 서명 협상 시도, 미지원 DC와도 채널은 허용 | 사용 |
※ 핵심 규칙: "항상(Always)" 정책을 사용(Enabled)으로 설정하면, "가능한 경우(When Possible)"의 서명 정책도 자동으로 활성화됩니다.
Ⅳ. 암호화 vs 서명 차이
| 구분 | 디지털 서명(Signing) | 디지털 암호화(Encryption) |
| 목적 | 목적 무결성 — 전송 중 변조 방지 | 기밀성 — 도청 방지 |
| 방식 | 데이터에 서명값(Hash+키) 추가 | 데이터 자체를 암호화 |
| 로그온 정보 | 서명 여부와 관계없이 항상 암호화 | 정책 설정에 따라 추가 암호화 |
| 미적용 시 위협 | 중간자 패킷 변조 가능 | 도청 → 자격 증명 탈취 가능 |
Ⅴ. 레지스트리 기반 설정
ⅰ. 레지스트리 직접 제어
| HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
| 레지스트리 값 | 타입 | 의미 |
| RequireSignOrSeal | REG_DWORD = 1 | 암호화 또는 서명 항상 요구 |
| SealSecureChannel | REG_DWORD = 1 | 암호화 가능한 경우 적용 |
| SignSecureChannel | REG_DWORD = 1 | 서명 가능한 경우 적용 |
ⅱ. 관리자 권한 CMD 을 통한 레지스트리 일괄 설정
| REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters" /v RequireSignOrSeal /t REG_DWORD /d 1 /f REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters" /v SealSecureChannel /t REG_DWORD /d 1 /f REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters" /v SignSecureChannel /t REG_DWORD /d 1 /f |
Ⅵ. 보안 감사 기준(국내 주요 취약점 점검 항목)
국내 주요 보안 점검(KISA, 행정안전부 등) 기준에서 이 정책은 "중(Medium)" 위험 항목으로 분류됩니다.
| 판단 | 기준 상태 |
| 양호 | 3가지 정책이 모두 "사용(Enabled)"으로 설정된 경우 |
| 취약 | 3가지 정책 중 1개 이상이 "사용 안 함(Disabled)" 또는 "정의되지 않음"인 경우 |
Ⅶ. 적용 시 영향도 및 호환성
ⅰ. 영향 없는 환경
1) Windows 2000 이상 모든 OS
2) Windows Server 2008 R2 이상 DC
ⅱ. 호환성 주의 환경
| 대상 | 영향 내용 | 조치 |
| Windows NT 4.0 SP6a 미만 DC | 암호화·서명 미지원 → "항상" 정책 시 채널 수립 불가 | NT 4.0 환경 완전 제거 후 적용 |
| Windows 95 / 98 클라이언트 | 보안 채널 암호화 미지원 | 운영 종료 후 적용 |
| 구형 Samba 서버 | 일부 구버전에서 협상 실패 가능 | Samba 4.x 이상 업그레이드 |
ⅲ. 적용 전 체크리스트
1) 도메인 내 Windows NT 4.0 이하 / Windows 9x 잔존 여부 확인
2) 구형 Samba/NAS 연동 여부 확인
3) 이벤트 뷰어 Security/System 로그에서 Netlogon 오류 모니터링 준비
4) 소규모 OU에 먼저 GPO 적용 후 영향 검증
5) 적용 후 이벤트 ID 5805 (Netlogon 채널 수립 실패) 여부 확인
Ⅷ. LAN Manager 정책과의 연관성
LAN Manager 인증 수준(NTLMv2) 정책과 이 정책은 함께 적용해야 시너지 효과가 납니다.
| 정책 | 역할 |
| LAN Manager 인증 수준 = 5 (NTLMv2만) | 누가 인증하느냐 (인증 프로토콜 강도) |
| 보안 채널 암호화·서명 = 사용 | 인증 정보가 이동하는 채널의 보호 |
※ "NTLMv2로 강한 인증을 쓰더라도, 채널 자체가 평문이면 자격 증명이 도청될 수 있습니다. 두 정책을 동시에 적용해야 진정한 도메인 인증 보안이 완성됩니다."
* Lan Manager 인증 관련 정리 글 참고
https://feccle.tistory.com/504
'시스템(Windows)' 카테고리의 다른 글
| LAN Manager 인증(LM Authentication) 완전 정복 (0) | 2026.03.03 |
|---|---|
| wevtutil(Windows Event Utility)에 대해 알아보겠습니다. (0) | 2026.02.27 |
| 이벤트 뷰어(Event Viewer)에 대해 알아보겠습니다. (0) | 2026.02.26 |
| PowerShell과 cmdlet 에 대해 알아보겠습니다. (0) | 2026.02.23 |
| SFC(System File Checker) 에 대해 알아보겠습니다. (1) | 2025.08.06 |