오늘은 Windows Server 환경을 운영하는 분들에게 꼭 필요한 보안 업데이트 소식을 전해드리려고 합니다. 마이크로소프트가 2025년 9월 패치 화요일에 발표한 CVE-2025-55234 취약점은 SMB(Server Message Block) 서버의 릴레이 공격 취약성을 다루고 있어, 즉시 대응이 필요한 중요한 보안 이슈입니다.

이 취약점은 CVSS 점수 8.8의 높은 위험도를 가지고 있으며, 특히 공개적으로 알려진 상태라서 더욱 주의가 필요합니다. 함께 자세히 알아보고 안전하게 시스템을 보호하는 방법을 살펴보겠습니다.

 

 

1. CVE-2025-55234 취약점 개요와 위험성

CVE-2025-55234는 Windows SMB 서버에서 발생하는 권한 상승(Elevation of Privilege) 취약점입니다. 이 취약점의 핵심은 SMB 서버 구성에 따라 릴레이 공격에 취약할 수 있다는 점입니다.

취약점의 주요 특징:

• CVSS 점수: 8.8 (높은 위험도)
• 분류: 권한 상승 취약점
• 공격 방법: SMB 릴레이 공격
• 인증 요구사항: 비인증 공격자도 악용 가능

공격자가 이 취약점을 성공적으로 악용하면, 릴레이 공격을 통해 사용자의 인증 자격 증명을 가로채고 권한을 상승시킬 수 있습니다. 특히 파일 공유가 활발한 기업 환경에서는 심각한 보안 위협이 될 수 있습니다.

 

 

2. 영향받는 시스템과 버전 확인하기

이 취약점은 다음과 같은 Windows 시스템들에 영향을 미칩니다:

Windows Server 버전:

• Windows Server 2025
• Windows Server 2022
• Windows Server 2019
• Windows Server 2016
• Windows Server 2012/2012 R2

Windows 클라이언트 버전:

• Windows 11 (모든 버전)
• Windows 10 (모든 지원 버전)

본인의 시스템이 영향을 받는지 확인하려면:

1. 시스템 정보 확인
   • 시작 > 설정(Settings) > 시스템(System) > 정보(About)에서 Windows 버전 확인
   • 명령 프롬프트에서 winver 명령어 실행
2. 설치된 업데이트 확인
   • 설정 > Windows 업데이트(Windows Update) > 업데이트 기록(Update history) 확인

 

 

3. 취약점 작동 원리와 공격 시나리오

SMB 릴레이 공격은 다음과 같은 과정으로 이루어집니다:

1. 중간자 공격 설정: 공격자가 네트워크상에서 SMB 트래픽을 가로챌 수 있는 위치에 자리잡습니다
2. 인증 요청 가로채기: 클라이언트와 서버 간의 SMB 인증 과정을 가로챕니다
3. 자격 증명 릴레이: 가로챈 인증 정보를 다른 서버로 전달합니다
4. 권한 상승: 릴레이된 자격 증명을 통해 unauthorized 접근 및 권한 상승을 달성합니다

이러한 공격이 가능한 이유는 SMB 서버 사이닝(Signing)이나 확장 인증 보호(EPA)가 제대로 설정되지 않은 경우입니다.

 

 

4. 즉시 적용해야 할 보안 패치

마이크로소프트는 2025년 9월 9일 패치 화요일에 이 취약점에 대한 수정사항을 발표했습니다.

주요 패치 KB 번호:

• Windows Server 2025: KB5065426
• Windows Server 2022: KB5065432
• Windows 11: KB5065426, KB5065431
• Windows 10: KB5065429

패치 설치 방법

자동 업데이트 방법:

1. 설정(Settings) > Windows 업데이트(Windows Update) 이동
2. 업데이트 확인(Check for updates) 클릭
3. 사용 가능한 업데이트를 모두 설치
4. 시스템 재부팅

수동 패치 다운로드:

• Microsoft Update Catalog에서 해당 KB 번호로 검색
• 시스템에 맞는 패치를 다운로드하여 설치

 

 

5. SMB 서버 사이닝 활성화 단계별 가이드

패치 설치와 함께 반드시 SMB 서버 사이닝을 활성화해야 합니다.

그룹 정책을 통한 설정

1. 그룹 정책 편집기 실행
   • gpedit.msc 실행 또는 시작 > 그룹 정책 편집기(Group Policy Editor) 검색
2. SMB 서버 사이닝 정책 설정
   • Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options 이동
   • Microsoft network server: Digitally sign communications (always) 정책을 Enabled로 설정
   • Microsoft network server: Digitally sign communications (if client agrees) 정책을 Enabled로 설정

레지스트리를 통한 설정

# 관리자 권한 명령 프롬프트에서 실행
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" /v "RequireSecuritySignature" /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" /v "EnableSecuritySignature" /t REG_DWORD /d 1 /f

주의사항: 레지스트리 변경 후 반드시 시스템을 재부팅해야 합니다.

 

 

6. EPA(Extended Protection for Authentication) 설정 방법

EPA는 SMB 사이닝과 함께 릴레이 공격을 방지하는 추가적인 보안 계층입니다.

PowerShell을 통한 EPA 활성화

# EPA 설정 확인
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "SuppressExtendedProtection"

# EPA 활성화 (값이 0이면 활성화됨)
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "SuppressExtendedProtection" -Value 0

# NTLMv2 활성화 (EPA 전제조건)
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "LmCompatibilityLevel" -Value 3

그룹 정책을 통한 EPA 감사 설정

마이크로소프트는 CVE-2025-55234와 함께 감사 기능을 추가했습니다:

1. 감사 정책 활성화
   • Computer Configuration > Administrative Templates > Network > Lanman Server
   • Audit client does not support signing/encryption 정책을 Enabled로 설정
2. 이벤트 로그 모니터링
   • Applications and Services Logs\Microsoft\Windows\SMBClient\Audit에서 Event ID 31998, 31999 확인
   • Applications and Services Logs\Microsoft\Windows\SMBServer\Audit에서 Event ID 3021, 3024-3027 확인

 

 

7. 환경별 맞춤 보안 설정 가이드

도메인 컨트롤러 환경

도메인 컨트롤러는 특히 중요하므로 추가 보안 조치가 필요합니다:

# DC에서 SMB 서명 강제 적용
Set-SmbServerConfiguration -RequireSecuritySignature $true -Force
Set-SmbClientConfiguration -RequireSecuritySignature $true -Force

# SYSVOL 및 NETLOGON 공유 보안 강화
Set-SmbShare -Name "SYSVOL" -EncryptData $true
Set-SmbShare -Name "NETLOGON" -EncryptData $true

파일 서버 환경

파일 서버의 경우 클라이언트 호환성을 고려한 단계별 적용이 필요합니다:

1. 감사 모드 활성화
   • 먼저 감사 기능을 켜서 호환성 문제가 있는 클라이언트 식별
2. 점진적 적용
   • 테스트 환경에서 SMB 사이닝 활성화
   • 이벤트 로그를 통해 호환성 문제 확인
   • 문제없는 것을 확인한 후 운영 환경 적용

소규모 기업 환경

리소스가 제한적인 중소기업 환경에서의 권장사항:

# 기본적인 SMB 보안 설정
reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" /v "RequireSecuritySignature" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" /v "RequireSecuritySignature" /t REG_DWORD /d 1 /f

 

 

8. 패치 적용 후 검증 및 모니터링 방법

패치 설치 확인

# 설치된 패치 확인
Get-HotFix | Where-Object {$_.HotFixID -eq "KB5065426"}

# SMB 서버 설정 상태 확인
Get-SmbServerConfiguration | Select-Object RequireSecuritySignature, EnableSecuritySignature

보안 이벤트 모니터링

중요한 이벤트 ID들을 모니터링해야 합니다:

SMB 서버 관련 이벤트:

• Event ID 3021: SMB 사이닝 호환성 문제
• Event ID 3024-3027: EPA 관련 이벤트

보안 로그 이벤트:

• Event ID 4625: 로그온 실패 (릴레이 공격 징후 가능)
• Event ID 4648: 명시적 자격 증명을 사용한 로그온 시도

PowerShell을 통한 자동 모니터링 스크립트

# SMB 보안 이벤트 모니터링 스크립트
$StartTime = (Get-Date).AddDays(-1)
$SMBEvents = Get-WinEvent -FilterHashtable @{LogName="Microsoft-Windows-SMBClient/Audit"; StartTime=$StartTime; ID=31998,31999}

if ($SMBEvents) {
    Write-Host "SMB 호환성 문제가 감지되었습니다:" -ForegroundColor Yellow
    $SMBEvents | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -AutoSize
}

 

 

9. 레거시 시스템 대응 방법

구형 시스템이나 서드파티 장비에서 호환성 문제가 발생할 수 있습니다.

호환성 문제 해결 방안

1. 단계적 적용 전략
   • 먼저 감사 모드로 호환성 확인
   • 문제 시스템 식별 및 대안 마련
   • 점진적으로 보안 정책 강화
2. 예외 설정

   # 특정 클라이언트에 대한 임시 예외 (권장하지 않음)
   # 대신 네트워크 분리나 VPN 사용 권장
   

3. 대안적 보안 조치
   • 네트워크 세그멘테이션
   • VPN을 통한 안전한 연결
   • 파이어월 규칙 강화

 

CVE-2025-55234는 Windows 환경에서 매우 중요한 보안 취약점입니다. 특히 SMB 릴레이 공격의 특성상 네트워크 전체에 영향을 미칠 수 있기 때문에 신속한 대응이 필요합니다.

핵심 체크리스트:

• ✅ 해당 패치(KB5065426 등) 설치 완료
• ✅ SMB 서버 사이닝 활성화
• ✅ EPA 설정 적용
• ✅ 감사 기능 활성화로 호환성 확인
• ✅ 이벤트 로그 모니터링 체계 구축

이 취약점은 단순히 패치만 설치하는 것이 아니라, SMB 보안 설정을 근본적으로 강화하는 기회로 삼아야 합니다. 감사 기능을 통해 환경을 충분히 테스트한 후 보안 설정을 단계적으로 적용하시길 권장합니다. 🙂

 

---

 

추가 자료:

• Windows Server 2025 업데이트 내역
• Windows 보안 업데이트 가이드
• SMB 보안 모범 사례