2025년 9월, Microsoft는 매우 심각한 Windows NTLM 권한 상승 취약점인 CVE-2025-54918을 패치했는데요, 이 취약점의 심각성과 해결 방법에 대해 자세히 알아보겠습니다.

이번 취약점은 특히 기업 환경에서 매우 위험할 수 있어서, 시스템 관리자분들께서는 반드시 즉시 대응하셔야 합니다. 실제로 Microsoft에서도 이 취약점을 “Exploitation More Likely”로 분류하여 높은 악용 가능성을 경고하고 있거든요.

 

 

1. CVE-2025-54918 취약점의 정체와 위험성

CVE-2025-54918은 Windows NT LAN Manager(NTLM) 인증 프로토콜에서 발견된 권한 상승 취약점입니다. Microsoft의 공식 설명에 따르면 “Windows NTLM의 부적절한 인증이 권한 있는 공격자가 네트워크를 통해 권한을 상승시킬 수 있도록 허용”한다고 명시되어 있습니다.

취약점의 핵심 문제점

이 취약점의 가장 무서운 점은 네트워크를 통해 원격으로 SYSTEM 권한을 획득할 수 있다는 것입니다. 보안 전문가 Kev Breen은 “공격자가 네트워크를 통해 특별히 조작된 패킷을 대상 장치에 보낼 수 있다면, 해당 시스템에서 SYSTEM 수준의 권한을 획득할 수 있다”고 경고했습니다.

CVSS 점수: 8.8 (Critical 등급) 공격 복잡성: 낮음 (Low) 사용자 상호작용: 불필요 (None) 권한 요구사항: 낮은 권한 (Low)

자세한 취약점 정보는 Microsoft Security Response Center(MSRC)와 Tenable CVE 데이터베이스에서 확인할 수 있습니다.

실제 공격 시나리오 예시

예를 들어, 회사 내부 네트워크에 이미 일반 사용자 계정으로 접근한 공격자가 있다고 가정해봅시다. 이 공격자는 CVE-2025-54918을 이용해 다음과 같은 방식으로 공격할 수 있습니다:

1. 내부 네트워크에서 NTLM 인증을 사용하는 시스템 탐지
2. 특별히 조작된 인증 요청 패킷 전송
3. NTLM 프로토콜의 인증 바인딩 결함 악용
4. 일반 사용자 권한에서 SYSTEM 권한으로 즉시 승격

이는 마치 회사 건물의 방문자 출입증을 가진 사람이 갑자기 모든 층에 접근할 수 있는 마스터키를 얻는 것과 같습니다.

 

 

2. 영향받는 시스템과 제품 범위

이번 취약점은 NTLM 인증을 사용하는 거의 모든 Windows 시스템에 영향을 미칩니다. 특히 레거시 서비스와의 호환성을 위해 NTLM이 여전히 활성화된 환경에서는 더욱 위험합니다.

영향받는 Windows 버전

운영체제	영향도	비고
Windows 11 (모든 버전)	높음	최신 버전도 포함
Windows 10 (모든 버전)	높음	가장 널리 사용되는 버전
Windows Server 2025	매우 높음	최신 서버 환경
Windows Server 2022	매우 높음	기업 핵심 인프라
Windows Server 2019	매우 높음	여전히 널리 사용
Windows Server 2016	매우 높음	레거시 환경에서 위험
Windows Server 2012/2012 R2	매우 높음	구형 시스템의 높은 위험
Windows Server 2008/2008 R2	매우 높음	확장 지원 종료 임박

특히 위험한 환경

• Active Directory 도메인 환경: NTLM 인증이 광범위하게 사용
• 혼합 환경: Windows와 다른 OS가 공존하는 네트워크
• 레거시 애플리케이션: 구형 소프트웨어가 NTLM에 의존
• 파일 서버: SMB 공유에서 NTLM 인증 사용
• 웹 서버: IIS에서 Windows 인증 사용 시

 

 

3. 취약점의 기술적 원리와 공격 메커니즘

NTLM 프로토콜은 클라이언트와 서버 간의 “챌린지-응답(Challenge-Response)” 방식으로 작동합니다. 이번 취약점은 이 과정에서 인증 바인딩(Authentication Binding)이 제대로 검증되지 않는 문제에서 발생합니다.

정상적인 NTLM 인증 과정

1. Type 1 메시지: 클라이언트가 서버에 인증 요청
2. Type 2 메시지: 서버가 챌린지(Challenge) 값 전송
3. Type 3 메시지: 클라이언트가 응답(Response) 값 전송
4. 검증: 서버가 응답을 확인하여 인증 완료

취약점 악용 메커니즘

CVE-2025-54918에서는 3단계와 4단계 사이에서 신원 바인딩(Identity Binding) 검증 실패가 발생합니다:

공격자 → [조작된 Type 3 메시지] → 취약한 서버
     ← [잘못된 권한 부여] ←

이로 인해 공격자는 낮은 권한을 가진 계정으로 인증했음에도 불구하고, 시스템이 이를 높은 권한으로 잘못 인식하여 SYSTEM 레벨 접근을 허용하게 됩니다.

 

 

4. 단계별 패치 적용 가이드

이제 가장 중요한 부분인 패치 적용 방법을 단계별로 안내해드리겠습니다. 각 Windows 버전별로 해당하는 보안 업데이트를 적용해야 합니다.

Windows 11 패치 적용

1단계: Windows Update 확인

• Windows 설정(Settings) → 업데이트 및 보안(Update & Security) → Windows Update
• “업데이트 확인(Check for updates)” 클릭

2단계: 수동 패치 다운로드 (필요시)

• KB5065426 (OS Build 26100.6584) 다운로드
• Microsoft Update Catalog에서 시스템에 맞는 버전 선택
• Microsoft 공식 지원 문서 참조

3단계: 패치 설치

# 관리자 권한 명령 프롬프트에서 실행
dism /online /add-package /packagepath:C:\경로\windows11.0-kb5065426-x64.msu

Windows 10 패치 적용

해당 KB 업데이트: 각 Windows 10 버전별로 상이

• Windows 10 22H2: [해당 KB 확인 필요]
• Windows 10 21H2: [해당 KB 확인 필요]

Windows Server 시리즈 패치

Windows Server 2025

• KB5065426 적용
• PowerShell에서 확인:

Get-HotFix -Id KB5065426

Windows Server 2022/2019/2016

• 각 버전에 맞는 해당 월 보안 업데이트 확인
• WSUS 또는 Windows Update를 통한 일괄 적용 권장

기업 환경에서의 일괄 패치 적용

WSUS(Windows Server Update Services) 활용

1. WSUS 콘솔에서 “보안 업데이트” 카테고리 확인
2. CVE-2025-54918 관련 업데이트 승인
3. 컴퓨터 그룹별 단계적 배포

SCCM(System Center Configuration Manager) 활용

1. Software Update 워크스페이스에서 동기화
2. 자동 배포 규칙(ADR) 생성
3. 유지 관리 기간 내 배포 스케줄링

 

 

5. 패치 적용 후 확인 및 검증 방법

패치를 적용한 후에는 반드시 적용 상태를 확인해야 합니다.

시스템 정보 확인

방법 1: 시스템 정보(System Information)

msinfo32

• “시스템 요약(System Summary)” → “설치된 핫픽스(Installed Hotfixes)” 확인

방법 2: PowerShell 명령어

# 특정 KB 설치 확인
Get-HotFix | Where-Object {$_.HotFixID -eq "KB5065426"}

# 최근 설치된 업데이트 목록
Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 10

방법 3: Windows Update 기록

• 설정(Settings) → 업데이트 및 보안(Update & Security) → “업데이트 기록 보기(View update history)”

이벤트 로그 확인

Windows 이벤트 뷰어(Event Viewer)에서 패치 적용 관련 로그를 확인할 수 있습니다:

1. 이벤트 뷰어 실행 (eventvwr.msc)
2. Windows 로그(Windows Logs) → 시스템(System) 확인
3. 소스(Source): “Microsoft-Windows-WindowsUpdateClient” 필터링
4. 최근 업데이트 설치 관련 이벤트 ID 19, 20, 43 확인

 

 

6. 추가 보안 강화 조치 방법

패치 적용만으로는 충분하지 않습니다. 다음과 같은 추가 보안 조치를 통해 전반적인 보안 수준을 높이는 것이 중요합니다.

NTLM 사용 최소화

Kerberos 인증으로 전환

• 도메인 환경에서는 Kerberos를 기본 인증 방식으로 설정
• 그룹 정책(Group Policy)에서 NTLM 사용 제한:
  • 컴퓨터 구성(Computer Configuration) → Windows 설정(Windows Settings) → 보안 설정(Security Settings) → 로컬 정책(Local Policies) → 보안 옵션(Security Options)
  • “네트워크 보안: LAN Manager 인증 수준(Network security: LAN Manager authentication level)” 설정

SMB 서명 활성화

# 레지스트리를 통한 SMB 서명 강제 활성화
reg add HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v RequireSecuritySignature /t REG_DWORD /d 1

SMB 관련 보안 강화에 대한 자세한 내용은 Microsoft의 공식 기술 문서에서 CVE-2025-55234 관련 지침을 참조하세요.

네트워크 분할 및 접근 제어

• 네트워크 세그멘테이션: 중요 시스템을 별도 VLAN으로 분리
• 방화벽 규칙: NTLM 트래픽에 대한 엄격한 접근 제어
• 제로 트러스트 모델: “신뢰하지 말고 검증하라” 원칙 적용

모니터링 및 탐지 체계 구축

보안 이벤트 모니터링

• Windows 보안 로그에서 NTLM 인증 이벤트 추적
• Event ID 4624, 4625, 4648 등 인증 관련 이벤트 모니터링
• SIEM 솔루션을 통한 실시간 분석

이상 행위 탐지

• 비정상적인 권한 상승 시도 탐지
• 계정별 접근 패턴 분석
• 네트워크 트래픽 이상 징후 모니터링

 

 

7. 기업 환경별 맞춤 대응 방법

소규모 기업 (50명 이하)

우선순위: 즉시 패치 적용

• Windows Update 자동 업데이트 활성화
• 중요 서버는 수동으로 우선 패치
• 주말이나 업무 외 시간 활용

Windows Update for Business

• 기본 Windows Defender 활용
• Microsoft Update Catalog을 통한 수동 다운로드
• 주요 시스템 우선 패치 적용

중간 규모 기업 (50-500명)

단계적 접근법:

1. 1단계: 테스트 환경에서 패치 검증 (1-2일)
2. 2단계: 중요 서버 우선 패치 (주말)
3. 3단계: 클라이언트 PC 순차 패치 (1주일)

권장 도구:

• WSUS 또는 Windows Update for Business
• Microsoft Defender for Business
• 기본적인 로깅 및 모니터링

대기업 및 기관 (500명 이상)

체계적 관리:

• 변경 관리 프로세스: CAB(Change Advisory Board) 승인
• 위험 평가: 비즈니스 영향도 분석
• 롤백 계획: 문제 발생 시 즉시 복구 방안

권장 도구:

• SCCM 또는 Microsoft Intune
• Microsoft Defender for Endpoint
• Azure Sentinel 또는 타사 SIEM
• PowerShell DSC를 통한 설정 관리

 

 

8. 트러블슈팅 및 주의사항

패치 적용 시 발생할 수 있는 문제

1. 호환성 문제 일부 레거시 애플리케이션에서 NTLM 인증 문제가 발생할 수 있습니다.

• 해결방법: 애플리케이션 벤더에 호환성 업데이트 요청
• 임시방편: 특정 시스템에서만 NTLM 예외 설정 (권장하지 않음)

2. 성능 영향 인증 과정에서 추가적인 검증으로 인한 미미한 성능 저하가 있을 수 있습니다.

• 해결방법: 인증 캐싱 최적화, 하드웨어 리소스 점검

3. PowerShell Direct 연결 문제 Microsoft에서 확인한 알려진 문제로, 핫패치 적용 후 가상 머신 간 PowerShell Direct 연결에 문제가 발생할 수 있습니다.

• 해결방법: KB5066360 추가 업데이트 적용
• 참조: Microsoft 공식 문서 확인

긴급 상황 대응 방안

만약 패치 적용 후 심각한 문제가 발생한다면:

1. 즉시 조치

# 특정 업데이트 제거 (최후의 수단)
wusa /uninstall /kb:5065426 /quiet /norestart

2. 로그 수집

# Windows Update 로그 수집
Get-WindowsUpdateLog -LogPath C:\WindowsUpdate.log

3. Microsoft 지원팀 연락

• 기업용 라이센스가 있다면 우선 지원 요청
• Microsoft 기술 지원 센터 문의
• 커뮤니티 포럼을 통한 정보 공유

 

이번 Windows NTLM CVE-2025-54918 취약점은 우리에게 레거시 프로토콜의 위험성과 신속한 패치 적용의 중요성을 다시 한번 일깨워주었습니다. 특히 NTLM과 같은 오래된 인증 방식은 점진적으로 더 안전한 방식으로 전환해 나가야 할 필요가 있습니다.