MS 넷로그온에서 中 인증망 흔든 결함…AI가 찾아냈다

마이크로소프트(MSFT)의 핵심 인증 프로토콜 중 하나인 넷로그온(Netlogon)에서 치명적인 결함이 발견되며 보안 업계가 다시 한 번 긴장에 휩싸였다. 보안 기업 실버포트(Silverfort)는 최근 보고서를 통해 이 *취약점*이 원격에서 윈도우 도메인 컨트롤러를 마비시킬 수 있는 서비스 거부(Denial-of-Service) 공격으로 악용될 가능성이 있다고 경고했다. 이 취약점은 'NOTLogon'이라는 이름으로 CVE-2025-47978 번호가 부여됐으며, 마이크로소프트는 7월 8일 정기 보안 업데이트를 통해 이를 긴급 패치했다.

넷로그온은 윈도우 기반 도메인 네트워크의 중심 축으로, 사용자 인증과 정책 적용, 자격 증명 전달 등의 기능을 수행한다. 실버포트 측은 문제의 원인이 지난 2024년 말 도입된 새로운 인증 방식인 '네트워크 티켓 로그온(Network Ticket Logon)'에 있다고 분석했다. 특히, Kerberos 인증 구조 내 AdditionalTicket 버퍼가 비정상적인 요청을 처리하는 방식에 결함이 있어, 악의적 요청이 윈도우의 LSASS 프로세스를 강제 종료시키고 전체 시스템을 재부팅하게 만든다고 설명했다.

이번 취약점은 단순한 로그인 방해가 아니라, 전체 조직의 인증 체계를 *마비시킬 수 있는 수준*이다. 악성 행위자는 높은 권한이 없어도 기본적인 네트워크 접근과 머신 계정만으로 공격을 감행할 수 있으며, 이는 도메인 컨트롤러의 다운, 정책 전파 중단, 중요 시스템 접근 차단 등 연쇄적인 피해로 이어질 수 있다.

특히 주목할 점은 실버포트가 이 *취약점 탐지에 AI를 활용*했다는 사실이다. 연구진은 대형 언어 모델을 통해 마이크로소프트의 넷로그온 사양서의 버전 간 차이를 자동 비교하고, 새로운 인증 흐름에서 이상 징후를 포착했다. 이 AI 기반 접근법은 향후 보안 취약점 탐지에 있어 *새로운 패러다임*이 될 가능성도 제기된다.

실버포트는 “이번 취약점은 권한 상승이나 자격 탈취에는 해당하지 않지만, 조직의 주요 보안 프로세스를 원격으로 정지시킴으로써 심각한 혼란을 유발할 수 있다”고 밝혔다. 아울러 각 기업은 마이크로소프트의 7월 보안 패치를 즉시 적용하고, 머신 계정의 생성 권한을 제한해야 한다고 강조했다. 또한 도메인 컨트롤러에 대한 네트워크 접근 경로를 분리해, 잠재적 침입 시 피해 확산을 방지해야 한다고 덧붙였다.

이번 사례는 단순한 소프트웨어 결함 이상의 의미를 지닌다. AI 기반 분석이 취약점을 규명했고, 단순한 버그 하나가 *전사 인증 망 전체를 무너뜨릴 수 있음*을 보여줬다. 향후 보안 전략 설계 시 자동화, 사전탐지, 네트워크 분리 등의 대응 체계를 필수적으로 고려해야 할 것으로 보인다.