암호화 수준이란 무엇인가?
암호화 수준은 파일 전송 중 데이터를 보호하는 강도를 의미합니다. 값이 클수록 보안이 강하지만, 일부 오래된 장치는 낮은 수준(40비트/56비트)만 지원합니다.
언제 암호화 수준을 변경해야 하나?
- 네트워크에 오래된 장치(구형 NAS, 프린터, 임베디드 장치 등)가 있고 파일 공유가 실패할 때.
- 호환성 테스트에서 특정 장치가 128비트 연결을 거부할 때.
- 임시로 구형 장치와 파일을 주고받아야 할 때(영구적 해제는 권장하지 않음).
중요: 가능하면 장치 펌웨어나 소프트웨어를 최신으로 업데이트해 낮은 암호화 수준을 사용하지 않는 것이 가장 안전합니다.
준비하기 — 사전 점검
- 변경 권한이 있는 관리자 계정으로 로그인합니다.
- 레지스트리 편집 전에 전체 레지스트리 백업을 만듭니다. (Control Panel > System > System Protection 또는 reg export 등)
- 변경은 로컬 네트워크의 보안에 영향을 줍니다. 변경 후에는 반드시 테스트 환경에서 먼저 검증하세요.
방법 1: 고급 공유 설정에서 암호화 수준 변경하기
- 작업 표시줄 검색에서 “advanced sharing settings”(고급 공유 설정) 또는 Windows 설정에서 “공유”를 검색합니다.
- 검색 결과에서 “Manage Advanced Sharing Settings”를 클릭해 제어판의 고급 공유 설정을 엽니다.
- 고급 공유 설정 창에서 “모든 네트워크(All Networks)” 섹션을 확장합니다.
- “File sharing connections”(파일 공유 연결) 항목을 찾습니다.
- 기본값인 128비트를 선택 해제하고, 필요 시 40 또는 56비트를 선택합니다.
- 변경 내용을 저장하고 제어판을 닫습니다.
중요: 이 인터페이스에서 40/56비트 옵션을 선택하면 해당 컴퓨터는 낮은 수준의 DES 암호화를 허용하게 됩니다. 네트워크의 다른 장치가 동일한 수준을 지원하는지 확인하세요.
방법 2: 레지스트리 편집기로 암호화 수준 변경하기
고급 공유 설정에서 옵션이 보이지 않거나 그룹 정책으로 잠겨 있을 때 레지스트리를 직접 수정할 수 있습니다. 잘못 수정하면 시스템에 문제가 생길 수 있으니 주의하세요.
- 레지스트리 변경 전 전체 레지스트리와 중요 파일을 백업합니다.
- 작업 표시줄 검색에서 “registry”를 입력하고 Registry Editor를 엽니다.
- 다음 레지스트리 키로 이동합니다: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
- MSV1_0 항목을 선택한 후 오른쪽 창에서 NtlmMinClientSec DWORD를 찾습니다.
- NtlmMinClientSec을 더블클릭하고 값 데이터를 기본값인 20000000에서 0으로 변경합니다. 확인을 클릭합니다.
- 동일 방식으로 NtlmMinServerSec DWORD도 찾아 값을 20000000에서 0으로 변경합니다.
- 레지스트리 편집기를 닫고 시스템을 재부팅하거나 네트워크 서비스를 재시작해 변경을 반영합니다.
되돌리기: 다시 128비트로 되돌리려면 위 두 DWORD의 값을 0에서 20000000으로 변경하면 됩니다.
변경 후 검증 절차
- 변경한 컴퓨터와 구형 장치 간에 파일을 전송해 성공 여부를 확인합니다.
- 이벤트 로그(Windows 이벤트 뷰어)를 확인해 인증 또는 SMB 관련 오류가 없는지 점검합니다.
- 네트워크 스니퍼(예: Wireshark)를 통해 트래픽을 샘플링해 암호화 협상이 성공적으로 이뤄졌는지 확인합니다(관리자 동의 필요).
- 필요하면 테스트 문서를 만들어 성공/실패 케이스를 기록합니다.
언제 이 방법이 실패하는가 — 반례와 한계
- 장치가 NTLM 대신 전혀 다른 인증/암호화 스택을 사용하면 동작하지 않습니다.
- 현장 네트워크 정책이나 그룹 정책(GPO)에서 암호화 수준을 강제로 지정하면 로컬 변경이 무효화됩니다.
- 일부 최신 장치는 낮은 암호화 수준을 완전히 차단해 호환성 모드로도 연결할 수 없습니다.
대안 방법
- 장치 펌웨어 업그레이드: 제조사가 최신 암호화/프로토콜을 제공하면 권장되는 해결책입니다.
- SMB 버전 변경: SMBv1 대신 SMBv2/v3를 사용하는 것이 보안상 안전합니다(가능하면 SMBv1 비활성화).
- VPN 또는 TLS/SSH 터널링: 로컬 네트워크가 아닌 안전한 터널로 파일을 전송해 사설 암호화 문제를 회피합니다.
- 파일 전송용 전용 애플리케이션 사용: SFTP, FTPS 등 보안 전송 프로토콜을 사용합니다.
보안 강화 권장 사항
- 가능한 한 낮은 암호화 수준은 일시적으로만 허용하세요.
- 변경한 장비는 격리된 VLAN 또는 게스트 네트워크에 배치해 다른 시스템과 분리하세요.
- 접근 제어와 감사 로그를 활성화해 누가 언제 접속했는지 기록하세요.
- 정기적으로 펌웨어와 OS 업데이트를 적용하세요.
정신 모델(heuristic)
- 보안 ↔ 호환성 트레이드오프: 암호화 수준을 낮추면 호환성은 올라가지만 보안은 약화됩니다. 가능한 경우 항상 보안을 우선하세요.
- 임시 허용 = 단기간, 영구 변경은 위험.
역할별 체크리스트
- 시스템 관리자:
- 레지스트리/정책 백업 수행
- 변경 전에 테스트 계획 수립
- 변경 후 이벤트 로그 및 네트워크 검증
- 되돌리기 절차 문서화
- 헬프데스크:
- 사용자 영향(인증 실패, 접근 불가) 모니터링
- 사용자에게 변경 일정 통지
- 엔드유저:
- 파일 접근 권한 재확인
- 문제 발생 시 로그 및 재현 단계 제공
사고 대응 및 롤백 시나리오
- 문제 발견: 파일 공유 실패 또는 인증 오류 증가.
- 응급 조치: 변경 전 백업에서 레지스트리 값을 원복(0 → 20000000) 또는 고급 공유 설정에서 128비트 선택.
- 서비스 재시작 및 재부팅.
- 영향 평가: 얼마나 많은 장치/사용자가 영향을 받았는지 파악.
- 근본 원인 분석: 왜 낮은 암호화가 필요한지, 장비 업데이트 가능성 여부.
- 장기 대책: 장비 교체 또는 보안 점검 계획 수립.
위험 매트릭스 및 완화책
- 위험: 네트워크 도청 가능성 증가 — 완화: 변경을 최소 시간으로 제한, 격리된 네트워크 사용
- 위험: 인증 우회 또는 중간자 공격 가능성 — 완화: VPN 또는 TLS 적용, 감사 로그 활성화
- 위험: 정책 위반(회사 보안 기준) — 완화: 변경 전 보안팀 승인
호환성 및 마이그레이션 팁
- 사전: 장치 모델과 펌웨어의 지원 암호화 수준을 확인하세요.
- 마이그레이션: 가능하면 먼저 테스트 장비에서 시범 적용 후 전체 네트워크로 확장하세요.
- 기록: 어떤 장치에 대해 낮은 암호화를 허용했는지 자산 관리 시스템에 기록하세요.
결정 흐름(간단한 의사결정 다이어그램)
flowchart TD
A[구형 장치가 파일 공유 실패?] -->|아니오| B[변경 불필요]
A -->|예| C[장비 펌웨어 업데이트 가능?]
C -->|예| D[업데이트 후 128비트 시도]
C -->|아니오| E[임시로 암호화 수준 낮춤]
E --> F[테스트 및 격리]
F --> G[영구 허용 여부 결정]테스트 케이스 예시
- 케이스 1: Windows PC(변경된 설정) ↔ 구형 프린터 파일 전송 성공
- 케이스 2: 권한 없는 사용자에 의한 접근 차단 확인
- 케이스 3: 이벤트 로그에 인증 세부사항 기록 확인
요약
- 기본값은 128비트 암호화입니다. 호환성 문제로 40/56비트를 허용하려면 고급 공유 설정이나 레지스트리에서 변경할 수 있습니다.
- 변경 전 백업과 테스트, 변경 후 검증을 반드시 수행하세요.
- 가능한 경우 장비 업데이트, 네트워크 격리, VPN 사용 등으로 낮은 암호화 사용을 피하세요.
중요: 낮은 암호화 수준을 영구적으로 사용하면 데이터 보안 위험이 커집니다. 단기간의 호환성 목적에만 사용하고, 장기적으로는 장비 업그레이드 또는 안전한 전송 방식으로 대체하세요.
저자
편집
