[뉴스에프엔 조남준 기자]Microsoft Windows의 레거시 인증 시스템인 NTLM(Windows NT LAN Manager)에서 발견된 보안 취약점이 실제 사이버 공격에 악용되고 있다.
최근 외신을 종합하면 미국 사이버보안 및 인프라 보안국(CISA)은 이 결함을 '알려진 악용 취약점'(KEV) 목록에 추가하며, 연방 민간 행정부(FCEB) 기관들에 2025년 5월 8일까지 필수 보안 조치를 완료할 것을 명령했다.
문제의 취약점은 CVE-2025-24054로, 사용자 최소 상호작용만으로 NTLM 자격 증명이 유출될 수 있는 중간 수준의 결함이다. 사용자가 악성 .library-ms 파일을 단순히 클릭하거나 마우스 우클릭만 해도 시스템이 원격 SMB 서버에 인증을 시도하면서 NTLM 해시가 유출된다. 이 해시는 해시 전달(Pass-the-Hash) 공격에 사용돼, 공격자는 시스템에 무단 침입하거나 내부 네트워크를 가로지를 수 있게 된다.
Microsoft는 이 결함을 2025년 3월 패치 화요일 업데이트에서 수정했으며, 보안 연구자 Rintaro Koike와 NTT Security Holdings 등이 이를 보고했다.
하지만 보안업체 Check Point는 이 취약점이 패치 이전인 3월 19일부터 활발히 악용되었으며, 실제로 폴란드와 루마니아의 정부 및 민간 기관을 겨냥한 캠페인이 진행되었다고 밝혔다. 공격자들은 악성 ZIP 파일을 포함한 Dropbox 링크를 스팸 이메일로 유포하고, 이를 열람한 피해자의 시스템에서 NTLMv2-SSP 해시를 수집했다.
Check Point는 “이 공격은 UAC-0194, Blind Eagle 등 기존 위협 그룹들이 활용한 2024년 NTLM 관련 취약점(CVE-2024-43451)의 변종으로 보인다”며, “현재까지 10건 이상의 캠페인이 관찰되었고, 일부는 압축 없이 ‘Info.doc.library-ms’ 파일만으로 해시 탈취를 시도했다”고 설명했다.
이 취약점의 특징은 사용자 상호작용이 거의 없다는 점이다. 클릭 한 번 혹은 미리보기 작업만으로도 공격이 가능해, 조직 내부 계정이 순식간에 노출될 수 있다. 전문가들은 이를 이용한 측면 이동(lateral movement) 및 권한 상승이 우려된다고 지적했다.
CISA는 이를 심각한 보안 위협으로 규정하고, “조직은 즉시 시스템을 최신 상태로 패치하고, NTLM 기반 인증 환경의 위험을 평가해야 한다”고 촉구했다.