W-05 해독 가능한 암호화를 사용하여 암호 저장 해제

가이드라인 원문

상세 설명

1. 판단 기준

기본 판단 기준

• 양호: ‘해독 가능한 암호화를 사용하여 암호 저장’ 정책이 ‘사용 안 함’으로 설정된 경우
• 취약: ‘해독 가능한 암호화를 사용하여 암호 저장’ 정책이 ‘사용’으로 설정된 경우

경계 케이스 (Edge Case) 처리 방법

권장 설정값

2. 점검 방법

Windows 서버 점검

해독 가능한 암호화를 사용하여 암호 저장 정책은 비밀번호의 복호화 가능 여부를 결정하는 중요한 보안 설정입니다. 이 정책이 활성화되면 SAM 데이터베이스 노출 시 모든 비밀번호가 탈취될 수 있습니다.

1
2
3
4
5
6

# PowerShell - 레지스트리 확인
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "DisableReversibleEncryption"

# 또는 secedit로 확인
secedit /export /cfg config.inf
Get-Content config.inf | Select-String "ClearTextPassword"

양호 출력 예시:

1

DisableReversibleEncryption : 1

값이 1이면 ‘사용 안 함’으로 양호

취약 출력 예시:

1
2
3

DisableReversibleEncryption : 0
또는
값이 존재하지 않음

값이 0이거나 없으면 ‘사용’으로 취약

3. 조치 방법

Windows 서버 설정

1. 레지스트리 설정

   1 2 3 4 5

   # 관리자 권한 PowerShell 실행 Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "DisableReversibleEncryption" -Value 1 -Type DWord # 설정 확인 Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "DisableReversibleEncryption"

2. 명령 프롬프트 설정

   1	reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v DisableReversibleEncryption /t REG_DWORD /d 1 /f

3. 로컬 보안 정책 설정 (GUI)

   1 2 3 4

   시작 > 제어판 > 관리 도구 > 로컬 보안 정책 계정 정책 > 암호 정책 "해독 가능한 암호화를 사용하여 암호 저장" 더블클릭 "사용 안 함" 선택

4. 그룹 정책(GPO) 설정 (도메인 환경)

   1 2 3 4

   GPO 편집기(gpedit.msc 또는 gpmc.msc) 컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 계정 정책 > 암호 정책 "해독 가능한 암호화를 사용하여 암호 저장" 설정 "사용 안 함" 선택

5. 서비스 재시작

   1 2	# 설정 적용을 위해 시스템 재부팅 권장 Restart-Computer

4. 참고 자료

• Microsoft Docs: 암호 정책
• NIST SP 800-63B: 디지털 아이덴티티 가이드라인
• CIS Controls: 자격 증명 보호

5. 스크립트

• 취약점 점검 스크립트
  • 이 스크립트는 KISA 주요정보통신기반시설 기술적 취약점 분석·평가 가이드라인(2026)을 준수하여 제작된 자동 점검 도구입니다. 복잡한 단일 파일 방식이 아닌 모듈화된 구조로 설계되어 유지보수가 쉽고 확장이 용이합니다.
  • 다양한 환경에서 테스트를 진행했으나, 혹시 점검 로직에 이슈가 발견되거나 개선이 필요한 경우 적극적인 제보를 부탁드립니다.