---
title: "Mandiant(Google)가 Net-NTLMv1 레인보우 테이블을 공개 릴리스함"
published: 2026-01-16T21:42:24.000Z
canonical: https://jeff.news/article/906
---
# Mandiant(Google)가 Net-NTLMv1 레인보우 테이블을 공개 릴리스함

Mandiant가 Net-NTLMv1 레인보우 테이블을 공개. $600 미만 소비자 하드웨어로 12시간 내 키 복구 가능. 20년 넘게 비보안으로 알려졌지만 관성 때문에 여전히 사용되는 프로토콜의 폐기를 촉진하기 위한 조치

- Net-NTLMv1은 1999년부터 암호분석이 나왔고 20년 넘게 비보안으로 알려져 있는데, 관성 때문에 아직도 실제 환경에서 쓰이고 있는 상황임. Mandiant 컨설턴트들이 계속 발견한다는 거임
- 기존에는 이 프로토콜을 공격하려면 서드파티 서비스에 민감 데이터를 업로드하거나 비싼 하드웨어로 브루트포스해야 했음
- 이번에 공개된 레인보우 테이블로 $600 미만 소비자 하드웨어에서 12시간 이내에 키 복구가 가능해짐. 보안 전문가들이 Net-NTLMv1의 위험성을 직접 시연할 수 있게 한 거임
- 공격 체인: 알려진 평문 1122334455667788로 Net-NTLMv1 해시 획득 → KPA(Known Plaintext Attack) → 패스워드 해시 복구. 이 해시가 AD 객체의 패스워드 해시 그 자체라서 바로 권한 상승에 쓸 수 있음
- 가장 흔한 시나리오는 도메인 컨트롤러에서 인증 강제(authentication coercion) → DC 머신 계정 해시 복구 → DCSync로 AD 내 모든 계정 탈취하는 체인임
- 데이터셋은 Google Cloud(gsutil)로 다운로드 가능하고, 도구는 rainbowcrack(CPU), rainbowcrackalack(GPU) 등 사용 가능함
- Mandiant의 최전선 경험 + Google Cloud 리소스를 합쳐서 공격 클래스 전체를 제거하겠다는 취지임. 아직도 Net-NTLMv1 쓰는 조직은 즉시 비활성화하고 NTLMv2 이상으로 마이그레이션해야 함

## 핵심 포인트

- Net-NTLMv1은 1999년부터 취약점 알려졌지만 아직도 실환경에서 발견됨
- 공개된 레인보우 테이블로 $600 미만 하드웨어에서 12시간 내 키 복구 가능
- 공격 체인: Net-NTLMv1 해시 → KPA → 패스워드 해시 복구 → AD 계정 탈취
- DC에서 authentication coercion → DCSync → 전체 AD 장악 시나리오
- Google Cloud에서 gsutil로 데이터셋 다운로드 가능

## 인사이트

20년 넘은 취약 프로토콜이 관성으로 살아남는 현실. 레인보우 테이블 공개로 위험성 시연 장벽을 낮춰 폐기를 가속화하려는 전략.