원래 게시 날짜: 2026/1/13
KB ID: 5073381
Windows 보안 부팅 인증서 만료
중요: 대부분의 Windows 디바이스에서 사용되는 보안 부팅 인증서는 2026년 6월부터 만료되도록 설정됩니다. 적절한 시기에 업데이트하지 않으면 일부 개인 및 비즈니스 디바이스가 안전하게 부팅되지 않을 수 있습니다. 중단을 방지하려면 지침을 검토하고 사전에 인증서를 업데이트하는 조치를 취하는 것이 좋습니다. 자세한 내용 및 준비 단계는 Windows 보안 부팅 인증서 만료 및 CA 업데이트를 참조하세요.
이 문서의 내용
요약
2026년 1월 13일 이후에 릴리스된 Windows 업데이트에는 Kerberos 인증 프로토콜을 사용하여 취약성에 대한 보호가 포함되어 있습니다. Windows 업데이트는 공격자가 RC4와 같이 약하거나 레거시 암호화 유형이 있는 서비스 티켓을 획득하고 오프라인 공격을 수행하여 서비스 계정 암호를 복구할 수 있는 정보 공개 취약성을 해결합니다.
환경을 보호하고 강화하려면 도메인 컨트롤러로 실행되는 "적용 대상" 섹션에 나열된 모든 Windows 서버에 2026년 1월 13일 또는 그 이후에 릴리스된 Windows 업데이트를 설치합니다. 취약성에 대한 자세한 내용은 CVE-2026-20833을 참조하세요.
이 취약성을 완화하기 위해 모든 도메인 컨트롤러가 명시적 Kerberos 암호화 유형 구성 없이 계정에 대한 AES-SHA1(Advanced Encryption Standard)으로 암호화된 티켓만 지원하도록 DefaultDomainSupportedEncTypes(DDSET)의 기본값이 변경되고 있습니다. 자세한 내용은 지원되는 암호화 유형 비트 플래그를 참조하세요.
DefaultDomainSupportedEncTypes 레지스트리 값이 정의된 도메인 컨트롤러에서는 이러한 변경 내용의 동작이 기능적으로 영향을 받지 않습니다. 그러나 기존 DefaultDomainSupportedEncTypes 구성이 안전하지 않은 경우 Audit 이벤트 KDCSVC 이벤트 ID: 205가 시스템 이벤트 로그에 기록될 수 있습니다.
작업 수행
환경을 보호하고 운영 중단을 방지하려면 다음 단계를 수행하는 것이 좋습니다.
-
업데이트 2026년 1월 13일 또는 그 이후에 릴리스된 Windows 업데이트로 시작하는 Microsoft Active Directory 도메인 컨트롤러.
-
RC4 보호를 사용하도록 설정하여 위험을 식별하는 Windows Server 2012 로그된 9개의 감사 이벤트 및 최신 도메인 컨트롤러에 대한 시스템 이벤트 로그를 모니터링합니다.
-
완화 시스템 이벤트 로그에 기록된 KDCSVC 이벤트는 RC4 보호의 수동 또는 프로그래밍 방식 사용을 방지합니다.
-
사용 경고, 차단 또는 정책 이벤트가 더 이상 기록되지 않을 때 사용자 환경에서 CVE-2026-20833에서 해결되는 취약성을 해결하기 위한 적용 모드입니다.
중요 2026년 1월 13일 또는 그 이후에 릴리스된 업데이트를 설치하면 기본적으로 Active Directory 도메인 컨트롤러용 CVE-2026-20833에 설명된 취약성이 해결되지 않습니다. 취약성을 완전히 완화하려면 모든 도메인 컨트롤러에서 가능한 한 빨리 적용 모드( 3단계에서 설명)로 이동해야 합니다.
2026년 4월부터 모든 Windows 도메인 컨트롤러에서 적용 모드가 사용하도록 설정되며 비준수 디바이스의 취약한 연결을 차단합니다. 이때 감사를 사용하지 않도록 설정할 수는 없지만 감사 모드 설정으로 다시 이동할 수 있습니다. 감사 모드는 업데이트 타이밍 섹션에 설명된 대로 2026년 7월에 제거되며, 적용 모드는 모든 Windows 도메인 컨트롤러에서 사용하도록 설정되며 비준수 디바이스에서 취약한 연결을 차단합니다.
2026년 4월 이후에 RC4를 활용해야 하는 경우 RC4 사용을 수락해야 하는 서비스의 msds-SupportedEncryptionTypes 비트 마스크 내에서 RC4를 명시적으로 사용하도록 설정하는 것이 좋습니다.
업데이트 시기
2026년 1월 13일 - 초기 배포 단계
초기 배포 단계는 2026년 1월 13일 이후 릴리스된 업데이트로 시작되며 적용 단계까지 이후 Windows 업데이트로 계속됩니다. 이 단계는 고객에게 두 번째 배포 단계에서 도입될 새로운 보안 적용을 경고하는 것입니다. 이 업데이트:
-
향후 보안 강화로 인해 부정적인 영향을 받을 수 있는 고객에게 경고하는 감사 이벤트를 제공합니다.
-
KDCSVC 감사 이벤트가 안전한 것으로 표시되면 도메인 컨트롤러에서 값을 2로 설정하여 변경 내용을 사전에 사용하도록 설정하기 위해 레지스트리 값 RC4DefaultDisablementPhase를 도입했습니다.
2026년 4월 - 두 번째 배포 단계
이 업데이트는 KDC 작업의 기본 DefaultDomainSupportedEncTypes 값을 변경하여 명시적 msds-SupportedEncryptionTypes Active Directory 특성이 정의되지 않은 계정에 AES-SHA1을 활용합니다.
이 단계에서는 DefaultDomainSupportedEncTypes의 기본값을 AES-SHA1로만 변경합니다. 0x18.
2026년 7월 - 적용 단계
2026년 7월 또는 그 이후에 릴리스된 Windows 업데이트는 레지스트리 하위 키 RC4DefaultDisablementPhase에 대한 지원을 제거합니다.
배포 지침
2026년 1월 13일 또는 그 이후에 릴리스된 Windows 업데이트를 배포하려면 다음 단계를 수행합니다.
-
2026년 1월 13일 또는 그 이후에 릴리스된 Windows 업데이트로 도메인 컨트롤러를 업데이트합니다.
-
초기 배포 단계에서 기록된 이벤트를 모니터링하여 환경을 보호합니다.
-
레지스트리 설정 섹션을 사용하여 도메인 컨트롤러를 적용 모드로 이동합니다.
1단계: 업데이트
업데이트를 배포한 후 도메인 컨트롤러로 실행되는 모든 적용 가능한 Windows Active Directory에 2026년 1월 13일 또는 그 이후에 릴리스된 Windows 업데이트를 배포합니다.
-
도메인 컨트롤러가 RC4 암호화를 사용해야 하지만 서비스 계정에 기본 암호화 구성이 있는 Kerberos 서비스 티켓 요청을 수신하는 경우 감사 이벤트가 시스템 이벤트 로그에 표시됩니다.
-
도메인 컨트롤러에 RC4 암호화를 허용하는 명시적 DefaultDomainSupportedEncTypes 구성이 있는 경우 시스템 이벤트 로그에 감사 이벤트가 기록됩니다.
2단계: MONITOR
도메인 컨트롤러가 업데이트되면 감사 이벤트가 표시되지 않으면 RC4DefaultDisablementPhase 값을 2로 변경하여 적용 모드로 전환합니다.
생성된 감사 이벤트가 있는 경우 RC4 종속성을 제거하거나 Kerberos에서 지원하는 암호화 유형을 명시적으로 구성해야 합니다. 그런 다음 적용 모드로 이동할 수 있습니다.
도메인에서 RC4 사용량을 감지하고, 여전히 RC4에 의존하는 디바이스 및 사용자 계정을 감사하고, 더 강력한 암호화 유형에 찬성하여 사용량을 수정하거나 RC4 종속성을 관리하는 단계를 수행하는 방법을 알아보려면 Kerberos에서 RC4 사용량 검색 및 수정을 참조하세요.
3단계: 사용
적용 모드를 사용하도록 설정하여 사용자 환경의 CVE-2026-20833 취약성을 해결합니다.
-
기본 구성이 있는 계정에 대한 RC4 서비스 티켓을 제공하도록 KDC가 요청되면 오류 이벤트가 기록됩니다.
-
DefaultDomainSupportedEncTypes의 안전하지 않은 구성에 대해 기록된 이벤트 ID: 205가 계속 표시됩니다.
레지스트리 설정
2026년 1월 13일 또는 그 이후에 릴리스된 Windows 업데이트가 설치되면 Kerberos 프로토콜에 다음 레지스트리 키를 사용할 수 있습니다.
이 레지스트리 키는 Kerberos 변경 내용의 배포를 제어하는 데 사용됩니다. 이 레지스트리 키는 임시이며 적용 날짜 이후에는 더 이상 읽지 않습니다.
|
레지스트리 키 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
데이터 형식 |
REG_DWORD |
|
값 이름 |
RC4DefaultDisablementPhase |
|
값 데이터 |
0 – 감사 없음, 변경 없음 1 - 경고 이벤트는 기본 RC4 사용량에 기록됩니다. (1단계 기본값) 2 – Kerberos는 RC4가 기본적으로 사용하도록 설정되어 있지 않다고 가정하기 시작합니다. (2단계 기본값) |
|
다시 시작해야 하나요? |
예 |
감사 이벤트
2026년 1월 13일 또는 그 이후에 릴리스된 Windows 업데이트가 설치되면 다음 Audit 이벤트 유형이 Windows Server 2012 추가되고 나중에 도메인 컨트롤러로 실행됩니다.
|
이벤트 로그 |
시스템 |
|
이벤트 형식 |
경고 |
|
이벤트 소스 |
Kdcsvc |
|
이벤트 ID |
201 |
|
이벤트 텍스트 |
키 배포 센터에서 서비스 msds-SupportedEncryptionTypes가 정의되지 않고 클라이언트가 안전하지 않은 암호화 유형만 지원하므로 적용 단계에서 지원되지 않는 <암호 이름> 사용량을 검색했습니다. 계정 정보 계정 이름: <계정 이름> 제공된 영역 이름: <제공된 영역 이름> msds-SupportedEncryptionTypes: 지원되는 암호화 유형 <> 사용 가능한 키: 사용 가능한 키> < 서비스 정보: 서비스 이름: <서비스 이름> 서비스 ID: <서비스 SID> msds-SupportedEncryptionTypes: <서비스 지원 암호화 유형> 사용 가능한 키: <서비스 사용 가능한 키> 도메인 컨트롤러 정보: msds-SupportedEncryptionTypes: <도메인 컨트롤러 지원 암호화 유형> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes 값> 사용 가능한 키: <도메인 컨트롤러 사용 가능한 키> 네트워크 정보: 클라이언트 주소: <클라이언트 IP 주소> 클라이언트 포트: <클라이언트 포트> 광고된 Etype: <광고된 Kerberos 암호화 유형> 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2344614 참조하세요. |
|
메모 |
이벤트 ID: 다음과 같은 경우 201이 기록됩니다.
|
|
이벤트 로그 |
시스템 |
|
이벤트 형식 |
경고 |
|
이벤트 소스 |
Kdcsvc |
|
이벤트 ID |
202 |
|
이벤트 텍스트 |
키 배포 센터에서 서비스 msds-SupportedEncryptionTypes가 정의되지 않고 서비스 계정에 안전하지 않은 키만 있으므로 적용 단계에서 지원되지 않는 암호 이름> 사용 <검색되었습니다. 계정 정보 계정 이름: <계정 이름> 제공된 영역 이름: <제공된 영역 이름> msds-SupportedEncryptionTypes: 지원되는 암호화 유형 <> 사용 가능한 키: 사용 가능한 키> < 서비스 정보: 서비스 이름: <서비스 이름> 서비스 ID: <서비스 SID> msds-SupportedEncryptionTypes: <서비스 지원 암호화 유형> 사용 가능한 키: <서비스 사용 가능한 키> 도메인 컨트롤러 정보: msds-SupportedEncryptionTypes: <도메인 컨트롤러 지원 암호화 유형> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes 값> 사용 가능한 키: <도메인 컨트롤러 사용 가능한 키> 네트워크 정보: 클라이언트 주소: <클라이언트 IP 주소> 클라이언트 포트: <클라이언트 포트> 광고된 Etype: <광고된 Kerberos 암호화 유형> 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2344614 참조하세요. |
|
메모 |
다음과 같은 경우 경고 이벤트 202가 기록됩니다.
|
|
이벤트 로그 |
시스템 |
|
이벤트 형식 |
경고 |
|
이벤트 소스 |
Kdcsvc |
|
이벤트 ID |
203 |
|
이벤트 텍스트 |
서비스 msds-SupportedEncryptionTypes가 정의되지 않았고 클라이언트가 안전하지 않은 암호화 유형만 지원하므로 키 배포 센터에서 암호화 사용을 차단했습니다. 계정 정보 계정 이름: <계정 이름> 제공된 영역 이름: <제공된 영역 이름> msds-SupportedEncryptionTypes: 지원되는 암호화 유형 <> 사용 가능한 키: 사용 가능한 키> < 서비스 정보: 서비스 이름: <서비스 이름> 서비스 ID: <서비스 SID> msds-SupportedEncryptionTypes: <서비스 지원 암호화 유형> 사용 가능한 키: <서비스 사용 가능한 키> 도메인 컨트롤러 정보: msds-SupportedEncryptionTypes: <도메인 컨트롤러 지원 암호화 유형> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes 값> 사용 가능한 키: <도메인 컨트롤러 사용 가능한 키> 네트워크 정보: 클라이언트 주소: <클라이언트 IP 주소> 클라이언트 포트: <클라이언트 포트> 광고된 Etype: <광고된 Kerberos 암호화 유형> 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2344614 참조하세요. |
|
메모 |
다음과 같은 경우 오류 이벤트 203이 기록됩니다.
|
|
이벤트 로그 |
시스템 |
|
이벤트 형식 |
경고 |
|
이벤트 소스 |
Kdcsvc |
|
이벤트 ID |
204 |
|
이벤트 텍스트 |
서비스 msds-SupportedEncryptionTypes가 정의되지 않았고 서비스 계정에 안전하지 않은 키만 있으므로 키 배포 센터에서 암호화 사용을 차단했습니다. 계정 정보 계정 이름: <계정 이름> 제공된 영역 이름: <제공된 영역 이름> msds-SupportedEncryptionTypes: 지원되는 암호화 유형 <> 사용 가능한 키: 사용 가능한 키> < 서비스 정보: 서비스 이름: <서비스 이름> 서비스 ID: <서비스 SID> msds-SupportedEncryptionTypes: <서비스 지원 암호화 유형> 사용 가능한 키: <서비스 사용 가능한 키> 도메인 컨트롤러 정보: msds-SupportedEncryptionTypes: <도메인 컨트롤러 지원 암호화 유형> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes 값> 사용 가능한 키: <도메인 컨트롤러 사용 가능한 키> 네트워크 정보: 클라이언트 주소: <클라이언트 IP 주소> 클라이언트 포트: <클라이언트 포트> 광고된 Etype: <광고된 Kerberos 암호화 유형> 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2344614 참조하세요. |
|
메모 |
다음과 같은 경우 오류 이벤트 204가 기록됩니다.
|
|
이벤트 로그 |
시스템 |
|
이벤트 형식 |
경고 |
|
이벤트 소스 |
Kdcsvc |
|
이벤트 ID |
205 |
|
이벤트 텍스트 |
키 배포 센터에서 기본 도메인 지원 암호화 유형 정책 구성에서 명시적 암호화 사용을 검색했습니다. 암호: <비보안 암호> DefaultDomainSupportedEncTypes: <구성된 DefaultDomainSupportedEncTypes 값> 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2344614 참조하세요. |
|
메모 |
다음과 같은 경우 경고 이벤트 205가 기록됩니다.
|
|
이벤트 로그 |
시스템 |
|
이벤트 형식 |
경고 |
|
이벤트 소스 |
Kdcsvc |
|
이벤트 ID |
206 |
|
이벤트 텍스트 |
서비스 msds-SupportedEncryptionTypes가 AES-SHA1만 지원하도록 구성되었지만 클라이언트가 AES-SHA1을 광고하지 않기 때문에 키 배포 센터에서 <암호 이름> 사용이 적용 단계에서 지원되지 않는 것을 감지했습니다. 계정 정보 계정 이름: <계정 이름> 제공된 영역 이름: <제공된 영역 이름> msds-SupportedEncryptionTypes: 지원되는 암호화 유형 <> 사용 가능한 키: 사용 가능한 키> < 서비스 정보: 서비스 이름: <서비스 이름> 서비스 ID: <서비스 SID> msds-SupportedEncryptionTypes: <서비스 지원 암호화 유형> 사용 가능한 키: <서비스 사용 가능한 키> 도메인 컨트롤러 정보: msds-SupportedEncryptionTypes: <도메인 컨트롤러 지원 암호화 유형> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes 값> 사용 가능한 키: <도메인 컨트롤러 사용 가능한 키> 네트워크 정보: 클라이언트 주소: <클라이언트 IP 주소> 클라이언트 포트: <클라이언트 포트> 광고된 Etype: <광고된 Kerberos 암호화 유형> 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2344614 참조하세요. |
|
메모 |
다음과 같은 경우 경고 이벤트 206이 기록됩니다.
|
|
이벤트 로그 |
시스템 |
|
이벤트 형식 |
경고 |
|
이벤트 소스 |
Kdcsvc |
|
이벤트 ID |
207 |
|
이벤트 텍스트 |
키 배포 센터에서는 서비스 msds-SupportedEncryptionTypes가 AES-SHA1만 지원하도록 구성되었지만 서비스 계정에 AES-SHA1 키가 없기 때문에 적용 단계에서 지원되지 않는 암호화 이름> 사용량을 <검색했습니다. 계정 정보 계정 이름: <계정 이름> 제공된 영역 이름: <제공된 영역 이름> msds-SupportedEncryptionTypes: 지원되는 암호화 유형 <> 사용 가능한 키: 사용 가능한 키> < 서비스 정보: 서비스 이름: <서비스 이름> 서비스 ID: <서비스 SID> msds-SupportedEncryptionTypes: <서비스 지원 암호화 유형> 사용 가능한 키: <서비스 사용 가능한 키> 도메인 컨트롤러 정보: msds-SupportedEncryptionTypes: <도메인 컨트롤러 지원 암호화 유형> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes 값> 사용 가능한 키: <도메인 컨트롤러 사용 가능한 키> 네트워크 정보: 클라이언트 주소: <클라이언트 IP 주소> 클라이언트 포트: <클라이언트 포트> 광고된 Etype: <광고된 Kerberos 암호화 유형> 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2344614 참조하세요. |
|
메모 |
다음과 같은 경우 경고 이벤트 207이 기록됩니다.
|
|
이벤트 로그 |
시스템 |
|
이벤트 형식 |
경고 |
|
이벤트 소스 |
Kdcsvc |
|
이벤트 ID |
208 |
|
이벤트 텍스트 |
서비스 msds-SupportedEncryptionTypes는 AES-SHA1만 지원하도록 구성되었지만 클라이언트는 AES-SHA1을 광고하지 않으므로 키 배포 센터에서 의도적으로 암호 사용을 거부했습니다. 계정 정보 계정 이름: <계정 이름> 제공된 영역 이름: <제공된 영역 이름> msds-SupportedEncryptionTypes: 지원되는 암호화 유형 <> 사용 가능한 키: 사용 가능한 키> < 서비스 정보: 서비스 이름: <서비스 이름> 서비스 ID: <서비스 SID> msds-SupportedEncryptionTypes: <서비스 지원 암호화 유형> 사용 가능한 키: <서비스 사용 가능한 키> 도메인 컨트롤러 정보: msds-SupportedEncryptionTypes: <도메인 컨트롤러 지원 암호화 유형> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes 값> 사용 가능한 키: <도메인 컨트롤러 사용 가능한 키> 네트워크 정보: 클라이언트 주소: <클라이언트 IP 주소> 클라이언트 포트: <클라이언트 포트> 광고된 Etype: <광고된 Kerberos 암호화 유형> 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2344614 참조하세요. |
|
메모 |
다음과 같은 경우 오류 이벤트 208이 기록됩니다.
|
|
이벤트 로그 |
시스템 |
|
이벤트 형식 |
경고 |
|
이벤트 소스 |
Kdcsvc |
|
이벤트 ID |
209 |
|
이벤트 텍스트 |
서비스 msds-SupportedEncryptionTypes는 AES-SHA1만 지원하도록 구성되었지만 서비스 계정에 AES-SHA1 키가 없기 때문에 키 배포 센터에서 의도적으로 암호 사용을 거부했습니다. 계정 정보 계정 이름: <계정 이름> 제공된 영역 이름: <제공된 영역 이름> msds-SupportedEncryptionTypes: 지원되는 암호화 유형 <> 사용 가능한 키: 사용 가능한 키> < 서비스 정보: 서비스 이름: <서비스 이름> 서비스 ID: <서비스 SID> msds-SupportedEncryptionTypes: <서비스 지원 암호화 유형> 사용 가능한 키: <서비스 사용 가능한 키> 도메인 컨트롤러 정보: msds-SupportedEncryptionTypes: <도메인 컨트롤러 지원 암호화 유형> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes 값> 사용 가능한 키: <도메인 컨트롤러 사용 가능한 키> 네트워크 정보: 클라이언트 주소: <클라이언트 IP 주소> 클라이언트 포트: <클라이언트 포트> 광고된 Etype: <광고된 Kerberos 암호화 유형> 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2344614 참조하세요. |
|
메모 |
다음과 같은 경우 오류 이벤트 209가 기록됩니다.
|
참고
이러한 경고 메시지가 도메인 컨트롤러에 로그온된 경우 2026년 1월 13일 또는 그 이후에 릴리스된 Windows 업데이트로 도메인의 모든 도메인 컨트롤러가 최신 상태가 아닐 수 있습니다. 취약성을 완화하려면 도메인을 추가로 조사하여 최신이 아닌 도메인 컨트롤러를 찾아야 합니다.
이벤트 ID: 0x8000002A 도메인 컨트롤러에 로그온한 경우 KB5021131: CVE-2022-37966과 관련된 Kerberos 프로토콜 변경 내용을 관리하는 방법을 참조하세요.
FAQ(질문과 대답)
이 강화는 서비스 티켓을 발급할 때 Windows 도메인 컨트롤러에 영향을 줍니다. Kerberos 트러스트 및 조회 흐름은 영향을 받지 않습니다.
AES-SHA1을 처리할 수 없는 타사 도메인 디바이스는 AES-SHA1을 허용하도록 이미 명시적으로 구성되어 있어야 합니다.
아니요. DefaultDomainSupportedEncTypes에 대한 안전하지 않은 구성에 대한 경고 이벤트를 기록합니다. 또한 고객이 명시적으로 설정한 구성은 무시하지 않습니다.
리소스
KB5020805: CVE-2022-37967과 관련된 Kerberos 프로토콜 변경 내용을 관리하는 방법
