이 글의 목적은 복합기 스캔 투 폴더(Scan to Folder)가 갑자기 실패할 때 “SMB 서명 요구(서명 필수)” 정책 때문에 발생하는 원인을 정확히 진단하고, 보안 수준을 고려한 해결 절차를 단계별로 제공하는 것이다.
1. 증상과 대표 오류 메시지 정리
스캔 투 폴더는 복합기가 SMB(Windows 파일 공유)로 PC 또는 서버의 공유 폴더에 파일을 업로드하는 방식이다. Windows 업데이트, 보안 기준 강화, 도메인 정책 변경 이후에 기존에 잘 되던 스캔이 갑자기 실패하는 경우가 많다. 특히 SMB 서명(Signing) 요구가 “필수”로 바뀌면, 서명을 지원하지 않거나 서명을 사용하지 않도록 설정된 복합기는 공유 폴더에 연결 자체가 거절되기 쉽다.
| 현상 | 복합기/PC에서 보이는 메시지 예시 | 가능성이 큰 원인 |
|---|---|---|
| 스캔 시작 즉시 실패 | 로그인 실패, 인증 실패, 네트워크 경로 오류 | SMB 서명 요구, 계정/권한 불일치, SMB 버전 불일치 |
| 대상 폴더 연결 실패 | 접근 거부, 서버에 연결할 수 없음 | SMB 서명 필수, 방화벽/포트 차단, 공유 권한 문제 |
| 이전 PC는 되고 특정 PC만 안 됨 | 윈도우 업데이트 이후만 실패 | 클라이언트(워크스테이션) SMB 서명 필수로 전환 |
| 서버 교체 후부터 실패 | 서버 정책 강화 이후 실패 | 서버(LanmanServer) SMB 서명 필수로 전환 |
주의 : 스캔 투 폴더 오류는 “계정 비밀번호 틀림”처럼 보이더라도 실제로는 SMB 보안 협상 단계에서 끊기는 경우가 많다. 따라서 공유 권한만 반복 점검하면 시간이 낭비되기 쉽다.
2. SMB 서명 요구가 스캔을 막는 이유
SMB 서명은 SMB 패킷에 무결성 서명을 붙여 중간자 공격이나 변조를 줄이기 위한 기능이다. Windows에서 “서명 필수(Require)”로 설정되면, 상대가 서명을 하지 않는 연결은 보안 협상 단계에서 차단된다. 문제는 일부 복합기/스캐너가 SMB2/SMB3는 지원하더라도 “서명 사용” 옵션이 꺼져 있거나, 오래된 펌웨어에서는 서명 협상이 불완전한 경우가 있다는 점이다.
정리하면, Windows 또는 서버가 “서명 없이는 연결 불가”로 바뀌었는데 복합기가 “서명 없이 연결”을 시도하면 스캔은 실패한다.
3. 원인 진단 절차(먼저 확인해야 할 것)
3.1 공유 폴더 기본 조건 점검
SMB 서명 이슈로 단정하기 전에, 아래 기본 조건을 먼저 확인해야 한다.
| 점검 항목 | 권장 기준 | 현장 팁 |
|---|---|---|
| 공유 경로 표기 | \\PC이름\공유이름 또는 \\IP\공유이름 | DNS가 불안정하면 IP로 테스트하는 것이 빠르다. |
| 계정 형태 | 로컬 계정 또는 도메인 계정 명확화 | 복합기 입력은 DOMAIN\user 또는 PCNAME\user 형태가 안정적이다. |
| 비밀번호 정책 | 공백/특수문자 지원 여부 확인 | 일부 장비는 특정 특수문자에서 인증 실패하는 경우가 있다. |
| 폴더 권한 | 공유 권한 + NTFS 권한 모두 쓰기 허용 | 스캔 계정에 “수정” 이상을 부여하는 방식이 운영상 안정적이다. |
| 방화벽 | 파일 및 프린터 공유 허용 | 프로필(도메인/개인/공용)별로 규칙이 다르게 적용되기 쉽다. |
3.2 SMB 서명 요구 여부를 빠르게 확인하는 방법
Windows PC 또는 서버에서 SMB 서명 요구가 켜져 있으면, 복합기 연결이 실패할 가능성이 커진다. 아래 방법 중 가능한 것을 사용하면 된다.
(1) 로컬 보안 정책에서 확인하는 방법이다.
Windows에서 secpol.msc를 열고 “로컬 정책 → 보안 옵션”에서 아래 항목을 확인하는 방식이다.
- Microsoft network client: Digitally sign communications (always) 값이 사용(Enabled)인지 확인하는 방식이다.
- Microsoft network server: Digitally sign communications (always) 값이 사용(Enabled)인지 확인하는 방식이다.
(2) PowerShell로 확인하는 방법이다.
# 관리자 권한 PowerShell에서 확인하는 방식이다. # 서버 역할(파일 공유)을 제공하는 쪽 설정을 확인하는 방식이다. Get-SmbServerConfiguration | Select EnableSecuritySignature, RequireSecuritySignature
클라이언트(원격 SMB로 나가는) 쪽 설정을 확인하는 방식이다.
Get-SmbClientConfiguration | Select EnableSecuritySignature, RequireSecuritySignature주의 : 회사 환경에서는 로컬에서 바꿔도 도메인 GPO가 다시 덮어쓰는 경우가 많다. “변경했는데 내일 또 실패”하는 패턴이면 그룹 정책 적용을 의심해야 한다.
4. 해결 전략은 2가지 중에서 선택하는 것이 원칙이다
스캔 투 폴더 장애를 급하게 복구하기 위해 Windows 보안을 낮추는 방식이 자주 사용되지만, 장기적으로는 권장되지 않는다. 운영 현실을 반영해 아래 2가지 전략 중 하나를 선택하는 것이 합리적이다.
| 전략 | 핵심 조치 | 장점 | 주의점 |
|---|---|---|---|
| A. 보안 유지형(권장) | 복합기에서 SMB2/SMB3 사용 + SMB 서명 사용으로 맞추는 방식이다. | 보안 기준을 유지하면서 스캔을 복구하는 방식이다. | 복합기 펌웨어/모델에 따라 메뉴가 없을 수 있다. |
| B. 운영 우선형(임시) | Windows에서 SMB 서명 요구(필수)를 해제하는 방식이다. | 복합기 변경 없이 빠르게 복구되는 경우가 많다. | 네트워크 보안 수준이 낮아질 수 있어 범위를 제한해야 한다. |
5. A 전략: 복합기에서 SMB 서명/버전을 맞춰 보안 유지하는 방법
장비 메뉴 구성은 제조사마다 다르지만, 방향은 동일하다. 복합기에서 스캔 대상(SMB 전송)의 고급 설정에 들어가 다음 항목을 우선 확인해야 한다.
- SMB 버전이 SMB1이 아니라 SMB2 또는 SMB2/SMB3로 설정되어야 한다.
- SMB 서명(Signing)을 “사용” 또는 “자동”으로 바꾸는 것이 우선이다.
- NTLM 버전/인증 방식이 지나치게 낮게 고정되어 있으면 협상 실패가 날 수 있으므로 “자동”이 유리하다.
복합기 메뉴에서 “SMB 서명” 항목이 없더라도, 펌웨어 업데이트로 옵션이 추가되는 경우가 있다. 따라서 장비 펌웨어를 최신으로 올린 뒤 다시 메뉴를 확인하는 것이 정석이다.
주의 : SMB1을 켜서 해결하는 방식은 권장되지 않는다. SMB1은 오래된 프로토콜이며 보안과 운영 안정성 측면에서 리스크가 크다.
6. B 전략: Windows에서 SMB 서명 요구를 해제하여 스캔을 복구하는 방법
복합기 측에서 서명 사용이 불가능하거나, 긴급하게 서비스 복구가 필요한 경우에 사용하는 방식이다. 다만 적용 범위를 최소화하고, 가능하면 전용 스캔 PC 또는 전용 스캔 파일 서버에만 적용하는 것이 운영상 안전하다.
6.1 로컬 보안 정책(secpol.msc)로 변경하는 방법이다
아래 항목 중 “(always)”가 사용(Enabled)으로 되어 있으면, 서명을 못 하는 장비가 실패할 수 있다. 스캔만 복구가 목표라면 “사용 안 함(Disabled)”로 바꾸는 방식이 한 가지 선택지이다.
- Microsoft network client: Digitally sign communications (always) 항목을 점검하는 방식이다.
- Microsoft network server: Digitally sign communications (always) 항목을 점검하는 방식이다.
변경 후에는 정책 적용을 위해 재부팅하거나, 최소한 서비스 재시작이 필요할 수 있다.
6.2 PowerShell로 빠르게 적용하는 방법이다
Windows 기능과 권한에 따라 가능한 범위가 다를 수 있으므로, 아래 명령은 “가능한 경우”에 사용하는 방식이다.
# 관리자 권한 PowerShell에서 실행하는 방식이다. # SMB 서버(인바운드) 서명 요구를 해제하는 방식이다. Set-SmbServerConfiguration -RequireSecuritySignature $false # SMB 클라이언트(아웃바운드) 서명 요구를 해제하는 방식이다. Set-SmbClientConfiguration -RequireSecuritySignature $false # 적용 상태를 확인하는 방식이다. Get-SmbServerConfiguration | Select EnableSecuritySignature, RequireSecuritySignature Get-SmbClientConfiguration | Select EnableSecuritySignature, RequireSecuritySignature주의 : 파일 서버가 아닌 일반 PC는 “내 PC가 공유를 제공하는지”와 “복합기가 어느 쪽으로 접속하는지”에 따라 서버/클라이언트 설정 중 필요한 범위가 달라진다. 스캔 투 폴더는 대부분 복합기가 PC의 공유로 들어오므로, 서버 측(공유 제공 측) 요구 해제가 핵심인 경우가 많다.
6.3 레지스트리로 제어하는 방법이다
보안 옵션은 내부적으로 레지스트리 값으로도 제어된다. 운영 표준서나 배포 스크립트로 관리해야 할 때 활용하는 방식이다.
| 대상 | 경로 | 값 이름 | 의미 |
|---|---|---|---|
| 클라이언트(워크스테이션) | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManWorkstation\Parameters | RequireSecuritySignature | 0이면 “항상 서명 요구”를 끄는 의미로 사용되는 구성이다. |
| 클라이언트(워크스테이션) | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManWorkstation\Parameters | EnableSecuritySignature | 서명 기능 사용 여부를 제어하는 구성이다. |
| 서버(공유 제공) | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | RequireSecuritySignature | 0이면 “서명 필수”를 해제하는 의미로 사용되는 구성이다. |
| 서버(공유 제공) | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | EnableSecuritySignature | 서명 기능 사용 여부를 제어하는 구성이다. |
예시로, 스캔 전용 PC에서 “서명 필수”만 해제하려면 아래처럼 reg 파일로 적용하는 방식이 가능하다.
Windows Registry Editor Version 5.00 ; SMB 클라이언트 서명 필수 해제 예시이다. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManWorkstation\Parameters] "RequireSecuritySignature"=dword:00000000 ; SMB 서버 서명 필수 해제 예시이다. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters] "RequireSecuritySignature"=dword:00000000주의 : 레지스트리 변경은 운영 영향이 크므로, 적용 대상 장비를 “스캔 전용”으로 분리하고 변경 이력을 남기는 방식이 안전하다.
7. 도메인/그룹 정책(GPO) 환경에서 반드시 확인할 항목
회사 PC나 파일 서버가 도메인에 가입되어 있으면, 로컬 설정을 바꿔도 도메인 정책이 다시 강제되는 경우가 많다. 이 경우에는 다음 경로에서 정책이 설정되어 있는지 확인해야 한다.
- 컴퓨터 구성 → Windows 설정 → 보안 설정 → 로컬 정책 → 보안 옵션에서 SMB 서명 관련 항목을 점검하는 방식이다.
운영 표준이 “서명 필수”라면, 스캔을 살리기 위해 예외 설계를 해야 한다. 대표적인 예외 설계는 다음과 같다.
- 스캔 전용 파일 서버를 별도로 두고, 해당 서버에만 정책 예외를 적용하는 방식이다.
- 스캔 전용 VLAN/서브넷에서만 접근하도록 방화벽 ACL을 구성해 위험 범위를 제한하는 방식이다.
- 복합기 펌웨어를 올려 서명 사용을 지원하게 만든 뒤 예외를 최소화하는 방식이다.
8. 해결 후 검증 절차(재발 방지 포함)
설정을 바꾼 뒤에는 “스캔이 된다”에서 끝내면 재발하기 쉽다. 아래 검증을 함께 수행해야 한다.
8.1 접속 테스트 체크리스트이다
| 검증 항목 | 방법 | 합격 기준 |
|---|---|---|
| 복합기 SMB 대상 연결 | 복합기에서 “연결 테스트” 또는 실제 스캔 수행 | 연속 3회 이상 성공하는 기준이다. |
| 파일 생성 권한 | 스캔 파일이 생성되고 덮어쓰기/동명 처리 확인 | 폴더에 정상 저장되고 파일 크기가 정상인 기준이다. |
| 이벤트/로그 확인 | Windows 이벤트 뷰어에서 관련 경고/오류 확인 | SMB 협상 실패 또는 인증 실패가 반복되지 않는 기준이다. |
| 업데이트 후 재점검 계획 | Windows 업데이트/보안 패치 후 재테스트 | 업데이트 다음 날에도 정상 동작하는 기준이다. |
8.2 운영상 안전한 권한 모델 권장안이다
스캔 계정은 개인 계정이 아니라 전용 서비스 계정으로 운영하는 것이 관리에 유리하다. 또한 공유 권한은 “스캔 계정만 쓰기 허용”으로 최소화하는 것이 좋다. 파일 저장 위치도 사용자 문서 폴더가 아니라 업무용 공유 드라이브의 전용 폴더로 분리하는 방식이 재발 대응과 감사 추적에 유리하다.
9. 자주 놓치는 함정과 추가 원인
SMB 서명 요구가 가장 흔한 원인이지만, 다음 항목이 함께 겹치면 동일 증상으로 보일 수 있다.
- 게스트(무자격) 접근이 차단되어 있는데 복합기가 게스트로 접속하는 구성인 경우이다.
- 자격 증명 형식이 잘못되어 로컬 계정이 아닌 Microsoft 계정/메일 주소로 입력한 경우이다.
- 공유 폴더는 열렸지만 NTFS 권한이 없어 “폴더 목록은 보이는데 저장만 실패”하는 경우이다.
- 보안 제품이 SMB 트래픽을 가로채거나 차단해 협상이 깨지는 경우이다.
주의 : “빨리 되게 하려고” 공유 폴더에 Everyone 쓰기를 주는 방식은 운영 사고로 이어지기 쉽다. 스캔 전용 계정과 전용 폴더로 최소 권한을 유지하는 것이 원칙이다.
FAQ
Windows 업데이트 후에만 스캔 투 폴더가 실패하는 이유가 무엇이다?
업데이트로 SMB 보안 기본값이 강화되거나, 도메인 보안 기준이 재적용되면서 SMB 서명 요구가 “필수”로 바뀌는 경우가 있다. 이때 복합기가 서명을 사용하지 못하면 연결 단계에서 차단되어 스캔이 실패하는 구조이다.
서명 요구를 끄면 보안상 어떤 영향이 있는가?
SMB 서명은 패킷 변조 및 중간자 공격 위험을 낮추는 데 기여하는 기능이다. “필수”를 해제하면 호환성은 좋아지지만, 네트워크 환경에 따라 공격 표면이 커질 수 있다. 따라서 스캔 전용 서버로 분리하고 접근 대역을 제한하는 방식이 현실적인 보완책이다.
복합기에서 SMB2/SMB3로 바꿨는데도 실패하는 이유는 무엇이다?
SMB 버전과 서명은 별개로 협상될 수 있다. SMB2/SMB3를 켰어도 서명 사용이 비활성화되어 있거나, 펌웨어 결함으로 서명 협상이 정상 동작하지 않으면 실패할 수 있다. 이 경우 펌웨어 업데이트와 “SMB 서명 사용/자동” 옵션 확인이 우선이다.
도메인 환경에서 일부 PC만 예외로 만들 수 있는가?
가능하다. 일반적으로는 스캔 전용 파일 서버 또는 스캔 전용 PC를 지정하고, 해당 OU에만 예외 GPO를 적용하는 방식으로 운영한다. 단, 예외 대상과 예외 사유를 문서화하고 재검토 주기를 두는 방식이 필요하다.
가장 안전한 해결 순서가 무엇이다?
복합기 펌웨어 업데이트 → SMB2/SMB3 사용 → SMB 서명 사용 또는 자동 설정을 먼저 적용하는 방식이 우선이다. 그래도 불가하면 스캔 전용 서버로 분리한 뒤 Windows의 서명 요구를 제한적으로 해제하는 방식이 차선이다.