- 공유 링크 만들기
- X
- 이메일
- 기타 앱
이 글의 목적은 복합기·스캐너의 “Scan to Folder(스캔 투 폴더)”가 갑자기 실패하는 상황에서 원인이 SMB 서명(Signing) 요구인지 빠르게 판별하고, 보안 수준을 유지하면서도 정상 전송되도록 윈도우와 장비 설정을 실무 기준으로 정리하는 것이다.
1. 증상 요약과 왜 갑자기 실패하는지 이해하다
스캔 투 폴더는 대부분 SMB 프로토콜로 윈도우 공유 폴더에 파일을 업로드하는 방식이다. 문제는 윈도우 업데이트, 도메인 보안 정책, 서버 보안 강화, NAS 펌웨어 변경 등으로 “SMB 서명 요구”가 활성화되면, 서명을 지원하지 않거나 협상 방식이 맞지 않는 복합기·스캐너가 접속 단계에서 차단될 수 있다는 점이다.
현장에서 자주 관측되는 패턴은 “어제까지 되던 스캔이 오늘부터 안 된다”이다. 이때 네트워크 자체 장애가 아니라 보안 정책 변화(서명 요구, 게스트 차단, NTLM 제한 등)로 실패하는 경우가 매우 흔하다.
1-1. 대표 오류 메시지 형태를 정리하다
장비 패널 또는 웹 관리페이지에서 아래와 유사한 메시지가 발생할 수 있다.
- 인증 실패 또는 로그인 실패로 표시되다.
- 대상 폴더에 연결할 수 없다고 표시되다.
- 네트워크 경로를 찾을 수 없다고 표시되다.
- 서버에 연결되었으나 전송이 중단되었다고 표시되다.
윈도우 쪽에서는 공유 접근 시 “정책으로 인해 차단”류 메시지, 이벤트 로그에 SMB 관련 실패, 또는 보안 서명/인증 협상 실패가 남는 경우가 있다.
주의 : 스캔 투 폴더 장애를 “그냥 SMB1을 켜서” 해결하는 방식은 보안 리스크가 매우 크다. SMB1 활성화는 최후의 임시 조치로만 고려하고, 가능한 한 SMB2/SMB3 기반으로 전환하는 것이 원칙이다.
2. SMB 서명(Signing) 요구가 맞는지 5분 안에 판별하다
아래 순서로 보면 “SMB 서명 요구” 이슈인지 빠르게 판별할 수 있다.
2-1. 같은 계정으로 PC에서 공유 폴더 접속이 되는지 확인하다
복합기에 설정한 계정(예: scanuser)으로 PC에서 \\서버\공유폴더 접속이 되는지 확인하다. PC에서 정상 접속되는데 복합기만 실패하면, 장비의 SMB 기능(버전/서명/인증)이 윈도우 정책과 불일치할 가능성이 크다.
2-2. 윈도우 이벤트 로그에서 SMB 관련 단서를 확인하다
이벤트 뷰어에서 System 로그 및 보안 관련 로그에 SMB, LanmanServer, LanmanWorkstation, Security-Kerberos, NTLM 관련 오류가 남는지 확인하다. “정책 때문에 거부” 또는 “서명 필요” 뉘앙스가 보이면 이 글의 설정 항목이 직접적으로 연관되다.
2-3. 윈도우에서 SMB 서명 요구 상태를 명령으로 확인하다
관리자 PowerShell에서 아래 명령으로 클라이언트/서버 측 서명 요구 여부를 확인하다. 스캔 투 폴더의 “대상 폴더가 있는 PC”가 공유 서버 역할이므로 서버 설정이 특히 중요하다.
Get-SmbServerConfiguration | Select EnableSecuritySignature, RequireSecuritySignature Get-SmbClientConfiguration | Select EnableSecuritySignature, RequireSecuritySignatureRequireSecuritySignature가 True이면 해당 역할(서버 또는 클라이언트)에서 SMB 서명이 필수로 요구되다. 복합기가 서명 협상을 못 하면 접속이 실패할 수 있다.
3. 가장 안전한 해결 방향을 먼저 선택하다
해결책은 크게 3가지 축으로 정리되다. 현업에서는 1번이 정답에 가깝고, 2번은 환경에 따라 타협, 3번은 임시 또는 예외 처리로 접근하는 것이 안전하다.
| 우선순위 | 해결 방향 | 핵심 내용 | 장점 | 주의점 |
|---|---|---|---|---|
| 1 | 복합기에서 SMB2/SMB3 + Signing 지원으로 맞추다 | 장비 펌웨어 업데이트, SMB 버전/서명 옵션 활성화, NTLMv2 설정을 맞추다 | 보안 유지가 가능하다 | 구형 장비는 기능 한계가 존재하다 |
| 2 | 전용 스캔 서버(중계)로 구조를 바꾸다 | 윈도우 서버 또는 NAS/리눅스 중계 서버가 서명을 지원하도록 구성하다 | 장비 교체 없이 해결되다 | 서버 운영/권한 관리가 필요하다 |
| 3 | 윈도우에서 서명 “요구”를 끄고 예외 처리하다 | RequireSecuritySignature를 완화하여 구형 장비를 수용하다 | 빠르게 복구되다 | 보안 수준이 하락하다 |
주의 : 3번 방식은 “장비가 서명을 못 한다”는 근본 원인을 우회하는 방법이다. 가능한 한 특정 PC 1대(스캔 수신 전용)로 범위를 최소화하고, 내부망·방화벽·계정권한을 강하게 제한하는 방식으로 리스크를 관리해야 하다.
4. 복합기·스캐너에서 먼저 확인해야 할 SMB 설정 항목을 정리하다
제조사별 메뉴 명칭은 다르지만, 아래 항목은 거의 공통적으로 존재하다.
4-1. SMB 버전(SMB1/SMB2/SMB3)을 확인하다
장비가 SMB1만 지원하면 최신 윈도우/서버 환경에서 정책 충돌이 자주 발생하다. 가능하면 SMB2 또는 SMB3로 설정하다. “SMB2 only”, “SMB2/3”, “SMB v2.0” 같은 옵션이 있으면 우선 적용하다.
4-2. SMB Signing 옵션을 확인하다
장비에 “SMB Signing”, “Packet Signing”, “Digital Sign” 유사 옵션이 있으면 Enabled로 맞추다. 윈도우가 서명을 요구하는데 장비가 서명을 못 하면 협상이 실패하다.
4-3. 인증 방식(NTLMv2)과 계정 입력 형식을 맞추다
장비가 NTLMv1만 지원하면 최신 정책에서 거부될 수 있다. 장비에 NTLMv2 옵션이 있으면 NTLMv2로 맞추다. 또한 사용자명 입력을 user, SERVER\user, DOMAIN\user 중 무엇으로 요구하는지 맞추다.
4-4. 경로와 공유 권한을 실무 형태로 고정하다
경로는 가능하면 IP 기반으로 시작해 DNS 변수부터 제거하다. 예를 들면 \\192.168.0.10\scan 형태로 설정하다. 공유 폴더 권한은 “공유 권한”과 “NTFS 권한”이 동시에 필요하므로 둘 다 scanuser에 쓰기 권한을 부여하다.
4-5. 암호 정책과 특수문자 이슈를 점검하다
일부 장비는 아주 긴 비밀번호 또는 특정 특수문자를 처리하지 못하는 경우가 있다. 보안 정책을 크게 해치지 않는 범위에서 장비 호환되는 복잡도 규칙으로 계정을 운영하다.
5. 윈도우 공유 폴더(수신 PC/서버)에서 SMB 서명 요구를 조정하는 방법을 정리하다
이 절은 “수신 공유 폴더가 있는 윈도우”에서 조정하는 방법이다. 도메인 환경이면 로컬 변경이 정책으로 덮어써질 수 있으므로, 도메인 GPO를 함께 확인해야 하다.
5-1. 로컬 보안 정책에서 SMB 서명 관련 정책 위치를 확인하다
로컬 보안 정책(secpol.msc) 또는 그룹 정책 편집기(gpedit.msc)에서 다음 경로를 확인하다.
- 컴퓨터 구성 → Windows 설정 → 보안 설정 → 로컬 정책 → 보안 옵션이다.
여기에서 다음 항목을 확인하다.
- Microsoft network client: Digitally sign communications (always) 항목을 확인하다.
- Microsoft network server: Digitally sign communications (always) 항목을 확인하다.
“always(항상)”가 Enabled이면 해당 역할에서 서명이 필수 요구되다. 스캔 투 폴더 수신지인 PC는 server 역할이므로 server 항목이 특히 중요하다.
5-2. PowerShell로 서버 측 서명 요구를 완화하는 예외 조치를 적용하다
수신 PC에서만 최소 범위로 적용할 때 아래 명령을 사용하다. 적용 후에는 SMB 세션이 재협상되도록 재부팅 또는 “서버 서비스 재시작”이 필요할 수 있다.
# 현재 상태 확인하다 Get-SmbServerConfiguration | Select EnableSecuritySignature, RequireSecuritySignature
서버에서 서명 요구를 해제하다(예외 조치이다)
Set-SmbServerConfiguration -RequireSecuritySignature $false -Force
변경 후 재확인하다
Get-SmbServerConfiguration | Select EnableSecuritySignature, RequireSecuritySignature5-3. PowerShell로 클라이언트 측 서명 요구를 완화하는 경우를 구분하다
일부 구성에서는 공유 서버뿐 아니라 클라이언트 정책이 문제를 만들 수 있다. 이때 아래와 같이 확인/조정하다.
# 현재 상태 확인하다 Get-SmbClientConfiguration | Select EnableSecuritySignature, RequireSecuritySignature
클라이언트에서 서명 요구를 해제하다(환경에 따라 필요하다)
Set-SmbClientConfiguration -RequireSecuritySignature $false -Force
변경 후 재확인하다
Get-SmbClientConfiguration | Select EnableSecuritySignature, RequireSecuritySignature주의 : 서명 요구 해제는 보안 완화이다. 스캔 수신 전용 PC로 분리하고, 방화벽에서 445 포트를 복합기 IP 대역으로만 제한하고, 스캔 계정을 최소 권한으로 운영하는 방식으로 함께 보완해야 하다.
5-4. 레지스트리 기반 점검 포인트를 정리하다
정책 UI 대신 레지스트리로 상태를 점검해야 하는 상황이 있다. 일반적으로 다음 키에서 RequireSecuritySignature 값을 확인하다.
- HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters의 RequireSecuritySignature 값이다.
- HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters의 RequireSecuritySignature 값이다.
값이 1이면 “요구(필수)”로 동작하고, 0이면 “요구하지 않음”으로 동작하는 구조로 이해하다. 단, 조직 정책(GPO)이 적용되면 재부팅 후 값이 다시 바뀔 수 있으므로 정책 출처를 함께 추적해야 하다.
6. 도메인/회사 보안정책(GPO) 때문에 다시 실패하는 경우를 처리하다
회사 PC는 로컬에서 바꿔도 도메인 정책이 주기적으로 덮어쓰는 경우가 많다. 이때는 “로컬에서 왜 자꾸 원복되는지”를 추적해야 하다.
6-1. 적용된 정책 결과를 빠르게 확인하다
수신 PC에서 아래 명령으로 실제 적용된 정책을 확인하다.
gpresult /r또는 보고서 형태로 저장하여 보안 옵션 관련 항목을 추적하다.
gpresult /h C:\gpresult.html6-2. 보안팀과 합의 가능한 “통제된 예외” 설계를 제안하다
보안 정책을 전사적으로 낮추는 방식은 통과되기 어렵다. 대신 아래처럼 통제된 예외 설계를 제안하다.
- 스캔 수신 전용 PC 또는 전용 파일서버를 분리하다.
- 방화벽에서 SMB(445/TCP) 접근을 복합기 IP로만 제한하다.
- scanuser 계정을 전용으로 만들고, 해당 공유 폴더 외 권한을 제거하다.
- 감사 로그를 활성화하고 접근 기록을 보관하다.
7. “SMB 서명”만이 원인이 아닌 경우를 함께 배제하다
현장 장애는 복합 원인인 경우가 많다. 아래 항목을 동시에 점검해야 재발을 줄일 수 있다.
7-1. 게스트(비인증) 접근 차단과 암호 보호 공유를 점검하다
장비가 게스트 또는 빈 계정으로 접속하도록 구성되어 있으면 최신 윈도우에서 차단되는 경우가 있다. 스캔 계정 기반으로 전환하고 암호 보호 공유를 켠 상태에서 정상 동작하도록 설계하는 것이 안전하다.
7-2. SMB 포트 차단 및 네트워크 프로파일을 점검하다
수신 PC 방화벽에서 445 포트가 차단되면 동일 증상이 발생하다. 또한 네트워크 프로파일이 공용(Public)으로 바뀌면 파일 공유가 막히는 경우가 있으므로 사설(Private) 프로파일로 운용하다.
7-3. DNS/호스트명 문제를 배제하다
복합기가 호스트명을 제대로 해석하지 못하면 갑자기 실패하는 것처럼 보일 수 있다. 이때는 장비 설정을 \\IP\공유명 형태로 바꾸어 검증하다. 정상화되면 DNS 또는 WINS/NetBIOS 이름해석 문제로 결론 내리다.
7-4. NAS/서버 쪽 SMB 설정 변경을 점검하다
NAS 펌웨어 업데이트로 SMB 최소 버전이 SMB2 이상으로 바뀌거나, 서명 요구가 강제되는 경우가 있다. 이때는 NAS의 SMB 서비스 설정에서 “SMB2/SMB3 지원 및 서명 옵션”을 확인하고 장비와 교차 호환되게 조정하다.
8. 실무용 “권장 구성” 예시를 제시하다
아래 구성은 보안과 운영 편의의 균형이 좋아 현장에서 재사용성이 높다.
8-1. 전용 스캔 수신 폴더와 전용 계정으로 분리하다
- 수신 PC에 D:\ScanDrop 같은 전용 폴더를 생성하다.
- scanuser 로컬 계정을 만들고 강력한 비밀번호를 부여하다.
- 공유 권한과 NTFS 권한 모두 scanuser에 변경/쓰기 권한을 부여하다.
- 공유 이름은 짧고 영문으로 구성하여 장비 호환성을 높이다.
8-2. 방화벽으로 445 접근을 복합기 대역으로만 제한하다
수신 PC의 인바운드 규칙에서 파일 및 프린터 공유(SMB-In)를 허용하되, 원격 IP 범위를 복합기 IP 또는 복합기 VLAN 대역으로 제한하다. 이 조치만으로도 서명 요구 완화를 적용했을 때의 리스크를 크게 줄일 수 있다.
8-3. 장비가 서명 지원을 못 하면 “중계 서버”를 사용하다
구형 장비가 SMB2/3 또는 서명 기능이 부족하면, 장비는 가능한 방식으로 중계 서버에 업로드하고, 중계 서버가 내부 파일서버로 안전하게 전달하도록 구성하다. 예를 들어 장비가 지원하는 프로토콜이 FTP/SFTP/HTTPS 업로드라면 중계 서버에서 수신 후 최종 경로로 이동시키는 방식이 대안이 되다.
9. 변경 후 검증 체크리스트를 제공하다
설정을 바꾼 뒤에는 “성공 여부”만 보지 말고 아래 항목을 체크해야 재발이 줄어들다.
| 검증 항목 | 확인 방법 | 합격 기준 |
|---|---|---|
| 복합기에서 접속 테스트 | 장비에서 수동 테스트 전송을 실행하다 | 폴더에 PDF가 생성되다 |
| 권한 오류 여부 | 실패 시 장비 로그/윈도우 이벤트를 확인하다 | Access Denied가 없어야 하다 |
| SMB 서명 상태 | Get-SmbServerConfiguration을 확인하다 | 정책 의도대로 Require 값이 유지되다 |
| 방화벽 제한 | 445 인바운드 원격 IP 범위를 확인하다 | 복합기 대역만 허용되다 |
| 계정 최소권한 | scanuser가 다른 공유/폴더 접근 불가인지 확인하다 | 스캔 폴더 외 접근이 제한되다 |
FAQ
SMB 서명 요구를 끄면 바로 해결되는데, 계속 꺼도 괜찮은가?
기술적으로는 해결될 수 있으나 보안 수준이 낮아지는 조치이다. 지속 운영을 해야 한다면 스캔 수신 전용 PC로 분리하고 445 포트를 복합기 IP로만 제한하며, 전용 계정 최소권한과 로그 점검을 함께 적용하는 방식으로 위험을 통제해야 하다.
복합기에서 SMB2/SMB3를 지원하는지 어디서 확인해야 하는가?
장비 웹 관리자 페이지 또는 네트워크 전송(SMB) 설정 메뉴에서 SMB 버전 선택 항목을 확인하는 것이 1순위이다. 메뉴에 버전 선택이 없으면 펌웨어 릴리즈 노트 또는 제조사 기술문서에서 “SMB v2/v3 지원” 여부를 확인해야 하다.
도메인 환경에서 로컬 설정을 바꿔도 계속 원복되는 이유는 무엇인가?
도메인 GPO가 로컬 설정을 덮어쓰기 때문인 경우가 많다. gpresult로 실제 적용 정책을 확인하고, 보안팀과 협의하여 “전용 스캔 수신 서버에 한정된 예외”로 정책을 설계하는 방향이 현실적이다.
서명 요구 문제가 아니라면 무엇을 가장 먼저 의심해야 하는가?
방화벽(445/TCP) 차단, 네트워크 프로파일이 공용으로 변경됨, DNS 이름해석 실패, 공유/NTFS 권한 불일치, 장비 계정 입력 형식 오류(DOMAIN\user 등)를 우선 의심해야 하다. IP 경로로 바꿔 테스트하면 DNS 문제를 빠르게 배제할 수 있다.