135/tcp — RPC Endpoint Mapper / MSRPC
-
무슨 서비스인가
- 원격 프로시저 호출(Remote Procedure Call, RPC) 기반의 엔드포인트 매퍼(Endpoint Mapper) 서비스가 대개 동작합니다. nmap에서는 보통 msrpc (Microsoft Remote Procedure Call, MSRPC) 로 식별됩니다.
- Windows에서 분산 컴퓨팅 환경(Distributed Computing Environment, DCE)-RPC 를 통해 여러 원격 서비스(예: 원격 관리, DCOM(Distributed Component Object Model, DCOM) 서비스 등)의 위치(포트) 정보를 제공하는 역할을 합니다.
-
용도
- 클라이언트가 특정 RPC 기반 서비스를 어디(어떤 포트/프로그램)에 연결할지 조회할 때 사용합니다.
- 원격 관리, 서비스 호출, 일부 권한 상승/관리 작업의 전초 역할을 합니다.
-
위험/주의점
- 노출되면 원격 코드 실행(Remote Code Execution)·권한 상승 등으로 이어질 수 있는 취약점의 진입점이 될 수 있습니다.
- 불필요하다면 내부 네트워크에서만 접근 가능하게 제한해야 합니다.
139/tcp — NetBIOS Session Service
-
무슨 서비스인가
- 네트워크 기본 입출력 시스템(Network Basic Input/Output System, NetBIOS) 의 세션 서비스(Session Service) 입니다. nmap에서는 보통 netbios-ssn 으로 나타납니다.
- 전통적으로 NetBIOS over TCP/IP를 통해 파일/프린터 공유(초기 SMB(Server Message Block, SMB) 트래픽)와 이름 등록/검색을 제공했습니다.
-
용도
- 오래된 Windows 파일 공유(특히 SMB over NetBIOS)를 위해 사용됩니다. 로컬 네트워크에서 워크그룹 이름 해석, 파일·프린터 공유 트래픽 등에 관여합니다.
-
위험/주의점
- NetBIOS는 설계가 오래되어 정보 누출(예: 공유 목록)이나 스푸핑 공격에 취약할 수 있습니다.
- 현대 환경에서는 포트 445(직접 SMB) 를 사용하므로 가능하면 NetBIOS(포트 137/138/139)는 비활성화하거나 내부 전용으로 제한하는 것이 좋습니다.
445/tcp — SMB over TCP (microsoft-ds)
-
무슨 서비스인가
- 서버 메시지 블록(Server Message Block, SMB) 프로토콜을 NetBIOS 없이 TCP 위에서 직접 구동하는 포트입니다. nmap 서비스 이름으로는 microsoft-ds (Microsoft Directory Services) 등으로 보일 수 있지만 실무상 SMB over TCP 트래픽입니다.
- Windows 파일/프린터 공유, 원격 서비스 호출, 도메인 서비스 관련 트래픽이 이 포트를 통해 오갑니다.
-
용도
- 파일 공유, 네트워크 드라이브, 원격 관리, 그룹 정책 배포 등 다양한 Windows 네트워크 기능.
-
위험/주의점
- SMB는 과거(예: SMB version 1 (SMBv1))의 취약점 때문에 큰 공격 표적이었습니다(예: 원격 코드 실행 취약점 사례들이 보고됨).
- 외부에 노출되면 랜섬웨어·원격 코드 실행 등 심각한 위험을 초래할 수 있으므로 인터넷 노출은 절대 금지해야 합니다.
간단한 보안 권장사항 (요약)
- 방화벽 규칙으로 외부 접근 차단 — 포트 135, 139, 445는 인터넷 방향으로 열면 위험합니다. 내부에서 필요한 최소한의 범위만 허용하세요.
- SMB 버전 관리 — 가능하면 SMBv1(서버 메시지 블록 버전 1) 은 비활성화하고 최신 SMB 버전을 사용하세요.
- 패치 적용 — 운영체제 및 네트워크 서비스의 보안 패치를 즉시 적용하세요.
- 인증·접근 제어 강화 — 강한 인증, 네트워크 분할, 최소 권한 원칙 적용.
- 모니터링 — 의심스러운 파일 공유나 원격 호출 시도를 탐지하도록 로깅과 IDS/IPS를 운영하세요
DevSecOps ⚙️ + CTF🚩