SAM(Security Account Manager): Windows 보안의 핵심 이해하기

1. 개요

SAM(Security Account Manager)은 Windows 운영 체제에서 사용되는 중요한 구성 요소로, 사용자 계정 및 보안 정보를 관리하는 역할을 한다. SAM은 특히 로컬 보안 데이터베이스를 유지하며, 사용자 인증, 권한 부여, 계정 정보 저장 등과 관련된 작업을 처리한다.

이 글에서는 SAM의 작동 원리, 구조, 보안 메커니즘, 취약점, 그리고 관련 도구 및 기술들을 있게 다룬다.

2. SAM의 역할과 기능

SAM은 다음과 같은 주요 역할과 기능을 담당한다.

1. 사용자 계정 관리:
   • 사용자 이름, 암호, 보안 식별자(SID)와 같은 계정 정보를 저장한다.
   • 사용자 및 그룹의 소속 정보를 관리한다.
2. 인증 및 권한 부여:
   • 사용자 로그인 요청 시 입력된 암호를 확인하여 사용자 인증을 수행한다.
   • 로그인한 사용자에게 할당된 권한과 액세스 수준을 적용한다.
3. 보안 데이터베이스 유지:
   • Windows 시스템에 저장된 보안 정보(예: 계정 암호 해시)를 안전하게 관리한다.
4. 도메인 통합:
   • Active Directory와 통합하여 도메인 기반 계정 관리와 인증을 지원한다.

3. SAM의 작동 구조

SAM은 다음과 같은 구조로 구성되어 있다.

1. SAM 데이터베이스:
   • Windows의 \Windows\System32\config\SAM 파일에 저장된다.
   • 이 데이터베이스는 계정 정보와 암호 해시를 포함하며, 레지스트리의 HKEY_LOCAL_MACHINE\SAM 하위 키에서 관리된다.
2. LSASS(Local Security Authority Subsystem Service):
   • SAM 데이터베이스에 액세스하고 계정 인증 및 보안 정책을 적용하는 데 사용된다.
3. 암호 해시 저장:
   • 사용자의 암호는 일반 텍스트로 저장되지 않으며, NTLM 해시와 같은 형태로 저장된다.
4. 보안 제한:
   • SAM 파일은 SYSTEM 계정만 액세스할 수 있도록 설계되어 있다. 이는 직접적인 접근 및 수정으로부터 데이터를 보호하기 위함이다.

4. SAM의 보안 메커니즘

1. 암호화:
   • SAM 데이터베이스는 암호화되어 있으며, Boot Key(DPAPI)를 사용하여 추가적인 보호를 제공한다.
2. 접근 제어:
   • SAM 파일은 관리자나 SYSTEM 계정 외의 계정이 접근하지 못하도록 제한되어 있다.
3. 암호 해시:
   • 암호는 해시 형태로 저장되어 원문 복원이 어렵다. NTLM 및 LM 해시가 대표적이다.
4. 로그 및 감사:
   • 보안 로그를 통해 계정 접근 시도와 인증 과정을 기록한다.

5. SAM의 취약점과 보안 위협

SAM 데이터베이스는 강력한 보안 메커니즘에도 불구하고 몇 가지 취약점과 보안 위협에 노출될 수 있다.

1. LM 해시 취약점:
   • LM 해시는 약한 암호화 알고리즘을 사용하며, 무차별 대입 공격(Brute Force)에 취약하다.
2. 오프라인 공격:
   • SAM 파일을 복사한 후 암호화 해제를 시도하는 오프라인 공격이 가능하다.
3. 권한 상승:
   • 악성 사용자가 SYSTEM 권한을 획득하면 SAM 데이터베이스에 접근할 수 있다.
4. 레지스트리 액세스:
   • SAM 데이터를 보호하지 못하면 레지스트리의 데이터를 통해 계정 정보를 탈취할 수 있다.

6. SAM 관련 도구 및 기술

1. 암호 해시 덤프 도구:
   • pwdump 및 Mimikatz와 같은 도구를 사용하여 SAM에서 암호 해시를 추출할 수 있다.
2. 암호 크래킹 도구:
   • John the Ripper, Hashcat과 같은 도구를 사용하여 SAM 데이터에서 추출된 해시를 크래킹할 수 있다.
3. 보안 강화 도구:
   • Sysmon, Event Viewer와 같은 도구를 사용하여 SAM과 관련된 보안 이벤트를 모니터링할 수 있다.

7. SAM 보안 강화 방안

1. 강력한 암호 정책 적용:
   • 복잡한 암호를 요구하여 LM 해시의 취약점을 줄인다.
2. LM 해시 비활성화:
   • 그룹 정책에서 LM 해시 생성을 비활성화하여 보안을 강화한다.
3. 권한 관리:
   • SYSTEM 계정 및 관리자 계정의 접근을 철저히 관리한다.
4. 보안 로그 모니터링:
   • SAM 접근 시도와 인증 로그를 주기적으로 확인하여 비정상 활동을 탐지한다.
5. 데이터 암호화:
   • SAM 파일과 레지스트리를 암호화하여 데이터를 보호한다.

8. 결론

SAM(Security Account Manager)은 Windows 시스템의 핵심적인 보안 구성 요소로, 사용자 계정 정보와 인증을 관리하는 데 필수적이다. 하지만 SAM은 잘못된 설정과 보안 취약점으로 인해 위협에 노출될 수 있으므로, 강력한 암호 정책, 보안 로그 모니터링, 권한 관리 등의 대책을 통해 보안을 강화해야 한다. 특히, SAM과 관련된 보안 도구와 기술을 잘 이해하고 활용하면 Windows 시스템의 전반적인 보안을 한층 높일 수 있다.