[정보보안기사] 1. 시스템 보안 - (1) 윈도우 시스템 보안

1. 윈도우 시스템 보안

1-1. 윈도우 인증 구조 및 계정 관리

(1) 윈도우 서버 계정 관리 방식 및 인증 구성요소

- 요약 키워드: LSA, SAM, SRM, 워크그룹/도메인 인증

- 이론 상세 내용 및 관련 개념:

• LSA (Local Security Authority): 모든 계정의 로그인에 대한 검증 및 시스템 자원(파일 등)에 대한 접근 권한을 검사(로컬/원격 포함)하고, 감사 로그를 기록하는 윈도우 보안의 중심 서브시스템입니다 [1].
• SAM (Security Account Manager): 사용자/그룹 계정 정보와 암호화된 패스워드 정보를 저장하고 있는 핵심 데이터베이스 파일입니다. (경로: C:\Windows\System32\config\SAM) [1, 2].
• SRM (Security Reference Monitor): 인증된 사용자에게 SID(보안 식별자)를 부여하고, 이를 기반으로 파일/디렉터리에 대한 접근 허용 여부를 결정하며 감사 메시지를 생성합니다 [3].
• 로컬 인증(워크그룹 방식): NTLM 모듈을 사용하며, LSA가 SAM 파일에 저장된 패스워드 정보와 비교하여 인증을 수행합니다 [3].
• 도메인 인증: 커버로스(Kerberos) 프로토콜을 이용해 도메인 컨트롤러(Active Directory)에 인증을 요청하는 방식입니다 [3].

(2) 윈도우 시스템 주요 기본 그룹 및 로컬 계정 제어

- 요약 키워드: 주요 기본 그룹(Administrators 등), net user, localgroup, UAC

- 이론 상세 내용 및 관련 개념:

• 주요 기본 그룹:
  • Administrators: 도메인 자원이나 로컬 컴퓨터에 대한 모든 권한을 가진 관리자 그룹입니다 [4].
  • Backup Operators: 시스템 백업을 위해 보안 제한을 무시하고 모든 시스템의 파일과 디렉터리에 접근할 수 있는 그룹입니다 [4].
  • Power Users: 디렉터리나 네트워크를 공유할 수 있고 공용 프로그램 그룹을 만들 수 있는 등 일부 관리 권한을 가진 그룹입니다 [4].
  • Guests: 도메인을 사용할 권한이 제한되며 시스템 설정 변경 권한이 없도록 조치한 내장 그룹입니다 [4].
• 로컬 계정 제어 명령어:
  • net user 계정명 /add: 새로운 로컬 계정을 추가합니다 [5].
  • net user 계정명 /delete: 로컬 계정을 삭제합니다 [5].
  • net user 계정명 /active:yes: 비활성화되어 있는 계정을 다시 활성화(사용 가능) 상태로 변경합니다. (사용 안 함 속성 해제) [6].
  • net localgroup 그룹명 계정명 /add: 특정 계정을 관리자(administrators) 등 지정한 로컬 그룹에 추가합니다 [5].
• 사용자 계정 컨트롤 (UAC): 실행하는 악성코드의 기능을 제한하여 시스템 보안을 강화하는 기능입니다. 권한 없는 프로그램의 자동 실행 및 시스템 설정 변경을 방지합니다. 관리자 계정 암호를 모르면 UAC 팝업창의 '예(Y)' 버튼이 비활성화되어 권한 상승 시도를 원천 차단합니다 [7].

1-2. 윈도우 감사 정책 및 데이터 보호

(1) 윈도우 이벤트 뷰어 및 로그 종류

- 요약 키워드: 응용 프로그램, 보안, 시스템 로그

- 이론 상세 내용:

• 보안(Security) 로그: 시스템 관리자가 보고자 하는 로그온 성공 및 실패, 사용자 계정의 추가 및 삭제, 권한 변경 등 시스템 보안 관련 이벤트가 저장됩니다 [8].
• 시스템(System) 로그: 운영체제가 시작/종료될 때, 또는 장치 드라이버 로드 여부와 같은 운영체제 구성요소 기록을 담당합니다. 운영체제 보안 패치 적용 시 관련 정보들도 모두 이 시스템 로그에 저장됩니다 [4, 8].
• 응용 프로그램(Application) 로그: 윈도우 응용 프로그램이 남기는 다양한 이벤트(Application error, 서비스 시작 등)가 저장됩니다 [8].

(2) 디스크 암호화 및 무결성 검사

- 요약 키워드: BitLocker, TPM

- 이론 상세 내용:

• BitLocker (비트로커): 노트북 분실, 디스크 분리 등 중요 데이터 탈취의 이유로 기밀 자료가 유출될 상황을 대비하여 윈도우에서 자체적으로 제공하는 볼륨(디스크) 암호화 기술입니다 [9].
• TPM (Trusted Platform Module): 하드웨어와 소프트웨어, 펌웨어 인증을 검사하는 전용 칩입니다. 초기 시작 구성요소의 무결성을 검사하여, 승인 없는 변경을 감지할 경우 PC가 제한된 모드로 부팅되도록 해 악의적 행위를 차단합니다 [9].

1-3. 윈도우 네트워크 서비스 및 프로토콜 취약점

(1) 널 세션(Null Session) 취약점 및 기본 공유

- 요약 키워드: 널 세션, IPC$ 공유, RestrictAnonymous

- 이론 상세 내용:

• 널 세션(Null Session) 취약점: 네트워크에 연결된 윈도우 시스템 간에 아이디와 패스워드 없이 빈 값(NULL)으로 세션을 맺어 다른 시스템에 접속할 수 있는 취약점입니다 [5].
• 일반적으로 윈도우가 원격 관리 및 IPC용으로 자동 생성하는 IPC$ 기본 공유를 통해 이루어지며, 시스템 계정, 비밀번호, 공유 정보가 노출될 수 있습니다 [5, 10].
• 대응 방안: 레지스트리 편집기에서 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 경로로 이동하여 RestrictAnonymous=1 (널 세션 허용 차단) 조치를 적용해야 합니다 [5].

(2) NetBIOS 및 SMB/CIFS 프로토콜

- 요약 키워드: NetBIOS, SMB, CIFS, 랜섬웨어(워너크라이) 악용

- 이론 상세 내용:

• SMB (Server Message Block): 주로 윈도우 운영체제 환경에서 파일, 프린터, 디렉터리 등을 공유하기 위해 사용되는 전송 프로토콜입니다 [11].
• 초기 SMB는 NetBIOS API 기반에서 동작하여 TCP 139번 포트를 사용했습니다 [11, 12].
• 이후 윈도우 2000부터 기능이 확장된 CIFS (Common Internet File System)는 NetBIOS에 의존하지 않고 TCP 445번 포트를 통한 직접 호스트 통신(Direct Host)을 지원합니다 [11, 12].
• 호환성과 자원 공유가 쉽다는 장점이 있으나, 취약점을 통해 컨피커 웜, 워너크라이(WannaCry) 랜섬웨어, 워너마인 암호화폐 채굴 악성코드 등의 주요 전파 경로로 악용되는 사례가 잦습니다 [11, 12].

1-4. 패스워드 및 인증 공격 기법

(1) 패스워드 크래킹 및 크리덴셜 스터핑

- 요약 키워드: 사전 공격, 무작위 대입, 혼합 공격, 크리덴셜 스터핑

- 이론 상세 내용:

• 사전 공격 (Dictionary Attack): 패스워드로 자주 사용되는 단어를 미리 사전 파일로 만들어 놓고, 자동화된 툴로 하나씩 대입하여 일치 여부를 확인하는 기법입니다 [13].
• 무차별 대입 공격 (Brute Force Attack): 패스워드로 사용될 수 있는 영대소문자, 숫자, 특수문자를 무작위로 계속 대입하여 알아내는 공격입니다 [13].
• 혼합 공격 (Hybrid Attack): 사전 파일 문자열 뒤에 문자, 숫자 등을 추가로 대입해(예: password123) 패스워드를 알아내는 기법입니다 [13].
• 크리덴셜 스터핑 (Credential Stuffing): 공격자가 미리 확보해 놓은 사용자(희생자)의 로그인 자격증명(ID/Password)을 다른 사이트나 인증 시스템 계정에 무작위로 계속 대입하여 접속을 시도하는 공격 기법입니다 [14].

(2) Pass the Hash 공격

- 요약 키워드: 인증 해시 탈취, Mimikatz

- 이론 상세 내용:

• 윈도우 운영체제에서 Mimikatz(미미카츠)와 같은 도구를 사용하여 인증용으로 등록된 사용자의 NTLM 또는 LM 해시값을 탈취하는 공격입니다 [13].
• 사용자의 실제 평문 패스워드를 알지 못해도 탈취한 해시값만으로 원격 서버나 서비스에 인증을 시도하고 접속에 성공할 수 있습니다 [13].