맨위로가기

보안 계정 관리자

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
목차

1. 개요

보안 계정 관리자(SAM)는 윈도우 운영체제에서 사용자 계정의 비밀번호를 저장하는 데이터베이스이다. SAM 파일은 해시 함수를 사용하여 비밀번호를 안전하게 저장하며, 윈도우 커널의 파일 시스템 잠금으로 인해 실행 중에는 복사하거나 옮길 수 없다. 하지만, 메모리 덤프 기법을 통해 SAM의 내용을 추출하여 오프라인에서 비밀번호를 크래킹할 수 있으며, 8자 NTLM 비밀번호 해시를 크래킹하는 데 걸리는 시간은 기술 발전으로 단축되었다. LM 해시는 보안 취약점으로 인해 제거되었으며, 윈도우 NT 구버전에서는 SAM 파일 삭제를 통한 인증 우회 공격이 가능했다. 또한, 윈도우 10 및 11에서는 권한이 낮은 사용자가 SAM 파일에 접근할 수 있는 취약점이 발견되기도 했다.

더 읽어볼만한 페이지

  • 접근 제어 소프트웨어 - ReCAPTCHA
    reCAPTCHA는 웹사이트에서 봇을 차단하고 사용자가 인간임을 인증하는 CAPTCHA 시스템으로, 초기에는 스캔된 텍스트 디지털화 과정에서 OCR로 인식하기 어려운 단어 식별에 활용되었으나, 이미지 식별, 행동 분석 등 다양한 인증 방식을 도입하며 발전해왔으며, 접근성 및 개인 정보 보호 문제와 사용자들의 무임금 노동 제공과 관련된 비판도 존재한다.
  • 접근 제어 소프트웨어 - 로컬 보안 인증 하위 시스템 서비스
  • 운영 체제 보안 - NX 비트
    NX 비트는 하드웨어 기반 보안 기능으로, 메모리 페이지의 실행 권한을 제어하여 특정 영역에서 코드 실행을 막아 버퍼 오버플로 공격과 같은 보안 위협을 줄이는 데 사용되며, AMD에서 처음 도입 후 다양한 프로세서와 운영체제에서 DEP 등의 이름으로 구현되었다.
  • 운영 체제 보안 - 슈퍼유저
    슈퍼유저는 운영 체제에서 모든 권한을 가진 사용자를 지칭하며, 유닉스 계열에서는 root, 윈도우에서는 관리자 계정이 해당 역할을 수행한다.
  • 컴퓨터 접근 제어 - 로그인
    로그인은 특정 페이지, 웹사이트 또는 응용 프로그램에 접근하기 위해 사용자 이름과 암호를 입력하여 시스템에 접근하는 절차이며, 1960년대 시분할 시스템과 1970년대 BBS에서 사용되기 시작했다.
  • 컴퓨터 접근 제어 - SIM 카드
    SIM 카드는 이동통신 장치에서 가입자 정보를 저장하고 네트워크를 인증하는 스마트 카드로, 가입자 식별 정보, 인증 정보, 전화번호부 등을 저장하며, 최근에는 내장형 eSIM으로 발전하고 있다.
보안 계정 관리자
일반 정보
유형윈도우 데이터베이스
목적사용자 비밀번호 저장

2. 암호 해독

해시 함수는 일방향성을 가지므로, 비밀번호를 저장하는 데 보안에 유리하다.

온라인 공격의 경우, SAM 파일을 다른 위치로 복사하는 것은 불가능하다. Windows 커널이 SAM 파일에 대한 독점적인 파일 시스템 잠금을 획득하여 유지하고, 운영 체제가 종료되거나 블루 스크린 예외가 발생할 때까지 해당 잠금을 해제하지 않기 때문이다. 그러나 SAM 내용의 메모리 내 복사본은 다양한 기술(pwdump)을 사용하여 덤프할 수 있으며, 이를 통해 오프라인 무차별 대입 공격에 비밀번호 해시를 사용할 수 있다.[4]

2. 1. 비밀번호 크래킹

2012년에는 8자 NTLM 비밀번호 해시 순열을 6시간 이내에 크래킹할 수 있다는 것이 입증되었다.[4] 2019년에는 더 현대적인 하드웨어를 사용하여 이 시간을 약 2.5시간으로 단축했다.[5][6]

온라인 공격의 경우, SAM 파일을 다른 위치로 복사하는 것은 불가능하다. Windows가 실행되는 동안 SAM 파일을 이동하거나 복사할 수 없다. Windows 커널이 SAM 파일에 대한 독점적인 파일 시스템 잠금을 획득하여 유지하고, 운영 체제가 종료되거나 블루 스크린 예외가 발생할 때까지 해당 잠금을 해제하지 않기 때문이다. 그러나 SAM 내용의 메모리 내 복사본은 다양한 기술(pwdump)을 사용하여 덤프할 수 있으며, 이를 통해 오프라인 무차별 대입 공격에 비밀번호 해시를 사용할 수 있게 된다.

2. 2. 온라인 공격의 어려움

윈도우 커널은 SAM 파일에 대한 배타적인 파일시스템 락을 획득하여 유지하며, 운영체제가 종료되거나 블루스크린 예외가 발생하기 전에는 이 락을 놓지 않는다. 따라서 윈도우가 실행 중에는 SAM 파일을 옮기거나 복사할 수 없다.[4] 그러나 pwdump와 같은 도구를 사용하여 SAM의 내용을 메모리에서 덤프하여 비밀번호 해시를 오프라인에서 무차별 대입 공격할 수 있다.[4]

2. 3. LM 해시 제거

대부분의 윈도우 버전에서는 사용자가 비밀번호를 변경할 때 유효한 LM 해시의 생성 및 저장을 비활성화하도록 설정할 수 있다. 윈도우 비스타에서는 이 설정이 기본으로 활성화되어 있지만, 이전 버전의 윈도우에서는 비활성화가 기본 설정이었다. 이 설정을 활성화해도 보안 계정 관리자(SAM)에서 LM 해시 값이 즉시 지워지는 것은 아니다. 대신 비밀번호 변경 시 SAM 데이터베이스에 더미 값을 저장하는 추가 검사가 활성화된다. 이 더미 값은 사용자의 비밀번호와 관련이 없으며, 모든 사용자 계정에 동일한 값이 저장된다.[1]

LM 해시는 보안이 취약한 프로토콜이며 NTLM 해시로 대체되었다. 윈도우 비스타 이후 버전에서는 기본적으로 LM 해시가 비활성화되어 있다.[1]

2. 4. 관련 공격

해시 함수는 일방향성을 가지므로, 비밀번호를 저장하는 데 보안에 유리하다. 그러나 온라인 공격의 경우, 윈도우 커널이 SAM 파일에 대해 배타적인 파일시스템 잠금을 유지하기 때문에 SAM 파일을 다른 곳으로 복사하는 것은 불가능하다. 그럼에도 불구하고, SAM 내용의 메모리 복사본은 다양한 기법(pwdump)을 통해 덤프될 수 있으며, 이를 통해 비밀번호 해시를 오프라인에서 무차별 대입 공격할 수 있다.[8]

윈도우 NT 3.51, NT 4.0, 2000에서는 SAM 파일이 삭제되면 비밀번호 없이 모든 계정에 로그인할 수 있는 취약점이 존재했다. 이 결함은 윈도우 XP에서 수정되었으나, 특정 소프트웨어 유틸리티를 이용해 비밀번호 해시를 제거하거나 사용자 계정 비밀번호를 변경하는 것은 여전히 가능하다. 이러한 소프트웨어는 윈도우 계정 비밀번호를 분실한 사용자를 위한 복구 도구로 활용될 수 있지만, 악의적인 목적으로 악용될 소지도 있다.

2021년 7월, 윈도우 10 및 윈도우 11에서 권한이 낮은 사용자도 SAM 파일을 포함한 민감한 레지스트리 데이터베이스 파일에 접근할 수 있는 취약점이 발견되었다.[10]

참조

[1] 웹사이트 Security Account Manager (SAM) https://technet.micr[...] Microsoft 2014-04-11
[2] 웹사이트 How to use the SysKey utility to secure the Windows Security Account Manager database http://support.micro[...] Microsoft Corporation 2014-04-12
[3] 웹사이트 Syskey.exe utility is no longer supported - Windows Server https://learn.micros[...] 2023-01-17
[4] 웹사이트 25-GPU cluster cracks every standard Windows password in <6 hours https://arstechnica.[...] Ars Technica 2020-11-23
[5] 웹사이트 Use an 8-char Windows NTLM password? Don't. Every single one can be cracked in under 2.5hrs https://www.theregis[...] 2020-11-26
[6] 웹사이트 hand-tuned hashcat 6.0.0 beta and 2080Ti (stock clocks) breaks NTLM cracking speed mark of 100GH/s on a single compute device https://twitter.com/[...] 2019-02-26
[7] 문서 An example of offline NT password attack utility: http://cdslow.org.ru/en/ntpwedit/index.html http://cdslow.org.ru[...]
[8] 웹사이트 Overview of the Tools in DaRT 10 - Microsoft Desktop Optimization Pack https://learn.micros[...] Microsoft Corporation 2021-04-20
[9] 웹사이트 About DaRT 10 - Microsoft Desktop Optimization Pack https://learn.micros[...] Microsoft Corporation 2021-04-20
[10] 뉴스 New Windows 10 vulnerability allows anyone to get admin privileges https://www.bleeping[...] 2024-11-12
[11] 웹인용 Security Account Manager (SAM) http://technet.micro[...] Microsoft 2014-04-11
[12] 웹인용 How to use the SysKey utility to secure the Windows Security Account Manager database http://support.micro[...] Microsoft Corporation 2014-04-12


본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com