사이버 공격자들이 시스템에 침입한 후 가장 우선적으로 노리는 것은 무엇일까? 바로 자격 증명(Credentials) 이다. 한 번 획득한 자격 증명으로 더 많은 시스템에 접근하고, 권한을 상승시키며, 네트워크 전체로 공격을 확산시킬 수 있기 때문이다.
MITRE ATT&CK 프레임워크에서는 이러한 자격 증명 획득 기법들을 체계적으로 분류하고 있으며, 현재 14개의 전술과 691개의 기법(216개의 주요 기법 + 475개의 하위 기법)으로 구성되어 있다. 그 중에서도 T1003(OS Credential Dumping) 기법의 세 가지 하위 기법인 T1003.001(LSASS Memory), T1003.002(Security Account Manager), T1003.004(LSA Secrets) 는 Windows 환경에서 가장 빈번하게 사용되는 자격 증명 획득 방법들이다.
T1003.001 - LSASS Memory: 메모리 속 보물창고
LSASS Memory 기법 개요
| 항목 | 상세 정보 |
|---|
| MITRE ID | T1003.001 |
| 기법명 | OS Credential Dumping: LSASS Memory |
| 전술 | Credential Access |
| 플랫폼 | Windows |
| 권한 요구 | SYSTEM, Administrator |
LSASS(Local Security Authority Subsystem Service) Memory 공격은 Windows 시스템의 핵심 보안 프로세스인 LSASS 프로세스의 메모리를 덤프하여 자격 증명을 추출하는 기법이다.
LSASS 작동 원리
LSASS 프로세스는 사용자 인증을 담당하며, 로그인한 사용자들의 자격 증명을 메모리에 캐시한다. 공격자는 Security Support Providers(SSPs)를 통해 다음과 같은 정보를 획득할 수 있다:
- Msv: 대화형, 배치, 서비스 로그온 자격 증명
- Wdigest: HTTP 및 SASL 인증 자격 증명
- Kerberos: 도메인 인증 자료
- CredSSP: 원격 데스크톱 서비스 자격 증명
주요 도구들
| 도구명 | MITRE ID | 설명 |
|---|
| Mimikatz | S0002 | 가장 유명한 자격 증명 추출 도구 |
| LaZagne | S0349 | 다중 플랫폼 자격 증명 수집 |
| ProcDump | - | Microsoft 공식 도구 악용 |
| Windows Credential Editor | S0005 | WCE 도구 |
| gsecdump | S0008 | SAM/AD 해시 덤프 |
탐지 포인트
- LSASS 프로세스에 대한 비정상적인 메모리 접근 (0x1F0FFF 권한)
- 메모리 덤프 작업 후 파일 생성 또는 레지스트리 수정
- 메모리 덤프 파일(.dmp) 생성
T1003 3가지 기법 비교
T1003.002 - Security Account Manager: 로컬 계정의 비밀 금고
SAM 기법 개요
| 항목 | 상세 정보 |
|---|
| MITRE ID | T1003.002 |
| 기법명 | OS Credential Dumping: Security Account Manager |
| 전술 | Credential Access |
| 플랫폼 | Windows |
| 권한 요구 | SYSTEM |
SAM(Security Account Manager) 공격은 Windows 시스템의 로컬 사용자 계정 정보가 저장된 SAM 데이터베이스에서 자격 증명을 추출하는 기법이다.
SAM 작동 원리
SAM 데이터베이스는 다음 위치에 저장된다:
- 레지스트리:
HKEY_LOCAL_MACHINE\SAM
- 파일 시스템:
%SystemRoot%\System32\config\SAM
공격자는 시스템이 실행 중일 때는 레지스트리를 통해, 오프라인 상태에서는 파일을 직접 복사하여 접근한다.
획득 가능한 정보
- 로컬 사용자 계정의 NTLM 해시
- 사용자 계정 정보 (SID, 그룹 멤버십 등)
- 패스워드 정책 정보
주요 공격 도구
| 도구명 | MITRE ID | 공격 방법 |
|---|
| Mimikatz | S0002 | lsadump::sam 모듈 |
| Impacket secretsdump | S0357 | 원격/로컬 SAM 덤프 |
| pwdump | S0006 | SAM 해시 추출 |
| gsecdump | S0008 | SAM/LSA 덤프 |
| reg save | - | reg save HKLM\sam sam 명령어 |
제한사항
- 로컬 계정 에만 제한됨
- 도메인 계정 정보는 포함되지 않음
- SYSTEM 권한 필요
T1003.004 - LSA Secrets: 시스템의 숨겨진 비밀
LSA Secrets 기법 개요
| 항목 | 상세 정보 |
|---|
| MITRE ID | T1003.004 |
| 기법명 | OS Credential Dumping: LSA Secrets |
| 전술 | Credential Access |
| 플랫폼 | Windows |
| 권한 요구 | SYSTEM |
LSA(Local Security Authority) Secrets 는 Windows 시스템이 다양한 서비스와 기능을 위해 저장하는 민감한 정보들을 의미한다.
저장되는 정보 유형
LSA Secrets에는 서비스 계정 자격 증명(credentials for service accounts) 등 시스템 운영에 필요한 민감한 정보가 저장된다.
저장 위치
- 레지스트리:
HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets
- 각 비밀은 고유한 키 이름으로 저장됨
공격 도구
| 도구명 | MITRE ID | 공격 방법 |
|---|
| Mimikatz | S0002 | lsadump::secrets 모듈 (메모리) |
| Impacket secretsdump | S0357 | 원격 LSA Secrets 덤프 |
| gsecdump | S0008 | LSA Secrets 덤프 |
| CrackMapExec | S0488 | --lsa 옵션 |
| LaZagne | S0349 | Windows secrets 모듈 |
세 기법의 핵심 차이점 비교
1. 대상과 범위
| 기법 | 설명 |
|---|
| T1003.001 | 대상: LSASS 메모리 / 범위: 현재 로그인된 사용자 / 정보 유형: 실시간 자격 증명, 티켓 |
| T1003.002 | 대상: SAM 데이터베이스 / 범위: 로컬 계정 전체 / 정보 유형: 저장된 계정 해시 |
| T1003.004 | 대상: LSA Secrets / 범위: 시스템/서비스 계정 / 정보 유형: 서비스 자격 증명 |
2. 공격 조건과 요구사항
T1003.001 (LSASS Memory)
- 실시간 공격: 시스템이 실행 중이어야 함
- 높은 권한: SYSTEM 또는 Administrator 권한 필수
- 프로세스 접근: LSASS 프로세스에 직접 접근
T1003.002 (SAM)
- 오프라인 가능: 시스템이 종료된 상태에서도 공격 가능
- 파일 접근: SAM 파일 또는 레지스트리 접근 권한
- 부팅 우회: 외부 부팅 디스크로도 접근 가능
- SYSTEM 권한 필요
T1003.004 (LSA Secrets)
- SYSTEM 권한: 높은 수준의 시스템 접근 권한
- 레지스트리 접근: SECURITY 하이브에 대한 읽기 권한
- 지속성: 시스템 재부팅 후에도 정보 유지
3. 탐지 난이도와 방어 전략
탐지 용이성 순서: T1003.001 > T1003.004 > T1003.002
T1003.001 방어 전략
- Credential Guard 활성화
- LSASS 보호 모드(Protected Process Light) 설정
- 메모리 접근 모니터링
- EDR 솔루션 배포
- NTLM 및 WDigest 인증 비활성화 또는 제한
T1003.002 방어 전략
- 파일 시스템 접근 제어
- 부팅 보안 강화
- Volume Shadow Copy 모니터링
- 레지스트리 접근 감시 (HKLM\SAM, HKLM\SYSTEM 순차 접근)
- 강력하고 고유한 패스워드 사용
T1003.004 방어 전략
- 서비스 계정 관리 강화
- 최소 권한 원칙 적용
- 정기적인 패스워드 변경
- 레지스트리 보안 설정
실제 공격 시나리오에서의 활용
초기 침투 단계
공격자는 보통 T1003.001(LSASS Memory) 부터 시작한다. 현재 로그인된 사용자의 자격 증명을 빠르게 획득하여 측면 이동(Lateral Movement)의 발판을 마련하기 때문이다.
권한 상승 단계
T1003.004(LSA Secrets) 를 통해 서비스 계정이나 시스템 계정의 자격 증명을 획득하여 더 높은 권한을 얻다.
지속성 확보 단계
T1003.002(SAM) 를 통해 모든 로컬 계정 정보를 획득하여 백도어 계정 생성이나 기존 계정 악용을 위한 정보를 수집한다.
통합 방어 전략
1. 기술적 대응
- Windows Defender Credential Guard 배포
- LSASS Protection 활성화
- Privileged Access Management(PAM) 솔루션 도입
- Endpoint Detection and Response(EDR) 시스템 구축
2. 관리적 대응
- 최소 권한 원칙 철저한 적용
- 정기적인 패스워드 정책 검토
- 서비스 계정 관리 체계화
- 보안 인식 교육 강화
3. 모니터링 포인트
- LSASS 프로세스 접근 시도
- SAM 파일 또는 레지스트리 접근
- 비정상적인 메모리 덤프 활동
- 높은 권한 요구 프로세스 실행
결론
T1003.001, T1003.002, T1003.004는 각각 다른 특성과 목적을 가진 자격 증명 획득 기법들이다. **T1003.001**은 실시간 공격에 최적화되어 있고, **T1003.002**는 로컬 환경에서의 포괄적인 정보 수집에 유용하며, T1003.004 는 시스템 깊숙한 곳의 민감한 정보에 접근할 수 있다.
효과적인 보안 전략을 수립하려면 이 세 기법의 차이점을 정확히 이해하고, 각각에 맞는 차별화된 방어 메커니즘을 구축해야 한다. 특히 Windows 환경에서는 이러한 기법들이 조합되어 사용되는 경우가 많으므로, 통합적인 관점에서의 보안 설계가 필수적이다.
세 가지 기법의 실전 선택 기준은 공격자의 상황에 따라 다르다. LSASS는 관리자 권한이 필요하지만 평문 비밀번호까지 획득 가능하다. SAM은 로컬 관리자면 충분하지만 로컬 계정만 대상이다. NTDS.dit는 도메인 컨트롤러 접근이 필요하지만 도메인 전체 해시를 한 번에 덤프할 수 있어 공격자에게 가장 높은 가치를 제공한다. APT 그룹은 보통 LSASS로 시작해 권한을 상승시킨 후 NTDS.dit를 최종 목표로 삼는다.
Credential Guard와 커널 수준 보호
Windows 10 이후 도입된 Credential Guard는 LSASS 메모리에 대한 직접 접근을 차단한다. 가상화 기반 보안(VBS)을 사용하여 자격증명을 격리된 컨테이너에 저장한다. 이 컨테이너는 운영체제 커널조차 접근할 수 없으며, 하이퍼바이저 수준에서 보호된다.
하지만 Credential Guard가 활성화되어 있어도 모든 자격증명이 보호되는 것은 아니다. Kerberos TGT와 NTLM 해시는 보호되지만, 서비스 계정 비밀번호나 캐시된 도메인 자격증명은 여전히 LSASS 외부에 저장될 수 있다. 공격자들은 이 틈을 노려 DCSync나 Kerberoasting 같은 대안 기법으로 전환하고 있다.
참고 자료
관련 글 더 보기
관련 MITRE ATT&CK 기법
실제 공격 사례
📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK v18.0 기준 (2025-10-28) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있다.
안내 및 법적 고지
AI 활용 안내
이 글은 AI(Claude)의 도움을 받아 작성되었습니다.
인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항
본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다.
언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라
처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.