SAM 파일 크래킹: 로컬 계정이 위험한 이유 | T1003.002

$ cat ./report.md

MITRE ATT&CK: T1003.002 (Security Account Manager) | 전술: Credential Access | 플랫폼: Windows

도입: 왜 이 공격이 중요한가

Windows 컴퓨터에 로그인할 때마다 시스템은 당신의 비밀번호를 어딘가에 저장된 정보와 비교합니다. 그 '어딘가'가 바로 SAM(Security Account Manager) 데이터베이스입니다. 해커들이 이 데이터베이스에 접근하면 컴퓨터의 모든 사용자 계정 정보를 손에 넣을 수 있습니다.

SAM 데이터베이스는 Windows의 핵심 보안 구성 요소로, 로컬 사용자 계정의 비밀번호 해시값을 저장하고 있어 공격자들이 가장 먼저 노리는 타겟 중 하나입니다.

💡 쉬운 비유: SAM 데이터베이스는 은행의 고객 정보 금고와 같습니다. 이 금고를 털면 모든 고객의 계좌 정보를 한 번에 얻을 수 있죠.

1. 공격자 관점

왜 이 기법을 사용하는가

한 번에 모든 계정 정보 획득: 시스템의 모든 로컬 사용자 계정 정보를 일괄적으로 탈취 가능
관리자 계정 식별 용이: RID 500(내장 관리자)과 RID 501(게스트) 등 특권 계정을 쉽게 구분
오프라인 크래킹 가능: 해시값을 탈취한 후 별도 환경에서 시간을 들여 비밀번호 복원 작업 수행

동작 흐름

공격자는 먼저 SYSTEM 권한을 획득한 후, 메모리에서 직접 SAM 정보를 추출하거나 레지스트리를 통해 SAM 파일을 복사합니다. 이후 전용 도구를 사용해 해시값을 추출하고 오프라인에서 비밀번호를 크래킹합니다.

2. 실제 공격 사례

📌 APT28 - Nearest Neighbor Campaign (2022)

항목	상세 정보
공격 그룹	APT28 (Fancy Bear, Sofacy, STRONTIUM)
MITRE 그룹 ID	G0007
활동 기간	2022년 2월
배후 추정	러시아 GRU (군사정보국)
표적	우크라이나 관련 전문가 조직
주요 기법	Wi-Fi 침투, reg save, SAM 덤프

배경: 러시아 APT28 그룹이 우크라이나 관련 정보를 수집하기 위해 미국 조직을 표적으로 한 정교한 공격 캠페인입니다. 이들은 근처 Wi-Fi 네트워크를 경유하는 독특한 방법으로 침투했습니다.

공격 과정:

인근 Wi-Fi 네트워크를 경유해 표적 조직의 네트워크에 침투
내부 시스템에서 SYSTEM 권한 획득 후 reg save hklm\sam, reg save hklm\system, reg save hklm\security 명령어로 레지스트리 하이브 덤프
추출한 SAM 정보로 추가 계정을 탈취하여 조직 내 횡적 이동 수행

피해 규모: 우크라이나 전문가들의 민감한 정보와 프로젝트 데이터가 장기간 탈취됨

📌 Agonizing Serpens (Agrius) - 이스라엘 교육기관 공격 (2023)

항목	상세 정보
공격 그룹	Agonizing Serpens (Agrius, DEV-0227, BlackShadow)
MITRE 그룹 ID	G1030
활동 기간	2023년 1월 ~ 10월
배후 추정	이란 MOIS (정보보안부)
표적 국가	이스라엘
표적 산업	교육기관, 기술 기업
관련 소프트웨어	MultiLayer Wiper, PartialWasher, BFG Agonizer

배경: 이란 후원 APT 그룹인 Agonizing Serpens가 이스라엘의 고등교육기관과 기술 기업들을 대상으로 한 파괴적 사이버 공격입니다.

공격 과정:

스피어피싱을 통해 초기 침투 후 시스템 권한 상승
SAM 파일을 덤프하여 피해자 시스템의 모든 로컬 계정 자격 증명 탈취
개인정보와 지적재산을 대량 수집한 후 MultiLayer, PartialWasher 등 맞춤형 와이퍼로 증거 인멸

피해 규모: 다수 교육기관의 개인정보와 연구 데이터가 탈취되고 시스템이 완전히 파괴됨

📌 APT29 (UNC3524) - 이메일 감시 작전 (2019-2022)

항목	상세 정보
공격 그룹	APT29 (Cozy Bear, The Dukes, NOBELIUM) / UNC3524
MITRE 그룹 ID	G0016
활동 기간	2019년 ~ 2022년
배후 추정	러시아 대외정보국 (SVR)
표적 산업	금융, M&A 관련 법률사무소
관련 소프트웨어	Mimikatz (S0002), Impacket (S0357)

배경: 러시아 APT29 그룹이 기업 인수합병 관련 정보를 수집하기 위해 장기간 은밀하게 수행한 스파이 활동입니다.

공격 과정:

고도화된 지속 공격으로 기업 네트워크에 장기간 잠복
reg save 명령어를 사용해 레지스트리 하이브를 저장하고 SAM 정보 추출
탈취한 자격 증명으로 이메일 시스템에 접근하여 M&A 관련 민감 정보를 대량 수집

피해 규모: 평균 체류 시간이 일반적인 공격보다 10배 이상 길어 막대한 기업 기밀이 유출됨

3. 왜 탐지가 어려운가?

공격자가 이 기법을 선호하는 이유

시스템 깊숙한 곳에 위치: SAM 데이터베이스는 Windows 핵심 구성 요소로 일반적인 보안 도구가 모니터링하기 어려운 영역
정상 관리 작업과 유사: 레지스트리 백업이나 시스템 관리 도구 사용은 정당한 목적으로도 빈번히 발생
흔적 남기기 어려움: 메모리에서 직접 추출하는 방법은 디스크에 파일을 생성하지 않아 포렌식 증거가 거의 남지 않음

보안 솔루션의 한계

대부분의 안티바이러스나 EDR 솔루션은 Mimikatz 같은 유명한 도구는 탐지하지만, 공격자가 자체 제작한 도구나 정상 Windows 명령어(reg save)를 사용할 경우 탐지율이 현저히 떨어집니다. 또한 메모리 기반 공격은 파일 시스템을 거치지 않아 전통적인 시그니처 기반 탐지를 우회할 수 있습니다.

정상 행위와의 구분이 어려운 이유

시스템 관리자들이 백업이나 시스템 복구를 위해 레지스트리 하이브를 저장하는 것은 일상적인 작업입니다. 공격자의 SAM 추출 행위와 정당한 관리 작업을 구분하기 위해서는 실행 컨텍스트, 시간대, 후속 행동 등을 종합적으로 분석해야 하는데, 이는 매우 복잡하고 전문적인 작업입니다.

4. 나도 위험할까? 자가 진단

이 공격이 나와 관련 있는지 확인해보세요.

이런 환경이라면 주의가 필요합니다

회사에서 관리자 권한으로 업무용 PC를 사용하고 있다
여러 시스템에서 동일한 비밀번호를 재사용하고 있다
정기적인 보안 패치 적용이나 시스템 업데이트가 지연되는 환경이다
원격 접속(RDP, VPN 등)을 통해 업무 시스템에 접근하는 경우가 많다

당장 할 수 있는 것

관리자 권한이 꼭 필요한 작업이 아니라면 일반 사용자 계정으로 업무하기
시스템별로 서로 다른 복잡한 비밀번호 사용하고 정기적으로 변경하기
이상한 점 발견 시 전문가에게 문의하거나 관련 기관에 신고하기

5. 관련 기술

기법	어떤 상황에서 함께 사용되나
T1003.001 LSASS Memory	SAM에서 해시를 추출한 후, 메모리에 있는 평문 비밀번호나 Kerberos 티켓을 추가로 탈취할 때
T1021.001 Remote Desktop Protocol	SAM에서 탈취한 자격 증명으로 다른 시스템에 RDP 접속하여 공격 범위를 확장할 때
T1558.003 Kerberoasting	도메인 환경에서 SAM 공격으로 로컬 관리자를 장악한 후, 서비스 계정의 Kerberos 티켓을 요청해 추가 권한을 탈취할 때

📚 함께 읽어보기: T1003.001 vs T1003.002 vs T1003.004 완전 비교 분석

참고 자료

📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK v18.0 기준 (2025-10-28) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.

?뱛 ??湲? [?먭꺽利앸챸 ?ㅽ븨(T1003) ?쒕━利?(/blog/t1003-os-credential-dumping-7819)???쇰??낅땲??

COMMENTS (0)

댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.