아무리 복잡하고 긴 비밀번호를 사용하더라도, 일단 시스템에 로그인한 후에는 그 정보가 어딘가에 남아있기 마련이다. 만약 공격자가 시스템에 침투하여 메모리를 샅샅이 뒤져 당신의 로그인 정보를 통째로 훔쳐갈 수 있다면 어떨까? 이것은 영화 속 이야기가 아니다. 바로 '크리덴셜 덤핑(Credential Dumping)'이라는 현실 속 공격 기법이다.
크리덴셜 덤핑은 공격자가 이미 침투한 시스템의 운영체제 메모리나 특정 파일에서 사용자의 계정 정보(ID, 비밀번호, 해시 값 등)를 추출하고 탈취하는 행위를 말한다. 이 용어는 '자격 증명'을 의미하는 '크리덴셜(Credential)'과, 특정 시점의 메모리나 저장소의 내용을 그대로 복사하여 파일로 떠내는 작업을 뜻하는 '덤핑(Dumping)'의 합성어이다.
본래 '덤핑'은 시스템 오류 분석을 위한 '메모리 덤프'처럼 정상적인 진단 목적으로 사용되던 기술이지만, 공격자들이 이 기법을 악용하여 메모리에 남아있는 민감한 인증 정보를 훔쳐내면서 이와 같은 이름이 붙었다. 공격자는 이렇게 탈취한 덤프 파일을 분석하여 시스템에 로그인한 사용자들의 인증 정보를 획득하고, 이를 통해 내부망의 다른 시스템으로 이동하며 더 큰 피해를 발생시키는 '측면 이동(Lateral Movement)' 공격의 발판으로 삼는다.
윈도우 운영체제에서 크리덴셜 덤핑 공격의 핵심 표적이 되는 것은 바로 'LSASS(Local Security Authority Subsystem Service)' 프로세스이다. 이 프로세스는 윈도우의 보안 정책을 관리하고 사용자의 로그인을 처리하는 매우 중요한 역할을 담당한다. 사용자가 시스템에 로그인하면, LSASS는 후속 인증을 위해 해당 사용자의 계정 정보(정확히는 비밀번호 해시 값)를 메모리에 캐시(저장)해 둔다. 바로 이 점 때문에 LSASS 프로세스는 공격자들에게 '보물창고'나 다름없는 존재이다. 공격자는 관리자 권한을 획득한 후, 이 LSASS 프로세스의 메모리에 접근하여 저장된 계정 정보들을 덤핑 하는 것이다.
공격자들은 크리덴셜 덤핑을 자동화하고 손쉽게 수행하기 위해 다양한 도구를 사용한다. 그중 가장 대표적인 도구들을 살펴보자.
- 미미카츠(Mimikatz): 크리덴셜 덤핑을 이야기할 때 빼놓을 수 없는, 가장 유명하고 강력한 도구이다. 프랑스의 보안 연구가 벤자민 델피(Benjamin Delpy)가 만들었으며, 본래 윈도우 보안의 취약점을 증명하기 위한 목적이었지만 지금은 악성 행위에 가장 널리 악용되고 있다. LSASS 메모리에서 일반 텍스트 비밀번호와 해시 값을 직접 추출하는 기능은 물론, 골든 티켓, 실버 티켓 등 정교한 후속 공격 기능까지 갖추고 있다.
- 프로세스 덤프(ProcDump): 본래 마이크로소프트가 제공하는 합법적인 시스템 관리 도구이다. 특정 프로세스의 메모리 덤프를 생성하는 기능을 가지고 있어 시스템 오류 분석 등에 사용된다. 하지만 공격자들은 이 정상적인 도구를 악용하여 LSASS 프로세스의 메모리를 덤핑 하고, 이를 외부로 유출하여 오프라인에서 분석하는 방식으로 계정 정보를 탈취한다.
- 라자냐(LaZagne): 파이썬으로 작성된 오픈 소스 크리덴셜 복구 도구이다. 윈도우뿐만 아니라 리눅스, 맥 OS 환경에서도 동작하며, 운영체제의 계정 정보 외에 웹 브라우저, FTP 클라이언트, 메신저 등 다양한 애플리케이션에 저장된 비밀번호까지 찾아내 덤핑 하는 광범위한 수집 능력을 자랑한다.
이처럼 강력한 크리덴셜 덤핑 공격을 방어하기 위해서는 다층적인 보안 전략이 필요하다. 단순히 강력한 비밀번호를 설정하는 것만으로는 부족하다.
방어 전략의 핵심 요소는 다음과 같다.
- LSA 보호(LSA Protection) 활성화: 윈도우 8.1 이상부터 제공되는 보안 기능이다. LSA(LSASS의 일부)를 보호 모드로 실행하여 신뢰할 수 없는 프로세스가 메모리를 읽거나 코드를 주입하는 것을 방지한다.
- Credential Guard 사용: 윈도우 10/11 엔터프라이즈 에디션 이상에서 사용할 수 있는 강력한 방어 기능이다. 가상화 기반 보안(VBS)을 사용하여 LSASS 프로세스를 격리된 환경에서 실행, 관리자 권한을 탈취하더라도 계정 정보에 접근하는 것을 원천적으로 차단한다.
- 최신 보안 패치 유지: 운영체제와 소프트웨어의 취약점은 공격자에게 침투의 빌미를 제공한다. 항상 최신 보안 업데이트를 적용하여 알려진 취약점을 제거해야 한다.
- EDR(Endpoint Detection and Response) 솔루션 도입: 최신 EDR 솔루션은 단순히 악성코드를 탐지하는 것을 넘어, LSASS 프로세스에 비정상적으로 접근하려는 행위 등 의심스러운 메모리 접근 패턴을 실시간으로 탐지하고 차단할 수 있다.
- 최소 권한 원칙 준수: 평상시에는 관리자 계정이 아닌 일반 사용자 계정을 사용하고, 꼭 필요한 경우에만 관리자 권한을 사용하는 습관이 중요하다. 이는 공격자가 시스템에 침투하더라도 즉시 관리자 권한을 얻는 것을 어렵게 만든다.
크리덴셜 덤핑은 시스템 내부에 조용히 침투하여 가장 민감한 정보를 탈취해 가는, 보이지 않지만 매우 치명적인 공격이다. 공격자들은 항상 우리의 시스템 메모리를 노리고 있다는 사실을 인지해야 한다. 오늘 소개한 방어 전략들을 통해 당신의 소중한 시스템과 데이터를 안전하게 지키는 견고한 방패를 마련하길 바란다.
#크리덴셜덤핑 #CredentialDumping #미미카츠 #Mimikatz #LSASS #정보보안 #사이버보안 #해킹공격 #시스템보안 #윈도우보안 #보안전문가 #데이터유출
'IT 정보 > 용어' 카테고리의 다른 글
| SAM이란? 윈도우의 비밀금고, 보안계정관리자 (0) | 2025.11.25 |
|---|---|
| 윈도우의 보이지 않는 신분증, SID(보안 식별자)란 무엇일까? (0) | 2025.11.24 |
| 비트라커란? 노트북을 분실해도 내 파일이 노출될 걱정이 없는 이유는? (0) | 2025.11.22 |
| EFS란? 내파일은 나만 본다 윈도우 암호화 기능 이야기 (0) | 2025.11.21 |
| 해커를 막는 가장 기본적인 방법 ACL 설정과 원리 (0) | 2025.11.20 |
