컴퓨터를 사용하다 보면 작업 관리자에서 'lsass.exe'라는 낯선 프로세스를 발견하고는 고개를 갸웃거린 경험이 한 번쯤은 있을 것이다. 이름부터 어딘가 의심스러운 이 프로세스는 혹시 바이러스나 악성코드는 아닐까? 결론부터 말하자면, lsass.exe는 윈도우 운영체제의 보안을 책임지는 매우 중요한 핵심 프로세스이다.
마치 국가의 중요 시설을 지키는 경호실과 같이, 윈도우의 로그인 과정부터 사용자 권한 관리까지 보안의 최전선에 서 있는 존재가 바로 LSASS이다. 하지만 이토록 중요한 역할을 하기에, 역설적으로 해커들의 가장 첫 번째 공격 목표가 되기도 한다. 윈도우 보안의 심장과도 같은 LSASS, 그 정체는 과연 무엇이고 어떻게 지켜내야 할까?
LSASS는 'Local Security Authority Subsystem Service'의 약자로, 윈도우 운영체제에서 보안 정책을 시행하는 핵심 하위 시스템 서비스이다. 사용자가 컴퓨터에 로그인할 때 입력하는 아이디와 비밀번호의 유효성을 검사하고, 인증에 성공한 사용자에게는 고유한 '보안 액세스 토큰'을 발급하여 시스템 자원에 접근할 수 있는 권한을 부여한다. 우리가 컴퓨터를 켜고 윈도우 계정에 로그인하는 그 순간부터 LSASS는 바쁘게 움직이기 시작하는 것이다. lsass.exe 파일은 %WINDIR%\System32 폴더에 위치하며, 이 프로세스가 정상적으로 실행되지 않으면 윈도우에 로그인조차 할 수 없게 된다.
LSASS가 수행하는 구체적인 역할들을 살펴보면 그 중요성을 더욱 실감할 수 있다. LSASS의 주요 기능은 다음과 같다.
- 사용자 인증 및 로그인 처리: 사용자가 로컬 컴퓨터나 네트워크 도메인에 로그인을 시도할 때, SAM(Security Account Manager) 데이터베이스나 액티브 디렉터리(Active Directory)와 통신하여 계정 정보의 일치 여부를 확인한다.
- 보안 액세스 토큰 생성: 인증이 완료된 사용자에게는 SID(보안 식별자)와 사용자 권한 그룹 정보가 담긴 액세스 토큰을 생성하여 부여한다. 사용자는 이 토큰을 기반으로 파일이나 폴더, 특정 프로그램에 접근할 수 있는 권한을 얻는다.
- 보안 정책 관리: 관리자가 설정한 암호 정책, 계정 잠금 정책, 감사 정책 등 시스템의 전반적인 보안 정책을 강제하고 관리하는 역할을 수행한다.
- 자격 증명 캐싱: 사용자의 로그인 정보를 메모리에 저장(캐싱)하여 매번 인증 절차를 거치지 않고도 원활하게 시스템을 사용할 수 있도록 돕는다. 이것이 바로 편리함과 보안 취약점의 양날의 검이 되는 부분이기도 하다
해커들이 LSASS 프로세스를 집요하게 노리는 이유는 단 하나, 바로 메모리에 저장된 '사용자 자격 증명'을 탈취하기 위함이다. LSASS는 앞서 설명했듯이 사용자의 로그인 편의성을 위해 암호 해시(Hash)나 인증 티켓(Kerberos Ticket)과 같은 민감한 정보를 메모리에 캐싱한다. 만약 공격자가 시스템에 침투하여 LSASS 프로세스의 메모리에 접근할 수만 있다면, '미미카츠(Mimikatz)'와 같은 크리덴셜 덤핑(Credential Dumping) 도구를 사용하여 일반 텍스트 형태의 비밀번호나 해시값을 손쉽게 빼낼 수 있다.
이렇게 탈취된 계정 정보는 상상 이상의 끔찍한 결과를 초래한다. 공격자는 일반 사용자 계정으로 시작하여 시스템 내부를 자유롭게 돌아다니며 더 높은 권한, 즉 관리자(Administrator)나 시스템(SYSTEM) 권한을 가진 계정의 자격 증명을 추가로 노린다. 최종적으로 시스템 최고 권한을 장악하게 되면 내부 네트워크의 다른 시스템으로 공격을 확산하는 '측면 이동(Lateral Movement)'을 시도하여 기업 전체를 마비시키는 대규모 보안 사고로 이어질 수 있다.
윈도우 보안의 핵심인 LSASS를 안전하게 보호하는 것은 선택이 아닌 필수이다. LSASS를 보호하기 위한 효과적인 방법들은 무엇일까?
- Credential Guard 활성화: 윈도우 10/11 엔터프라이즈 및 에듀케이션 버전에서 제공하는 강력한 보안 기능이다. 가상화 기반 보안(VBS) 기술을 사용하여 LSASS 프로세스를 격리된 환경에서 실행, 크리덴셜 덤핑 공격으로부터 자격 증명을 원천적으로 보호한다.
- 최신 보안 업데이트 유지: 마이크로소프트는 지속적으로 LSASS와 관련된 보안 취약점을 발견하고 패치를 배포한다. 따라서 항상 윈도우를 최신 상태로 유지하는 것이 가장 기본적인 방어 전략이다.
- LSA 보호 모드 활성화: 레지스트리 설정을 통해 신뢰할 수 있는 서명이 없는 플러그인이나 드라이버가 LSASS 프로세스에 접근하는 것을 차단할 수 있다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 경로에 RunAsPPL 값을 dword:00000001로 설정하여 활성화한다.
- 엔드포인트 보안 솔루션 활용: 신뢰할 수 있는 백신(Anti-Virus) 및 EDR(Endpoint Detection and Response) 솔루션을 사용하면 미미카츠와 같은 악성 도구의 실행을 탐지하고 차단하여 LSASS를 보호하는 데 큰 도움이 된다.
- 최소 권한 원칙 준수: 일반 사용자는 절대로 관리자 권한으로 PC를 사용해서는 안 된다. 필요한 경우에만 관리자 권한을 사용하도록 하여, 만에 하나 계정이 탈취되더라도 피해를 최소화할 수 있다.
lsass.exe는 윈도우 시스템의 보안을 든든하게 지키는 핵심적인 프로세스이다. 그 중요성만큼이나 공격자들의 주된 표적이 된다는 사실을 항상 기억하고, 오늘 소개한 보호 방법들을 적용하여 자신의 시스템을 안전하게 지켜나가야 할 것이다.
#LSASS #lsassexe #윈도우보안 #사이버보안 #크리덴셜덤핑 #미미카츠 #해킹방지 #시스템보안 #IT보안
'IT 정보 > 용어' 카테고리의 다른 글
| 적과 아군 모두 사용하는 침투 테스트 도구, 코발트 스트라이크 비컨 파헤치기 (0) | 2025.11.01 |
|---|---|
| 티어드롭(Teardrop) 공격이란? 네트워크를 마비시키는 눈물 (0) | 2025.10.30 |
| NTFS란? Windows 파일 시스템의 심장 Windows에서 NTFS를 써야하는 이유는? (0) | 2025.10.26 |
| FAT이란? 아직도 FAT을 사용한다고? 파일 할당 테이블 정리 (0) | 2025.10.24 |
| MS-DOS란? PC 시대를 열다, 추억의 MS-DOS 이야기 (0) | 2025.10.22 |
