Credential Guard와 LSASS 메모리 보호 완벽 가이드
Credential Guard와 LSASS 메모리 보호는 윈도우 운영체제의 보안을 강화하는 핵심 기술입니다. 일반적인 사용자에게는 다소 어렵게 느껴질 수 있지만, 이 기술들을 이해하고 적절히 활용하면 사이버 공격으로부터 시스템을 안전하게 보호할 수 있습니다. 이 가이드에서는 Credential Guard와 LSASS 메모리 보호의 기본 개념부터 실질적인 활용 방법까지, 일반 사용자가 이해하기 쉽도록 자세하게 설명합니다.
Credential Guard란 무엇일까요?
Credential Guard는 윈도우 운영체제에 저장된 자격 증명(패스워드 해시, Kerberos 티켓 등)을 보호하는 기술입니다. 기존에는 이러한 자격 증명이 LSASS (Local Security Authority Subsystem Service) 프로세스 메모리에 저장되었는데, LSASS는 공격자에게 매우 매력적인 표적이었습니다. Credential Guard는 이러한 자격 증명을 하이퍼바이저로 보호되는 격리된 환경에 저장함으로써, 공격자가 LSASS를 탈취하더라도 자격 증명을 얻을 수 없도록 합니다.
- 핵심 원리: 하이퍼바이저 기반 가상화 보안 (Hypervisor-based Virtualization Security, VBS)을 사용하여 자격 증명을 격리된 환경에 저장
- 주요 기능: 자격 증명 도난 방지, 패스워드 해시 보호, Kerberos 티켓 보호
- 보호 대상: 도메인 자격 증명, NTLM 해시, Kerberos 티켓
LSASS 메모리 보호는 왜 중요할까요?
LSASS는 윈도우 운영체제의 보안을 담당하는 핵심 프로세스입니다. 사용자 인증, 접근 제어 등 중요한 기능을 수행하며, 자격 증명 정보를 메모리에 저장합니다. 따라서 LSASS가 공격자에게 탈취당하면 시스템 전체가 위험에 빠질 수 있습니다. LSASS 메모리 보호는 공격자가 LSASS 메모리에 접근하여 자격 증명을 탈취하는 것을 방지하는 기술입니다.
- 공격 목표: LSASS 프로세스 메모리
- 주요 공격 기법: 메모리 덤프, 프로세스 인젝션
- LSASS 탈취 시 영향: 자격 증명 도난, 권한 상승, 시스템 제어
Credential Guard와 LSASS 메모리 보호, 무엇이 다를까요?
Credential Guard와 LSASS 메모리 보호는 서로 연관되어 있지만, 다른 기술입니다. Credential Guard는 자격 증명을 격리된 환경에 저장하여 LSASS 자체를 보호하는 반면, LSASS 메모리 보호는 LSASS 프로세스 메모리에 대한 접근을 제한하여 공격을 방어합니다. Credential Guard가 더 강력한 보호 기능을 제공하지만, 시스템 요구 사항이 더 높습니다. LSASS 메모리 보호는 비교적 가볍게 적용할 수 있습니다.
| 기능 | Credential Guard | LSASS 메모리 보호 |
|---|---|---|
| 보호 대상 | 자격 증명 자체 (패스워드, 티켓) | LSASS 프로세스 메모리 |
| 보호 방법 | 하이퍼바이저 기반 격리 | 메모리 접근 제한 |
| 시스템 요구 사항 | 높음 (VBS 지원 필요) | 낮음 |
| 보호 수준 | 높음 | 중간 |
Credential Guard 활성화 방법
Credential Guard를 활성화하기 위해서는 다음과 같은 시스템 요구 사항을 충족해야 합니다.
- 64비트 윈도우 10 Enterprise, Education 또는 Server
- UEFI 2.3.1 이상, 보안 부트 활성화
- 가상화 지원 (Intel VT-x 또는 AMD-V)
- TPM 2.0 (선택 사항)
Credential Guard를 활성화하는 방법은 다음과 같습니다.
- 그룹 정책 편집기 (gpedit.msc) 실행
- 컴퓨터 구성 > 관리 템플릿 > 시스템 > Device Guard 이동
- “가상화 기반 보안 켜기” 정책 구성
- “가상화 기반 보안”을 “사용”으로 설정
- 플랫폼 보안 수준을 “UEFI 잠김으로 보안 부트만”으로 설정 (권장)
- Credential Guard 구성 선택 (UEFI 잠김으로 구성 권장)
- 시스템 재부팅
LSASS 메모리 보호 활성화 방법
LSASS 메모리 보호는 비교적 간단하게 활성화할 수 있습니다.
- 레지스트리 편집기 (regedit.exe) 실행
- 다음 레지스트리 키로 이동: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
- “RunAsPPL” DWORD 값을 생성하고 값을 1로 설정
- 시스템 재부팅
Windows 보안 센터를 통해 활성화하는 방법도 있습니다.
- 시작 메뉴에서 “Windows 보안” 검색 후 실행
- “장치 보안” 클릭
- “코어 격리” 클릭
- “메모리 무결성” 옵션 켜기
- 시스템 재부팅
흔한 오해와 사실 관계
- 오해: Credential Guard는 모든 공격을 막을 수 있다.
- 사실: Credential Guard는 자격 증명 도난 공격을 효과적으로 방어하지만, 다른 유형의 공격 (예: 제로데이 공격, 사회 공학적 공격)에는 취약할 수 있습니다.
- 오해: LSASS 메모리 보호는 Credential Guard보다 효과가 떨어진다.
- 사실: LSASS 메모리 보호는 Credential Guard만큼 강력하지는 않지만, 비교적 쉽게 적용할 수 있으며, 특정 공격을 방어하는 데 효과적입니다.
- 오해: Credential Guard를 활성화하면 시스템 성능이 크게 저하된다.
- 사실: Credential Guard는 시스템 성능에 영향을 줄 수 있지만, 최신 하드웨어에서는 그 영향이 미미합니다.
유용한 팁과 조언
- Credential Guard와 LSASS 메모리 보호를 함께 사용하는 것이 가장 안전합니다.
- 시스템 요구 사항을 충족하는지 확인하고, Credential Guard를 활성화하기 전에 테스트 환경에서 먼저 테스트해보세요.
- 정기적으로 시스템을 업데이트하고, 최신 보안 패치를 적용하세요.
- 강력한 패스워드를 사용하고, 다단계 인증을 활성화하세요.
- 수상한 링크나 첨부 파일을 클릭하지 마세요.
자주 묻는 질문과 답변
- Q: Credential Guard를 활성화했는데도 공격을 받았습니다. 왜 그런가요?
- A: Credential Guard는 자격 증명 도난 공격을 방어하는 데 효과적이지만, 다른 유형의 공격에는 취약할 수 있습니다. 시스템을 종합적으로 보호하기 위해서는 다른 보안 조치도 함께 적용해야 합니다.
- Q: LSASS 메모리 보호를 활성화했는데도 악성 코드가 실행됩니다. 왜 그런가요?
- A: LSASS 메모리 보호는 LSASS 프로세스 메모리에 대한 접근을 제한하지만, 악성 코드가 다른 방법으로 시스템에 침투할 수 있습니다. 백신 소프트웨어, 방화벽 등 다른 보안 도구를 함께 사용하는 것이 중요합니다.
- Q: Credential Guard를 활성화하는 데 필요한 라이선스는 무엇인가요?
- A: Credential Guard는 윈도우 10 Enterprise, Education 또는 Server 에디션에서 사용할 수 있습니다.
비용 효율적인 활용 방법
Credential Guard와 LSASS 메모리 보호는 윈도우 운영체제에 기본적으로 포함된 기능이므로, 별도의 비용 없이 사용할 수 있습니다. 다만, Credential Guard를 활성화하기 위해서는 시스템 요구 사항을 충족해야 하며, 필요에 따라 하드웨어 업그레이드가 필요할 수 있습니다. 클라우드 환경에서는 가상 머신 인스턴스를 선택할 때, 가상화 기반 보안 (VBS)을 지원하는 인스턴스를 선택하는 것이 좋습니다.