[정보보안/윈도우] SAM(Security Account Manager)

목차

 

 

 

SAM ?

SAM(Security Account Manager)은 Microsoft Windows 운영 체제에서 사용자 계정 데이터베이스를 관리하는 시스템 구성요소이다. 이는 은행의 금고와 같이 Windows 시스템에서 사용자 인증 정보를 안전하게 보관하고 관리하는 역할을 수행한다. 

 

작동 원리

SAM은 사용자가 Windows에 로그인할 때마다 도서관의 회원 카드 확인 시스템처럼 작동한다. 사용자가 입력한 계정 정보와 저장된 정보를 대조하여 접근 권한을 부여한다.

 

주요 기능

사용자 계정 정보 저장

• 사용자 이름과 고유 식별자(SID)
• 계정 상태 및 권한 수준
• 로그인 이력

패스워드 보안

• 패스워드를 직접 저장하지 않고 해시 값으로 변환하여 보관
• 패스워드 해시는 지문과 같이 고유한 디지털 서명으로 변환됨

 

저장 위치

SAM 데이터베이스는 시스템의 %SystemRoot%\\system32\\config 폴더에 위치하며, SAM 파일에 저장된다. 윈도우 운영 체제는 SAM 파일에 대한 직접적인 접근을 막기 위해 여러 보안 조치를 취한다. 시스템이 실행 중일 때, SAM 파일은 운영 체제에 의해 잠기므로, 운영 체제 외부에서는 쉽게 접근하거나 수정할 수 없다. 이는 시스템이 꺼진 상태에서 물리적인 접근을 시도하는 경우에도 마찬가지다.

 

윈도우 내에서 직접 SAM에 대한 정보를 확인할 수 있나

직접적으로 Windows 운영 체제 내에서 SAM(Security Account Manager) 데이터베이스의 내용을 볼 수 있는 방법은 제한적이다. 이는 SAM 데이터베이스가 시스템의 보안과 관련된 매우 민감한 정보를 담고 있기 때문에, 운영 체제가 이 데이터에 대한 접근을 엄격하게 제어하기 때문이다. 하지만, 관리자 권한을 가진 사용자는 몇 가지 도구와 방법을 통해 간접적으로 SAM에 저장된 정보를 관리하고 일부 정보를 확인할 수 있다:

1. 사용자 계정 관리 도구: 윈도우의 내장된 계정 관리 도구(예: 컴퓨터 관리, 로컬 사용자 및 그룹)를 통해 사용자 계정을 생성, 수정, 삭제할 수 있다. 이러한 도구는 SAM 데이터베이스에 저장된 정보를 기반으로 작동한다.
2. 명령 프롬프트 또는 PowerShell: 관리자 권한으로 실행된 명령 프롬프트나 PowerShell을 통해 net user, **Get-LocalUser**와 같은 명령어를 사용하여 로컬 사용자 계정의 목록을 조회하고, 특정 계정에 대한 정보를 확인할 수 있다.
3. 보안 정책: **secpol.msc**를 실행하여 로컬 보안 정책 편집기를 열면, SAM과 관련된 보안 설정(예: 비밀번호 정책, 계정 잠금 정책)을 조회하고 수정할 수 있다.
4. 복구 또는 분석 도구: 시스템이나 보안 분석 목적으로, 특정 복구 또는 분석 도구를 사용하여 SAM 파일(%SystemRoot%\\system32\\config\\SAM)에서 데이터를 추출하거나 확인할 수 있지만, 이는 고급 사용자나 전문가에 의해 신중하게 수행되어야 하며, 대부분의 경우 법적 제약이나 보안 정책에 의해 제한될 수 있다.

직접 SAM 파일을 조회하려는 시도는 시스템 보안을 위협할 수 있으므로, 일반 사용자에게는 권장되지 않는다. 시스템의 보안을 유지하기 위해서는 항상 적절한 권한과 절차를 따르는 것이 중요하다.