본문 바로가기

착한정보

Windows 서버 보안로그 보안 ID NULL SID가 의미하는것

 

 

 

Windows 서버 이벤트 로그를 살펴보던 도중 이상한 로그를 발견하였다. 어느 시점에서인가부터 아래와 같이 감사 실패 로그가 어마 무시하게 쌓여있었던 것이다. 왜 그런 것일까? 시간대를 봐도 도저히 사람이 한 것이라고는 생각 들지 않았다. 그렇다고 스케줄링을 걸어놓은 Job이 있었던 것도 아닌데 말이다. 이제부터 알아보자.

 

 

 

우선 해당 Windows 서버 이벤트 ID는 "4625" 이다 즉 로그온 관련된 로그이고 아래 세부내용을 살펴보면 "계정을 로그온 하지 못했습니다."라고 한다. 잉?? 뭐지? 해당 서버에 접속을 시도할 관리자는 몇 명 되지 않는데?? 왜 접속 실패를 했지? 의문이 들었다. 그럼 정말 누군가 접속 시도를 한 것일까? 결론부터 말하면 "그렇다" 실제 외부에서 해당 서버의 무작위 공격이 있었던 것이고 Windows 서버는 착실하게 해당 로그를 기록한 것이다. 그렇다고 우리 서버를 타깃으로 해서 공격이 들어온 건 아니었고 이제는 흔하디 흔한 "brute force attack" 즉 무작위 대입 공격을 통해 외부망에 오픈되어 있던 우리서버가 재수 없게 공격 대상이 되었던 거다. 그런데 보안 ID에는 왜 NULL SID가 찍혔을까? 알고 보면 별거 아니다.

 

 

Windows 시스템은 기본적으로 계정마다 고유한 보안 식별자 SID를 부여하게 되는데 이 SID가 NULL이라는 것은 구성원이 없는 그룹이거나 SID값을 알 수 없는 경우에 사용이 된다. 그러니까 로그에 NULL SID라고 찍히는 것은 당연한 것이다. 공격자가 로그인에 실패했으니 당연히 SAM으로부터 SID를 부여받지 못한 것이고 로그에는 NULL SID로 찍히는 것이다. 이왕 관심 생긴 거 추가로 팁을 주자면 SID의 구조는 아래와 같다. 

 

 

꽤나 길고 알 수 없는 숫자들의 조합인 거 같지만 하나하나 떼어서 보면 이것도 별거 아니다. 제일 앞에 S-1은 이 시스템이 Windows라는 걸 표시한 것이고 그다음 5-21 은 시스템이 단독 시스템임을 의미하는 것이다. 그러니까 Stand-alone이라는 것이고 그다음 표시되는 긴 숫자는 해당 계정의 고유한 SID 식별자이다. 이 값은 유일무이 한 값으로 절대적으로 유일하고 중복될 수가 없는 해당 계정의 고유키 값이라고 생각하면 되겠다. 실제 같은 PC를 똑같이 OS를 재설치한다고 해도 이 값은 변하고 유일한 값이 된다. 마지막으로 제일 마지막에 있는 숫자는 계정 식별자이다. 500이면 Administrator 관리자 계정인 것이고 501이면 Guest 계정, 1000 이상이면 일반 사용자 계정이라는 말이다. 역시나 알고 보면 별거 아닌 것.

 

 

확인하는 방법도 쉽다. 일단 "CMD" 실행 후 WMIC > Useraccount list brief 실행으로 간단히 확인할 수 있다. 

 

 

자 이제 NULL SID의 궁금점은 풀렸을 것이다. 이쯤 되면 또 궁금해지는 한 가지! 로그온 유형 "3"이라는데 이건 뭘까? 실제 외부 침입자가 MSTSC 원격 데스크톱을 통해 해킹을 시도했다는 걸까? 이점은 지금도 의문이긴 한데 MS 공식문서상에서 확인해 보면 로그온 유형은 아래와 같다.

 

 

로그온 유형 2 - 대화식 로그온 즉 콘솔에서 키보드로 로그인한 경우(그러니까 모니터 붙여서 직접 로그인한 경우)

 

로그온 유형 3 - 네트워크를 통한 원격 로그인 즉 파일 공유나 IIS접속 등을 의미함 

 

로그온 유형 4 - 스케줄러에 의해 동작하는 자동실행 즉 배치작업 실행 시 별도의 계정으로 설정되어있을 때

 

로그온 유형 5 - 서비스 로그인 즉 특정 서비스가 실행될 때 미리 설정된 계정 정보로 로그인한 경우 

 

로그온 유형 7 - 이건 화면보호기 상태에서 잠금 해제되었을 경우

 

로그온 유형 10 - 터미널 서비스 , 원격 접속으로 로그인했을 때(우리가 아는 그 MSTSC)

 

 

 

지금도 의아하긴 한데 결국 해결은 외부에 오픈되었던 3389(MSTSC) 포트를 막아서 해결을 하였다. 하지만 어째서 보안로그에는 로그온 유형이 3으로 찍히는 걸까? 아직도 미스터리다. 혹 아시는분이 있다면 댓글 부탁드린다!