보안 계정 관리자(Security Account Manager, SAM)는 마이크로소프트 윈도우 운영 체제에서 로컬 사용자 및 그룹 계정의 보안 정보를 저장·관리하는 핵심 시스템 구성 요소이다. SAM은 계정 이름, 암호 해시, SID(보안 식별자) 등의 데이터를 레지스트리 하이브 형태로 %SystemRoot%\system32\config\SAM 파일에 보관한다.
주요 기능
- 계정 인증
- 로그온 요청 시 입력된 비밀번호를 SAM에 저장된 암호 해시와 비교하여 인증한다.
- 비밀번호 정책 적용
- 최소 비밀번호 길이, 복잡성 요구 사항, 최대 사용 기간 등 정책을 적용하고 검증한다.
- SID 할당 및 관리
- 새로운 사용자·그룹 생성 시 고유한 SID를 부여하고, 권한 부여·감사에 사용한다.
- 암호 해시 보호
- 암호 해시는 시스템 부팅 시 커널 모드에서만 접근 가능하도록 설계되어 있으며, 일반 사용자 권한에서는 직접 읽을 수 없다.
구현 및 보안 특징
- SAM은 LSASS( Local Security Authority Subsystem Service) 프로세스에 의해 관리되며, 해당 프로세스는 메모리 상에서 암호 해시를 복호화하지 않는다.
- 파일 자체는 NTFS 파일 시스템의 액세스 제어 목록(ACL) 과 암호화를 통해 보호되며, 일반적인 파일 탐색기로는 접근이 차단된다.
- 원격 공격이나 악성 코드가 SAM 파일을 직접 복제·읽어들이려 할 경우, 시스템 무결성 검증 및 권한 상승 방어 기제에 의해 차단될 가능성이 높다.
사용 맥락
- 시스템 관리: 로컬 사용자 추가·삭제, 그룹 정책 적용, 비밀번호 초기화 등 관리 작업은 SAM을 통해 이루어진다.
- 보안 감사: 계정 잠금·해제 기록, 로그인 시도 로그 등은 SAM과 연동된 이벤트 로그에 기록된다.
- 복구·마이그레이션: 시스템 이미지 복원·도메인 도메인 컨트롤러와의 계정 동기화 시 SAM 데이터를 활용한다.
제한 및 참고 사항
- “보안 계정 관리자”라는 용어는 주로 한국어 문서·번역에서 윈도우 SAM을 지칭할 때 사용되며, 공식적인 영문 명칭은 Security Account Manager이다.
- 다른 운영 체제(예: Linux, macOS)에서는 동일한 명칭의 구성 요소가 존재하지 않으며, 이 경우 “보안 계정 관리자”라는 표현은 일반적인 계정·보안 관리 기능을 가리키는 용어로 제한적으로 사용될 수 있다.
출처: 마이크로소프트 공식 문서(Windows Security Architecture), Windows Internals (Mark Russinovich 외) 등.
※ 본 항목은 확인된 기술 문서와 공식 자료에 근거하여 작성되었으며, 추가적인 비공식적인 사용 사례에 대한 정보는 제한적이다.