라이브러리 개발자를 위한 보안 권한 테스트 - "Network Service" 계정 권한으로 실행

범용적인 상황에서 사용하게 될 라이브러리를 개발하는 경우라면 꽤나 다양한 테스트가 필요합니다. 제가 참여하고 있는 "제니퍼 닷넷" 제품은 사실 윈도우를 대상으로 하는 것이기 때문에 자바에 비해 테스트해야 하는 경우의 수가 적습니다.

그래도, 윈도우 단일 제품 하나라고 결코 간단하지 않습니다. 실제로 제니퍼 닷넷은 다음의 5가지 운영체제에서 테스트 됩니다.

Windows Server 2003 x86
Windows Server 2003 x64
Windows Server 2008 x86
Windows Server 2008 R2
Windows Server 2012 R2

이게 끝이 아닙니다. 닷넷 프레임워크 상에서 실행되는 프로그램을 테스트 하는 것으므로, 각각의 운영체제에서 .NET 2.0과 .NET 4.0으로 나뉘는 테스트 프로젝트가 있습니다. 이것만 해도 벌써 경우의 수가 10개나 됩니다.

물론 이게 전부가 아닙니다. 바로 보안 계정이 있습니다. "Network Service", "Local SYSTEM"으로 구동되는 서비스들이 테스트에 포함되어 있습니다. (이외에도 서비스 유형별-WCF, .NET Remoting, Standalone EXE-로 테스트가 됩니다.)

재미있는 것은 실제로 이런 테스트 환경 덕분에 까딱 잘못했으면 대형사고로 이어질 뻔한 릴리즈를 피할 수 있던 적이 한두번이 아니라는 점입니다.

간단한 예를 하나 들어볼까요? QueryDosDevice라는 Win32 API가 있습니다. 간단하게 사용법을 보면,

using System;
using System.Runtime.InteropServices;
using System.Text;

class Program
{
    [DllImport("kernel32.dll", SetLastError = true)]
    internal static extern int QueryDosDevice([In] string lpDeviceName,
        [Out] StringBuilder lpTargetPath, [In] int ucchMax);

    const int MAX_PATH = 260;
    static void Main(string[] args)
    {
        StringBuilder lpTargetPath = new StringBuilder(MAX_PATH);

        QueryDosDevice("C:", lpTargetPath, MAX_PATH);
        Console.WriteLine("C: ==> " + lpTargetPath);
    }
}

// 출력 결과
// C: ==> \Device\HarddiskVolume4

위의 코드는 일반적인 상황에서 아주 잘 동작합니다. 하지만, Windows 2003 (x86/x64) + "Network Service" 권한아래에서 위의 코드가 실행되면 오류가 발생합니다. 원인 파악을 위해 다음과 같이 코딩하고 실행하면,

int result = QueryDosDevice("C:", lpTargetPath, MAX_PATH);
if (result == 0)
{
    Console.WriteLine("Win32 Error: " + Marshal.GetLastWin32Error());
}

Win32 Error의 출력으로 5 (Access Denied)를 확인할 수 있습니다. 따라서 QueryDosDevice를 범용적인 라이브러리에서 웹 애플리케이션이나 NT 서비스를 위해 제공한다면 주의해야 합니다.

그런데, "Network Service" 계정으로 테스트 하려면 어떻게 해야 할까요? 우선, 생각나는 것이 있다면 1) 웹 애플리케이션을 작성하고 IIS 관리자에서 AppPool의 권한을 "Network Service"로 만드는 방법이 있습니다.

또는, 2) NT 서비스를 하나 만들고 그 서비스의 권한을 "Network Service"로 만들면 됩니다.

그 외 3) 가장 간단한 방법은 "관리자 권한으로 실행한" psexec.exe를 이용해 테스트하는 방법이 있습니다. 예를 들어, cmd.exe를 다음과 같이 실행해 주면,

psexec.exe -i -u "NT AUTHORITY\NETWORK SERVICE" cmd.exe

이후 해당 명령행에서 실행되는 모든 응용 프로그램은 "Network Service" 권한으로 실행됩니다. 주의할 점이 있다면 Windows 2003 x64인 경우에는 다음과 같이 오류가 발생합니다. (그 외의 운영체제에서는 문제없이 동작합니다.)

D:\temp>psexec -i -u "NT AUTHORITY\NETWORK SERVICE" cmd.exe

PsExec v1.98 - Execute processes remotely
Copyright (C) 2001-2010 Mark Russinovich
Sysinternals - www.sysinternals.com


PsExec could not start cmd.exe on WIN2003X64:
Logon failure: unknown user name or bad password.

정말... 끝도 없는 테스트 세상입니다. ^^

[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[최초 등록일: 5/31/2014]
[최종 수정일: 5/31/2014]

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

by SeongTae Jeong, mailto:techsharer at outlook.com

No	Writer	Date	Cnt.	Title	File(s)
12666	정성태	6/10/2021	15593	.NET Framework: 1067. 별도 DLL에 포함된 타입을 STAThread Main 메서드에서 사용하는 경우 CoInitializeSecurity 자동 호출	1
12665	정성태	6/9/2021	17651	.NET Framework: 1066. Wslhub.Sdk 사용으로 알아보는 CoInitializeSecurity 사용 제약	1
12664	정성태	6/9/2021	15506	오류 유형: 723. COM+ PIA 참조 시 "This operation failed because the QueryInterface call on the COM component" 오류
12663	정성태	6/9/2021	17903	.NET Framework: 1065. Windows Forms - 속성 창의 디자인 설정 지원: 문자열 목록 내에서 항목을 선택하는 TypeConverter 제작	1
12662	정성태	6/8/2021	15505	.NET Framework: 1064. C# COM 개체를 PIA(Primary Interop Assembly)로써 "Embed Interop Types" 참조하는 방법	1
12661	정성태	6/4/2021	27550	.NET Framework: 1063. C# - MQTT를 이용한 클라이언트/서버(Broker) 통신 예제 [4]	1
12660	정성태	6/3/2021	18251	.NET Framework: 1062. Windows Forms - 폼 내에서 발생하는 마우스 이벤트를 자식 컨트롤 영역에 상관없이 수신하는 방법 [1]	1
12659	정성태	6/2/2021	19182	Linux: 40. 우분투 설치 후 MBR 디스크 드라이브 여유 공간이 인식되지 않은 경우 - Logical Volume Management
12658	정성태	6/2/2021	17033	Windows: 194. Microsoft Store에 있는 구글의 공식 Youtube App
12657	정성태	6/2/2021	17776	Windows: 193. 윈도우 패키지 관리자 - winget 설치
12656	정성태	6/1/2021	16122	.NET Framework: 1061. 서버 유형의 COM+에 적용할 수 없는 Server GC
12655	정성태	6/1/2021	14685	오류 유형: 722. windbg/sos - savemodule - Fail to read memory
12654	정성태	5/31/2021	15429	오류 유형: 721. Hyper-V - Saved 상태의 VM을 시작 시 오류 발생
12653	정성태	5/31/2021	18674	.NET Framework: 1060. 닷넷 GC에 새롭게 구현되는 DPAD(Dynamic Promotion And Demotion for GC)
12652	정성태	5/31/2021	16160	VS.NET IDE: 164. Visual Studio - Web Deploy로 Publish 시 암호창이 매번 뜨는 문제
12651	정성태	5/31/2021	16327	오류 유형: 720. PostgreSQL - ERROR: 22P02: malformed array literal: "..."
12650	정성태	5/17/2021	15688	기타: 82. OpenTabletDriver의 버튼에 더블 클릭을 매핑 및 게임에서의 지원 방법
12649	정성태	5/16/2021	17862	.NET Framework: 1059. 세대 별 GC(Garbage Collection) 방식에서 Card table의 사용 의미 [1]
12648	정성태	5/16/2021	16683	사물인터넷: 66. PC -> FTDI -> NodeMCU v1 ESP8266 기기를 UART 핀을 연결해 직렬 통신하는 방법	1
12647	정성태	5/15/2021	16837	.NET Framework: 1058. C# - C++과의 연동을 위한 구조체의 fixed 배열 필드 사용	1
12646	정성태	5/15/2021	15660	사물인터넷: 65. C# - Arduino IDE의 Serial Monitor 기능 구현	1
12645	정성태	5/14/2021	15739	사물인터넷: 64. NodeMCU v1 ESP8266 - LittleFS를 이용한 와이파이 접속 정보 업데이트	1
12644	정성태	5/14/2021	17033	오류 유형: 719. 윈도우 - 제어판의 "프로그램 및 기능" / "Windows 기능 켜기/끄기" 오류 0x800736B3
12643	정성태	5/14/2021	17155	오류 유형: 718. 서버 유형의 COM+ 사용 시 0x80080005(Server execution failed) 오류 발생
12642	정성태	5/14/2021	18624	오류 유형: 717. The 'Microsoft.ACE.OLEDB.12.0' provider is not registered on the local machine.
12641	정성태	5/13/2021	17462	디버깅 기술: 179. 윈도우용 .NET Core 3 이상에서 Windbg의 sos 사용법

Writer

Date

Cnt.

Title

File(s)

12666

정성태

6/10/2021

15593

.NET Framework: 1067. 별도 DLL에 포함된 타입을 STAThread Main 메서드에서 사용하는 경우 CoInitializeSecurity 자동 호출