라이브러리 개발자를 위한 보안 권한 테스트 - "Network Service" 계정 권한으로 실행
범용적인 상황에서 사용하게 될 라이브러리를 개발하는 경우라면 꽤나 다양한 테스트가 필요합니다. 제가 참여하고 있는 "제니퍼 닷넷" 제품은 사실 윈도우를 대상으로 하는 것이기 때문에 자바에 비해 테스트해야 하는 경우의 수가 적습니다.
그래도, 윈도우 단일 제품 하나라고 결코 간단하지 않습니다. 실제로 제니퍼 닷넷은 다음의 5가지 운영체제에서 테스트 됩니다.
- Windows Server 2003 x86
- Windows Server 2003 x64
- Windows Server 2008 x86
- Windows Server 2008 R2
- Windows Server 2012 R2
이게 끝이 아닙니다. 닷넷 프레임워크 상에서 실행되는 프로그램을 테스트 하는 것으므로, 각각의 운영체제에서 .NET 2.0과 .NET 4.0으로 나뉘는 테스트 프로젝트가 있습니다. 이것만 해도 벌써 경우의 수가 10개나 됩니다.
물론 이게 전부가 아닙니다. 바로 보안 계정이 있습니다. "Network Service", "Local SYSTEM"으로 구동되는 서비스들이 테스트에 포함되어 있습니다. (이외에도 서비스 유형별-WCF, .NET Remoting, Standalone EXE-로 테스트가 됩니다.)
재미있는 것은 실제로 이런 테스트 환경 덕분에 까딱 잘못했으면 대형사고로 이어질 뻔한 릴리즈를 피할 수 있던 적이 한두번이 아니라는 점입니다.
간단한 예를 하나 들어볼까요? QueryDosDevice라는 Win32 API가 있습니다. 간단하게 사용법을 보면,
using System;
using System.Runtime.InteropServices;
using System.Text;
class Program
{
[DllImport("kernel32.dll", SetLastError = true)]
internal static extern int QueryDosDevice([In] string lpDeviceName,
[Out] StringBuilder lpTargetPath, [In] int ucchMax);
const int MAX_PATH = 260;
static void Main(string[] args)
{
StringBuilder lpTargetPath = new StringBuilder(MAX_PATH);
QueryDosDevice("C:", lpTargetPath, MAX_PATH);
Console.WriteLine("C: ==> " + lpTargetPath);
}
}
// 출력 결과
// C: ==> \Device\HarddiskVolume4
위의 코드는 일반적인 상황에서 아주 잘 동작합니다. 하지만, Windows 2003 (x86/x64) + "Network Service" 권한아래에서 위의 코드가 실행되면 오류가 발생합니다. 원인 파악을 위해 다음과 같이 코딩하고 실행하면,
int result = QueryDosDevice("C:", lpTargetPath, MAX_PATH);
if (result == 0)
{
Console.WriteLine("Win32 Error: " + Marshal.GetLastWin32Error());
}
Win32 Error의 출력으로 5 (Access Denied)를 확인할 수 있습니다. 따라서 QueryDosDevice를 범용적인 라이브러리에서 웹 애플리케이션이나 NT 서비스를 위해 제공한다면 주의해야 합니다.
그런데, "Network Service" 계정으로 테스트 하려면 어떻게 해야 할까요? 우선, 생각나는 것이 있다면 1) 웹 애플리케이션을 작성하고 IIS 관리자에서 AppPool의 권한을 "Network Service"로 만드는 방법이 있습니다.
또는, 2) NT 서비스를 하나 만들고 그 서비스의 권한을 "Network Service"로 만들면 됩니다.
그 외 3) 가장 간단한 방법은 "관리자 권한으로 실행한" psexec.exe를 이용해 테스트하는 방법이 있습니다. 예를 들어, cmd.exe를 다음과 같이 실행해 주면,
psexec.exe -i -u "NT AUTHORITY\NETWORK SERVICE" cmd.exe
이후 해당 명령행에서 실행되는 모든 응용 프로그램은 "Network Service" 권한으로 실행됩니다. 주의할 점이 있다면 Windows 2003 x64인 경우에는 다음과 같이 오류가 발생합니다. (그 외의 운영체제에서는 문제없이 동작합니다.)
D:\temp>psexec -i -u "NT AUTHORITY\NETWORK SERVICE" cmd.exe
PsExec v1.98 - Execute processes remotely
Copyright (C) 2001-2010 Mark Russinovich
Sysinternals - www.sysinternals.com
PsExec could not start cmd.exe on WIN2003X64:
Logon failure: unknown user name or bad password.
정말... 끝도 없는 테스트 세상입니다. ^^
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]