spoolsv(또는 spoolsv.exe)란?

• spoolsv.exe는 Windows의 Print Spooler Service(프린트 스풀러 서비스) 실행 파일 이름입니다.
• 역할: 인쇄 작업 관리를 담당합니다. 사용자가 인쇄를 요청하면 문서를 임시로 스풀(대기)하고 프린터로 전송하는 작업을 처리합니다.
• 기본 경로: C:\Windows\System32\spoolsv.exe (정상 시스템에서는 이 경로에 있음).

용어 정리

• PID: Process Identifier (프로세스 식별자). 각 프로세스에 부여된 고유 번호입니다.

왜 중요하거나 의심스러운가?

• 정상 서비스이지만 공격자는 악성코드를 spoolsv.exe처럼 보이게 위장하거나(파일 이름을 동일하게), 정상 spoolsv.exe 프로세스를 탈취하여 권한 유지·우회에 이용할 수 있습니다.
• 따라서 로그에서 spoolsv.exe가 보이면 항상 정상 여부(경로, 서명, 부모 프로세스 등)를 확인해야 합니다.

의심 징후(Indicator of Compromise)

1. spoolsv.exe가 System32가 아닌 다른 경로에 있으면 의심.
2. 파일이 디지털 서명이 없거나 서명이 유효하지 않음.
3. 부모 프로세스(parent process)가 explorer.exe나 services.exe가 아닌 cmd.exe, powershell.exe, 또는 랜덤한 실행 파일이면 의심.
4. 비정상적 네트워크 연결(외부 C2 주소 접속), 과도한 CPU/메모리 사용.
5. 파일 해시가 알려진 정상 해시와 불일치.

실무에서 확인하는 명령어 예제 (Windows)

• 프로세스 경로 확인 (명령 프롬프트):

wmic process where ProcessId=1304 get ExecutablePath

• PowerShell로 경로와 서명 확인:

Get-Process -Id 1304 | Select-Object Id,ProcessName,Path
Get-AuthenticodeSignature (Get-Process -Id 1304).Path

• 서비스 상태 확인:

Get-Service -Name Spooler

• 프로세스의 부모 프로세스 확인 (PowerShell):

Get-CimInstance Win32_Process -Filter "ProcessId=1304" | Select-Object ProcessId,ParentProcessId,CommandLine

• 네트워크 연결 확인:

netstat -ano | findstr 1304

• 프로세스 목록 (cmd):

tasklist /fi "imagename eq spoolsv.exe" /v

대응(발견 시 권장 조치)

1. 의심스러운 경우 즉시 격리(네트워크 차단) 후 조사.
2. ExecutablePath, 디지털 서명, 파일 해시(MD5/SHA256) 확인.
3. 가능한 경우 메모리 덤프/프로세스 덤프 채취(포렌식 목적).
4. 안티바이러스·EDR(Endpoint Detection and Response) 스캔 실행.
5. 이벤트 뷰어(Windows Event Viewer) 및 시스템 로그에서 연관 이벤트 조사.
6. 침해가 확인되면 서비스/프로세스 중지 → 악성 파일 제거 → 패치 및 비밀번호 변경 등 후속조치.

---