Tital: Vital Process in Windows

가끔 인터넷 사이트를 돌아다니다 보면 자신의 시스템에 너무 많은 프로세스가 기동되고 있다고 하면서 불필요한 프로세스를 골라달라는 질문을 종종 보곤한다. 그러나 이러한 형태의 질문에는 답하기 힘든 부분이 상당히 많다. 그 이유는 사용자의 시스템에서 나타나는 프로세스는 대부분 사용자의 시스템에 따라 달라지기 때문에 누구에게나 적용할 수 있는 답변을 하기 힘들기때문이다.

사실 이런 경우 가장 좋은 답은 불필요한 프로세스를 골라주는 것이 아니라 반드시 필요한 프로세스를 골라주는 것이 최선이다. 따라서 이번 팁에서는 Autoruns를 이용한 알 수 없는 악성 프로그램 제거하기의 부록에서 설명한 필수 프로세스에 약간의 정보를 추가해서 이 팁을 작성하게되었다. Windows를 기동하는데 반드시 필요한 프로세스는 다음과 같다.

csrss.exe		Client/Server Run-time SubSystem 콘솔창, 쓰리드의 생성 및 삭제, 16 비트 가상 MS-DOS 환경을 관리한다.
lsass.exe		Local Security Authentication Server 사용자 로그온의 타당성을 검증하며 Winlogon 서비스를 위해 사용자 인증을 담당할 프로세스를 생성한다. Msgina.dll 과 같은 인증 패키지를 사용해서 인증을 수행한다. 인증이 성공적이면 사용 접근 토큰을 발생하며, 사용자 접근 토큰은 초기 쉘을 실행하는데 사용된다. 사용자가 시작하는 다른 프로세스는 이 토큰을 상속한다.
services.exe		서비스 관리자 이 프로세스는 시스템 서비스의 시작, 중지 및 시스템 서비스와의 상호 작용을 담당하는 서비스 제어 관리자이다.
smss.exe		Session Manager SubSystem 사용자 세션의 시작을 담당하는 세션 관리자 하위 시스템이다. 이 프로세스는 시스템 쓰레드로부터 시작되며 Winlogon 및 Win32(Csrss.exe) 프로세스의 시작과 시스템 변수 설정을 비롯한 다양한 작업을 수행한다. Smss.exe는 이러한 프로세스를 시작한 후 Winlogon이나 Csrss가 종료되기를 기다린다. Winlogon이나 Csrss가 정상적으로 종료되면 시스템을 종료하며 예기치 않은 일이 발생하면 Smss.exe는 시스템이 응답을 중지한다(Hang).
System		대부분의 시스템 커널 모드 스레드가 System 프로세스로 실행된다.
System Idle Process		각 프로세서에서 실행되는 단일 스레드로 시스템이 다른 스레드를 처리하지 않을 때의 프로세서 시간을 나타내는 일만 한다. 일반적으로 작업 관리자에서 이 프로세스가 프로세서 시간의 대부분을 차지한다.
svchost.exe		DLL로 실행되는 다른 프로세스의 호스트 역할을 하는 프로세스로서 이 프로세스 항목은 하나 이상 표시될 수 있으며, 보통 4~6개가 실행된다. Svchost.exe에대한 보다 자세한 사항은 Svchost.exe는 무엇일까?를 참조하며, Svchost.exe를 통해 기동되는 서비스는 Svchost.exe를 기동하는 서비스 찾기를 참조하기 바란다.
winlogon.exe		Windows Logon 사용자 로그온과 로그오프를 관리하며, Windows XP의 액티베이션 코드를 검사한다.
explorer.exe		Windows 쉘 사용자에게 GUI 환경을 제공하는 프로세스로 사용자의 입력을 커널에 전달하는 역할을 한다. 일반적으로 경우에는 꼭 필요한 프로세스이지만 악성 스크립트에 전염된 경우에는 치료를 위해 중지해야하는 프로세스이다.

위에서 설명한 프로세스는 시스템 기동에 필요한 최소한의 프로세스로서 각 프로세스의 종속 관계는 다음 그림과 같다.