이 글의 목적은 Windows 10·11에서 발생하는 SYSTEM_SERVICE_EXCEPTION(버그 체크 코드 0x0000003B) 블루스크린의 핵심 원인을 체계적으로 진단하고, 드라이버 점검·교체·제거를 포함한 실무 중심 해결 절차를 단계별로 제공하는 것이다.
1. 증상 개요와 오류 코드 이해
SYSTEM_SERVICE_EXCEPTION은 커널 모드 서비스 호출 중 비정상 동작이 발생했음을 의미하며, 잘못된 드라이버 접근, 메모리 손상, 서명 불일치, 서드파티 필터 드라이버 충돌, 가상화 보안 기능과의 비호환 등으로 재현되는 경우가 많다.
| 구분 | 설명 | 현장에서의 시사점 |
|---|---|---|
| 버그 체크 코드 | 0x0000003B | 드라이버가 잘못된 메모리 영역 접근 시 빈발하다. |
| 일반 원인 | 드라이버 API 오용, 메모리 오염, 잘못된 IRQL, 스택 버퍼 오버런 | 최근 설치·업데이트된 드라이버를 최우선 점검한다. |
| 재현 조건 | 부하 시, 절전/복귀, 게임·그래픽 편집, 가상화 툴 동작 | 워크로드별 재현 테스트를 설정한다. |
| 연관 기능 | 장치 보안(Core Isolation), HVCI, ASR, Exploit Protection | 보안 기능과 드라이버의 호환성을 검증한다. |
2. 현장 대응 10분 요약 체크리스트
- 예상 원인 후보 수집: 최근 설치·업데이트, 주변기기, 소프트웨어 변동을 기록한다.
- 덤프 설정 확인: 자동 메모리 덤프 또는 커널 덤프가 저장되도록 구성한다.
- 이벤트 로그·신뢰성 모니터에서 직전 오류 체인을 추출한다.
- 장치 관리자에서 경고 드라이버 및 비활성/알 수 없는 장치를 식별한다.
- 드라이버 서명·버전·타임스탬프를 정리한다.
- WinDbg로 미니덤프를 분석하여 유력 모듈을 특정한다.
- Driver Verifier로 의심 드라이버 스트레스 테스트를 수행한다.
- SFC/DISM로 시스템 파일 무결성을 복원한다.
- 메모리·저장장치·오버클럭·BIOS 설정을 검증한다.
- 원인 드라이버 교체·롤백·제거 후 재현 테스트로 확인한다.
주의 : Driver Verifier는 불안정 드라이버를 강제로 트리거하여 부팅 불가를 유발할 수 있다. 테스트 전 복구 환경 진입 방법과 안전 모드 진입 키를 숙지해야 한다.
3. 데이터 수집과 덤프 구성
3.1 시스템 정보·이벤트·신뢰성 지표
- 시스템 정보:
msinfo32를 내보내기 하여 BIOS 버전, 보안 기능, 장치·드라이버 목록을 확보한다. - 이벤트 뷰어:
Windows 로그 > 시스템/응용 프로그램에서 BSOD 직전의 오류·경고를 필터링한다. - 신뢰성 모니터:
perfmon /rel로 실패 이력을 타임라인으로 파악한다.
3.2 덤프 유형과 저장 경로
분석 효율성을 위해 자동 메모리 덤프 또는 커널 덤프를 권장한다.
설정 경로: 시스템 속성 > 고급 > 시작 및 복구 > 디버깅 정보 쓰기 권장: 자동 메모리 덤프 또는 커널 메모리 덤프 덤프 경로: %SystemRoot%\MEMORY.DMP 미니덤프: %SystemRoot%\Minidump\<날짜>.dmp 주의 : 덤프 생성을 위해서는 페이지 파일이 시스템 드라이브에 활성화되어야 한다. 수동 크기 제한은 덤프 실패를 유발할 수 있다.
4. WinDbg로 미니덤프 정밀 분석
4.1 심볼 경로와 기본 분석
.symfix .reload !analyze -v !analyze -v 결과에서 BugCheck 값(0x3B), Probably caused by, PROCESS_NAME, STACK_TEXT를 우선 확인한다.
4.2 유력 드라이버 식별
lmtn lmvm <의심모듈> !thread !irp <주소> !verifier 3 lmvm은 타임스탬프, 서명 상태, 공급업체를 보여주며, !irp로 I/O 경로를 추적하여 필터 드라이버 개입 여부를 파악한다.
4.3 흔한 가해 모듈 패턴
| 모듈 유형 | 예시 | 전형적 상황 | 대응 |
|---|---|---|---|
| 그래픽 | nvlddmkm.sys, amdkmdag.sys, igdkmdn64.sys | 게임·GPU 가속·절전 복귀 | DDU로 정리 후 WHQL 권장 버전 재설치 |
| 스토리지/필터 | iaStorAC.sys, storport.sys, sptd.sys, fltmgr.sys | 대용량 복사·백업 소프트웨어 | OEM 스토리지 드라이버 교체 또는 표준 AHCI 전환 |
| 네트워크/VPN | ndis.sys, tap0901.sys, NetAdapterCx | VPN 연결·대역폭 부하 | 최신 NDIS 호환 드라이버로 교체 |
| 보안/안티치트 | klif.sys, bd*drv.sys, EasyAntiCheat.sys | 커널 후킹·게임 구동 | 예외 설정 또는 임시 제거 후 재현 테스트 |
| USB/입출력 | hidusb.sys, usbxhci.sys | 새 기기 연결 직후 | 제조사 드라이버 설치 또는 펌웨어 업데이트 |
5. Driver Verifier로 불량 드라이버 추적
5.1 안전한 실행 지침
주의 : 프로덕션 환경에서는 1~2개 의심 드라이버 대상으로 제한 실행한다. 모든 드라이버 대상 활성화는 과도하다.
5.2 구성 절차
verifier.exe - Create custom settings (for code developers) - 다음 항목만 체크: Special Pool, Force IRQL Checking, Pool Tracking, I/O Verification, Deadlock Detection, DMA Verification, Security Checks, Miscellaneous Checks - Select driver names from a list: 비서명·서드파티 의심 드라이버 선택 - 재부팅 후 재현 테스트 수행 5.3 실패 시 복구
안전 모드 진입 후: verifier /reset bcdedit /deletevalue {current} recoveryenabled 부팅이 불가하면 복구 환경에서 이전 복원 지점 사용을 고려한다.
6. 시스템 파일·구성 복구 루틴
6.1 SFC/DISM
DISM /Online /Cleanup-Image /RestoreHealth sfc /scannow DISM 완료 후 SFC를 실행하여 손상된 시스템 파일을 복구한다.
6.2 부트·전원·전원관리
powercfg -h off powercfg -restoredefaultschemes bcdedit /enum {current} 절전 복귀 재현 시 고성능 전원 정책으로 테스트하고 최신 BIOS에서 ASPM·PCIe 전력관리 호환성을 확인한다.
7. 메모리·스토리지·오버클럭 검증
7.1 RAM 스트레스 테스트
메모리 프로파일(XMP/EXPO) 적용 시스템은 JEDEC 기본 클럭으로 강등한 뒤 재현 여부를 본다. 오류가 지속되면 슬롯 교차 및 모듈 단독 테스트를 수행한다.
7.2 스토리지 무결성
chkdsk C: /scan wmic diskdrive get model, firmwareversion, status NVMe는 제조사 유틸리티로 펌웨어 업데이트를 수행한다. 컨트롤러·드라이버 일치 여부를 점검한다.
7.3 오버클럭 해제
CPU/GPU·메모리 오버클럭과 언더볼팅을 모두 해제하여 기준 상태에서 재현을 확인한다.
8. 보안·가상화 기능 호환성
코어 격리, 메모리 무결성(HVCI), VBS, Hyper-V, Device Guard는 커널 드라이버와 상호작용한다. 구형 또는 비서명 드라이버는 차단되거나 예외 동작을 야기할 수 있다.
장치 보안 > 코어 격리: 메모리 무결성 임시 OFF 후 재현 여부 확인 Windows 기능: Hyper-V/가상화 기반 보안 구성 확인 주의 : 상시 보호가 필요한 환경에서는 호환 드라이버로 교체하여 보안 기능을 ON 상태로 유지하는 것이 원칙이다.
9. 문제 드라이버 교체·롤백·제거 전략
9.1 장치 관리자 절차
- 문제 장치 우클릭 후 속성에서 드라이버 탭의 버전·제공자를 기록한다.
- 드라이버 롤백을 우선 시도한다.
- 제거 시 “이 장치의 드라이버 소프트웨어를 삭제” 체크 후 재부팅한다.
- 제조사 WHQL 드라이버 또는 Windows Update 권장 버전을 설치한다.
9.2 그래픽 드라이버 정리
안전 모드 > DDU(Display Driver Uninstaller)로 기존 드라이버 제거 재부팅 후 WHQL 또는 스튜디오/엔터프라이즈 등 안정 채널 설치 게임 최적화 기능·오버레이는 비활성화하여 검증9.3 스토리지·칩셋
플랫폼 칩셋 드라이버를 최신으로 갱신한 뒤 스토리지 컨트롤러 드라이버를 일치시킨다. RAID를 사용하지 않으면 표준 AHCI 컨트롤러 전환을 고려한다.
10. 실전 WinDbg 분석 예시 템플릿
!analyze -v STACK_COMMAND: .cxr; .ecxr ; kb EXCEPTION_CODE: (NTSTATUS) 0xC0000005 - Access violation PROCESS_NAME: <프로세스명> FAILURE_BUCKET_ID: 0x3B_<함수>_<드라이버> IMAGE_NAME: <드라이버.sys>
lmvm <드라이버>
Loaded symbol image file: <드라이버.sys>
Timestamp:
CompanyName: <제조사>
FileVersion: <버전>
!irp <주소>
<드라이버 체인>
결론:
유력 원인: <드라이버.sys> (타임스탬프 구형)
조치: 제조사 WHQL 버전으로 교체, Driver Verifier 재검증 11. 운영 정책·변경 관리
- 드라이버 변경 전 시스템 복원 지점 또는 볼륨 스냅샷을 생성한다.
- 파일럿 그룹에서 1주 안정성 평가 후 전사 배포한다.
- 문제 재발 시 롤백 SLA와 로그 첨부 규칙을 문서화한다.
12. 로그 패키지 수집 표준
| 항목 | 경로/명령 | 목적 |
|---|---|---|
| Minidump | %SystemRoot%\Minidump\*.dmp | 크래시 콜스택·모듈 확인 |
| MEMORY.DMP | %SystemRoot%\MEMORY.DMP | 심층 분석 |
| MSINFO32 | msinfo32 /nfo C:\Temp\sys.nfo | 구성·장치 목록 |
| 이벤트 로그 | eventvwr.msc / wevtutil epl | 전후 맥락 |
| 드라이버 목록 | driverquery /v /fo csv | 버전·타임스탬프 |
13. 재현 테스트 설계
- GPU 가속 워크로드, 고해상도 스트리밍, 대용량 I/O를 시나리오로 구성한다.
- 절전/최대절전 진입·복귀를 10회 반복한다.
- VPN·보안 솔루션 포함/제외 두 조건을 교차 검증한다.
14. 구성 변경 우선순위
- 문제 모듈 롤백 또는 제거
- 칩셋·GPU·스토리지 드라이버 재설치
- Windows 누적 업데이트 적용
- 보안 기능 호환성 검증 후 상시 활성
- 오버클럭 해제·BIOS 업데이트
15. 커널 보호·서명 정책
커널 드라이버는 서명이 필수이며, Test Signing 또는 서명 무시는 안정성 저하로 직결된다. Secure Boot 환경에서 비서명 드라이버는 로드 차단 또는 예외 동작을 야기한다.
16. 흔한 원인별 처방 매트릭스
| 현상 | 의심 영역 | 검증 | 조치 |
|---|---|---|---|
| 게임·렌더링 중 BSOD | GPU 드라이버 | WinDbg 스택, GPU 스트레스 | DDU 정리 후 WHQL 설치 |
| 대용량 파일 복사 중 | 스토리지 필터 | IRP 추적 | 필터 제거·컨트롤러 교체 |
| VPN 연결 시 | NDIS 드라이버·TAP | NDIS 버전 호환 | 최신 드라이버 교체 |
| 절전 복귀 직후 | 전력관리 | 전원 정책·BIOS | 전력 기능 조정·BIOS 갱신 |
| 부팅 직후 반복 | 보안 드라이버 | 코어 격리 호환 | 호환 버전 교체 |
17. 배포 환경에서의 예방 설계
- 드라이버 화이트리스트와 승인 절차를 운영한다.
- SHA-2 서명·WHQL·제조사 장기지원 채널을 우선 채택한다.
- 변경 이력과 롤백 정책을 자동화한다.
18. 명령 모음집
:: 덤프·로그 wmic recoveros get DebugInfoType,ExpandedMiniDumpDir,OverwriteExistingDebugFile wevtutil epl System C:\Temp\System.evtx wevtutil epl Application C:\Temp\Application.evtx
:: 드라이버 목록
driverquery /v /fo table > C:\Temp\drivers.txt
:: Verifier 초기화
verifier /reset
19. 결론
SYSTEM_SERVICE_EXCEPTION은 대부분 드라이버 결함 또는 호환성 문제로 귀결된다. 체계적 데이터 수집, WinDbg 근거 분석, 제한적 Driver Verifier 적용, 검증된 드라이버로의 교체라는 순서를 견지하면 재현 제거 가능성이 매우 높다. 프로덕션 환경에서는 변경 관리와 롤백 체계를 병행하여 가동 중단 시간을 최소화해야 한다.
FAQ
덤프가 생성되지 않는다. 무엇을 확인해야 하나?
시스템 드라이브 페이지 파일 활성화 여부, 디스크 여유 공간, 덤프 형식 설정을 확인한다. 크래시 직후 강제 전원 차단은 덤프 쓰기 실패를 유발한다.
Driver Verifier 실행 후 부팅이 안 된다.
안전 모드로 진입하여 verifier /reset를 수행한다. 불가하면 복구 환경으로 전환 후 이전 복원 지점을 사용한다.
어떤 드라이버를 먼저 의심해야 하나?
최근 설치·업데이트된 그래픽, 스토리지, 네트워크, 보안 제품 순으로 본다. WinDbg에서 Probably caused by가 가리키는 모듈을 최우선 검증한다.
보안 기능을 끈 상태로만 안정적이다.
보안 기능 비활성은 일시 검증 목적이어야 한다. 호환 드라이버로 교체하여 재검증 후 보안 기능을 원복한다.
하드웨어 불량과 드라이버 문제를 구분하는 방법은 무엇인가?
클린 부팅·안전 모드에서 안정적이면 드라이버 확률이 높다. 메모리·스토리지 스트레스 테스트에서 에러가 재현되면 하드웨어 가능성을 우선한다.