6가지 루트킷 유형: 탐지 및 예방 팁"

루트킷은 사이버 공격자가 시스템에 무단 접근하기 위해 사용하는 악성 도구입니다. 이 지속적이고 은밀한 악성 프로그램은 운영 체제 깊숙이 숨어 애플리케이션, 파일, 데이터에 대한 장기적인 접근 권한을 유지하고 탐지를 회피합니다.

루트킷은 시스템 운영을 조작하고, 공격자에게 특권 접근 권한을 부여하며, 데이터를 훔치고, 감염된 시스템 내에 악성 코드를 숨겨 통제권을 재획득할 수 있어 위험합니다. 이는 운영을 방해하고, 민감한 데이터를 노출시키며, 브랜드 평판을 훼손하고, 규정 미준수 위험 및 벌금을 초래합니다.

본 글에서는 루트킷의 정의, 유형, 예방을 위한 모범 사례를 다룹니다.

루트킷이란 무엇인가?

루트킷의 정의는 사이버 공격자가 일반적으로 접근이 허용되지 않는 컴퓨터, 장치 또는 소프트웨어에 루트 수준의 원격 접근 권한을 부여하는 악성 프로그램 또는 악성 소프트웨어(malware) 집합체라고 설명합니다.

일반적으로 여러 악성 도구로 구성된 루트킷은 시스템에 침투하여 사이버 범죄자에게 루트 접근권 또는 특권 접근권을 부여하도록 설계되었습니다. 장치에 대한 무단 접근 권한을 획득한 후, 루트킷은 탐지되지 않은 상태로 조직의 장치, 운영 체제 등을 제어할 수 있도록 악성 코드를 숨깁니다.

루트킷은 장기간 숨겨질 수 있기 때문에 발견 및 제거가 가장 어려운 악성 소프트웨어 중 하나입니다. 일부 조직은 최종 사용자의 지식과 동의 하에 최종 사용자 지원을 제공하는 등 합법적인 용도로 루트킷을 사용하기도 합니다. 대부분의 루트킷은 랜섬웨어, 바이러스 및 기타 유형의 바이러스와 같은 악성 소프트웨어가 조직의 시스템과 네트워크에 침입하여 추가 공격을 수행할 수 있는 백도어 경로를 생성합니다. 여기에는 키 입력 기록 프로그램 및 DDoS (분산 서비스 거부) 공격을 실행하는 봇 등 여러 악성 도구를 포함합니다. 결과적으로 보안 시스템을 무력화하고, 신용카드 정보, 비밀번호 및 기타 개인 정보를 탈취할 수 있습니다.

"루트킷(rootkit)"이라는 단어는 "루트(Root)"와 "킷(Kit)"이라는 두 단어의 조합입니다. "Root"는 유닉스 계열 시스템의 관리자/특권 계정을 의미하며, "Kit"는 해당 도구를 실행하는 소프트웨어 구성 요소를 가리킵니다. 일단 설치되면 파일을 실행하고, 시스템 구성을 수정하며, 탐지되지 않은 상태로 더 많은 작업을 수행할 수 있는 능력을 얻습니다.

루트킷이 위협이 되는 이유는 무엇인가요?

루트킷은 악의적인 목적으로 사용될 때, 공격자에게 은폐된 상태로 무단 접근 권한을 제공하는 사이버 보안 위협입니다. 이를 통해 공격자는 시스템, 네트워크, 운영 환경 및 민감한 데이터에 접근하여 데이터 탈취나 몸값 요구와 같은 악의적인 활동을 수행합니다. 루트킷의 영향을 살펴보겠습니다:

• 악성코드 배포: 루트킷은 악성코드 시스템에 스파이웨어나 랜섬웨어와 같은 악성코드를 배포합니다. 이들은 초기 침해가 해결된 후에도 공격자가 시스템에 재진입할 수 있는 탐지 불가능한 백도어를 생성합니다. 고급 악성코드는 기존 보안 도구를 비활성화하여 공격자가 시스템 성능을 저하시킬 수 있게 합니다.
• 탐지 및 제거의 어려움: 루트킷은 펌웨어나 커널과 같은 저수준에서 작동할 수 있으며, 시스템에서 탐지 및 제거하기 어렵습니다. 기존 루트킷 탐지 도구는 일반적으로 시스템에 루트킷이 있는지 여부를 표시하지 못하기 때문에 공격자가 시스템과 데이터를 더 쉽게 악용할 수 있습니다.
• 은폐성 및 지속성: 해커는 애플리케이션, 펌웨어 또는 커널 수준과 같이 시스템 깊숙한 곳에 루트킷을 배치합니다. 이러한 루트킷은 방화벽이나 기존 안티바이러스 소프트웨어와 같은 보안 도구를 쉽게 우회할 수 있습니다. 재부팅이나 소프트웨어 업데이트 후에도 지속적이며 시스템에 은밀하게 접근할 수 있게 합니다.
• 재정적 및 평판 손상: 루트킷 공격자는 민감한 비즈니스 및 고객 데이터를 훔치거나 노출시킬 수 있습니다. 데이터 보안 및 개인정보 보호 지침을 준수하지 못하면 규제 기관의 더 엄격한 조사, 막대한 벌금 및 과태료가 부과됩니다. 이는 업계에서 귀사의 재정과 평판을 훼손하고, 고객, 파트너 및 투자자를 잃을 위험이 있습니다.
• 운영 중단: 조직은 우수한 고객 서비스를 제공하고 신뢰를 유지하기 위해 운영의 연속성을 유지하고자 합니다. 루트킷은 파일과 데이터를 조작하고 손상시켜 시스템 충돌과 다운타임을 유발합니다. 이로 인해 공격자는 금융 시스템이나 공급망과 같은 중요 인프라에 접근하여 운영을 방해하고 지연시킬 수 있습니다.

사이버 보안에서 루트킷의 6가지 유형

루트킷은 시스템에 침투하여 루트킷 탐지 도구로부터 숨겨진 상태로 공격자가 모든 파일과 데이터에 접근할 수 있게 합니다. 이들은 서로 다른 수준에서 작동하며, 대상 계층과 기능에 따라 분류됩니다.

사이버 보안에서 다양한 유형의 루트킷은 다음과 같습니다:

1. 커널 레벨 루트킷

커널 레벨 루트킷은 운영 체제의 핵심인 커널에서 작동하는 악성 소프트웨어입니다. 이러한 루트킷은 운영 체제 커널을 수정하여 유해한 활동을 수행하면서 자신의 존재를 숨깁니다. 이러한 활동에는 네트워크 통신 가로채기, 프로세스 숨기기 등이 포함됩니다. 커널 레벨 권한에 접근할 수 있기 때문에, 이 루트킷들은 탐지하기 가장 어려운 악성코드 중 하나입니다.

커널 레벨 루트킷은 "커널 모드"에서 실행되며, 이는 시스템 리소스에 대한 최상위 접근 권한을 보유하여 사이버 범죄자가 시스템 기능을 쉽게 조작할 수 있음을 의미합니다. 이들은 커널 코드를 변경하여 표준 보안 도구로부터 악의적인 행동을 숨깁니다. 탐지를 피하기 위해 운영 체제와 유사한 보안 수준에서 작동합니다.

커널 레벨 루트킷을 탐지하고 제거하는 방법?

조직 시스템의 이상 징후를 탐지하려면 알려진 루트킷과 알려지지 않은 루트킷 모두에 대한 RKhunter, 알려진 루트킷 전용 Chkrootkit 같은 커널 무결성 도구를 사용할 수 있습니다. 성능의 갑작스러운 저하나 예상치 못한 충돌 같은 의심스럽거나 비정상적인 행동을 모니터링하는 방법도 있습니다. 또 다른 방법은 커널 파일 및 메모리 시스템 구조를 변경되지 않은 알려진 기준선과 비교하여 악성코드를 탐지하는 것입니다.

신뢰할 수 있는 출처를 사용하여 운영체제를 재설치해 모든 악성 수정 사항과 커널 레벨 루트킷을 제거해 보십시오. 루트킷 제거 기능을 갖춘 고급 보안 솔루션과 같은 전문 도구도 활용할 수 있습니다.

커널 레벨 루트킷 예시: 랜섬웨어 유포로 알려진 주요 커널 모드 루트킷으로는 Necurs, Demodex, Knark, Diamorphine, Glupteba, Reptile, FudModule, Zero Access, Adore 등이 있습니다.

2. 사용자 모드 루트킷

사용자 모드 루트킷은 사이버 범죄자들이 컴퓨터 네트워크의 애플리케이션 계층에서 작동하도록 설계한 악성 소프트웨어입니다. 이 때문에 애플리케이션 루트킷으로도 알려져 있습니다. 이들은 시스템 라이브러리와 실행 파일을 대체하고 API 동작을 수정함으로써 사용자 수준 애플리케이션 및 프로세스 범위 내에서 작동합니다.

사용자 모드 루트킷은 자신의 존재를 숨기면서 사이버 공격자가 탐지되지 않은 채 침해된 시스템을 계속 제어할 수 있도록 하는 것을 목표로 합니다. 커널 레벨 루트킷보다 침습성은 낮지만, 애플리케이션 동작을 조작할 수 있는 능력 때문에 위협이 됩니다. 먼저 시스템에 침투하여 표준 시스템 파일을 대체하여 악성 파일을 숨깁니다. 주요 목표는 API 호출을 가로채어 애플리케이션 작동 방식을 조작하는 것입니다.

탐지 및 제거 방법?

시스템에서 사용자 모드 루트킷을 탐지하고 제거하기 위해 다양한 기술과 도구를 활용할 수 있습니다.

• 알 수 없는 주체에 의한 메모리 사용량이나 높은 CPU 사용량, 의심스러운 네트워크 연결, 누락된 파일 등 비정상적인 활동을 정기적으로 모니터링하세요.
• 시스템 파일을 원본 버전과 비교하여 시스템 내 악성 변경 사항을 탐지하세요.
• API 모니터링, 루트킷 스캐너, 메모리 분석 등의 기술을 활용하여 사용자 모드 루트킷을 쉽게 탐지하세요.

루트킷을 탐지한 후 제거 과정은 그리 어렵지 않습니다. 엔드포인트 탐지 및 대응(EDR) 도구>나 작업 관리자 같은 전문 도구를 사용해 컴퓨터에서 실행 중인 의심스러운 프로세스를 종료하세요. 변경된 파일은 백업에서 복원하여 원활하게 작업을 진행할 수 있습니다. 고급 안티바이러스 및 사이버 보안 소프트웨어를 사용하여 시스템에 루트킷이 있는지 검사하십시오.

사용자 모드 루트킷 예시: 대표적인 사용자 모드 루트킷으로는 Hacker Defender, Vanquish, Adore-ng, Aphex 등이 있습니다.

3. 부트킷

부트킷 시스템이 로드되기 전에 볼륨 부트 레코드, 통합 확장 펌웨어 인터페이스(UEFI), 마스터 부트 레코드(MBR), 부트 섹션을 공격하는 커널 레벨 루트킷입니다. 이들은 부팅 시퀀스 초기에 시스템에 대한 통제권을 확보함으로써 컴퓨터의 부팅 프로세스를 표적으로 삼습니다. 일반적으로 USB 드라이브, 외장 하드 드라이브 또는 디스크를 통해 침투하는데, 이러한 프로세스가 공격자에게 부트 로더 프로그램의 위치를 알려주기 때문입니다.

사이버 범죄자가 부트 로더 프로그램을 발견하면 정품 부트 로더를 악성 부트 로더로 대체합니다. 부트 로더를 수정하고 악성 코드를 주입하여 공격자가 시스템을 제어할 수 있도록 합니다. 부트킷은 탐지하기 어렵고 시스템에 심각한 손상을 입힐 수 있습니다.

부트킷 탐지 및 제거 방법?

부트킷은 운영체제가 로드되기 전 저수준에서 작동하기 때문에 탐지 및 제거가 어렵습니다. 그러나 고급 도구와 기술을 활용하면 시스템에서 이를 쉽게 식별하고 제거할 수 있습니다. 시스템이 느려지거나 비정상적인 동작을 보이는지 확인하기 위해 지속적으로 모니터링하십시오. 위협을 식별하기 위해 엔드포인트 탐지 도구를 사용하십시오.

부트킷 제거 과정은 시스템에 특정 손상을 초래할 수 있습니다. 따라서 중요한 파일을 외장 드라이브나 클라우드 저장소에 백업하고 악성코드 검사를 수행하십시오. 고급 사이버 보안 도구를 활용하여 부트 로더에서 부트킷을 제거하십시오. 명령 프롬프트를 사용하여 부트 로더를 복구하거나 펌웨어를 업데이트하여 악성 코드를 덮어쓸 수도 있습니다.

부트킷 예시: 대표적인 부트킷으로는 Stoned Bootkit, Rovnix, Olmasco, TDL4, Mebroot, MoonBounce, GrayFish, FinFisher, Petya 등이 있습니다.

4. 메모리 기반 루트킷

메모리 기반 루트킷은 시스템 RAM을 점유하며 휘발성으로 설계되어 은밀하게 작동합니다. 기존 위협 탐지 도구를 사용해도 탐지를 우회할 수 있습니다. 메모리 기반 루트킷의 문제는 파일 시스템에 조사할 흔적을 남기지 않아 탐지 및 대응이 훨씬 어렵다는 점입니다. 컴퓨터를 재부팅하면 사라질 수 있지만, 활성화된 상태에서는 시스템에 심각한 손상을 입힙니다.

메모리 기반 루트킷은 악성 프로그램을 통해 대량의 RAM 자원을 소모하여 성능을 저하시키고 생산성을 떨어뜨립니다. 시스템 기능, 커널 구조 및 메모리 내 API를 수정하여 자신의 존재를 숨깁니다. 프로세스 할로잉, 코드 주입, DLL 주입 방법을 사용하여 시스템 메모리에 진입하고 실행 중인 프로세스를 손상시킵니다.

메모리 기반 루트킷을 탐지하고 제거하는 방법?

메모리 기반 루트킷을 탐지하려면 비정상적인 시스템 속도 저하, 네트워크 트래픽 이상 현상, 예상치 못한 메모리 사용량 급증을 주의 깊게 관찰하십시오. 커널 디버거와 같은 고급 사이버 보안 도구를 사용하여 커널 구조에 대한 무단 변경 사항을 모니터링하고 식별하십시오.

메모리 기반 루트킷은 휘발성이므로 시스템을 재부팅하여 루트킷을 제거할 수 있습니다. 그러나 안전한 재부팅 후 모든 정보 백업을 위해 파일과 데이터를 보호하고 공격의 근본 원인을 조사해야 합니다. 존재를 감지하면 즉시 시스템을 네트워크에서 분리하여 악성코드의 추가 확산을 방지하십시오. 항상 안전한 환경에서 시스템을 복구하고 중단 없이 운영을 계속하십시오.

메모리 기반 루트킷 예시: DarkComet RAT, Duqu, Stuxnet, Fanny Worm, Code Red 등은 조직의 시스템을 악용하는 메모리 기반 루트킷입니다.

5. 펌웨어 루트킷

펌웨어 루트킷은 네트워크 카드, 하드 드라이브, BIOS와 같은 장치의 펌웨어를 표적으로 삼습니다. 이들은 지속성 악성 코드로, 운영 체제를 재부팅하거나 재설치해도 쉽게 생존할 수 있습니다. 이들은 플랫폼이나 장치를 이용해 네트워크 카드, BIOS, 하드 드라이브 또는 라우터에 지속적인 악성코드 이미지를 삽입하고 오랫동안 숨겨진 상태로 남아 있습니다.

펌웨어는 시스템 기능을 관리하고 상위 소프트웨어와 하드웨어 간의 인터페이스를 제공하는 저수준 소프트웨어입니다. 펌웨어 루트킷은 동일한 수준에서 작동하며 동일한 인터페이스를 통해 중요한 정보를 훔칩니다. 이 루트킷은 제3자 공급업체가 BIOS 이미지에 사전 설치한 도난 방지 기술과 같은 합법적인 용도로도 사용됩니다. 그러나 사이버 범죄자들은 이 과정을 악용하여 시스템 데이터를 탈취합니다.펌웨어 루트킷을 탐지하고 제거하는 방법?

펌웨어 루트킷은 지속적이고 은밀하며, 장치의 펌웨어에 상주하여 낮은 수준에서 작동합니다. 시스템을 모니터링하여 예상치 못한 재부팅, 펌웨어 재플래싱 불가, 부팅 과정 중 이상 현상, 시스템 재설치 후 재감염 여부를 관찰할 수 있습니다. 또한 펌웨어 수준 구성 요소에서 발생하는 비정상적인 네트워크 트래픽, 성능 문제 등을 주의 깊게 살펴 펌웨어 루트킷을 탐지하십시오.&

플래싱 후에도 루트킷이 지속될 경우 하드웨어 제조업체에서 제공하는 신뢰할 수 있고 깨끗한 버전의 펌웨어로 재플래싱하고 감염된 하드웨어를 교체하십시오. 고급 보안 도구를 사용하면 시스템 성능에 영향을 주거나 데이터를 손상시키지 않고 펌웨어 루트킷을 탐지 및 제거할 수 있습니다.

펌웨어 루트킷 예시: 대표적인 펌웨어 루트킷으로는 LoJax, MoonBounce, Shamoon, VGA, Cloaker, Thunderstrike 및 해킹 팀의 UEFI 루트킷이 있습니다.

6. 하이퍼바이저(가상화) 루트킷

하이퍼바이저 루트킷은 사이버 범죄자들이 시스템의 가상화 기술을 공격하여 제어권을 획득하기 위해 사용하는 고급 악성코드입니다. 이들은 가상 머신(VM)을 악용하기 위해 소프트웨어 계층을 표적으로 삼는 가상화 툴킷으로도 알려져 있습니다. 이들은 운영 체제 내에서 게스트로 악성 가상 머신을 생성하여 탐지되지 않은 상태로 시스템 운영을 조작하고 상호 작용합니다.

하이퍼바이저 루트킷은 시스템 성능을 저하시키기 위해 운영 체제의 커널을 수정하거나 변경할 필요가 없습니다. 대신 악성 VM으로 설치되거나 기존 VM을 변조하여 운영체제와 하드웨어 사이에 위치합니다. 또한 운영체제를 제어하고 시스템 동작을 변경하여 민감한 정보를 탈취합니다.

하이퍼바이저 루트킷을 탐지하고 제거하는 방법은?

저수준에서 작동하기 때문에 기존 보안 도구와 방법으로 하이퍼바이저 루트킷을 탐지하고 제거하는 것은 복잡합니다. 데이터와 시스템 성능을 저하시키지 않으면서 루트킷을 식별하고 제거하려면 고급 사이버 보안 솔루션을 구현해야 합니다. 또한 외부 및 내부 모니터링을 수행하여 성능 저하 문제, 비정상적인 리소스 사용량, 하이퍼바이저 계층의 문제를 찾아낼 수 있습니다.

신뢰할 수 있는 공급업체로부터 공식 하이퍼바이저 설치 패키지를 받아 재설치하여 모든 보안 구성을 복원하십시오. 최신 업데이트를 적용하여 취약점을 쉽게 패치함으로써 하이퍼바이저 및 펌웨어 소프트웨어를 업데이트할 수 있습니다. 은폐형 루트킷을 제거하는 최선의 방법은 모든 데이터를 백업하고 펌웨어 및 스토리지 드라이버를 포함한 전체 시스템을 완전히 초기화한 후 시스템에 하이퍼바이저와 OS를 재설치하여 가상화 루트킷을 제거하는 것입니다.

하이퍼바이저 루트킷 예시: Blue Pill, SubVirt, Vitriol과 같은 일부 하이퍼바이저 또는 가상화 루트킷은 하이퍼바이저 수준 공격의 잠재력을 시연하는 데 사용됩니다.

루트킷 방지: 모범 사례

루트킷은 공격자가 시스템에 무단 접근할 수 있도록 하면서도 자신의 존재를 숨길 수 있는 가장 은밀하고 지속적인 형태의 악성코드입니다. 운영 연속성과 회사 평판 유지를 위해 아래 모범 사례를 구현하여 루트킷이 시스템의 애플리케이션, 커널 또는 펌웨어 계층에 침투하는 것을 방지하십시오.

• 시스템 업데이트 유지: 사이버 공격자는 악용하기 쉬운 취약점이 포함된 구형 펌웨어나 소프트웨어를 노립니다. 알려진 취약점과 알려지지 않은 취약점을 패치하기 위해 운영 체제, 펌웨어 및 애플리케이션을 정기적으로 업데이트해야 합니다. 지연을 줄이고 애플리케이션 및 펌웨어 계층을 보호하기 위해 자동화를 구현하십시오.

• 인증 메커니즘 개선: 유출되거나 취약한 인증 정보는 공격자가 원격으로 루트킷을 설치할 수 있게 합니다. 따라서 모든 사용자에게 다중 인증을 구현하고, 강력한 비밀번호 정책을 적용하며, 의심스러운 로그인 시도를 모니터링하여 인증 메커니즘을 강화해야 합니다.

• 최소 권한 접근 구현: 과도한 접근 권한은 공격 표면을 확대하고 루트킷이 시스템에 침투할 수 있는 길을 열어줍니다. 사용자 권한을 제한하면 관리자 접근 권한 획득 가능성을 줄이고 공격 표면을 최소화할 수 있습니다. 사용자에게 업무 수행에 필요한 권한만 부여하고 관리자 권한을 제한하세요. 항상 무단 접근을 감시하고, 사건을 조사하며, 루트킷이 침투하는 것을 방지하세요.
• 고급 위협 탐지 솔루션 사용: 루트킷은 기존 보안 도구와 안티바이러스 소프트웨어를 회피하도록 설계되었습니다. 루트킷을 탐지하고 제거하기 위해 고급 사이버 보안 솔루션을 사용하십시오. 이를 통해 24시간 내내 루트킷 활동을 분석할 수 있습니다.
• 부팅 프로세스 보호: 루트킷은 시스템 시작 시 부트 로더를 표적으로 삼아 시스템 부팅 프로그램에 접근합니다. 부팅 보안을 강화하려면 BIOS 대신 UEFI(Unified Extensible Firmware Interface)를 사용할 수 있습니다. 신뢰할 수 있는 소스에서 부팅하도록 시스템을 구성하여 사이버 공격을 줄이십시오.
• 정기적인 백업: 시스템에서 루트킷을 제거하려고 할 때 중요한 정보 삭제 등 시스템 파일과 데이터에 영향을 미칠 수 있습니다. 따라서 루트킷을 제거한 후 복구할 수 있도록 민감한 데이터는 항상 백업하십시오. 사이버 위협으로부터 더 안전하기 때문에 데이터를 오프라인으로 백업하는 것도 고려해 볼 수 있습니다.

결론

루트킷은 은폐성과 깊은 시스템 통합을 통해 시스템 운영과 보안을 해치고 탐지를 피합니다. 루트킷은 커널 공간, 사용자 공간, 펌웨어, 부트 로더, 가상 머신 등 다양한 수준에서 작동하여 장기적인 제어권을 유지하고 악성 코드를 숨깁니다.

루트킷의 유형과 작동 방식을 이해하면 이를 방어하기 위한 견고한 전략을 수립하는 데 도움이 됩니다. 루트킷을 탐지하려면 고급 사이버 보안 도구, 지속적인 모니터링, 최소 권한 접근 방식의 조합이 필요합니다. 또한 시스템 무결성 검사, 직원 인식 제고, 정기적인 업데이트 등 보안 모범 사례를 우선시하여 시스템을 안전하게 유지하십시오.

"

FAQs