사이버 범죄는 피해자에게 막대한 금전적인 피해를 입힙니다. 이는 대부분의 공격이 부당한 방법으로 수익을 창출하기 위해 발생하기 때문입니다. 기술은 급진적으로 발전했고 삶의 질을 높여줬습니다. 하지만 기술의 허점을 악용하려는 사람들은 항상 존재하며 우리는 이를 경계해야만 합니다.
루트킷은 시스템에 무단 엑세스할 수 있도록 보조해 주는 대표적인 악성 프로그램으로 기술의 취약점을 악용하는 해킹 공격의 일종입니다. 이 블로그는 루트킷으로 인해 발생할 수 있는 위협들과 공격을 방지할 수 있는 방법에 관해 기술하고 있습니다.
루트킷(Rootkit) 이란?
루트킷은 원래 시스템 액세스를 얻기 위해 사용되던 모든 툴을 일컫는 단어였습니다. 하지만 최근 몇 년 사이에 시스템 또는 네트워크에 비인가 엑세스 권한을 제공하는 악성 프로그램을 나타내는 단어로 변모하였습니다. 사용자의 디바이스 내에서 루트킷의 존재와 사용은 탐지하기 힘들기 때문에 만약 설치되었다면 상당한 보안 위협이 될 수 있습니다. 뿐만 아니라 디바이스의 성능에도 영향을 미쳐 연산처리 속도를 현저히 떨어뜨릴 수도 있습니다.
해커는 루트킷을 활용해 자신의 존재를 철저히 숨기면서 시스템을 조작하고 컴퓨터에 백신 프로그램 또는 안티 멀웨어(malware) 프로그램을 강제 종료할 수 있습니다. 또한 해커들은 시스템의 루트 권한을 얻어 유저 행동을 감시하거나 개인정보를 탈취할 수 있으며 더 나아가 사이버 공격을 가할 수도 있습니다.
루트킷 공격으로 발생할 수 있는 피해
해커들은 루트킷을 사용해 운영체제의 모든 권한을 원격으로 얻고 은밀한 방법으로 공격을 가합니다. 이 때문에. 디바이스의 운영 시스템에 악영향을 미치며 개인정보 보호에 매우 치명적인 위협이 됩니다. 아래는 기업들이 인지해야 하는 루트킷의 위험성입니다.
1. 멀웨어 감염
루트킷은 멀웨어로써 시스템에 설치될 경우 탐지하기 매우 어려우며 사용자와 백신 프로그램의 감시를 피해 시스템에 추가적인 멀웨어를 다운로드 받을 수 있도록 허용해줍니다. 또한 사용자가 인지 못 하게 백신 프로그램을 원격으로 강제 종료하여 사이버 공격에 취약하게 만들 수 있습니다.
2. 정보 탈취
해커들이 기업 또는 개인의 민감성 정보와 기밀정보를 탈취하는데 루트킷을 이용하는 경우가 많습니다. 루트킷은 멀웨어이기 때문에 찾기 어려우며 유저명, 비밀번호, 신용카드 정보 그리고 금융정보와 같은 민감정보를 훔치는데 용이합니다.
3. 파일 삭제
운영체제에 비인가 엑세스 권한을 주는 루트킷을 활용하여 디렉토리, 인증키 그리고 다양한 파일을 삭제할 수 있게 되며 심지어 운영체제의 시스템 코드까지 삭제할 수 있습니다.
4. 도청
개인정보와 사용자 간의 대화를 도청 및 유출하는 데 활용될 수도 있습니다. 이는 사용자의 메시지와 이메일 등을 훔쳐보고 배포할 수 있다는 것을 의미합니다.
5. 파일 원격 실행
백신 프로그램의 감시를 우회하기 때문에 탐지되지 않은 상태에서 원격으로 파일을 실행시킬 수 있습니다.
6. 원격 액세스
마지막으로 루트킷은 시스템 구성을 변조할 수 있게 합니다. 루트킷은 방화벽(Firewall) 안에서 TCP포트를 열 수 있으며 시스템 시작 스크립트를 변경할 수 있습니다. 이를 통해 원격 접근권한을 얻고 시스템을 악용할 수 있습니다.
루트킷의 종류
사이버 범죄자는 디바이스의 시스템에 다양한 종류의 루트킷을 설치할 수 있으며. 시스템에 가하는 영향에 따라 6가지 카테고리로 나눌 수 있습니다. 아래는 가장 흔하게 사용되는 루트킷의 종류들입니다.
1. 사용자 모드(user-mode)/애플리케이션(application) 루트 키트
애플리케이션(application) 루트킷은 컴퓨터에 있는 파일을 감염된 파일로 변경하며 응용 프로그램 또는 API표준 행동을 수정시킬 수 있습니다. 이에 영향을 받는 프로그램의 종류에는 MS 오피스, 메모장, 그림판 등이 있습니다. 해커는 사용자가 이러한 프로그램을 실행하게 되면 컴퓨터에 무단 액세스할 수 있는 기회를 얻게 됩니다. 애플리케이션 루트킷은 다행히도 안티바이러스 프로그램과 같은 응용계층에서 실행되기 때문에 발견하기 쉬운 편입니다.
2. 커널모드(kernel mode) 루트킷
커널모드 루트킷은 해커들이 시스템의 모든 프로세스를 제어하고 시스템 동작 방식을 변조하기 위해 사용하며 운영제체의 커널모듈에 설치됩니다. 커널모드 루트킷은 발견하기 쉽지 않으며 시스템 퍼포먼스에 악영향을 미치며 해커들은 이를 이용하여 개인정보를 탈취하고 도용할 수 있습니다.
3. 하이브리드(hybrid) 루트킷
하이브리드 루트킷의 유저모드의 안정성과 커널모드의 탐지하기 어려운 특성을 조합한 것입니다. 해당 루트킷은 해커들이 공격하는데 가장 흔하게 사용되는 루트킷입니다.
4. 부트킷(bootkit)
부트킷은 커널모드의 변형이라고 볼 수 있으며 컴퓨터의 마스터 부트 레코드(MBR) 계층에서 사용됩니다. 사용자가 컴퓨터를 실행할 때마다 PC는 운영체제의 연산 시스템을 확인하기 위해 MBR에 접근합니다. 감염된 컴퓨터는 사용자가 전원을 켜 MBR에 접근할 때 부트킷이 실행되며 컴퓨터의 운영체제가 완전히 작동하기 전에 실행되어 사용이 가능해집니다.
5. 펌웨어(firmware) 루트킷
펌웨어 루트킷은 하드웨어를 디바이스에서 사용하기 위해 제공되는 하드웨어 제어 소프트웨어인 펌웨어에 숨어있는 루트킷입니다. 사용자가 디바이스를 종료할 때 펌웨어에 숨어있다가 다시 켤 때 실행되는 것이 특징입니다. 펌웨어 루트킷을 제거하는 것은 매우 어렵습니다. 이는 탐지기를 통해 발견하고 삭제한다고 하더라도 디바이스를 재실행하게 된다면 다시 실행되기 때문입니다.
6. 가상(virtual) 루트킷
가상 루트킷은 가상머신을 사용해 운영체제를 제어하는 방식으로 작동하며 가상 머신 위에 실행되는 OS에서 실행됩니다. 가상머신은 하나의 운영체제에 다수의 운영체제를 실행시키기 위해 사용됩니다. 가상머신은 사용자의 운영체제에서 작동하기 때문에 별도의 운영체제에 설치가 되더라도 결과적으로 시스템 전체에 대한 제어권을 얻을 수 있게 됩니다. 가상 루트킷은 다른 루트킷보다 상위레벨에서 작동하며 컴퓨터의 자체 OS와는 별도로 실행되기 때문에 탐지하기 매우 어렵습니다.
루트킷 공격을 막는 법
루트킷 공격은 보안 모범사례를 따른다면 충분히 막을 수 있습니다. 보통 루트킷은 사용자가 인지 못하고 악성 소프트웨어를 다운받을 때 감염됩니다. 아래는 공격을 막을 수 있는 방법을 설명하고 있습니다.
1. 루트킷 스캐너(rootkit scanner)와 제거 프로그램 사용
루트킷 스캐너는 루트킷 공격에 매우 효과적입니다. 스캐너는 시스템의 모든 구성요소를 분석하여 루트킷을 발견합니다. 이는 애플리케이션 루트킷 공격 방지에는 효과적이지만 커널, 부트킷, 펌웨어 루트킷은 발견하거나 제거하지 못합니다. 이 때문에 기업에게 시스템의 완전한 보호를 위해 여러 개의 스캐너를 함께 사용하는 것을 권고합니다. 부트킷이나 펌웨어 루트킷과 같은 복잡한 루트킷의 방어를 위해서는 데이터를 백업하고 전 시스템을 재설치해야 합니다.
2. 피싱(phishing)공격에 속지 말 것
피싱 공격은 보통 이메일을 통해 사용자가 감염된 프로그램을 다운받도록 속입니다. 진짜와 가짜 이메일을 구분하기 어려운 경우가 있어 사용자는 감염된 파일을 다운받을 위험이 있습니다. 기업은 직원들에게 출처를 알 수 없는 이메일 또는 메시지의 위험성에 대해 경고해야 하며 신뢰할 수 있는 연락처로부터 받은 이메일도 의심할 수 있도록 교육해야 합니다.
3. 지속적인 소프트웨어 업데이트
모든 소프트웨어는 해커들이 악용할 수 있는 보안 취약점이 없도록 주기적으로 업데이트해야 합니다. 레거시 소프트웨어는 특히나 보안이 훼손되어 있기 때문에 쉽게 악용될 수 있습니다. 기업과 사용자는 취약점을 고치기 위해 주기적으로 업데이트를 진행해야 하며 운영체제의 취약점을 패치하여 해커들이 악성공격을 성공적으로 실행하지 못하도록 막아야 합니다.
4. 고급 백신 프로그램 사용
악성 프로그램과 루트킷 공격이 더욱 발전함에 따라 증가하는 보안 위협을 막기 위해 보안도 발전해야 합니다. 기업들은 머신러닝과 행동 기반 분석을 활용하는 백신 프로그램에 투자하여 시스템 내의 비정상적인 행동을 색출해 내야 합니다. 고급 백신 프로그램은 루트킷을 조기에 발견하고 공격이 어디에서 발생했는지 특정 지어 시스템 위변조하는 것을 사전에 방지할 수 있게 도와줍니다.
5. 네트워크 트래픽 모니터링
루트킷 공격을 방지하는 또 하나의 방법은 네트워크 트래픽 모니터링하는 것입니다. 네트워크 패킷을 분석하는 것은 기업의 보안에 영향을 주는 악성 트래픽을 발견하는 데 도움이 됩니다. 또한 손상된 네트워크 세그먼트를 격리해 공격이 퍼지고 추가적인 피해를 입는 것을 방지할 수 있습니다.
마치며
루트킷은 사용자로 하여금 악성프로그램을 설치할 수 있도록 속입니다. 개발자들은 멀웨어가 탐지되지 못하도록 특히 신경을 많이 쓰기 때문에 기업의 보안에 치명적일 수 있습니다. Backdoor.Rustock.B는 대표적인 루트킷의 예시입니다. 처음 발견되었을 때 이미 스팸의 50%에서 75%를 유발하고 있었습니다. 이러한 악성 프로그램을 절대 찾지 못하는 것은 아닙니다. 네트워크 내에 활성화된 루트킷을 탐지하는 데 도움을 주는 몇 가지 징후들이 있습니다. 사용자의 조작 없이 백신 프로그램이 종료되거나 윈도우 세팅이 변경되고 기기 또는 앱의 성능이 현저히 저하될 때 디바이스가 공격 대상이 되었을 가능성이 높습니다.
기업들은 루트킷 공격을 방지하거나 삭제하기 위해 다양한 조치를 취할 수 있으나 OS커널, 펌웨어 그리고 스토리지 부트 섹터에서 실행되는 것은 제거하기 어렵습니다. 단일 툴로서는 모든 공격을 막을 수는 없습니다. 시스템을 루트킷 공격으로부터 보호하기 위해서 더욱 복합적인 접근방법이 필요합니다.
루트킷이 기업과 개인의 보안에 상당한 위협이 되지만 항상 악영향만 미치지는 않습니다. 때때로 루트킷은 악성공격을 방어하기 위해 의도적으로 설치되는 경우도 있습니다. 기기를 보호하기 위해 루트킷을 사용한 안티 소프트웨어 프로그램도 존재하며 온라인 게임에서 치팅을 방지하기 위해 사용되기도 합니다.
루트킷 FAQ
1. 루트킷이 보안에 치명적인 위협이 되는 이유
해커는 루트킷이 탐지되지 않은 상태에서 컴퓨터에 접근권한을 얻을 수 있습니다. 그들은 추가적인 멀웨어를 설치할 수 있으며 파일을 제거하거나 시스템의 전체 통제권도 얻을 수 있지만 탐지되지 않기 때문에 치명적인 위협이 됩니다.
2. 루트킷이 존재한다는 징조는 무엇인가요?
루트킷을 탐지할 수 없지만, 앱 또는 시스템이 운영되는데 눈에 띄는 변화를 찾을 수는 있습니다. 디바이스내에 존재 가능성을 나타내는 징후들입니다.
- 웹사이트가 다른 사이트로 리다이렉션된다.
- 모르는 사이에 알 수 없는 소프트웨어가 설치된다.
- 시스템 구성 및 설정의 변화가 있다.
- 평소보다 많은 대역폭 사용된다.
- 백신 소프트웨어가 종료된다.
3. 보안 솔루션을 통해 루트킷을 발견할 수 있나요?
네. 앱실링은 루트킷을 발견할 수 있도록 설계되었으며 모든 위협으로부터 보호할 수 있습니다. 우리는 보안 위협에 더욱 다양한 이해를 할 수 있도록 위협 벡터에 대한 위험도 분석을 제공합니다. 추가적인 보안 문의사항은 저희 AppSealing에 연락주시면 도움을 드리겠습니다..
4. 루트킷은 바이러스의 일종인가요?
루트킷은 바이러스의 일종이 아니며 멀웨어의 한 종류입니다. 바이러스는 쉽게 발견할 수 있는 반면에 루트킷은 찾기 어렵습니다.
5. 루트킷은 시스템을 조작하나요?
다양한 루트킷이 존재하며 각 루트킷은 시스템에 다른 영향을 미칩니다, 몇 루트킷은 시스템 커널에 위치하는 파일을 조작하여 전체 시스템의 통제권을 얻을 수 있습니다. 또한 시스템에 대한 공격을 암시하는 정보를 제거하기 위해 이벤트를 기록하는 컴퓨터의 기능을 변조할 수 있습니다. 루트킷의 존재는 이러한 변조를 통해 철저하게 은폐될 수 있습니다.
앱실링(AppSealing)은 여러 산업의 고객들에게 보안 솔루션을 제공한 경험과 전문성을 풍부히 갖추었습니다. 게임산업에서 핀테크에 이르는 다양한 산업을 위한 앱실링의 솔루션은 안드로이드, iOS, 하이브리드 모바일 앱의 성능을 저해하지 않으면서 신뢰성 높고 유연하게 보호합니다. 또한 관련 표준과 규제를 준수하면서 데이터 유출을 방지하고 위협 분석을 바탕으로 실시간으로 데이터에 기반한 결정을 내릴 수 있습니다. 지금 앱실링을 통해 바로 최신 보안 솔루션을 간단하게 구현하는 방법에 대해 알아보세요!
채용중
