본문 바로가기
IT 정보/용어

조용한 침입, 루트킷(Rootkit)의 의미와 대응 전략

by 희품 2025. 7. 17.
반응형

조용한 침입, 루트킷(Rootkit)의 의미와 대응 전략 썸네일 이미지

국내 IT 기업 A사는 이상 없는 보안 로그에도 불구하고 기밀 파일이 외부로 유출된 사실을 뒤늦게 인지했다.
초기 분석에서는 내부자가 아닌 악성코드 감염이 의심됐고, 조사 결과 커널레벨에서 동작하며 탐지를 피해온 루트킷(rootkit)이 발견됐다.

이 사례는 보안 솔루션이 무용지물이 되었고, 수사까지 이어진 이 사건은 루트킷이 얼마나 은밀하게 시스템을 장악하는지 보여준다.

루트킷 개념과 구조, 최신 공격 사례부터 탐지·방어·피해 대응까지 살펴보자.

 

루트킷(rootkit)이란?

Centos7 서버의 루트 폴더

root는 뿌리라는 뜻으로, IT 쪽에서는 수많은 관리자 계정의 기본 값이 root로 설정되어 있다는 점, 특히 리눅스와 관련된 시스템에서는 운영체제 최고 권한 계정은 root로 고정되어 있다. Windows에서도 비슷하게 Administrator가 있지만, 리눅스 시스템의 root 계정은 시스템 파일도 여과 없이 삭제할 수 있는 그야말로 더 상위 권한이 없는 마스터 계정.

 

루트킷(rootkit)은 'root(최고 권한)'와 'kit(도구 모음)'이 합쳐진 개념이다.

시스템의 커널 모드·부트 로더·펌웨어 등 최상위 권한에서 동작하며, 보안 솔루션을 무력화하고 악성 행위를 숨긴다.

  • 잠입 방법: 취약점, 피싱, 드라이버 우회 등을 통해 권한 상승
  • 주요 기능: 파일 및 프로세스 은폐, 네트워크 트래픽 조작, 백도어 설치

 

루트킷의 유형

하드웨어 및 소프트웨어의 오류 개념. 운영 체제의 뒷문프로그램의 악성 코드. 3D 렌더링

루트킷은 위치와 기능에 따라 유형이 여러 가지로 나뉜다. 루트킷이 설치되는 공간이, 사용자 공간인지, 커널 모드 공간인지 등 감염 위치에 따라서 유형이 분류된다.

 

  • 커널 모드 루트킷: 커널 오브젝트 조작, SSDT 후킹 등을 통해 시스템 기능 통제
  • 사용자 모드 루트킷: DLL 인젝션, 파일 수정 등으로 일반 프로세스 조작
  • 부트킷: MBR, VBR, 또는 UEFI에 침투해 부팅 과정부터 제어
  • 펌웨어/하이퍼바이저 루트킷: BIOS, UEFI 또는 가상화 계층에 침투해 탐지 회피
  • 하이브리드 루트킷: 커널, 부트, 사용자 공간을 복합적으로 장악

컴퓨터를 켜면, 부팅 과정이 시작되고 Windows 같은 OS의 커널이 로딩되면서, 최종적으로 사용자가 사용하는 사용자 모드로 진입하게 된다. 커널 모드 루트킷도 마찬가지이지만, 부트킷에 감염되어 있다면, 아무리 Windows에서 날고 기는 백신을 설치해 봤자 무용지물이 될 수도 있다.

 

 

루트킷 공격 사례

커널 모드나 부팅 단계에 루트킷은 보안 취약점이 존재하는 드라이버를 통해서 감염될 수 있다.

유명한 루트킷 공격 사례 몇 가지를 살펴보자.

Avast 로고가 표시된 스마트폰.

  • Avast의 오래된 드라이버를 악용해 커널 권한 탈취 및 보안 소프트웨어 종료
  • 라자루스 그룹의 BYOVD 공격: 합법 서명된 드라이버를 로드해 커널 메모리 제어
  • 리눅스용 Reptile 루트킷: ICMP 패킷을 이용한 원격 제어 및 프로세스 은폐

 

루트킷의 탐지와 제거 방법

루트킷은 탐지가 어렵다. 접근 권한이 없는 Windows 커널 내부에 숨어있는 프로그램을, 권한도 없이 어떻게 찾을 것이고, Windows 내부에서 Windows 밖에는 부트킷은 또 어떻게 찾을 수 있을까?

해킹, 암호화, 악성코드, 리버스 엔지니어링, 데이터 분석 배경. 어셈블리 코드 프로그래밍 언어. 기계어 프로그램 16진수 코드. 컴퓨터 메모리. 벡터 일러스트레이션.

  • 루트킷 전용 스캐너 또는 행동 기반 보안 솔루션 사용
  • 메모리 덤프 분석을 통해 비정상 커널 동작 확인
  • 라이브 OS를 이용한 외부 검사
  • BIOS/UEFI 보안 설정 강화 및 시큐어 부트 활성화
  • EDR, 드라이버 무결성 검사 도입

다행히도 여러 사례를 통해 보안 솔루션도 대비되어 있다. 루트킷 전용 스캐너 같은 솔루션을 이용하는 방법도 있고, 직접 메모리 덤프를 분석하는 것도 기술적으로 가능하며, 외부 OS를 실행시켜 검사하려는 OS를 검사하는 방법, 시큐어 부트 기능을 활성화하는 방법 등을 활용한다.

 

 

루트킷 예방과 대응

루트킷 위협을 줄이기 위해, 필수적인 관리는 역시 운영체제나 펌웨어, 드라이버의 정기적인 업데이트이다.

소프트웨어를 기술에 맞춰 업데이트하는 과정. 최신 장비를 위한 최신 기능을 업데이트. 소프트웨어를 개선하기 위해 새로운 버전을 개발한 개발자. 운영 체제 업그레이드 시스템.

특히, 보안 취약점이 공개된 드라이버나 운영체제 업데이트가 있다면, 빠르게 반영하는 것이 좋다.

  1. 운영체제 및 펌웨어 정기적 업데이트
  2. 관리자 권한 최소화, 사용자 권한 분리
  3. 시큐어 부트 및 UEFI 설정 점검
  4. 취약한 드라이버 제거 또는 차단 정책 설정
  5. 보안 이벤트 실시간 모니터링과 이상징후 대응 절차 마련

루트킷은 시스템의 가장 깊은 영역에서 은밀하게 동작한다. 탐지를 어렵게 만들고, 피해 규모가 클 수밖에 없다. 따라서 커널 보안에 대한 이해와 함께, 사전 예방 및 탐지 역량이 반드시 필요하다.

이제 루트킷의 정체와 대응 전략을 알게 된 만큼, 시스템 보안의 맹점을 선제적으로 대응할 수 있을 것이다.

궁금하신 내용이 있으면 댓글 남겨주세요. 꼬리말 이미지.

#루트킷 #rootkit #커널루트킷 #부트킷 #BYOVD #APT공격 #엔드포인트보안 #UEFI #시스템보호 #메모리포렌식

반응형
저작자표시 비영리 변경금지 (새창열림)

'IT 정보 > 용어' 카테고리의 다른 글

네트워크 보안의 미래, SDP(소프트웨어 정의 경계)란 무엇인가?  (1) 2025.07.19
운전의 미래를 바꾸는 기술 - ADAS란?  (2) 2025.07.18
조용한 위협, 큐싱(Qshing)의 이해와 대응 전략  (0) 2025.07.16
다크 웹(Dark Web)이란 무엇인가? - 구조, 위험성, 활용법  (0) 2025.07.15
LDAP란? 디렉터리 서비스의 핵심, 사용자 인증과 정보 관리를 위한 기술  (1) 2025.07.14

관련글

티스토리툴바