루트킷은 일반 멀웨어나 바이러스와 어떻게 다른가요?

일반 바이러스나 멀웨어는 파일 손상이나 성능 저하처럼 눈에 띄는 증상을 일으키는 경우가 많습니다. 반면 루트킷은 은폐를 최우선으로 설계되어 있습니다. 시스템 깊은 곳에 자리 잡아 자신의 존재를 운영 체제, 안티바이러스 소프트웨어, 그리고 사용자로부터 숨기면서 공격자에게 지속적이고 감지되지 않는 접근 권한을 유지시켜 줍니다.

VPN을 사용하면 루트킷으로부터 보호받을 수 있나요?

아니요. VPN은 기기와 VPN 서버 사이를 이동하는 트래픽을 암호화하지만, 루트킷은 암호화가 적용되기 전, 기기 자체에서 작동합니다. 이는 루트킷이 VPN 자격 증명을 탈취하고, 복호화된 데이터를 가로채며, VPN 소프트웨어의 보안 기능을 비활성화할 수 있다는 것을 의미합니다. 기기 보안이야말로 모든 VPN 보호의 전제 조건입니다.

내 기기에 루트킷이 있는지 어떻게 알 수 있나요?

루트킷은 탐지를 피하도록 설계되어 있기 때문에, 일반적인 방법으로는 발견하기 매우 어렵습니다. 신뢰할 수 있는 외부 미디어에서 실행되는 전문 루트킷 탐지 도구나, 오염되지 않은 환경에서의 오프라인 스캔이 가장 신뢰할 수 있는 방법입니다. 설명하기 어려운 시스템 동작 변화, 예상치 못한 네트워크 트래픽, 또는 보안 도구 비활성화 등이 감염의 경고 신호일 수 있습니다.

루트킷을 제거할 수 있나요, 아니면 기기를 교체해야 하나요?

루트킷의 종류에 따라 다릅니다. 사용자 모드 또는 커널 모드 루트킷은 전문 도구와 OS 재설치를 통해 제거할 수 있는 경우가 있습니다. 그러나 BIOS나 네트워크 카드 펌웨어에 내포된 펌웨어 루트킷은 OS 재설치로도 살아남을 수 있어, 실질적으로 하드웨어 교체가 필요합니다. 감염 수준에 대한 불확실성이 남아 있다면, 가장 안전한 조치는 전체 초기화 또는 교체입니다.

Rootkit

루트킷: 시스템 안에 숨어 있는 보이지 않는 위협

루트킷이란 무엇인가요?

루트킷은 현존하는 멀웨어 중 가장 위험하고 은밀한 형태 중 하나입니다. 명백한 오작동으로 자신의 존재를 드러내는 일반적인 바이러스와 달리, 루트킷은 철저히 숨어 있도록 설계됩니다. 루트킷의 궁극적인 목적은 공격자에게 사용자가 전혀 눈치채지 못하는 상태에서 기기에 대한 지속적이고 심층적인 제어권을 부여하는 것입니다.

이름의 유래는 Unix 기반 시스템에서 최고 수준의 관리자 권한을 의미하는 "root"와, 이를 달성하는 데 사용되는 도구 모음을 의미하는 "kit"에서 비롯되었습니다. 즉, 루트킷은 공격자에게 모든 활동 흔적을 감추면서 루트 수준의 접근 권한을 부여합니다.

루트킷은 어떻게 작동하나요?

루트킷은 시스템 깊숙이, 흔히 일반 애플리케이션보다 낮은 수준에서, 때로는 운영 체제 자체보다도 낮은 수준에서 스스로를 내포시키는 방식으로 작동합니다. 루트킷에는 여러 종류가 있습니다:

사용자 모드 루트킷은 애플리케이션 수준에서 실행됩니다. 시스템 호출을 가로채고, 보안 소프트웨어에 반환되는 OS의 결과값을 조작하여 악성 프로세스를 보이지 않게 만듭니다.
커널 모드 루트킷은 운영 체제의 핵심부에서 작동합니다. OS 자체와 동일한 신뢰 수준을 가져 시스템의 근본적인 동작을 변경할 수 있기 때문에, 훨씬 더 위험합니다.
부트킷 루트킷은 MBR(Master Boot Record)에 감염되어 운영 체제가 시작되기도 전에 로드됩니다. 이로 인해 탐지나 제거가 극히 어렵습니다.
펌웨어 루트킷은 네트워크 카드나 BIOS와 같은 하드웨어 펌웨어에 내포됩니다. OS를 완전히 재설치하거나 하드 드라이브를 교체해도 살아남을 수 있습니다.
하이퍼바이저 루트킷은 운영 체제 아래에 완전히 위치하여, 정상적인 OS를 가상 머신으로 실행하면서 보이지 않는 제어권을 유지합니다.

루트킷은 주로 피싱 이메일, 악성 다운로드, 소프트웨어 취약점 악용, 또는 공급망 공격을 통해 유입됩니다. 일단 설치되면 OS를 패치하여 기기에서 실행 중인 모든 도구로부터 자신의 파일, 프로세스, 네트워크 연결을 숨깁니다.

VPN 사용자에게 왜 중요한가요?

여기서부터 심각한 우려가 생깁니다. VPN은 전송 중인 트래픽을 보호하며, 기기와 VPN 서버 사이의 데이터를 암호화합니다. 그러나 루트킷은 암호화가 이루어지기 전에, 기기 위에서 작동합니다.

루트킷이 시스템에 설치되면, 공격자는 다음과 같은 행위를 할 수 있습니다:

VPN 자격 증명을 암호화 전에 탈취하여 VPN 계정에 접근
키 입력과 화면 활동을 기록하여 비밀번호, 메시지, 금융 데이터 등 모든 입력 내용을 열람
VPN 터널을 벗어나 기기의 애플리케이션 계층에 도달한 후 복호화된 트래픽을 가로채기
킬 스위치 또는 VPN 클라이언트를 조용히 비활성화하여 어떠한 경고도 없이 실제 IP 주소를 노출
DNS 쿼리를 리다이렉트하거나 VPN 아래의 네트워크 설정을 변경하여, VPN 소프트웨어가 인지하지 못하는 상태에서 DNS 누수 유발

요컨대, 루트킷은 VPN이 의존하는 보안 모델을 완전히 무너뜨립니다. VPN은 자신이 실행되는 기기가 신뢰할 수 있다는 전제 하에 작동합니다. 루트킷은 바로 그 전제를 파괴합니다.

실제 사례

2005년, Sony BMG는 DRM을 적용하기 위해 Windows 컴퓨터에 루트킷을 설치하는 음악 CD를 배포하여 악명을 떨쳤습니다. 이 루트킷은 OS로부터 자신을 숨겼으며, 이후 다른 멀웨어가 악용하는 심각한 보안 취약점을 만들어냈습니다. 최근에는 국가 수준의 정교한 위협 행위자들이 언론인, 활동가, 정부 관계자들을 대상으로 펌웨어 수준의 루트킷을 배포한 사례가 있습니다. 이들은 바로 보호를 위해 VPN에 크게 의존하는 사람들입니다.

자신을 보호하는 방법

루트킷이 취약점을 악용하기 전에 차단할 수 있도록, OS·펌웨어·모든 소프트웨어를 최신 상태로 유지하세요
루트킷 탐지 기능이 포함된 신뢰할 수 있는 엔드포인트 보안 도구를 사용하세요 (일반 안티바이러스만으로는 부족합니다)
신뢰할 수 있는 외부 드라이브로 부팅하여 오프라인 스캔을 실행하세요 — 많은 루트킷이 기기 내부의 스캐너를 속일 수 있습니다
펌웨어 루트킷 감염은 하드웨어 교체가 필요한 상황으로 간주하세요
의심스러운 다운로드를 피하고, 이중 인증을 활성화하며, 출처 불명의 링크는 클릭하지 않는 등 항상 경계심을 유지하세요

VPN은 강력한 프라이버시 도구이지만, 기기 보안은 그것이 기반하는 토대입니다. 기기가 침해되면 프라이버시도 침해됩니다. 그게 전부입니다.

Rootkit고급