세상 모든 보안 이야기

보안 백과사전

용어를 이해하면 보안이 보입니다

보안용어 백과사전

누구나 손쉽게 따라하는

보안 가이드

인증, 어렵지 않아요!

ISMS 체크인 가이드북

Coming Soon

보안 유출사고 대응전략

좌우로 움직여보세요

보안 위협

루트킷

포스팅 뷰27

루트킷이란?

루트킷이란 공격자가 시스템에 침투한 뒤 자신의 존재를 숨기고, 관리자(root) 권한 수준의 통제권을 유지하기 위해 사용하는 악성 소프트웨어입니다. 일반 백신이나 보안 솔루션에 탐지되지 않도록 은폐 기능을 갖는 것이 가장 큰 특징입니다. 즉, 단순한 악성코드가 아니라 “침투 이후를 위한 은닉 도구”라고 이해하면 쉽습니다.


루트킷은 왜 위험한 보안 위협인가

루트킷은 시스템 깊숙한 영역에 숨어 동작합니다. 파일, 프로세스, 네트워크 연결 기록 등을 조작해 관리자조차 감염 사실을 인지하기 어렵게 만듭니다.

특히 공격자는 루트킷을 통해 다음과 같은 활동을 지속할 수 있습니다.

  • 키로깅 및 정보 탈취
  • 백도어 유지
  • 추가 악성코드 설치
  • 보안 로그 삭제

이처럼 루트킷은 2차 공격을 위한 기반을 제공하기 때문에 장기 침투 공격(APT)에서 활용될 수 있습니다.


루트킷은 어떻게 동작하는가

루트킷의 핵심 목적은 ‘은폐’입니다. 이를 위해 운영체제의 핵심 구성 요소를 조작합니다.

예를 들어,

  • 시스템 호출(System Call)을 가로채 특정 프로세스를 숨김
  • 파일 시스템 목록에서 특정 파일을 제외
  • 네트워크 포트를 숨겨 원격 접속 흔적 제거

일반 사용자가 보는 화면과 실제 시스템 상태를 다르게 만들어 탐지를 어렵게 합니다. 이 때문에 감염 후 장기간 방치되는 사례가 많습니다.


루트킷의 주요 유형

루트킷은 설치 위치와 동작 방식에 따라 여러 유형으로 구분됩니다.

사용자 모드 루트킷

운영체제의 애플리케이션 영역에서 동작합니다. 상대적으로 탐지가 쉬운 편이지만 여전히 위협적입니다.

커널 모드 루트킷

운영체제 커널 영역에 침투합니다. 시스템 핵심 기능을 직접 조작할 수 있어 탐지가 매우 어렵습니다.

부트킷(Bootkit)

부팅 과정에 개입하는 루트킷입니다. 운영체제가 시작되기 전 단계에서 동작하기 때문에 제거가 까다롭습니다.

펌웨어 루트킷

BIOS, UEFI 등 하드웨어 펌웨어에 설치됩니다. 운영체제를 재설치해도 제거되지 않을 수 있어 매우 위험합니다.



루트킷과 일반 악성코드의 차이점

일반 악성코드는 감염 후 눈에 띄는 이상 행위를 보이는 경우가 많습니다. 반면 루트킷은 최대한 조용히 활동합니다.

또한 대부분의 악성코드는 단독 목적을 가지지만, 루트킷은 다른 악성코드를 보호하고 장기 은닉을 돕는 보조적 역할을 수행하는 경우가 많습니다. 즉, 루트킷은 “공격자의 은신처”라고 볼 수 있습니다.


실제 루트킷 공격 사례

과거 여러 국가 기반 시설과 기업을 대상으로 한 장기 침투 공격에서 루트킷이 사용된 바 있습니다. 특히 커널 레벨 루트킷은 보안 솔루션을 무력화하고 장기간 내부 정보를 수집하는 데 활용될 수 있습니다.

다만 “최근” 특정 공격 흐름에서 루트킷이 어떤 방식으로 결합되는지는 사례와 보고서에 따라 달라질 수 있으므로, 조직 환경에 맞는 위협 인텔리전스와 탐지 체계를 함께 확인하는 것이 좋습니다.


루트킷 탐지와 대응 방법

루트킷은 탐지가 어렵지만 대응 방법이 전혀 없는 것은 아닙니다.

보안 솔루션 다중 적용

EDR, XDR 등 행위 기반 탐지 솔루션을 함께 운영하는 것이 효과적입니다.

무결성 검사 활용

파일 무결성 모니터링(FIM)으로 시스템 변경 여부를 감시합니다.

정기적인 로그 분석

이상 징후, 비정상 권한 상승, 의심 프로세스를 주기적으로 점검해야 합니다.

보안 패치 관리

취약점을 통한 침투를 막기 위해 OS 및 소프트웨어를 최신 상태로 유지해야 합니다.

감염 의심 시 복구 전략 수립

커널/부트킷 감염이 의심되면 오프라인 환경에서 진단을 수행하고, 필요 시 OS 재설치와 부트 영역 복구까지 포함한 조치를 검토해야 합니다. 펌웨어(UEFI) 수준 감염이 의심되는 경우에는 벤더 가이드에 따른 펌웨어 무결성 점검 및 복구 절차까지 고려하는 것이 안전합니다.



기업 보안 관점에서 루트킷 대응이 중요한 이유

루트킷은 내부망 침투 후 장기간 정보 탈취를 가능하게 합니다. 특히 내부자 계정 탈취와 결합될 경우 피해 규모가 커질 수 있습니다.

기업은 다음을 고려해야 합니다.

  • 최소 권한 원칙 적용
  • 관리자 권한 통제
  • 내부 PC 보안 관리 강화
  • 로그 중앙화 및 통합 모니터링

루트킷은 눈에 보이지 않는 위협이기 때문에, 사전 예방 중심의 보안 전략이 중요합니다.

루트킷은 단순한 악성코드가 아니라 시스템을 장악하고 흔적을 지우는 은폐형 공격 도구입니다. 정기적인 점검과 다계층 보안 체계를 통해 대응하는 것이 가장 현실적인 방법입니다.