태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

악성루트킷(rootkit)로 부터 내 PC를 지켜라

분류: Digitial News/PC Tech and Tip 작성일: 2007.01.16 16:06 Editor: 마루[maru]
요즘들어 루트킷에 대한 말들이 분분하다. 한겨레 신문 1/16일자 [툴바 안 지워지면 ‘루트킷’ 의심]-삭제 불가능 악성코드 확산, 백신·검색 등 새 모델에 결합 / 정보유출·바이러스 등 치명적, 감염됐다 싶으면 ‘118 신고’를..이란 보도를 보면 아래 내용처럼 루트킷으로 인한 피해가 속출하는 것으로 알려져 있다.
 
"박아무개씨는 2006년 초 컴퓨터를 구입한 뒤, 벌써 두 번이나 운영체제(OS, 윈도우 엑스피가 대표적인 예)를 포맷했다. 이유는 컴퓨터가 갑자기 느려진 데다 광고팝업과 툴바가 프로그램 삭제/제거에서도 지워지지 않았기 때문이다. 처음에는 컴퓨터에 관해 초보자였던 박씨는 자신이 뭔가를 잘못 건드려서 컴퓨터에 문제가 생긴 것으로 판단하고 그냥 넘겼지만, 두번째 똑같은 고장이 나고 수리비용(3만원)이 들어가자 억울한 마음에 원인을 알기 위해 보안업체에 전화를 했다. 원인은 최근 악성코드로 분류되기 시작한 ‘루트킷’이라는 프로그램 때문으로 밝혀졌다"고 한다.


그럼, 여기서 과연 루트킷(rootkit)이 어떤 녀석인지 살펴보는게 우선일 아닐까 싶다.
김동근의 텀즈-컴퓨터용어사전(http://www.terms.co.kr/) 에 따르면 다음과 같이 설명하고 있다.

루트킷은 해커들이 컴퓨터나 또는 네트웍에 침입한 사실을 숨긴 채 관리자용 접근권한을 획득하는데 사용하는 도구, 즉 프로그램 모음이다. 침입자는 먼저 알려져 있는 시스템 취약점을 찾아내거나 또는 암호를 크래킹 하는 등의 방법으로 사용자용 접근권한을 획득한 뒤, 컴퓨터에 루트킷을 설치한다. 루트킷은 네트웍 상의 다른 컴퓨터에 있는 사용자 ID와 암호들을 수집함으로써, 해커에게 루트 권한이나 기타 특수한 접근권한을 제공한다.

루트킷은 또한 해킹 탐지를 교묘하게 회피하기 위해 다음과 같은 일을 하는 유틸리티 프로그램들로 구성될 수 있다.

  • 트래픽이나 키스트로크를 감시
  • 해커가 이용할 목적으로 시스템 내에 백도어를 만듦
  • 로그파일 수정
  • 네트웍 상의 다른 컴퓨터들을 공격
  • 기존 시스템 도구들을 수정

네트웍 상에 존재하는 루트킷에 관해서는 1990년대 초에 처음 문서화되었다. 당시에는 썬과 리눅스 운영체계가 루트킷을 설치할 수 있는지를 알아보기 위한 해커들의 초기 목표물이었지만, 오늘날에는 수많은 운영체계에서 루트킷을 이용할 수 있도록 고도화되었으며, 어떠한 네트웍에서도 이의 존재여부를 탐지하기가 점점 어려워져가고 있다.


사용자 삽입 이미지
정말 무서운 녀석이다. 어느 정도 여러가지 운영체제를 다룰 줄 아는 필자도 쉽게 찾아내기는 어려운게 현실이다. 단순히 레지스트리를 검색해서 찾을 수 있는것도 아니다. 잘못 건드리면 오히려, 시스템 자체를 다운시킬 수 있으므로 초보자나 일반 사용자는 함부로 찾아낼려고 시도하는것을 결코 권장하고 싶지 않다. 물론, 포맷을 하면 삭제를 할 수 있으나, 그렇다고 매번 포맷을 한다는 것은 말도 안되는 노릇이고, 현실적으로 가장 안전한 보호 방법은 함부로 툴바를 설치 안하는 것이 가장 최선의 방법인 것 같다.

더 골치가 아픈것은 이 투명인간같이 보이지 않은 루트킷을 이용해서 스파이웨어나 악성코드만을 활용하는 수준을 넘어서 원격치료프로그램, 키워드검색,검색툴바 등등 새로운 인터넷 비지니스 모델과 연계를 하고 있다는 놀랄 일이 아닌가 말이다. 좋은 기법을 건전한 쪽으로 활용하지 못하고, 자기 잇속만 채우겠다는 악덕업체들이 부정적으로 활용하는 바람에 오히려 건전한  업체들이 만들 유용한 프로그램들이 오히려 그 막대한 피해의 눈총을 받게되는 웃지못할 국면을 형성하고 있는 것이다.

보도에 따르면, 툴바를 만들어 제공하는 한 업체 관계자는 “인터넷 업계에서는 루트킷을 사용하는 업체에 대한 사실은 공공연한 비밀”이라며 “툴바나 검색서비스 프로그램을 타업체 악성코드 치료프로그램에 의해 지워지지 않게 만들고, 이후에도 자신의 프로그램을 업그레이드를 할 수 있는 통로를 확보하면서 돈을 벌어보겠다는 욕심이 앞서서 나온 편법”이라고 말했다고 한다.

아무리, 자본주의 경쟁논리가 우선한다지만 자신들을 상품을 사용하는 고객들을 상대로 저토록 파렴치한 행각을 일삼아도 되는지 그들에게 되묻고 싶다. 그러다 들통나면 영원히 사장될 수 있다는 것도 알아두었으면 하는 바램이다. 그 예로, 지난 해 악성코드 무료로 치료해준다고 배포한 무명, 유명의 업체들이 돈 욕심에 눈이 멀어 악성코드를 심었다가 제대로 철퇴를 맞은 것을 기억 할 것이다.

결론을 내리자면, 루트킷을 잠복되어 있는 여러가지 툴바나 애드웨어 프로그램을 설치 할 때는 설치전에 충분한 리뷰와 해당 유틸리티에 대해서 꼼꼼히 살펴보고, 꼭 필요하거나 검증된 툴에 대해서만 설치 하는것이 바람직 할 것이다. 필자가 사용하는 PC에는 툴바는 설치된것이 없다. 설령 설치한다고 해도 반드시 리뷰를 검토하거나, 기존 사용자들의 후기를 살피고, 후속조치를 취할 수 있는 경우에만 설치를 한다. 각 종 툴바는 편리한 점도 있지만 오히려 시스템리소스를 장악하여 PC의 기동력을 떨어뜨리는 요인이 되기 때문에 선호하지 않는다.

현재까지 알려진 바에 따르면 와우해커 (http://wowhacker.com) 에서 루트킷 진단 프로그램을 회원에 한해서 배포하는것으로 알려져 있다. 필요한 분들은 회원으로 가입해서 진단 프로그램을 다운받아 사용해 보기 바란다.

주의 : Windows 2000이상에서만 실행 가능하며, 관리자 권한에서 실행하여야 합니다. 또한 SDT 복원(치료)시 시스템 충돌이 일어날 수 있으므로 사용상의 주의를 요합니다. 또한 일부 안티바이러스 제품이나 파이어월 제품에서 SDT를 변경하는 경우도 있으므로 참고하시기 바랍니다.

또한, 한국정보보호진흥원(www.kisa.or.kr) 분석대응팀 심원태 팀장은 “해외에서 루트킷은 이미 금전적 이득을 얻기 위해 공공연하게 사용되고 있다”며 “우리나라에서도 작년부터 급증하고 있다”고 말했다. 심팀장은 “특히 루트킷과 악성코드의 접목이 하나의 흐름으로 나타나고 있는 만큼 이용자들의 주의가 요구된다”며 “감염이 의심되면 국번없이 118(한국정보보호진흥원)로 신고해 원격서비스 등의 지원을 받아야 한다”고 말했다고 한다.
[기사인용- 한겨레 신문 1/16일자 보도]

신고
※글에 대한 여러분 의견을 남겨 주십시오. 감사합니다!
  1. Favicon of http://brightfe.tistory.com BlogIcon brightfe 2007.01.17 08:09 신고  댓글주소  수정/삭제  댓글 남기기

    가끔 생각 했던 건데요.
    SMS 스팸, 이메일 스팸, 저런 악성 프로그램 배포 업체 등을 찾아서
    소비자 측에서 항의를 할수 있는 단체 사이트 같은 것도 좋지 않을까..
    하는 생각을 합니다. ^^;; thecheat 처럼 thespam 머 이런거 ㅎㅎ
    정말 저런짓 하는 사람들의 얼굴이 보고 싶다는 생각이 가끔 들죠;;

  2. Favicon of http://www.mediamob.co.kr/MediaMob/index.aspx BlogIcon 미디어몹 2007.01.17 09:06 신고  댓글주소  수정/삭제  댓글 남기기

    마루지기 회원님의 상기 포스트가 미디어몹에 링크가 되었습니다.


우드스