컴퓨터를 부팅했을 뿐인데 악성코드가 유포된다고?

‘루트킷(Rootkit)'공격에 대한 우려가 커졌다. 루트킷이란 PC부팅 과정에서 악성코드를 실행하는 공격을 말한다. 루트킷은 일반 백신으로 탐지가 불가능해 예방과 치료가 어렵다는 의견이 나오고 있다.

루트킷이 설치되면 자신이 뚫고 들어온 모든 경로를 바꾸어 놓고, 사용한 명령어들은 은폐해 놓기 때문에 크래커가 시스템을 원격으로 크래킹 하고있어도 루트킷이 설치되어 있는 사실조차 감지하기 어렵다.

침입자는 먼저 암호를 크래킹하거나 시스템 취약점을 찾아내어서 권한을 획득한뒤, 컴퓨터에 루트킷을 설치한다.

루트킷은 네트워크상의 컴퓨터에 있는 사용자 ID와 암호들을 탐지하여 크래커에게 루트권한, 시스템 정보 그리고 기타 특수한 접근 권한을 제공한다.

또한 트래픽, 키스트로크감시, 시스템 내 백도어 설치, 로크파일 수정, 네트워크상의 컴퓨터 공격, 탐지 회피를 위한 기존 시스템 도구의 수정 등을 한다.

최초의 루트킷은 1990년쯤 레인 데이비스와 릴레이 데이크가 만든 SunOS 4.1.1 용 루트킷이라고 알려져 있다. 이것은 벨 연구소의 켄 톰슨이 캘리포니아의 네이벌 연구소와의 내기에서 이기기 위해 사용했던 루트킷과 거의 동급이었고, 그보다 더 일찍 나타났으며, 매우 유명했다고 한다.

이러한 루트킷은 예전의 루트킷에 불과하다. 최근3~4년 사이에 이슈가 됏던 부트킷이 루트킷 공격으로 진화한데다, 최근 다양한 변종형태로 나오고 있다.

루트킷은 PC운영체제가 실행되기 전부터 공격이 이뤄진다.

이로써 백신이 실행될 시간이 없어 루트킷 탐지나 치료가 어렵다. 때문에 최근 크래커들 사이에 빠르게 번지는 해킹 방식 중 하나다.

루트킷은 부팅 중 특정 프로그램을 실행할 수 있는지 확인하기 위해 개발된 ‘부트킷(Bootkit)'이 진화한 것이다. 겉으로 보기엔 정상적인 윈도우 실행파일인 것처럼 가장해 공격이 이뤄지므로 각별한 주의가 필요하다.

루트킷은 부팅 과정에서 악성코드를 주입한후 MBR이 감염되어 하드디스크가 부팅관련 내용을 읽을때 특정한 코드를 실행한다. 그다음 로더 단계로 넘어가면 자신의 루트킷을 실행할 수 있도록 NT로더나 OS로더에 특정함수나 코드를 주입해 이 내요을 변조한다. 그뒤에 루트킷 파일을 자연스럽게 로드한다.

루트킷이 정상적으로 로드가되면 부트킷에 포함된 루트킷이 실행되면서 자신을 은폐할 수 있는 데이터를 실행한다. 마지막으로 페이로드를 이용해 사용자들이 사용하는 프로세스에 가짜 백신을 다운받거나 해당PC를 좀비PC로 만든다. 또한 감염 시킨 후에는 반드시 재부팅해야 루트킷이 정상적으로 역할을 수행한다.

즉, 한마디로 말하자면 부팅이 될 때 악성코드를 실행시키고, 마치 악성코드 자체를 마치 정상적인 코드처럼 바꾸는 후킹 기능을 수행한다는 의미라고 보면 된다.

하지만 문제는 날마다 다양한 변종이 등장하고 있다는 점이 문제이다. 이러한 악성코드의 경우 러시아에서 꾸준히 루트킷을 제작하면 중국 크래커들이 이 러시아에서 제작된 루트킷 한 개를 구입해서 대량화 한 후 네트워크속도가 빠른 한국을 대상으로 공격을 시도한다.

안랩 이상철 책임연구원의 말을 따르면 “루트킷을 진단하고 치료할 수 있는 솔루션을 개발 중이나 코드 분석하는 데만 2개월 이상 걸릴 정도로 알아내는 일 자체가 어렵다. 다시말해 악성코드를 마치 정상적인 부팅용 코드인 것처럼 위장하는 후킹관련 부분을 제거하는 기술이 생각보다 어렵다”라고 말하였다.

또한 “안랩에서는 부트킷을 치료하기 위한 전용 백신프로그램을 개발중 이다”라며 “ 내년 에는 실제 제품을 볼 수 있을 겁니다.”라고 밝혔다.

KSIA 한국학생IT동아리연합 YIS 온라인팀원 김민욱(