[보안_GPT] Rootkit 감지 도구란?

rootkit 감지 도구는 시스템 안에 숨겨져 있는 루트킷(rootkit) 악성코드를 탐지하고 제거하기 위해 사용되는 보안 도구야.

루트킷(rootkit)은
→ 자신을 숨기고,
→ 시스템 권한을 조작하며,
→ 보안 도구에서 보이지 않도록 활동을 은폐하는 악성코드라서
일반 백신이나 OS 기본 기능만으로는 잘 보이지 않아.

그래서 **전문 rootkit 탐지 도구(anti-rootkit)**가 필요해.

---

🔥 1. Rootkit 감지 도구란?

👉 루트킷이 숨겨놓은 파일, 프로세스, 네트워크 포트, 커널 훼손 여부 등을 탐지하는 전문 보안 도구
→ 커널 무결성 검사
→ 시스템 호출 변조 확인
→ 숨겨진 파일/프로세스 탐지
→ 권한 상승 흔적 분석

루트킷은 시스템 깊숙한 영역에 숨어서 OS 정보를 조작하기 때문에
이런 도구들이 OS 외부 시각, 로우레벨 방식으로 탐지하는 경우가 많아.

---

🔹 2. 대표 Rootkit 감지 도구

아래는 실제로 널리 쓰이는 루트킷 탐지 도구들이야.

---

✅ 1) chkrootkit (Linux)

• 가장 유명한 루트킷 탐지 도구
• 다양한 루트킷 signature 기반 탐지
• 빠르게 검사 가능
• 커맨드라인 기반

예:

 

sudo chkrootkit

---

✅ 2) rkhunter (Rootkit Hunter, Linux)

• 루트킷, 백도어, 의심스러운 파일 권한 등을 검사
• 무결성 검사(sha256 해시 기반) 기능 포함

예:

 

sudo rkhunter --check

---

✅ 3) Lynis (보안 감사 + rootkit 탐지)

• 전체 시스템 보안 점검 도구
• rootkit 포함 다양한 취약점 탐지
• 서버 보안 점검에 많이 사용됨

---

✅ 4) OSSEC (HIDS)

• HIDS이지만 rootkit detection 모듈 포함
• 로그 분석 + 파일 무결성 검사 + rootkit 탐지도 같이 수행

---

✅ 5) Windows 전용 Anti-rootkit 도구

▶ Microsoft MRT(Malicious Software Removal Tool)

• 기본 제공
• 일부 루트킷 탐지 및 제거 가능

▶ GMER

• Windows에서 가장 강력한 루트킷 탐지 도구
• 숨겨진 프로세스, 서비스, 레지스트리, 드라이버 탐지
• 포렌식 전문가들이 사용

▶ Kaspersky TDSSKiller

• 부트킷, 커널 루트킷 탐지에 특화
• 유명한 TDSS/Tdl4 계열 루트킷 제거 가능

---

🔹 3. Rootkit 탐지 방식

rootkit 탐지 도구는 보통 아래 방식을 사용해:

1️⃣ 시스템 호출 테이블(Syscall Table) 비교

루트킷은 커널 함수 후킹을 많이 함 → 변경 여부 탐지

2️⃣ File & Directory 무결성 검사

중요 파일의 hash 값 비교
예: /bin/ls, /bin/ps 등이 변조됐는지 확인

3️⃣ 숨겨진 프로세스 탐지

/proc에 표시되지 않는 프로세스 존재 여부 확인

4️⃣ 커널 모듈(Kernel Module) 검사

lsmod에 보이지 않지만 실제 존재하는 모듈 탐지

5️⃣ 네트워크 포트/연결 검사

숨겨진 포트나 백도어 연결 탐지

---

🔹 4. Rootkit 감지의 특징

• 발견이 어렵고 고도화된 악성코드라 일반 백신보다 더 전문적인 탐지 필요
• 커널 레벨에서 활동하므로 OS가 조작될 수 있음
• 감지가 되면 즉시 조치 필요(시스템 재설치 권장되는 경우도 있음)

---

🎯 한 문장 요약

Rootkit 감지 도구 = OS와 보안 프로그램을 속이기 위해 숨겨진 루트킷을 찾아내기 위해 커널, 파일, 프로세스, 네트워크 등을 Low-level로 검사하는 전문 보안 도구