65. 루트킷이란 무엇인가요?

루트킷(Rootkit)은 공격자들이 자신의 침입 사실을 숨기거나 차후의 재침입을 위한 목적으로 시스템에 숨겨놓은 프로그램(Back Door)의 모음을 의미합니다. 루트킷은 탐지를 회피하기 위해 다음과 같은 기능을 지원합니다.

◎재침입을 용이하게 하기 위한 백도어 기능
◎로그파일 수정, 삭제 기능
◎기존 시스템 유틸리티들의 대체 기능
◎스니핑 및 키입력 저장 기능
◎프로세스 및 네트워크 정보 등의 숨김 기능
◎특정 디렉토리나 파일 숨김 기능

고전적인 루트킷은 단순히 시스템 유틸리티를 변조하여 공격자의 정보를 숨기는 형태였으나, 현재는 커널 기반의 시스템 레벨에서 작동하는 형태로 발전되어 가고 있습니다.

루트킷을 탐지하기 위한 대표적인 도구에는 chkrootkit, kstat 등이 있습니다.