커널 수준 맬웨어란 무엇이며 이를 방지하는 방법

맬웨어는 여러 형태로 나타나지만 커널 수준 맬웨어는 가장 위험한 맬웨어 중 하나입니다. 무엇이 그렇게 위협적이며, 어떻게 방어할 수 있을까요? 아래에서 세부 정보를 살펴보겠습니다.

커널 수준 맬웨어란?

커널은 하드웨어와 소프트웨어 간의 모든 상호 작용을 관리하는 운영 체제의 핵심 구성 요소입니다. 커널은 “커널 모드”라고 알려진 높은 권한 수준에서 작동하며, 메모리, CPU 및 연결된 장치를 포함한 모든 시스템 리소스에 대한 무제한 액세스를 제공합니다. 이 권한 수준을 감염시키고 조작하는 맬웨어는 커널 수준 맬웨어라고 합니다.

이러한 맬웨어는 커널의 높은 권한을 악용하여 최소한의 탐지로 악성 활동을 실행할 수 있습니다. 이 낮은 수준에서 작동함으로써 보안 조치를 회피하고 지속하며 중요한 시스템 작업을 제어할 수 있습니다.

커널 수준 맬웨어의 일반적인 예는 다음과 같습니다.

커널 루트킷: 이것은 공격자에게 컴퓨터의 감지되지 않은 원격 제어를 허용하는 가장 악명 높은 커널 수준 맬웨어 형태 중 하나입니다. 이 액세스를 통해 보안을 손상시키고, 더 많은 맬웨어를 설치하고, 활동을 모니터링하거나, DDoS 공격에 장치를 사용할 수 있습니다.

부트킷: PC BIOS 또는 마스터 부트 레코드(MBR)를 감염시켜 운영 체제가 로드되기 전에 악성 코드를 로드하는 루트킷 유형입니다. 커널 수준의 악성 코드를 설치하고 OS 재부팅 및 재설치를 통해 지속될 수 있습니다.

커널 모드 트로이 목마: 이러한 트로이 목마는 더 높은 권한을 가지고 있으며, 프로세스를 대체하거나 다른 프로세스 내에 자신을 내장하는 방식으로 효과적으로 감지를 피할 수 있습니다.

커널 레벨 랜섬웨어: 이 유형의 랜섬웨어는 커널 권한을 사용하여 데이터를 암호화하거나 사용자가 시스템에 액세스하지 못하도록 합니다. 보안을 더 효율적으로 우회하고 복구를 어렵게 만들 수 있습니다.

커널 수준 맬웨어로부터 보호하는 방법

다행히도 커널 수준 맬웨어가 PC를 감염시키는 것은 매우 어렵습니다. 이 유형의 맬웨어는 운영 체제가 허가되지 않은 프로그램에 부여하지 않는 높은 권한을 요구합니다. 따라서 커널 수준 맬웨어는 일반적으로 알려진 취약성을 악용하거나 관리자 계정에 대한 물리적 또는 원격 액세스를 얻는 데 의존합니다.

PC 보안 시스템은 커널 레벨 맬웨어 공격을 탐지하고 방지하도록 설계되었습니다. 누군가가 의도적으로 그러한 맬웨어를 설치하려고 시도하더라도 운영 체제의 보안 메커니즘이 설치를 차단할 가능성이 높습니다.

그러나 취약점을 최소화하고 공격을 신속하게 감지하려면 PC에서 보안 기능을 활성화해야 합니다. 커널 수준 맬웨어로부터 방어하려면 다음 단계를 따르세요.

보안 부팅 및 TPM 2.0이 활성화되어 있는지 확인하십시오.

보안 부팅 및 TPM 2.0(신뢰할 수 있는 플랫폼 모듈)은 Windows의 필수 보안 기능이며 커널 수준 맬웨어에 대한 방어에 필수적입니다. 이것이 Windows 11 설치에도 필요한 이유입니다.

보안 부팅은 시작 시 모든 소프트웨어의 디지털 서명을 확인하여 검증되지 않은 소프트웨어가 실행되지 않도록 차단합니다.

TPM 2.0은 부팅 프로세스의 암호화 해시를 저장하는 물리적 보안 칩입니다. 이 칩은 모든 시작 시 이러한 해시를 비교하여 변조를 감지하고 변경 사항을 발견하면 사용자에게 경고합니다.

보안 부팅이 활성화되었는지 확인하려면 Windows 검색에서 “시스템 정보”를 검색하고 시스템 정보 앱을 엽니다. 시스템 요약 에서 보안 부팅 상태 값을 찾을 수 있습니다 . 켜짐 으로 설정되어 있는지 확인하세요 .

TPM 2.0이 활성화되어 있는지(또는 지원되는지) 확인하려면 Windows+를 누르고 실행 대화 상자에 R입력하세요 .tpm.msc

이 중 하나라도 비활성화된 경우 BIOS/UEFI에 액세스하여 보안 범주 에서 값을 활성화합니다 . 보안 부팅을 활성화하는 것은 간단해야 하지만 TMP 2.0은 PC에 없는 하드웨어 칩입니다.

Windows에서 가상화 기반 보안 활성화

가상화 기반 보안(VBS)은 하드웨어 가상화를 사용하여 격리된 환경에서 중요한 시스템 프로세스를 실행하여 악성 앱이 이를 변조하지 못하도록 합니다. 커널 수준 맬웨어는 종종 중요한 시스템 프로세스의 취약성을 이용하기 때문에 이 기능은 이를 보호합니다.

Windows Search에서 “windows security”를 입력하고 Windows Security 앱을 엽니다. Device Security -> Core isolated 로 이동 하고 Memory integrity가 On으로 설정되어 있는지 확인합니다 .

사용자 계정 컨트롤(UAC)을 최대 보안으로 설정

UAC는 앱이 사용자의 허가 없이 PC에 설치되거나 변경되는 것을 방지하여 PC를 보호합니다. 최대 보안으로 설정하면 사용자나 앱이 무언가를 설치하거나 설정을 변경하려고 할 때 Windows가 항상 사용자의 허가를 요청하도록 할 수 있습니다.

Windows 검색에서 “uac”를 검색하고 사용자 계정 컨트롤 설정 변경을 클릭합니다 . 여기 슬라이더를 맨 위에 있는 항상 알림 으로 설정합니다.

PC를 최신 상태로 유지하세요

앞서 언급했듯이, 커널 레벨 맬웨어는 종종 취약성을 이용해 PC를 감염시킵니다. 시스템을 최신 상태로 유지하면 알려진 취약성을 적시에 패치하여 악성 프로그램이 이를 악용하는 것을 방지할 수 있습니다.

Windows, 드라이버, BIOS/UEFI를 최신 버전으로 업데이트하세요.

Windows: Windows를 업데이트하려면 Windows 설정에서 Windows 업데이트 로 이동하고 업데이트 확인을 클릭합니다 . 최신 상태입니다 라고 표시되면 모든 것이 정상입니다. 그렇지 않으면 권장 업데이트를 다운로드하여 설치합니다.

드라이버: 드라이버 는 부팅 프로세스 중에 로드되므로 가장 취약하며, 손상된 드라이버는 커널 수준에서 감염을 일으킬 수 있습니다. iObit Driver Booster 와 같은 드라이버 업데이터 도구를 사용하여 모든 드라이버를 자동으로 업데이트할 수 있습니다.

BIOS/UEFI: BIOS/UEFI를 업데이트하는 것은 수동으로 해야 하므로 약간 어렵지만 다행히도 이러한 업데이트는 드뭅니다.

일상적인 사용을 위해 표준 사용자 계정 사용

표준 사용자 계정은 많은 기능에 대한 액세스가 제한되어 있지만 일상적인 사용에는 충분합니다. 제한되어 있기 때문에 커널 맬웨어가 장치를 감염시키는 능력도 제한됩니다.

표준 계정을 만들려면 Windows 설정을 열고 계정 -> 다른 사용자 로 이동합니다. 계정 추가를 클릭하여 새 계정을 만들고 관리자 대신 표준 계정을 선택해야 합니다 .

가끔씩 부팅 시간 검사를 실행하세요

부팅 시간 검사는 Microsoft Defender를 포함한 대부분의 바이러스 백신 소프트웨어에서 표준 기능입니다. 이 검사는 PC를 다시 시작하고 운영 체제가 완전히 로드되기 전에 검사합니다. 이 검사는 커널 수준 맬웨어에 대해 매우 효과적이며, 운영 체제에서 숨기려고 하기 전에 감지할 수 있습니다. 가끔씩 실행하여 PC가 깨끗한지 확인하세요.

Windows에서 이 검사를 실행하려면 Windows 검색에서 “Windows 보안”을 검색하고 Windows 보안 앱을 엽니다.

바이러스 및 위협 보호 -> 검사 옵션 으로 이동하고 Microsoft Defender Antivirus(오프라인 검사)를 선택합니다 . 지금 검사를 클릭하면 검사를 위해 PC를 다시 시작하라는 메시지가 표시됩니다.

위험한 프로그램 실행을 피하세요

이는 모든 유형의 시스템 보안 위험을 피하기 위한 일반적인 조언이지만, 커널 수준 맬웨어의 경우 특히 중요합니다. 운영 체제의 보안 기능을 비활성화하지 않고는 커널에 액세스할 수 없습니다. 즉, 커널 수준 맬웨어는 앱을 실행하기 위해 보안 기능을 비활성화하라는 등의 명확한 경고 신호를 보냅니다.

비디오 게임 해킹이나 불법 복제된 프리미엄 프로그램과 같은 의심스러운 소프트웨어를 다운로드하는 데는 주의하세요. 앱에서 특정 보안 보호 기능을 비활성화하도록 요구하는 경우 잠재적인 위험은 제공하는 이점보다 더 클 가능성이 큽니다.

PC가 감염되면 어떻게 해야 하나요?

비정상적으로 높은 CPU 사용률, 정지, 충돌(BSOD), 의심스러운 네트워크 활동은 커널 수준 맬웨어 감염의 일반적인 징후입니다. PC가 감염되었다고 생각되면 즉시 조치를 취해야 합니다. 안타깝게도 맬웨어가 매우 끈적끈적할 수 있으므로 선택 사항이 제한적입니다.

루트킷 제거 기능이 있는 바이러스 백신 소프트웨어 사용

루트킷 제거 기능이 있는 대부분의 바이러스 백신 소프트웨어는 대부분의 커널 수준 맬웨어 유형을 제거할 수 있습니다. 우리는 Malwarebytes를 추천합니다 . 이 소프트웨어는 매우 효과적인 전용 루트킷 제거 기능이 있기 때문입니다.

루트킷 검사 기능은 기본적으로 비활성화되어 있으므로 먼저 활성화해야 합니다. Malwarebytes에서 설정을 클릭한 다음 검사 및 감지 섹션으로 이동합니다. 루트킷 검사 옵션을 활성화합니다.

다음 검사에는 PC를 감염시키는 커널 수준 맬웨어를 찾아낼 수 있는 루트킷 검사 기능도 포함됩니다.

부팅 시간 검사 실행

위에서 언급했듯이 부팅 시간 검사는 부팅 프로세스 전에 자신을 숨기는 데 의존하는 커널 수준 맬웨어를 감지할 수 있습니다. 위에서 한 것처럼 Microsoft Defender 검사를 실행하거나 타사 앱을 사용할 수 있습니다. Avast One에는 Microsoft Defender가 실패할 경우 시도할 수 있는 강력한 부팅 시간 검사 기능이 있습니다.

윈도우 재설치

보안 소프트웨어가 커널 레벨 맬웨어를 잡을 수 없는 경우 Windows를 다시 설치하면 문제가 해결됩니다. 현재 이미지가 감염되었을 수 있으므로 새로 설치해야 합니다. Windows 11을 설치하는 방법은 여러 가지가 있으므로 원하는 방법을 선택하세요.

전반적으로 커널 수준 맬웨어는 매우 위험할 수 있지만 해커가 기기에 침투하기 어렵습니다. 커널 수준 맬웨어를 제거하는 데 문제가 있는 경우 BIOS를 업그레이드/재설치하면 문제가 해결될 수 있습니다. 전문가에게 가져가 BIOS를 다시 플래시하고 CMOS를 지울 수도 있습니다.

이미지 출처: Freepik . 모든 스크린샷은 Karrar Haider의 작품입니다.