루트킷(ROOTKIT)은 단일 컴퓨터 또는 일련의 컴퓨터 네트워크에 대해 관리자 레벨의 접근을 가능하도록 하는 도구(프로그램)의 집합이다. 전형적으로 해커가 어떤 컴퓨터에 대해 사용자 레벨의 접근에 성공한 후에 그 컴퓨터 상에 루트킷을 설치한다. 알려진 취약점을 악용하기 위해서 또는 패스워드를 크랙킹하기 위해 그런 행동을 한다. 한번 루트킷이 설치되면, 공격자에게 위장침입(mask intrusion)을 허용하고 그 컴퓨터와 네트워크 상에서 가능한 다른 장비들에 대한 루트권한 또는 관리자에 상응하는 특권을 허용한다.
루트킷은 스파이웨어와 다른 프로그램들(트래픽 또는 키스트로크를 모니터링하는 프로그램, 해커가 사용할 수 있는 시스템으로의 백도어를 생성하는 프로그램, 로그 파일을 변경하는 프로그램, 네트워크 상의 다른 장비들을 공격하는 프로그램. 탐지를 벗어나기 위해 컴퓨터 상에서 현재 작동중인 시스템 도구들을 변경하는 프로그램 등)으로 구성된다.
네트워크상에서 루트킷의 존재를 처음으로 문서화한 것은 1990년대 초이다. 그 때에는 선(Sun)과 리눅스(Linux)운영체제가 해커들이 루트킷을 설치하고자 하는 주 타겟(target)이었으나, 현재에 와서는 윈도우를 포함한 수많은 운영체제에서 작동 가능하며 어떤 네트워크 상에서도 탐지하기가 점점 어려워지고 있다.
루트킷은 점점더 보편화되어가고 있고, 그 source들이 점점 더 놀라워지고 있다. 2005년 10월 말에 보안 전문가인 Sysinternals사의 Mark Russinovich는 자신의 컴퓨터 안에 소니 오디오 CD의 DRM(digital right management)컴포넌트의 일부로서 포함되어 있는 루트킷이 설치되어 있다는 것을 발견했다. 이런 사례가 일반인들이 짐작하는 것보다 더 광범위하게 퍼져 있을지도 모른다는 것과 공격자들이 이미 설치된 루트킷을 악용할 수도 있다는 것에 대해 관련 전문가들은 염려한다. 핀란드 F-Secure사의 AV(antivirus) 연구이사인 Mikko Hypponen은 “이것은 바이러스 제작자에게 기회를 제공한다. 이 루트킷은 어떤 악성코드에 의해서도 악용될 수 있으며, 이런식으로 사용될 때, 우리 같은 회사들은 합법적인 프로그램들(the legitimate)로 부터 악의적인 프로그램(the malicious)을 구분해내기가 쉽지 않을 것” 이라고 말했다.
마이크로소프트, F-Secure, Sysinternals등, 많은수의 벤더들은 현존하는 루트킷을 탐지할 수 있는 프로그램을 제공하고 있다. 그렇더라도, 만약 루트킷이 발견된다면, 제거할 수 있는 유일한 방법은 컴퓨터 하드디스크를 몽땅 지우고 운영체제를 다시 설치하는 것이다
출처:네이버 지식인