Windows/Linux OS의 "커널 레벨(Kernel Level)"에 이상 인증 탐지 및 차단 기능을 추가하는 것은 시스템 보안을 가장 깊은 계층에서 강화하는 매우 강력한 접근 방식이다.
일반적으로 커널 기반 루트킷 방어(Kernel-Based Anti-Rootkit), 커널 무결성 모니터링(Kernel Integrity Monitoring) 또는 "호스트 침입 방지 시스템(HIPS)"의 일부로 간주될 수 있다.
이러한 기능을 커널 레벨에서 구현할 때 얻을 수 있는 주요 이점은 다음과 같다.
1. 최고 수준의 권한 (Ring 0)
커널은 OS의 핵심이며, 가장 높은 권한 레벨인 Ring 0(커널 모드)에서 실행된다.
이 위치에서 인증 메커니즘을 모니터링하고 제어하면, "사용자 레벨(User Level, Ring 3)"에서 실행되는 악성코드나 공격자가 탐지 및 차단 기능을 회피하기가 거의 불가능해진다.
2. 은닉성 및 불변성
사용자 레벨의 보안 소프트웨어는 다른 사용자 레벨 프로세스에 의해 쉽게 종료되거나 조작될 수 있다.
반면, 커널 레벨 모듈은 스스로를 숨기거나(Rootkit 방지) OS의 핵심 구성 요소로 보호되기 때문에 "높은 은닉성(Stealth)"과 "무결성(Integrity)"을 유지할 수 있다.
3. 전체 시스템 가시성 (Full System Visibility)
커널은 모든 시스템 호출(System Calls), 프로세스 생성/종료, 파일 I/O, 네트워크 통신 등 모든 OS 활동을 관리한다.
이 위치에서 인증 관련 시스템 호출(예: login, su, sudo 등)을 "후킹(Hooking)"하거나 모니터링하여, 인증 시도가 시스템에서 일어나는 모든 상호작용의 맥락 속에서 정상적인지 비정상적인지 판단할 수 있다.
4. 실시간 차단 및 대응
이상 징후가 탐지되는 즉시 커널 자체에서 해당 인증 시도를 차단하거나, 악성 프로세스를 종료하거나, 네트워크 연결을 끊는 등 "실시간 강제 조치(Enforcement)"를 수행할 수 있다.
이는 공격이 확산되기 전에 즉각적으로 방어할 수 있게 한다.
이와 같은 이유로 커널의 PAM에서 작동하는 BaroPAM 솔루션에 이상 인증 탐지 및 차단 기능을 추가하여 12월에 릴리즈 할려고 개발 중이다.
'▶ BaroSolution > 기술문서' 카테고리의 다른 글
| 일본 아사히 그룹 랜섬웨어 침해 사고의 주요 경로와 피해 내용 (0) | 2025.12.05 |
|---|---|
| 중앙집중화 방식의 보안 솔루션의 문제점 (0) | 2025.11.26 |
| 왜 유독 우리나라에서 해킹 사고가 자주 일어날까? (0) | 2025.11.20 |
| Windows Server에서 다중 동시 세션 허용하는 방법 (0) | 2025.11.18 |
| 네트워크 장비에 대한 보안 강화가 필요한 이유 (0) | 2025.11.18 |