당신의 컴퓨터는 매번 부팅할 때, 당신이 모르는 프로그램을 실행하고 있다.

대부분의 Windows 사용자들은 부팅 과정을 전원 버튼을 눌러 데스크톱이 나타나기를 기다리는 것으로 인식하지만, 이 대기 시간 동안 Windows는 자동으로 시작되도록 설정된 모든 프로그램, 서비스, 드라이버 및 시스템 구성 요소를 실행하기 위한 목록을 순차적으로 실행하고 있습니다. 이 목록은 생각보다 훨씬 복잡합니다. 여러 위치에 분산되어 있으며, Windows 레지스트리와 시스템 폴더의 다양한 수준, 그리고 스케줄 작업의 설정 파일에 걸쳐 있습니다. 정상적인 소프트웨어 설치 후에는 스스로를 추가하며, 악성 프로그램도 이를 사용하고, 종종 사람들이 발견하기 가장 힘든 위치를 선택합니다. Autoruns는 이 전체 목록을 드러내어 당신의 컴퓨터가 부팅할 때 어떤 작업을 하고 있는지를 처음으로 명확하게 보여주는 역할을 합니다.

작업 관리자와 일반 방역 소프트웨어가 충분하지 않은 이유

Windows의 기본 작업 관리자에는 자동 시작 프로그램을 보여주는 시작 탭이 있지만, 이는 그저 빙산의 일각에 지나지 않습니다. 실제로 완전한 자동 시작 위치는 시스템의 수십 가지 다른 영역에 분포되어 있으며, 작업 관리자가 표시하는 것은 가장 표면적인 부분에 불과합니다. 악성 프로그램의 작성자는 이 점을 잘 알고 있습니다. 그들은 프로그램 코드를 드라이버, 브라우저 확장, 스케줄 작업, 또는 시스템 서비스의 이름으로 위장하여 주입하기로 선택하며, 이와 같은 위치는 작업 관리자 시작 목록에 나타나지 않습니다. 방역 소프트웨어는 알려진 악성 프로그램의 특성을 감지할 수 있지만, 표적 공격이나 비교적 신형 악성 프로그램에 대해서는 특성 데이터베이스가 즉각적으로 대응할 수 없을 수 있습니다. Autoruns는 다른 관점을 제공합니다. 그것은 특성 비교에 의존하지 않고, 모든 자동 시작 항목을 직접 볼 수 있게 하여, 당신이나 전문가가 어떤 항목이 정상이고, 어떤 항목이 존재해서는 안 되는지를 판단할 수 있게 해줍니다.

Autoruns가 드러낼 수 있는 숨겨진 위치는?

이 도구가 모니터링하는 시작 위치는 대부분 사람들이 상상하는 것보다 훨씬 많습니다. 여기에는 다음이 포함됩니다:

  • Windows 레지스트리의 여러 Run 및 RunOnce 키. 이는 가장 일반적인 자동 시작 위치입니다.
  • 시작 메뉴의 시작 폴더, 사용자 수준과 시스템 수준 모두 포함합니다.
  • Windows 스케줄 작업, 특정 시간이나 특정 이벤트가 발생할 때 프로그램을 실행하도록 설정하는 것이 가능합니다.
  • 브라우저 확장 및 플러그인, Chrome, Firefox, Edge 및 Internet Explorer를 포함합니다.
  • 시스템 서비스 및 드라이버, 이는 운영 체제 코어에 가장 가까우며 가장 감지하기 어려운 위치입니다.
  • DLL 주입 지점, 정상 프로그램의 실행 공간에 코드가 로드되도록 허용합니다.
  • Winlogon 및 LSA 관련 항목, 사용자 로그인 프로세스 중에 트리거됩니다.

이 목록만으로도 작업 관리자만으로는 전반적인 모습을 볼 수 없는 이유를 충분히 설명합니다.

Windows 부팅 시작 위치와 악성 프로그램의 은폐 위치 설명 인포그래픽.

보안 전문가가 Autoruns를 사용하는 상황은?

실제 보안 작업에서 Autoruns는 자주 등장합니다. 장치가 악성 프로그램에 감염된 것으로 의심되는 경우, 보안 전문가들이 Autoruns를 여는 것은 일반적으로 가장 초기의 몇 가지 행동 중 하나입니다. 이 도구는 어떤 항목이 디지털 서명을 확인하지 않았는지, 어떤 항목의 파일 경로가 비정상적인지 또는 어떤 항목이 시스템 프로그램 이름을 모방하여 위장했는지를 빠르게 보여줍니다. Autoruns는 또한 각 자동 시작 항목을 VirusTotal에 제출하여 스캔할 수 있는 매우 유용한 기능을 제공합니다. 도구 인터페이스 내에서 해당 항목의 위협 평가 결과를 직접 확인할 수 있어 수동으로 하나씩 확인하는 시간을 대폭 단축시켜줍니다. 일반 사용자에게 Autoruns의 가장 직접적인 용도는 컴퓨터가 불명확하게 느려지거나 비정상적인 네트워크 트래픽이 발생하거나 방역 소프트웨어가 경고를 발신하는 경우, 부팅환경이 깨끗한지를 확인하기 위한 첫 번째 도구로 사용되는 것입니다. 사용 중에 판단하기 어려운 의심스러운 항목을 발견했을 경우, VexelOps는 이러한 항목의 위험성을 분석하고 이후 조치를 제안하는 데 도움을 줄 수 있습니다.

Autoruns 자주 묻는 질문

Autoruns가 표시하는 항목이 이렇게 많다면, 어떤 것이 정상인지 어떻게 알 수 있나요?

Autoruns는 몇 가지 편리한 필터 기능을 제공합니다. 그 중 가장 유용한 것은 인증된 Microsoft 서명 항목을 숨기는 옵션입니다. 이 옵션은 화면에 표시되는 항목 수를 대폭 줄여주며, 디지털 서명이 없거나 서명을 확인할 수 없는 항목에 주의를 집중할 수 있게 해줍니다. 또한, 빨간색 또는 노란색 배경으로 표시되는 항목은 해당 프로그램 파일을 찾을 수 없거나 삭제되었지만 레지스트리에 기록은 여전히 존재하는 경우로, 이는 일반적으로 추가 확인이 필요합니다.

Autoruns에서 특정 항목을 비활성화 한 후, 컴퓨터에 문제가 생기나요?

Autoruns에서 항목을 비활성화하는 방법은 체크박스를 해제하는 것이며, 이는 직접 삭제하는 것이 아니라므로 이 작업은 되돌릴 수 있습니다. 특정 자동 시작 항목을 비활성화한 후에는 컴퓨터를 재부팅하고, 컴퓨터의 동작에 이상이 있는지 관찰해야 합니다. 문제가 없다면 해당 항목이 일상 사용에 필요하지 않다는 것을 의미합니다. 확신이 없는 항목에 대해 어떤 조치를 취하기 전, 그 항목의 이름을 검색하여 기능 및 출처를 이해한 후 비활성화할지 결정하는 것이 좋습니다.

Autoruns와 Process Monitor는 어떻게 함께 사용해야 하나요?

두 도구는 접근 방식이 다르지만 상호 보완적입니다. Autoruns는 시스템 부팅 시 설정된 자동 실행 항목이 무엇인지 명확히 보여주는 정적 목록 분석 도구입니다. Process Monitor는 시스템이 진행되는 동안 프로그램의 동작을 실시간으로 기록하는 동적 행동 추적 도구입니다. 의심스러운 프로그램을 조사할 때는 일반적으로 Autoruns로 의심스러운 시작 항목을 찾아낸 후, Process Monitor로 해당 프로그램이 실행되면서 실제로 무엇을 했는지 관찰하는 방식으로 두 도구를 함께 활용하여 더 완벽한 분석 시각을 제공합니다. One Key Takeaway: Autoruns가 드러내는 것은 단순히 어떤 프로그램이 부팅 시 시작되는 것뿐만 아니라, 당신의 컴퓨터 부팅 환경을 처음으로 진정으로 볼 수 있게 해주는 것입니다. 이 목록은 공격자들이 가장 좋아하는 장소이며, 이는 모든 위험 요소를 명확하게 인식하고 적극적으로 대응하게 합니다.