Sysinternals로 숨은 프로세스 추적 방법
Sysinternals
요즘처럼 악성코드나 의심스러운 백도어가 시스템 깊숙이 숨어들기 쉬운 시대에, 눈에 보이지 않는 프로세스를 어떻게 잡아내야 할까요?
윈도우 운영체제를 제대로 다룬다면 한 번쯤 들어봤을 Sysinternals Suite. 그중에서도 우리가 오늘 주목할 도구는 Process Explorer와 TCPView, 그리고 Autoruns입니다.
이 글에서는 최근 보안 분석 사례와 함께, 실사용 환경에서 Sysinternals를 활용해 숨겨진 프로세스를 추적하고 의심스러운 행동의 핑거프린트를 잡아내는 과정을 안내해 드릴게요.
>>Sysinternals로 숨은 프로세스 추적 방법
숨은 프로세스를 왜 잡아내야 할까?
Sysinternals로 숨은 프로세스 추적 방법요즘은 단순한 백신만으로는 보안 위협을 막기 어려워요. 특히, 백도어나 RAT(Remote Access Trojan) 같은 악성 프로그램은 시스템 프로세스인 척 가장하면서 은밀히 작동하죠.
작업 관리자에서는 안 보이지만 실제로는 네트워크에 연결되어 있거나, 키보드 입력을 몰래 저장하는 경우도 있어요. 이럴 때 Sysinternals 도구가 큰 힘이 됩니다.
Process Explorer로 프로세스 내부 들여다보기
Process Explorer는 작업관리자를 훨씬 뛰어넘는 정보를 보여주는 툴이에요. 실행하면 트리 구조로 프로세스가 정리되며, 부모-자식 관계도 명확하게 표시돼요.
의심되는 프로세스에 우클릭 후 "Properties"로 들어가면 실행 경로, 디지털 서명 여부, 시작 시점 등을 확인할 수 있어요.
Verified Signer가 "Unable to Verify"로 뜨는 프로세스는 한 번쯤 주의해서 봐야 해요.
DLL 뷰 탭을 통해 악성 모듈이 삽입되었는지도 알 수 있어요.
프로세스 아이콘 옆에 있는 색상도 중요한 단서예요. 회색으로 표시된 건 종료된 프로세스, 분홍색은 .NET 관련 앱 등이죠.
TCPView로 수상한 네트워크 연결 추적하기
프로세스 자체는 괜찮아 보여도, 이상한 IP로 통신을 하고 있다면 문제가 있을 수 있어요.
TCPView는 시스템의 모든 포트 연결 현황을 실시간으로 보여줘요. 어떤 프로세스가 어떤 IP로, 어떤 포트를 통해 통신 중인지 확인할 수 있죠.
출처 모를 도메인이나 외국 IP로 지속적으로 연결되는 프로세스가 있다면 수상해요.
특히 ESTABLISHED 상태로 외부와 지속 연결된 상태인데, 그 프로세스가 로컬 앱과 무관하다면 경계해야 해요.
Autoruns로 자동 실행 항목까지 파악하기
악성 프로그램은 대부분 PC를 켜자마자 실행되도록 설정돼 있어요. Autoruns를 통해 자동 실행 항목을 싹 다 훑을 수 있습니다.
Logon, Scheduled Tasks, Services, Drivers 항목에서 의심되는 파일명이나 경로가 있는지 살펴보세요.
서명되지 않은 실행 파일이 등록되어 있다면 한 번쯤 검색해서 정체를 확인해보는 걸 추천해요.
이름은 정상이지만, 실행 위치가 %AppData%, %Temp%, C:\Users\Public 등이라면 특히 조심해야 해요.
핑거프린트 수집: 행동 흔적을 놓치지 말자
Sysinternals 도구만으로도 충분히 "의심"할 수 있는 지점을 확보할 수 있지만, 정황 증거를 모으는 것도 중요해요.
Process Explorer에서 Strings 탭을 열어 내부 문자열을 보면 명령어, 경로, 서버 주소 등이 나올 수 있어요.
TCPView로 확인한 IP를 whois 조회하면 어느 국가, 어떤 호스팅 업체인지 파악 가능해요.
Autoruns에서 보인 실행 파일의 해시값을 VirusTotal에 입력하면 공개된 악성 여부 확인도 가능해요.
요즘 악성코드는 눈에 띄지 않게 숨어 있는 게 특징이에요. 단순히 컴퓨터가 느려졌다고 넘기기엔 위험할 수 있어요.
평소에도 시스템 자원 사용량이 갑자기 늘거나, 네트워크 연결이 낯설게 느껴진다면 한 번쯤 Sysinternals 툴로 내부를 들여다보는 습관을 들여보세요.
