W-62 시작 프로그램 목록 분석
가이드라인 원문
| 항목 | 내용 |
|---|---|
| 항목코드 | W-62 |
| 점검대상 | Windows 2000, 2003, 2008, 2012, 2016, 2019, 2022 |
| 판단기준 | 양호: 시작프로그램목록을정기적으로검사하고불필요한서비스를비활성화한경우 |
| 판단기준 | 취약: 시작프로그램목록을정기적으로검사하지않고,부팅시불필요한서비스도실행되고있는경우 |
| 조치방법 | 시작프로그램목록의정기적인검사실시및불필요한서비스비활성화설정 |
상세 설명
1. 항목 개요
이 항목은 Windows가 부팅될 때 자동으로 실행되는 시작 프로그램(Startup Programs) 목록을 점검하여, 불필요한 프로그램이나 악성코드의 존재 여부를 확인합니다.
2. 왜 이 항목이 필요한가요?
악성코드 탐지 및 시스템 최적화
- Persistence(지속성) 제거: 대부분의 악성코드(백도어, 트로이목마, 랜섬웨어)는 재부팅 후에도 계속 실행되기 위해 시작 프로그램 레지스트리(
Run키)에 자신을 등록합니다. - 성능 확보: 불필요한 에이전트나 업데이트 프로그램이 시작 시 로드되면 부팅 속도가 느려지고 메모리를 낭비합니다.
보안 위협 시나리오
- 악성코드가
HKLM\...\Run경로에SecurityUpdate.exe라는 그럴싸한 이름으로 등록 - 관리자는 프로세스 목록만 보고 정상 프로그램으로 착각
- 서버 재부팅 시마다 백도어가 자동 실행되어 해커와 통신 연결
3. 점검 대상
- Windows NT, 2000, 2003, 2008, 2012, 2016, 2019, 2022 서버
4. 판단 기준
| 구분 | 기준 |
|---|---|
| 양호 | 시작 프로그램 목록에 불필요하거나 의심스러운 항목이 없는 경우 |
| 취약 | 출처를 알 수 없는 파일이나 불필요한 상용 소프트웨어(메신저, 툴바 등)가 등록된 경우 |
5. 점검 방법
방법 1: 작업 관리자 (Server 2012 이상)
| |
방법 2: 레지스트리 확인
다음 경로의 값을 확인합니다.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKCU\Software\Microsoft\Windows\CurrentVersion\RunC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup(폴더)
방법 3: Sysinternals Autoruns (강력 권장)
- Microsoft에서 제공하는
Autoruns도구를 사용하면 숨겨진 시작 지점(서비스, 예약 작업, 드라이버 등)까지 정밀하게 분석할 수 있습니다.
6. 조치 방법
불필요하거나 의심스러운 항목을 비활성화 및 삭제합니다.
방법 1: 작업 관리자 / 설정 앱
| |
방법 2: 레지스트리 삭제
| |
7. 조치 시 주의사항
| 주의사항 | 설명 |
|---|---|
| 필수 프로그램 식별 | 백신(Anti-Virus), 서버 관리 에이전트, 백업 데몬 등 필수 프로그램을 실수로 지우지 않도록 주의해야 합니다. 파일명만 보지 말고 ‘게시자(서명)‘와 ‘파일 경로’를 꼭 확인하세요. |
| 서비스 등록 | 시작 프로그램뿐만 아니라 services.msc에 등록된 악성 서비스도 함께 점검해야 완벽합니다. |
8. 참고 자료
요약
W-62 시작프로그램목록분석는 “내 허락 없이 실행되는 손님"을 찾아내는 과정입니다. 정체불명의 파일이 부팅 때마다 실행되고 있다면 즉시 조사해야 합니다.