2026년 3월 10일 오전 11시(EDT) 게시됨
Oluwademilade는 5년 이상의 글쓰기 경험을 보유한 기술 애호가입니다. 그는 2022년에 MUO 팀에 합류하여 소비자 기술, iOS, Android, 인공 지능, 하드웨어, 소프트웨어 및 사이버 보안을 포함한 다양한 주제를 다루고 있습니다. MUO에 글을 쓰는 것 외에도 HowtoGeek, Cryptoknowmics, TechNerdiness 및 SlashGear에 그의 작품이 게재되었습니다.
Oluwademilade는 나이지리아의 Ibadan 대학교에 다녔으며 의과대학에서 의학 학위를 받았습니다. 공공 봉사에 탁월한 능력을 발휘한 Oluwademilade는 UN 산하 학생 단체로부터 글로벌 액션 대사(Global Action Ambassador)라는 칭호를 받았습니다. 그는 2020년에 전 세계에 긍정적인 영향을 미치려는 노력을 인정받아 말레이시아 쿠알라룸푸르에서 이 직위를 받았습니다.
여가 시간에 Oluwademilade는 새로운 AI 앱과 기능을 테스트하고, 가족과 친구를 위한 기술 문제를 해결하고, 새로운 코딩 언어를 배우고, 가능할 때마다 새로운 장소로 여행하는 것을 즐깁니다.
아마도 PC에 이상한 일이 발생하면 바이러스 백신이 이를 포착할 것이라고 생각할 것입니다. 그리고 아마도 그렇게 될 것입니다. 결국에는 말이죠. 그러나 전통적인 보안 소프트웨어가 신호를 보낼 때쯤에는 이미 피해가 발생한 상태입니다. 실행되는 모든 프로세스, 열리는 모든 네트워크 연결, 파일 생성 타임스탬프가 의심스럽게 변경될 때마다 컴퓨터가 내부에서 일어나는 모든 일에 대해 상세하고 실행 중인 일지를 보관할 수 있다면 어떨까요?
이것이 바로 Sysmon이 하는 일입니다. 의심스러운 동작을 포착하기 위한 Windows Sysinternals 도구의 더 넓은 범주에 속하는 무료 Microsoft 구축 도구입니다. 흥미로운 점은 이러한 유틸리티가 PC에서 스파이웨어와 애드웨어를 찾는 데 있어 최고의 표준임에도 불구하고 대부분의 Windows 사용자는 이 유틸리티에 대해 들어본 적이 없을 수도 있다는 것입니다.
Sysmon은 Windows에 내장된 로깅과 비교할 수 없는 수준의 가시성을 제공합니다.
이벤트 뷰어는 절대로 자르지 않을 것입니다
Windows는 이미 이벤트 로그를 보관하고 있으며, 문제를 해결하기 위해 이벤트 뷰어를 열어 본 적이 있다면 아마도 얼마나 혼란스러운지 눈치채셨을 것입니다. 소음이 많고 선명도가 항상 충분하지 않습니다. System Monitor의 약자인 Sysmon은 완전히 다른 동물입니다. 일단 설치되면 지속적인 시스템 서비스 및 장치 드라이버로 실행되어 재부팅 후에도 유지되며 Windows 이벤트 로그에 매우 상세한 이벤트를 기록합니다. 그 차이점은 거친 보안 카메라와 번호판을 판독할 수 있는 카메라를 비교하는 것과 비슷합니다.
Sysmon의 이벤트 카탈로그 로그는 전체 명령줄 인수와 함께 생성을 처리하므로 프로그램이 실행된 것뿐만 아니라 프로그램이 시작된 방법도 볼 수 있습니다. 또한 원래 프로세스, IP 주소, 포트 및 호스트 이름을 포함한 네트워크 연결을 기록합니다. 이를 통해 어떤 애플리케이션이 어떤 서버에 언제 접속했는지 추적할 수 있습니다. 심지어 파일 생성 타임스탬프에 대한 변경 사항도 표시합니다. 이는 멀웨어가 자신을 합법적인 시스템 파일로 위장하기 위해 사용하는 고전적인 속임수입니다. 그 외에도 Sysmon은 드라이버 로딩, 레지스트리 변경, DNS 쿼리 및 이벤트 ID 25에 기록된 프로세스 비우기와 같은 고급 기술을 감시합니다. 여기서 악성 코드는 필수적인 Windows 프로세스 내에 숨어 있습니다.
관련
PC가 조용히 다른 용도로 사용되고 있는지 확인하는 방법입니다.
귀하의 PC가 귀하가 요청한 것보다 더 많은 일을 하고 있다고 생각하십니까? 숨겨진 활동을 확인하는 방법은 다음과 같습니다.
다음은 가장 보안과 관련된 이벤트 ID를 다루는 초안 표입니다:
<머리> <일>이벤트 ID
<일>이름
<일>캡처 내용
<일>1
프로세스 생성
전체 명령줄, 상위 프로세스 및 파일 해시를 포함하여 시작되는 모든 프로세스입니다. 의심스러운 실행을 발견하는 데 가장 유용한 단일 이벤트입니다.
<일>2
파일 생성 시간 변경
프로세스가 파일의 생성 타임스탬프를 의도적으로 변경할 때 플래그를 지정합니다. 이는 합법적인 시스템 파일과 혼합하기 위한 전형적인 악성 코드 전략입니다.
<일>3
네트워크 연결
아웃바운드 TCP/UDP 연결을 기록하고 각 연결을 만든 프로세스에 연결합니다. 비콘이나 데이터 유출을 탐지하는 데 필수적입니다.
<일>6
드라이버 로드됨
서명 상태를 포함하여 로드되는 커널 드라이버를 기록합니다. 서명되지 않았거나 예상치 못한 드라이버는 심각한 위험 신호입니다.
<일>7
이미지 로드됨
프로세스에 로딩되는 DLL을 추적합니다. 볼륨 때문에 기본적으로 비활성화되어 있지만 신중하게 필터링하면 DLL 하이재킹을 탐지하는 데 강력합니다.
<일>8
원격 스레드 생성
코드 삽입 및 프로세스 공동화 공격의 특징적인 기술인 한 프로세스가 다른 프로세스에 스레드를 삽입하는 경우를 감지합니다.
<일>10
프로세스 접근
한 프로세스가 다른 프로세스의 메모리를 열 때 실행되어 LSASS(Windows 로그인 비밀을 저장하는 프로세스)를 표적으로 하는 자격 증명 도용 도구를 포착합니다.
<일>11
파일 생성
생성되거나 덮어쓴 새 파일을 기록하며 특히 임시, 다운로드 및 시작 폴더를 볼 때 유용합니다.
<일>12-14
레지스트리 이벤트
맬웨어가 재부팅 시 지속성을 설정하는 주요 방법인 레지스트리 키 생성, 삭제, 값 변경 및 이름 변경을 다룹니다.
<일>15
파일 생성 스트림 해시
첨부된 영역 식별자 스트림을 기록하여 브라우저를 통해 다운로드된 파일을 포착합니다. 의심스러운 실행 파일의 출처를 추적하는 데 유용합니다.
<일>17~18
파이프 이벤트
Cobalt Strike와 같은 악성 코드 및 악용 후 프레임워크에서 사용되는 일반적인 프로세스 간 통신 방법인 명명된 파이프 생성 및 연결을 모니터링합니다.
<일>19~21
WMI 이벤트
이 이벤트 없이는 거의 흔적을 남기지 않는 선호되는 파일 없는 지속성 기술인 WMI 필터 및 소비자 등록을 추적합니다.
<일>22
DNS 쿼리
프로세스에서 수행하는 모든 DNS 조회를 기록하므로 전체 TCP 연결이 설정되기 전에도 알려진 악성 도메인에 대한 연결을 찾아낼 수 있습니다.
<일>25
프로세스 변조
프로세스 비우기 및 허파더핑(탐지를 회피하기 위해 합법적인 프로세스 메모리를 악성 코드로 대체하는 기술)을 탐지합니다.
<일>29
실행 파일 감지
시스템에 새로운 실행 파일(PE 형식)이 생성되면 플래그를 지정합니다. 이는 드로퍼나 설치 프로그램이 실행 중이라는 강력한 초기 표시입니다.
Sysmon을 시작하고 실행하는 방법입니다
터미널을 열 수 있다면 이미 거의 다 온 것입니다.
Sysmon은 Microsoft의 Sysinternals 페이지(이 글을 쓰는 시점의 버전 15.15)에서 무료로 다운로드할 수 있으며 설치는 단일 명령으로 이루어집니다. 관리자 권한이 필요하며 PowerShell이나 명령 프롬프트를 통해 잠시 우회해야 하지만 전체 프로세스는 5분 이내에 완료됩니다.
시스몬
운영체제 Windows(Linux 버전도 사용 가능)
개발자 마이크로소프트(시스인터널스 팀)
가격 모델 무료
Sysmon은 프로세스 시작, 네트워크 연결 및 파일 변경과 같은 자세한 Windows 활동을 기록하는 고급 시스템 모니터링 도구입니다. 백그라운드에서 실행되어 보안 전문가가 PC 내부에서 일어나는 일에 대한 심층적인 가시성을 제공합니다.
Microsoft Learn의 공식 Sysmon 페이지로 이동하여 ZIP 파일(약 4.6MB)을 다운로드하고 내용을 추출하세요. 그런 다음 관리자로 PowerShell 또는 명령 프롬프트를 열고 폴더로 이동하여 다음을 실행합니다.
.\sysmon64 -accepteula -i
이것이 기본 설치입니다. Sysmon은 백그라운드에서 서비스와 드라이버를 설치합니다. 사실 재부팅할 필요도 없습니다. 그 시점부터 애플리케이션 및 서비스 로그에 이벤트를 기록하기 시작합니다. -> 마이크로소프트 -> 윈도우 -> 시스몬 -> 이벤트 뷰어에서 작동 . 해당 로그를 즉시 확인할 수 있습니다.
제거도 간단합니다:sysmon64 -u . 이 도구는 결코 자신의 자리를 지키려 하지 않으며 저는 이를 존경합니다.
혼자 해결할 필요는 없습니다
기본 Sysmon 설치는 작동하지만 실제로는 구성 파일을 사용하여 자체적으로 설치됩니다. Sysmon은 기록할 이벤트, 필터링할 이벤트, 세부 수준을 지정하는 XML 구성을 허용합니다. 형식에 익숙하지 않은 경우 XML 파일이 무엇인지, 어떻게 사용하는지 자세히 알아볼 수 있습니다. 이러한 파일은 Sysmon이 시스템을 모니터링하는 데 사용하는 "논리"를 정의하기 때문입니다. 처음부터 자신만의 글을 작성하는 것은 하나의 프로젝트입니다. 하지만 꼭 그럴 필요는 없습니다.
사이버 보안 커뮤니티는 몇 가지 뛰어난 기성 구성을 제작했습니다. 가장 널리 사용되는 것은 GitHub에서 무료로 사용할 수 있는 SwiftOnSecurity sysmon-config이며 거의 5,000개의 별과 1,700개 이상의 포크가 있습니다. 로그를 읽을 수 없게 만드는 노이즈를 필터링하면서 보안 관련 이벤트를 캡처하도록 세심하게 조정되었습니다. 모든 줄에 주석이 달려 있어 튜토리얼로도 사용할 수 있습니다. 이 구성을 설치하려면 다음을 실행하세요:
sysmon64 -accepteula -i sysmonconfig-export.xml
새로운 구성 파일로 기존 설치를 업데이트하려면:
sysmon64 -c sysmonconfig-export.xml
더욱 모듈화된 것을 원한다면 Olaf Hartong(GitHub)의 sysmon-modular 프로젝트가 MITRE ATT&CK 프레임워크에 직접 매핑되는 구성 가능한 커뮤니티 유지 접근 방식을 제공합니다. 둘 다 훌륭한 출발점입니다.
모든 공격을 막을 수는 없지만 공격이 발생했다는 사실은 알 수 있습니다
Sysmon을 잘 운영하기 위해 보안 엔지니어가 될 필요는 없습니다. 적절한 구성 파일, 가끔씩 이벤트 뷰어를 열 의지, 그리고 컴퓨터에 이상한 일이 발생하면 이에 대한 기록이 남을 것이라는 만족감이 필요합니다. 나에게 있어서 그러한 마음의 평화는 5분의 설정만으로도 충분한 가치가 있습니다.