Kernel rootkit hide processes or maintain its attacks by manipulating host system kernel. They hold the high-est privilege level and thus cannot be detected with Anti-Virus (AV) solutions that operate with lower privileg-es. As malwares adapt kernel rootkit’s evasive techniques, they become capable of hiding from conventional AV solutions. Therefore, researches on kernel integrity monitors aim to mitigate the threat of kernel rootkits and ad-vanced malwares that take advantage of the rootkit technologies. The problem is that such research works are continuously proposed without a standard classifications on its form and functionalities. A comparison between such works and also their applicability are rather difficult to determine. As such, this thesis proposes a taxonomy on kernel integrity monitoring to bring completeness to the particular area of research. By classifying existing works using the proposed taxonomy, this thesis is intended to present a standardized classification of kernel integrity monitors.

커널 루트킷은 호스트 시스템의 커널을 직접 수정함으로써 프로세스를 은닉하거나 공격을 유지한다. 이들은 호스트 내에서 가장 높은 권한을 가지고 수행하기 때문에 그 보다 낮은 사용자 레벨에서의 안티 바이러스 솔루션으로는 탐지할 수 없다. 커널 루트킷의 이러한 은닉 기술을 일반적인 악성코드들이 차용하면서 안티 바이러스 솔루션을 회피할 수 있게 된다. 또한 커널을 직접적으로 수정하기 때문에 호스트의 시스템은 잠재적으로 파괴가 가능해지는 위협을 가지게 되었다. 때문에 커널 무결성에 대한 연구와 감시 기술들은 루트킷의 기술을 차용하는 지능화된 악성코드들과 커널 루트킷 자체의 위협을 줄여주는 역할을 한다. 문제는 현재 이러한 연구들과 감시 기술들이 일정한 분류 기준이 없이 제안된다는 것이다. 연구나 기술간의 논리적인 비교, 해당 커널 모니터에 대한 적용 가능성 등을 확인하는 것이 어렵다. 이에 본 논문에서는 이러한 문제들을 해결하고, 이 분야에 대한 온전성을 갖추기 위해 커널 무결성 검증에 대한 분류 체계를 제안 한다. 기존 연구 및 감시 기술들을 이 분류 체계에 맞춰 구분하고, 제기된 문제들을 적절히 해결할 수 있는지 평가한다.