리눅스 사용 증가, 보안 위협 확대로 이어져 대책 마련 시급

“리눅스, 기업에서 이용되는 다른 OS와 마찬가지로 보안 대책 도입 중요해”

리눅스(Linux)는 여러 면에서 윈도우(Windows)와 Mac OS X 등의 운영체제(OS)와 유사하다. 다른 운영체제에서 사용하는 소프트웨어와 동일한 소프트웨어를 사용할 뿐만 아니라, 그래픽 유저 인터페이스를 채용하고 있다. 리눅스 사용자는 여타 OS의 사용자만큼이나 그 숫자가 많으며, 웹 서버, 네트워크, 데이터베이스 등의 영역에서 선호하는 플랫폼이다.

하지만 리눅스는 중요한 점에서 다른 OS와 다르다. 그 중 하나는 바로 오픈소스 소프트웨어라는 것이다. 즉, 리눅스 개발에 사용되는 코드는 무료로 열람 및 편집이 가능하며 또한 기술을 가진 사용자가 개발에 기여할 수 있도록 공개되어 있다. 리눅스 커널 개발자인 Linus Torvalds씨는 리눅스 개발자들이 대가 없이 기술을 기부할 수 있도록 장려했다. 무료로 사용할 수 있고 또 PC 플랫폼에서 작동한다는 이유로 많은 지지자들과 개발자들을 획득할 수 있었다. 이러한 배경에서 사용자가 임의로 핵심 구성 요소를 선택할 수 있는 커스터마이즈가 가능한 OS가 되었다.

기업과 조직에서는 리눅스를 자사 시스템의 중요한 구성요소로 채택했다. 그러나 최근 여러 공격 사례에서도 엿볼 수 있듯, 리눅스 사용의 증가는 보안 위험 확대로 이어졌습니다. 다음은 리눅스를 노리는 최신 위협의 예다.

◇Rex (2016년 8월) – 리눅스용 랜섬웨어 Rex(트렌드마이크로 탐지명 RANSOME_ELFREXDDOS)는 2016년 5월에 처음 발견되었다. 초기 Rex는 컨텐츠관리시스템(CMS)인 Drupal을 타깃으로 했지만, CMS의 자동 백업기능으로 인해 큰 피해를 입히지 못했다. 이후 3개월 동안 기능을 업데이트해, 현재의 Rex까지 발전되게 되었다.

트렌드마이크로 분석에 의하면, 최신 버전의 Rex는 감염된 시스템을 봇으로 변형시켜 DDoS 공격을 수행하도록 한다. Rex는 RPC(Remote Procedure Control) 플러그인을 실행해 DrupalRESTWS 스캐너, WordPress 스캐너, ContactScanner 스캐너, Magento 스캐너, Kerner 스캐너, Airos 스캐너, Exagrid 스캐너, Jetspeed 스캐너, Ransom 스캐너 등 리눅스 서버 소프트웨어에 존재하는 일반적인 취약점을 스캔한다. Rex는 또한 몸값 지불방법으로 비트코인을 요구하는 것이 확인되었으며, 이를 지불하지 않을 경우, 서버는 DDoS 공격에 노출되며 이후 몸값이 지속적으로 증가한다.

◇Mirai (2016년 8월) – 8월 초순 확인된 Mirai (트렌드마이크로 탐지명 ELF_GAFGYT)는 리눅스 서버와 IoT 기기를 타깃으로 한다. 대부분은 리눅스 기반의 펌웨어가 내장된 하드디스크 드라이브를 감염시켜 DDoS 공격을 위한 봇넷으로 활용한다. 보고에 의하면, Mirai는 DDoS 공격 수행 기능을 갖춘 Gafgyt, Bashdoor, Torlus, BASHLITE 등의 오래된 트로이목마의 발전된 형태인 것으로 밝혀졌다.

◇Umbreon (2016년 9월) – 트렌드마이크로 위협 리서치팀은 최근 포켓몬 이름을 차용한 새로운 루트킷을 확인했다. Umbreon이라 불리는 해당 루트킷은 (트렌드마이크로 탐지면 ELF_UMBREON) 은 인텔 프로세서 및 Raspberry Pi에 탑재된 ARM 프로세서를 운영하는 리눅스 시스템을 공격한다. 즉, 이러한 프로세서를 탑재한 모든 기기가 공격 대상이 되고 있다. Umbreon은 시스템을 재시작해도 활동이 정지되지 않으며, 네트워크 트래픽을 가로채고 종료 명령어를 가로채어 변환하여 공격자가 감염 기기에 침투할 수 있는 연결을 제공한다.

2015년 초부터 개발되기 시작한 Umbreon의 개발자는 최소 2013년부터 사이버범죄 지하시장에서 활동하고 있던 것으로 확인되고 있다. 연구진은 또한 Umbreon의 감지가 특히 어렵다는 것을 언급하고 있다. 해당 루트킷은 보안 제품, 관리자와 분석가, 사용자, 스캐닝, 포렌식 및 시스템 툴의 검색을 회피하도록 작성되어 있다.

◇LuaBot (2016년 9월) – LuaBot(트렌드마이크로 탐지명 ELF_LUABOT)은 리눅스 감염 악성코드 중 가장 최근 등장한 것이다. LouaBot에 대한 연구에 따르면, Mirai와 유사하게 리눅스 서버 및 IOT 기기를 봇넷화해 DDoS 공격에 사용한다. 트로이목마형 악성프로그램 LuaBot은 ELF 형식의 파일 패키지로, IoT 기기에 일반적으로 탐재된 ARM 프로세서를 타깃으로 한다. LuaBot의 세부적인 내용과 감염 경로는 아직 밝혀지지 않았다.

트렌드마이크로 측에 따르면 “리눅스를 겨냥한 최신 위협은 리눅스 또한 기업에서 이용되는 다른 OS와 마찬가지로 보안 대책의 도입이 중요하다는 것을 부각하고 있다. 네트워크 보안 조치만으로 충분하지 않기 때문에 서버 및 시스템 관리자는 다계층 보안 조치를 취해야 한다”며 “트렌드마이크로 Deep Security는 Fairware와 같은 랜섬웨어 공격으로부터 리눅스서버를 보호한다. 관리자에게 알림을 보내고 공격 도중 악의적인 활동을 차단해 감염된 엔드포인트를 통한 공격으로부터 방대한 기밀정보를 보유한 기업의 파일서버를 보호한다. 또한 무차별공격(Brute Force Attack) 또는 서버 간의 측면이동(Lateral Movement) 공격 등을 조기 감지해 피해를 최소화하기 위해 신속히 대응한다”고 밝혔다.

★정보보안 & IT 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★