리눅스의 보안 위협, 점점 더 증가하고 있다

주요 시설과 시스템들에는 대부분 리눅스가 설치되어 있다. 그런 시스템들은 갈수록 늘어나고 있기도 하다. 그래서 공격자들은 리눅스를 진지하게 연구하기 시작했고, 그 성과가 최근 몇 개월 동안 가시적으로 나타나고 있다.

[보안뉴스 문정후 기자] 대수롭지 않게 보이는 것들, 혹은 거기 있는 줄도 몰랐던 사소한 것들이 꽤나 큰 문제를 일으키는 사례가 보안 업계에서는 흔히 나타난다. 좋은 예가 있으니 ELF 바이너리 형태로 기획된 리눅스 멀웨어다. 리눅스라는 것이 광범위하게 우리 생활 곳곳에 퍼지고 있는데, 대부분의 우리는 그걸 잘 인지하지 못하고 있다. 거기 있는데 있는 줄 모르고 있다가 큰 코 다치게 되는 것이다.

[이미지 = utoimage]

포티가드랩스(FortiGuard Labs)의 전문가들이 조사한 결과 최근 들어 ELF 멀웨어를 비롯해 다양한 종류의 리눅스 멀웨어들이 무서운 속도로 증가하는 중이라는 사실이 드러났다. 2021년 한 해 동안 리눅스 멀웨어의 양은 두 배 넘게 증가했으며, 올해 1사분기 동안에는 무려 네 배나 늘어났다고 한다. 물론 2배나 4배를 가지고 ‘기하급수적’이라고 말하는 건 어색하지만, 무시하기도 힘든 수치인 것도 분명하다.

리눅스에 대한 위협, 꾸준히 증가 중
리눅스 멀웨어가 다양해지면서 증가하고 있다는 건 사이버 공격자들의 관심이 리눅스 체제로 쏠리기 시작했다는 걸 나타낸다. ELF 형태로 나타나는 멀웨어 중 가장 많이 눈에 띄는 건 머스틱(Muhstik)이라는 것으로, 감염된 시스템을 봇으로 만드는 기능을 가지고 있다. 알려진 취약점을 익스플로잇 하는 방식으로 증가하는 것으로 알려져 있다. 머스틱이 곧잘 익스플로잇 하는 것 중 하나는 아틀라시안 컨플루언스(Atlassian Confluence)라는 인기 높은 웹 기반 협업 툴이다. 컨플루언스를 익스플로잇 한 공격자들은 후속으로 백도어나 채굴 멀웨어를 심는다.

또 눈에 띄는 새로운 리눅스 멀웨어에는 레드쏘르(RedXOR)가 있다. 리눅스 시스템을 공격해 데이터를 외부로 빼돌리는 기능을 가지고 있으며 지난 10월에는 포티가드가 선정한 탑10에 들기도 했다. 그 외에는 코발트 스트라이크(Cobalt Strike)의 비컨(Beacon)의 악성 버전인 버밀리온 스트라이크(Vermilion Strike)가 있다. 공격자들이 원격에서 피해자 시스템에 접근할 수 있게 해 준다.

리눅스는 점점 더 많은 곳에서 활용되고 있으며, 그 추세는 쉬이 꺾이지 않을 것으로 보인다. 공격자들이 앞으로 더 거세게 리눅스를 노릴 것이라는 건 유치원생들도 예측할 수 있다. 그렇다는 건 마이크로소프트의 리눅스용 윈도 서브시스템(Windows Subsystem for Linux)과 같은 요소들이 주요 먹잇감이 될 것도 예상 범주에 들어간다. 참고로 리눅스용 윈도 서브시스템은 리눅스 바이너리 실행파일들을 윈도에서 실행시킬 수 있게 해 주는 장치다.

위협, 어떻게 다루나?
필자가 하고 싶은 말은 하나다. 리눅스 환경이 점점(이라고 하기에는 무서울 정도의 속도로) 위험해지고 있다는 것이다. 그렇다면 대처를 해야 하는데, 사실 ‘리눅스를 보호한다’는 말처럼 애매한 것도 드물다. 리눅스를 보호한다는 건 무슨 뜻일까? 간단히 말해 우리가 알고 있는 각종 정보보안의 방법론들을 통합하여 회사를 보호한다는 뜻이다. 회사 내 모든 사용자, 장비, 애플리케이션을 아우를 수 있는 보안 정책, 보안 기술, 보안 솔루션이 필요하고, 이런 보호 장치들이 늘상 가동되고 있어야 한다.

중앙 관리 체제로 보안 정책이 제대로 시행되고 있는지 살피고, 각종 기기들과 애플리케이션이 제대로 설정되어 있는지도 모니터링 하며, 최신화 여부 역시 주기적으로 검사해야 한다. 회사 전체의 네트워크 구성 요소들을 꼼꼼하게 파악해서 수상한 사건이 발생했을 때 즉각 알아챌 수 있도록 하는 것도 필수적이다. 여러 곳에서 제각각 수집된 데이터와 첩보를 중앙에서 모으고 분석해 좀 더 큰 그림을 이해할 수 있어야 한다. 리눅스라는 게 어느 한 전용 시스템에만 설치되는 게 아니다 보니 자연스럽게 조직 전체의 보안 강화를 꾀하는 방식으로 리눅스를 보호할 수밖에 없다.

리눅스 생태계에서 발생하고 있는 위협을 다루기 위해 조직들은 바삐 움직여야 한다. 특히 OT 네트워크를 보유하고 있는 회사라면 더 그렇다. 실시간으로 위협을 탐지하고 자동으로 제거하는 기술들에 대하여 알아보고 구매하는 것도 좋은 방법일 수 있다. 또한 새로운 IT 요소(예 : 애플리케이션)를 도입하기 전에 보안성 검토를 진행하는 프로세스와 문화를 정착시키는 것도 중장기적으로 현명하다. 또 하나, 행동 기반 보안 도구나 정보 분석 솔루션을 구축하여 공격자들의 정찰 단계부터 어렵게 만드는 것도 리눅스를 보호하는 강력한 방법 중 하나다.

리눅스를 보호하려고 방법을 찾아 보는 보안 담당자들이나 IT 관리자들이 기억해야 할 건 리눅스가 대부분 백엔드 시스템들의 기반이 된다는 것이다. 최근에는 사물인터넷 장비들이나 컨테이너 기술에도 리눅스가 빠지지 않고 등장한다. 특히 절대 다운되면 안 되는 애플리케이션이나 장치들에 리눅스가 있는 경우가 많다. 공격자들의 구미가 당길 만한 이야기다.

아직 공격자들은 리눅스에 대한 공격을 준비 중에 있다. 아마 공부를 적잖이 하고 있을 것으로 예상한다. 그렇다는 건 이 시기에 IT와 보안 업계 역시 준비를 시작해야 한다는 뜻이 된다. 리눅스가 중대한 골칫거리가 되고 나서 공부하면 늦어도 한참 늦다.

글 : 데렉 만키(Derek Manky), 부회장, FortiGuard Labs
[국제부 문정후 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)