2022년 쉬키테가(Shikitega), 스위스 아미 나이프(Swiss Army Knife)와 같은 새로운 리눅스(Linux) 악성코드가 등장하고, 리눅스 시스템을 대상으로 한 랜섬웨어 공격은 75%나 증가했다. 이 중 일부는 백신 및 안티바이러스 소프트웨어를 우회해 탐지가 거의 불가능하다. 이처럼 사이버 공격자의 관심이 점점 리눅스로 쏠리고 있어, 기업은 리눅스 보안을 강화하기 위한 유료 또는 무료 전문 툴 도입이 시급하다. 리눅스 보안 툴은 네트워크 및 서버 환경별로 매우 다양하다. 이번 글에서는 리눅스 악성코드의 유형과 업계 전문가가 엄선한 필수 툴 몇 가지를 소개한다.

 

 

리눅스를 위협하는 악성코드

• -   올빗(Orbit): 공격자가 SSH(Secure Shell)를 통해 원격 접근에 필요한 자격을 얻어 유닉스 계열 운영체제 명령어인 TTY(Teletypewriter)를 기록할 수 있도록 한다. 이를 통해 PC에서 실행 중인 모든 프로세스를 감염시킨다. 여기서 SSH는 원격자 호스트 PC접속에 사용되는 보안 프로토콜을 의미한다.
•  
• - 라이트닝 프레임워크(Lightening Framework): 2022년 이전에 탐지된 이력이 없는 새​로운 유형의 리눅스 악성코드이다. 이 악성코드는 모듈식 구조를 가지며, 악의적인 소프트웨어 모음인 루트킷(Rootkit)을 설치할 수 있는 것으로 알려졌다.
•  
• -  카오스(Chaos): 크로스 플랫폼 악성코드로, 디도스(DDoS) 공격용 자원을 리눅스, 윈도우 등으로 확대하고 있다. 카오스는 최근 게임과 금융 서비스 및 기술, 미디어, 엔터테인먼트 분야 사이트의 디도스 공격에 사용됐다. 또한, 일부 가상자산 거래소를 겨냥한 공격도 개시한 것으로 확인됐다.
•  
• - 심비오트(Symbiote): 감염 대상 시스템에 기생하는 악성코드로, 공격자가 침입한 사실을 은폐한다. 일반적인 리눅스 악성코드와는 달리, 실행 중인 프로세스를 손상시키려고 하지 않는다. 대신 LD_PRELOAD를 통해 실행 중인 모든 프로세스에 로드되는 '공유객체' 라이브러리로 활동한다.
•  
• - 쉬키테가(Shikitega): 리눅스 기반 엔드포인트와 사물인터넷(IoT) 장비들을 노린다. 여러 단계를 거쳐 장비를 감염시키며, 쉬키테가를 통해 침투에 성공한 공격자들은 암호화폐 채굴 등 다양한 악성 행위를 추가로 수행한다. 메모리 내부에서 실행되기 때문에 잘 탐지되지 않는 것이 특징이다.
•  
• - 국내 은행을 사칭한 금융 애플리케이션: 은행을 사칭한 전화, 문자 등으로 가짜 은행앱을 설치하도록 하는 ‘페이크콜’ 트로이 목마 악성코드로, 공격 대상자의 개인 데이터를 추출하는 리눅스 악성코드인 스위스 아미 나이프 기능을 보유했다.

 

 

이처럼 리눅스를 노린 보안 위협은 나날이 증가하고 있다. 2022 상반기 리눅스 보안 위협 보고서에 따르면, 리눅스 서버 및 임베디드 시스템을 표적으로 삼은 랜섬웨어 공격이 급증해 2022년 상반기에만 전년대비 두 자릿수 증가했다.

 

오픈소스 운영체제 리눅스는 운영 비용이 낮고 기술 적용이 비교적 자유로워 생산, 제조, 금융 등 각 분야에서 도입을 확대하는 추세이다. 리눅스는 특히 최신 기술 트렌드인 사물인터넷(IoT), 인공지능(AI), 빅데이터, 클라우드의 플랫폼으로 주목받고 있어 더 광범위하게 채택될 전망이다. 하지만 리눅스 도입이 확대됨에 따라 리눅스를 겨냥한 보안 위협도 증가하고 있어 이에 효과적으로 대처하는 것이 중요한 화두로 떠오르고 있다.

 

리눅스 보안 문제 해결 방법

그렇다면 리눅스 보안 문제를 해결하기 위해서는 어떻게 해야 할까? 전문가들은 4가지를 실천하라고 조언한다. 우선 가장 간단한 방법은 백신 소프트웨어를 사용하는 것이다. 시중에 출시된 보안 솔루션 중 윈도우, 맥(Mac) 외에도 리눅스 기반 시스템을 대상으로 한 백신 소프트웨어가 많다. 백신 소프트웨어를 사용하면 관리하기 쉽고, 적은 비용으로 서버를 보호할 수 있다.

 

또한, 보안성이 높은 SSH 로그인 비밀번호를 설정해야 한다. 비밀번호가 허술하게 관리될 경우, 무작위로 숫자, 문자 등을 끊임없이 반복 입력하는 무차별 대입(Brute Force) 공격에 의해 서버가 해킹될 수 있다. 따라서 영어 대소문자와 숫자, 특수기호를 모두 조합한 8자리 이상의 비밀번호를 사용하고, 암호화 키를 추가로 사용한다면 SSH 접근 장벽을 높일 수 있다. 또한, 이전에 사용한 비밀번호를 다시 설정하지 않도록 강제성을 부여하는 것도 리눅스 보안에 도움이 된다.

 

접근 제어를 통해 보안을 강화하는 방법도 있다. 접근 제어는 허가된 IP나 네트워크만이 SSH에 접속할 수 있도록 하기 때문에 보안 수준이 상당히 높은 방식이다. Appliance FW와 같은 보안 장비를 사용하는 것 외에도 직접 iptables나 hosts.allow 및 hosts.deny를 설정할 수도 있다. Iptables는 사용하는 서비스 포트만 등록해 방화벽 역할을 수행하며, hosts.allow와 hosts.deny는 각각 접속 허용과 차단 여부를 설정할 수 있도록 한다.

 

마지막으로 리눅스 커널과 소프트웨어를 최신 버전으로 유지하는 것이다. 최신 버전 업데이트만으로도 보안 위협을 방어하는 데 상당히 도움이 된다. 리눅스는 시스템을 최신 상태로 유지하는 툴을 사용하면 쉽게 업그레이드할 수 있다.

 

리눅스 보안 툴 사용하기

리눅스 오픈소스 보안 툴은 네트워크 터널링, 스니핑, 스캔, 매핑 등의 모든 작업, 그리고 와이파이, 웹 애플리케이션, 데이터베이스 서버 등 모든 환경마다 다양한 툴이 있다.

 

-  에어크랙-ng(Aircrack-ng): 무선 네트워크 및 와이파이 프로토콜의 보안 테스트를 위한 툴 모음으로, 보안 전문가의 네트워크 관리, 해킹, 침투 테스트에 사용되며, 무료이다.

 

-  버프 스위트 프로(Burpsuite Professional): 온라인 웹사이트 보안 평가에 사용되는 웹 애플리케이션 테스트 모음으로, 로컬 프록시 솔루션으로 작동하면서 보안 전문가가 웹 서버와 브라우저 사이의 웹 요청(HTTP/웹소켓)과 응답을 해독, 관측, 조작, 반복할 수 있도록 한다. 프로 버전의 가격은 2022년 기준 399달러(한화 약 53만 원)이다.

 

-  임패킷(Impacket): 네트워크 프로토콜과 서비스의 침투 테스트를 위한 필수적인 툴 모음으로, 네트워크 프로토콜을 다루기 위한 파이썬(Python) 클래스로 구성돼 있다. 패킷, SMB1-3, MSRPC 같은 일부 프로토콜은 프로토콜 구현 자체에 대한 저수준 액세스를 제공하는 데 초점을 둔다. 비용은 무료이다.

 

-  메타스플로잇(Metasploit): 익스플로이테이션 프레임워크로 일반적인 침투 테스트와 취약점 평가에 사용되며, 보안 전문가 사이에서는 알려진 거의 모든 익스플로잇의 작동 버전이 포함된 '슈퍼 툴'로 통용된다. 유료, 무료 버전 모두 지원한다.

 

-   NCAT: 많은 보안 전문가가 피해 및 공격 시스템으로부터 임의의 데이터를 송수신하기 위해 TCP/UDP 클라이언트와 서버를 호스팅하는 데 있어 NCAT이 중요한 역할을 한다고 평가한다. 또한, 리버스 쉘(Reverse Shell)을 설정하거나 데이터를 추출하는 용도로도 많이 사용되며, 무료이다.

 

-  NMAP: 보안 전문가가 가장 추천하는 툴로, 원격 기기에서 접근 가능한 포트를 발견하는 명령 줄 네트워크 스캔 툴이다. 침투 테스터에게는 필수적인 툴이며, 무료이다.

 

-  프록시체인스(Proxychains): 보안 전문가가 자신의 공격 리눅스 시스템에서 침해된 시스템을 통해 프록시 명령을 실행함으로써 네트워크 경계와 방화벽을 가로질러 이동하고, 탐지를 회피할 수 있도록 하는 무료 오픈소스이다.

 

- 리스폰더(Responder): NBT-NS(NetBIOS Name Service), LLMNR(Link-Local Multicast Name Resolution) 및 mDNS(Multicast DNS) 포이즈너로, 침투 테스터가 DNS 서버에서 발견된 기록이 없을 때 이름을 확인하는 과정에서 인증 정보 및 기타 데이터를 탈취하는 공격을 시뮬레이션하는 데 사용된다. 이 역시 무료로 사용 가능하다.

 

- sqlmap: 데이터베이스 서버를 점유하는 데 사용 가능한 SQL 주입 결함을 탐지 및 악용하는 프로세스를 자동화하는 오픈소스 침투 테스트 툴이다. 강력한 탐지 엔진이 포함돼 있으며, 데이터베이스 핑거프린팅, 기반 파일 시스템 액세스, 범위 외 연결을 통해 운영체제에서 명령 실행하기를 비롯한 다양한 침투 테스트용 기능을 제공하며, 무료이다. 핑거프린팅이란 브라우저에서 제공되는 정보를 토대로 사용자를 식별하는 기술이다.

 

- 와이어샤크(WireShark): 1998년에 처음 등장한 네트워크 프로토콜 분석기로, 최신 버전은 3.6.3이다. 일반적인 용어로 네트워크 인터페이스 스니퍼라고도 한다. 네트워크를 악용하는 데 사용할 DNS 서버 및 다른 서비스가 어디에 있는지 확인하는 데 유용한 툴로 평가되며, 무료이다.

 

리눅스 서버 보호에 탁월한 AhnLab V3 Net for Unix/Linux Server

이와 관련해, 기업의 서버 환경을 보호하는 안랩의 제품도 간단히 소개한다. AhnLab V3 Net for Unix/Linux Server는 온프레미스 및 클라우드 환경의 리눅스와 유닉스(Unix) 서버를 공격하는 악성코드를 원천 차단한다. 실시간 검사를 통해 모니터링을 실시하고 독보적인 엔진을 기반으로 신속하고 정확하게 바이러스를 진단하고 치료하며, 다양한 다중 압축 파일에 대한 검사와 치료를 지원한다.

 

또한, 서버 활용성 극대화를 위한 다양한 기능도 제공한다. 예를 들어, 효율적인 수동 및 예약 검사 기능을 지원하고, 자체 프로세스 및 서버의 CPU/메모리 체크를 통한 서버 가용성을 보장한다.

 

이 밖에, 안랩의 통합 관리 플랫폼인 AhnLab EPP, AhnLab CPP를 통한 통합 관리 지원부터 검사 예외 설정 기능을 통한 효율적인 방역 정책 적용, 바이러스 검사 및 치료에 대한 다양한 통계 리포트 제공, 전사적 악성코드 방역 정책 수립적용모니터링을 위한 중앙관리 솔루션 연계까지 관리자 편의를 고려한 효율적인 관리 기능도 제공한다.

 

출처 - https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=33531