주요 시설과 시스템들에는 대부분 리눅스가 설치되어 있습니다. 그런 시스템들은 갈수록 늘어나고 있기도 합니다. 그래서 공격자들은 리눅스를 진지하게 연구하기 시작했고, 그 성과가 최근 몇 개월 동안 가시적으로 나타나고 있습니다.
대수롭지 않게 보이는 것들, 혹은 거기 있는 줄도 몰랐던 사소한 것들이 꽤나 큰 문제를 일으키는 사례가 보안 업계에서는 흔히 나타납니다. 좋은 예가 있으니 ELF 바이너리 형태로 기획된 리눅스 멀웨어입니다. 리눅스라는 것이 광범위하게 우리 생활 곳곳에 퍼지고 있는데, 대부분의 우리는 그걸 잘 인지하지 못하고 있습니다. 거기 있는데 있는 줄 모르고 있다가 큰 코 다치게 되는 것입니다.
[이미지 = freepik]
포티가드랩스(FortiGuard Labs)의 전문가들이 조사한 결과 최근 들어 ELF 멀웨어를 비롯해 다양한 종류의 리눅스 멀웨어들이 무서운 속도로 증가하는 중이라는 사실이 드러났습니다. 2021년 한 해 동안 리눅스 멀웨어의 양은 두 배 넘게 증가했으며, 올해 1사분기 동안에는 무려 네 배나 늘어났다고 합니다. 물론 2배나 4배를 가지고 ‘기하급수적’이라고 말하는 건 어색하지만, 무시하기도 힘든 수치인 것도 분명합니다.
리눅스에 대한 위협, 꾸준히 증가 중
리눅스 멀웨어가 다양해지면서 증가하고 있다는 건 사이버 공격자들의 관심이 리눅스 체제로 쏠리기 시작했다는 걸 나타냅니다. ELF 형태로 나타나는 멀웨어 중 가장 많이 눈에 띄는 건 머스틱(Muhstik)이라는 것으로, 감염된 시스템을 봇으로 만드는 기능을 가지고 있습니다. 알려진 취약점을 익스플로잇 하는 방식으로 증가하는 것으로 알려져 있습니다. 머스틱이 곧잘 익스플로잇 하는 것 중 하나는 아틀라시안 컨플루언스(Atlassian Confluence)라는 인기 높은 웹 기반 협업 툴입니다. 컨플루언스를 익스플로잇 한 공격자들은 후속으로 백도어나 채굴 멀웨어를 심는 것입니다.
또 눈에 띄는 새로운 리눅스 멀웨어에는 레드쏘르(RedXOR)가 있습니다. 리눅스 시스템을 공격해 데이터를 외부로 빼돌리는 기능을 가지고 있으며 지난 10월에는 포티가드가 선정한 탑10에 들기도 했습니다. 그 외에는 코발트 스트라이크(Cobalt Strike)의 비컨(Beacon)의 악성 버전인 버밀리온 스트라이크(Vermilion Strike)가 있습니다. 공격자들이 원격에서 피해자 시스템에 접근할 수 있게 해 줍니다.
리눅스는 점점 더 많은 곳에서 활용되고 있으며, 그 추세는 쉬이 꺾이지 않을 것으로 보입니다. 공격자들이 앞으로 더 거세게 리눅스를 노릴 것이라는 건 유치원생들도 예측할 수 있습니다. 그렇다는 건 마이크로소프트의 리눅스용 윈도 서브시스템(Windows Subsystem for Linux)과 같은 요소들이 주요 먹잇감이 될 것도 예상 범주에 들어갑니다. 참고로 리눅스용 윈도 서브시스템은 리눅스 바이너리 실행파일들을 윈도에서 실행시킬 수 있게 해 주는 장치입니다.
위협, 어떻게 다루나?
필자가 하고 싶은 말은 하나입니다. 리눅스 환경이 점점(이라고 하기에는 무서울 정도의 속도로) 위험해지고 있다는 것입니다. 그렇다면 대처를 해야 하는데, 사실 ‘리눅스를 보호한다’는 말처럼 애매한 것도 드뭅니다. 리눅스를 보호한다는 건 무슨 뜻일까요? 간단히 말해 우리가 알고 있는 각종 정보보안의 방법론들을 통합하여 회사를 보호한다는 뜻입니다. 회사 내 모든 사용자, 장비, 애플리케이션을 아우를 수 있는 보안 정책, 보안 기술, 보안 솔루션이 필요하고, 이런 보호 장치들이 늘상 가동되고 있어야 합니다.
중앙 관리 체제로 보안 정책이 제대로 시행되고 있는지 살피고, 각종 기기들과 애플리케이션이 제대로 설정되어 있는지도 모니터링 하며, 최신화 여부 역시 주기적으로 검사해야 합니다. 회사 전체의 네트워크 구성 요소들을 꼼꼼하게 파악해서 수상한 사건이 발생했을 때 즉각 알아챌 수 있도록 하는 것도 필수적입니다. 여러 곳에서 제각각 수집된 데이터와 첩보를 중앙에서 모으고 분석해 좀 더 큰 그림을 이해할 수 있어야 합니다. 리눅스라는 게 어느 한 전용 시스템에만 설치되는 게 아니다 보니 자연스럽게 조직 전체의 보안 강화를 꾀하는 방식으로 리눅스를 보호할 수밖에 없습니다.
리눅스 생태계에서 발생하고 있는 위협을 다루기 위해 조직들은 바삐 움직여야 합니다. 특히 OT 네트워크를 보유하고 있는 회사라면 더 그렇습니다. 실시간으로 위협을 탐지하고 자동으로 제거하는 기술들에 대하여 알아보고 구매하는 것도 좋은 방법일 수 있습니다. 또한 새로운 IT 요소(예 : 애플리케이션)를 도입하기 전에 보안성 검토를 진행하는 프로세스와 문화를 정착시키는 것도 중장기적으로 현명합니다. 또 하나, 행동 기반 보안 도구나 정보 분석 솔루션을 구축하여 공격자들의 정찰 단계부터 어렵게 만드는 것도 리눅스를 보호하는 강력한 방법 중 하나입니다.
리눅스를 보호하려고 방법을 찾아 보는 보안 담당자들이나 IT 관리자들이 기억해야 할 건 리눅스가 대부분 백엔드 시스템들의 기반이 된다는 것입니다. 최근에는 사물인터넷 장비들이나 컨테이너 기술에도 리눅스가 빠지지 않고 등장합니다. 특히 절대 다운되면 안 되는 애플리케이션이나 장치들에 리눅스가 있는 경우가 많습니다. 공격자들의 구미가 당길 만한 이야기입니다.
아직 공격자들은 리눅스에 대한 공격을 준비 중에 있습니다. 아마 공부를 적잖이 하고 있을 것으로 예상합니다. 그렇다는 건 이 시기에 IT와 보안 업계 역시 준비를 시작해야 한다는 뜻이 됩니다. 리눅스가 중대한 골칫거리가 되고 나서 공부하면 늦어도 한참 늦습니다.
![[주간 IT/보안뉴스] 2024년 4월 넷째주 ‘SW로 연결되는 초연결 시대의 사이버 보안’](https://pplus.co.kr/wp-content/uploads/2024/04/20240426-title-300-500x383.png)
![[주간 IT/보안뉴스] 2024년 4월 셋째주 ‘사이버 위기에 따른 보안 시스템 고도화’](https://pplus.co.kr/wp-content/uploads/2024/04/300-20240419-title-500x383.png)
