[이미지 = freepik]
리눅스가 탄생한 지 30년이 지난 지금 리눅스 기반 소프트웨어 점유율은 나날이 높아 가고 있습니다. 특히 정보기술(IT) 시스템이 자체 데이터센터와 서버에서 클라우드로 옮겨 가며 이 같은 현상은 가속되고 있습니다. 퍼블릭 클라우드의 90% 이상이 리눅스를 기반으로 합니다. 오픈소스 운영체제(OS) 리눅스는 운영 비용이 낮고 기술 적용의 자유도가 높아 생산, 제조, 금융 등 각 분야에서 도입을 늘리고 있는 추세입니다. 특히 리눅스는 최신 기술 트렌드인 사물인터넷(IoT), 인공지능(AI), 빅데이터, 클라우드의 플랫폼으로써 주목받고 있어, 리눅스 도입은 장차 더욱 확대될 전망입니다. 그러나 리눅스 채택이 늘어남에 따라 리눅스를 향한 보안 위협이 증가하고 있어 이에 대한 대처가 중요한 화두로 떠오르고 있습니다.
리눅스, 사용자 증가할수록 서버 노리는 랜섬웨어도 증가
지난 5월 IT외신인 블리핑컴퓨터는 리눅스 생태계에서 치어스(Cheers)라는 새로운 랜섬웨어가 발견됐다고 전했습니다. 해당 랜섬웨어는 VM웨어 ESXi 서버를 노리는 것으로 분석됐으며, .log, .vmdk, .vmem, .vswp, .vmsn 확장자를 가진 파일들을 암호화하여 .cheers로 바꾸는 형태를 보였습니다. 독특한 건 암호화 후 파일 이름을 변경하는 게 아니라 파일 이름부터 변경하고 암호화를 실시한다고 합니다.
[이미지 = freepik]
지난 6월에는 타깃 시스템에 기생하며 공격자가 침입한 사실을 은폐해주며 남미 지역의 금융 기관들을 노리는 리눅스 멀웨어, 심비오트(Symbiote)가 발견됐습니다. 모든 파일과 프로세스, 각종 네트워크 아티팩트를 숨기기 때문에 포렌식으로 찾아내기가 쉽지 않습니다. 은폐 특성이 강한 만큼 거의 탐지가 불가능해, 악성코드가 얼마나 퍼져있는지 확인 조차 어려운 것으로 평가됩니다.
심비오트가 처음 발견된 건 지난 11월이고, 당시의 발견자는 블랙베리(BlackBerry)였습니다. 다른 리눅스 멀웨어들과 달리 실행되고 있는 프로세스들을 감염시킵니다. 심비오트는 프로세스를 감염시킨 후 크리덴셜을 수집하고, 이를 통해 원격에서 피해자의 네트워크에 접근합니다. 훔친 크리덴셜은 외부로 빼돌리기도 하지만 로컬에 저장하기도 합니다. “심비오트는 룻키트처럼 동작하고, 스스로를 철저하게 감춥니다. 피해자의 시스템을 완전히 장악한 후에는 공격자가 보이게 하고 싶은 것만 피해자가 볼 수 있게 됩니다. 결국 기계를 거짓말쟁이로 만드는 것입니다.” 당시 블랙베리의 호아킴 케네디(Joakim Kennedy)가 쓴 글입니다.
[이미지 = 블랙베리]
또한 케네디는 최근 공격자들 사이에서 빠르게 증가하고 있는 리눅스에 대한 관심도 잊지 말아야 한다고 지적합니다. “해킹 공격의 주요 표적이 되는 건 늘 윈도라는 OS였죠. 그 때문에 다른 OS는 반사 이익을 누려왔어요. 하지만 리눅스는 점점 예외가 되고 있습니다. 최근 들어 리눅스를 노리는 공격자들의 움직임이 활발해졌거든요. 그러면서 심비오트와 같은 고급 리눅스 멀웨어가 등장하기에 이른 것이기도 하고요. 우리가 발견하지만 못했지 활발히 움직이는 리눅스 멀웨어는 세상에 더 많이 존재하고 있을 겁니다.”
활용도 만큼 증가한 서버 보안 위협, 리눅스 보안 강화를 위한 대안은?
서버는 기업의 데이터가 저장된 공간이자 주요 서비스를 처리하는 공간입니다. 따라서 서버가 손상될 경우 내부 정보나 기밀문서들이 유출/조작될 수 있으며 정상적으로 서비스를 제공하는 일이 불가능해질 위험이 있습니다. 지금까지는 서버 보안이라고 하면 윈도우만 챙기는 것으로 여겨왔으나, 이처럼 리눅스의 활용도가 높아지고 보안 위협도 증가하면서 리눅스 보안도 필수적인 것이 되어가고 있습니다. 리눅스는 다음과 같은 방법을 통해 보안을 강화할 수 있습니다.
1) 백신 소프트웨어 사용하기
리눅스 보안 방법 가운데 가장 간단한 것은 백신 소프트웨어를 사용하는 것입니다. 시중에 출시되어있는 보안 솔루션 가운데는 윈도우나 MAC 기반 외에도 리눅스를 시스템을 대상으로 한 백신 소프트웨어가 있습니다. 대표적인 소프트웨어가 비트디펜더 사의 ‘그라비티 존 시큐리티’로, 방화벽, 침입탐지, 안티스팸, 매체제어 등 다양한 보안 기능을 이용할 수 있다. 이러한 백신 소프트웨어를 사용할 경우 가장 큰 장점은 관리가 쉽고, 낮은 비용으로 서버 보안이 가능하다는 것입니다.
2) 허술한 비밀번호 대신 강력한 비밀번호 설정
관리자가 리눅스 서버를 제어할 수 있게 하는 시큐어셀(SSH) 로그인 비밀번호를 잘 설정하는 것도 중요합니다. 비밀번호가 허술하게 관리될 경우 무작위로 숫자, 문자 등을 입력해 비밀번호를 알아내는 공격에 의해 서버를 해킹 당할 수 있습니다. 가장 권장하는 방법은 영어 대소문자, 숫자, 특수기호를 모두 조합한 8자리 이상의 비밀번호를 사용하는 것입니다. 여기에 암호화 키를 추가로 사용한다면 침입자로부터 SSH 접근 장벽을 높일 수 있습니다. 또한 이전에 사용한 비밀번호를 다시 사용하지 않도록 강제하는 것도 보안을 위한 좋은 방법입니다.
3) 접근 제어 설정
특정 IP, 네트워크 대역만이 서버에 접근할 수 있도록 제어하는 것을 접근 제어라고 합니다. 접근 제어는 허가된 IP나 네트워크만이 SSH에 접속할 수 있게 하기 때문에 보안 레벨이 상당히 높은 방식입니다. 접근 제어에는 Appliance FW 같은 보안장비를 사용하는 방법 외에도, 직접 iptable이나 hosts.allow 및 hosts.deny를 설정하는 방법이 있습니다. Iptable은 사용하는 서비스 port만 등록하여 방화벽으로써 역할을 수행하며, hosts.allow와 hosts.deny는 각각 접속 허용과 차단 여부를 설정할 수 있게 해줍니다.
4) 소프트웨어를 지속적으로 최신 버전 유지
리눅스는 오픈소스 운영체제인 만큼 버그 등 신규 취약점이 발견될 경우 이에 대한 대책이 빠르게 등장하는 편입니 때문에 리눅스 커널과 소프트웨어를 지속적으로 최신 버전으로 유지하는 것만으로도 보안 위협 방어에 상당한 도움이 됩니다. 리눅스는 시스템을 최신 상태로 유지하는 툴을 사용하면 쉽게 업그레이드를 진행할 수 있습니다.
비즈니스 연속성을 보장하는 안전한 윈도우/리눅스 서버 보안, ESET Server Security
이처럼 끊임없이 변화하는 보안 위협 환경 속에서 하나의 방어 계층으로 안정성을 보장하기는 어렵습니다. ESET Server Security는 모든 일반 서버, 원드라이브를 포함한 네트워크 파일 스토리지 및 다목적 서버를 통해 전달되는 회사 데이터를 위한 파일 보안을 제공하므로 비즈니스 연속성을 보장합니다. 모든 ESET 제품에는 실행 전, 실행하는 동안, 실행 후 악성코드를 탐지할 수 있는 기능이 있습니다. ESET Dynamic Threat Defense를 사용해서 클라우드 샌드박스 분석의 형태로 추가적인 계층을 구현할 수 있습니다. 이를 통해 악성코드 라이프 사이클의 특정 부분에만 집중할 수 있어 최고 수준의 파일 보안 기능을 제공할 수 있습니다.
l 뛰어난 성능
ESET 제품은 성능 측면에서 계속해서 뛰어난 성과를 이루며, 엔드포인트가 시스템에서 얼마나 가벼운지 증명하는 외부 테스트에서 우수한 성적을 내고 있습니다. ESET File Security 솔루션은 최고의 성능과 고객 데이터 보호를 위한 ESET의 최신 64비트 검색 엔진을 포함해 64비트 코어에 구축됩니다.
l 행위기반 탐지 – HIPS
ESET의 HIPS (Host-based Intrusion Prevention System) 시스템 활동을 모니터링하고, 미리 정의된 규칙 세트를 사용해 의심스러운 시스템 동작을 인식하고 중지합니다.
l 네트워크 공격보호
ESET 네트워크 공격 보호는 네트워크 레벨에서 알려진 취약성 탐지를 향상시킵니다. 패치가 아직 출시되지 않았거나 배포되지 않은 악성코드, 네트워크 공격 및 취약점 악용에 대한 또 다른 중요한 보호 계층을 구성합니다.
l 봇넷 보호
ESET 봇넷 보호는 봇넷이 사용하는 악의적인 통신을 탐지하고 동시에 문제가 되는 프로세스를 식별합니다. 탐지된 모든 악성 통신은 차단되어 사용자에게 보고됩니다.
l 클라우드 샌드박스 분석 옵션
ESET Dynamic Threat Defense 는 클라우드 샌드 박싱 기술을 사용하여 이전에는 볼 수 없었던 새로운 유형의 위협을 탐지함으로써 ESET File Security 솔루션을 위한 또 다른 보안 계층을 제공합니다.
l 랜섬웨어 쉴드
랜섬웨어로부터 사용자를 보호하는 추가적인 계층입니다. ESET의 기술은 동작과 평판에 따라 실행된 모든 응용 프로그램을 모니터링하고 평가합니다. 랜섬웨어의 동작과 유사한 프로세스를 탐지하고 차단하도록 설계되었습니다.
l Side-by-side 온디맨드 스캔
ESET File Security는 멀티 코어 지원으로 인해 시스템에 영향을 주지 않고 나란히 (side-by-side) 온디맨드 스캔을 허용합니다. 스캔 경로가 다를 경우 관리자나 스케줄러가 시작할 수 있습니다. 스케줄러를 사용하면 스캔, 업데이트 및 로그 유지보수 계획을 반복할 수 있습니다.
l 네트워크 결합 스토리지 (NAS) 스캔
제품은 연결된 네트워크 드라이브를 검색할 수 있는 기능으로 전체 호스트의 실시간 파일 시스템 보호 기능을 제공합니다.ESET File Security for Linux는 ICAP 프로토콜을 사용해 Dell EMC Isilon과 같은 NAS 시스템 (Hitachi 및 기타 ICAP 호환 스토리지)을 스캔할 수 있습니다.
l LiveGrid® 기술
최신 LiveGrid® 기술은 스캔하는 중에 더 좋은 퍼포먼스를 위해 화이트리스트를 포함하여 평판 및 피드백 시스템을 사용하여 보안을 향상시킵니다.
[이미지 = freepik]
최근 들어 랜섬웨어 산업이 급격하게 팽창하고 있고, 리눅스용 랜섬웨어가 크게 증가하고 있어 적잖은 경고가 리눅스 생태계에서 나오고 있는 만큼 리눅스 환경을 겨냥한 공격에 대비할 수 있도록 안전한 서버 보안 솔루션이 필요합니다. 속도, 정확성, 최소의 시스템 영향을 결합하는 입증된 보안 솔루션 ESET Server Security로 바이러스, 루트킷, 웜 및 스파이웨어를 포함한 모든 유형의 위협을 제거하고 보안 경쟁력을 확보하세요.
