리눅스 최신 위협 동향

게시일: 2016-10-05 l 작성자: Trend Micro

리눅스(Linux)는 여러 면에서 윈도우(Windows)와 Mac OS X 등의 운영체제(OS)와 유사합니다. 다른 운영체제에서 사용하는 소프트웨어와 동일한 소프트웨어를 사용할 뿐만 아니라, 그래픽 유저 인터페이스를 채용하고 있습니다. 리눅스 사용자는 여타 OS의 사용자만큼이나 그 숫자가 많으며, 웹 서버, 네트워크, 데이터베이스 등의 영역에서 선호하는 플랫폼입니다.

하지만, 리눅스는 중요한 점에서 다른 OS와 다릅니다. 그 중 하나는 바로 오픈소스 소프트웨어라는 것입니다. 즉, 리눅스 개발에 사용되는 코드는 무료로 열람 및 편집이 가능하며, 또한 기술을 가진 사용자가 개발에 기여할 수 있도록 공개되어 있습니다. 리눅스 커널 개발자인 Linus Torvalds씨는 리눅스 개발자들이 대가 없이 기술을 기부할 수 있도록 장려하였습니다. 무료로 사용할 수 있고 또 PC 플랫폼에서 작동한다는 이유로 많은 지지자들과 개발자들을 획득할 수 있었습니다. 이러한 배경에서 사용자가 임의로 핵심 구성 요소를 선택할 수 있는 커스터마이즈가 가능한 OS가 되었습니다.

기업과 조직에서는 리눅스를 자사 시스템의 중요한 구성요소로 채택하였습니다. 그러나 최근 여러 공격 사례에서도 엿볼 수 있듯이, 리눅스 사용의 증가는 보안 위험 확대로 이어졌습니다. 다음은 리눅스를 노리는 최신 위협의 예입니다.

Rex (2016년 8월) – 리눅스용 랜섬웨어 Rex(트렌드마이크로 탐지명 RANSOME_ELFREXDDOS) 는 2016년 5월에 처음 발견되었습니다. 초기 Rex는 컨텐츠관리시스템(CMS) 인 Drupal을 타겟으로 하였지만, CMS의 자동 백업기능으로 인해 큰 피해를 입히지 못했습니다. 이후 3개월 동안 기능을 업데이트하여, 현재의 Rex까지 발전되게 되었습니다.

당사 분석에 의하면, 최신 버전의 Rex는 감염된 시스템을 봇으로 변형시켜 DDoS 공격을 수행하도록 합니다. Rex는 RPC(Remote Procedure Control) 플러그인을 실행하여 DrupalRESTWS 스캐너, WordPress 스캐너, ContactScanner 스캐너, Magento 스캐너, Kerner 스캐너, Airos 스캐너, Exagrid 스캐너, Jetspeed 스캐너, Ransom 스캐너 등 리눅스 서버 소프트웨어에 존재하는 일반적인 취약점을 스캔합니다. Rex는 또한 몸값 지불방법으로 비트코인을 요구하는 것이 확인되었으며, 이를 지불하지 않을 경우, 서버는 DDoS 공격에 노출되며 이후 몸값이 지속적으로 증가합니다.

Mirai (2016년 8월) – 8월 초순 확인된 Mirai (트렌드마이크로 탐지명 ELF_GAFGYT)는 리눅스 서버와 IoT 기기를 타겟으로 합니다. 대부분은 리눅스 기반의 펌웨어가 내장된 하드디스크 드라이브를 감염시켜 DDoS 공격을 위한 봇넷으로 활용합니다. 보고에 의하면, Mirai는 DDoS 공격 수행 기능을 갖춘 Gafgyt, Bashdoor, Torlus, BASHLITE 등의 오래된 트로이목마의 발전된 형태인 것으로 밝혀졌습니다.

Umbreon (2016년 9월) – 렌드마이크로 위협 리서치팀은 최근 포켓몬 이름을 차용한 새로운 루트킷을 확인하였습니다. Umbreon이라 불리는 해당 루트킷은 (트렌드마이크로 탐지면 ELF_UMBREON) 은 인텔 프로세서 및 Raspberry Pi에 탑재된 ARM 프로세서를 운영하는 리눅스 시스템을 공격합니다. 즉, 이러한 프로세서를 탑재한 모든 기기가 공격 대상이 되고 있습니다. Umbreon은 시스템을 재시작해도 활동이 정지되지 않으며, 네트워크 트래픽을 가로채고 종료 명령어를 가로채어 변환하여 공격자가 감염 기기에 침투할 수 있는 연결을 제공합니다.

2015년 초부터 개발되기 시작한 Umbreon의 개발자는 최소 2013년부터 사이버범죄 지하시장에서 활동하고 있던 것으로 확인되고 있습니다. 연구진은 또한 Umbreon의 감지가 특히 어렵다는 것을 언급하고 있습니다. 해당 루트킷은 보안 제품, 관리자와 분석가, 사용자, 스캐닝, 포렌식 및 시스템 툴의 검색을 회피하도록 작성되어 있습니다.

LuaBot (2016년 9월) – LuaBot(트렌드마이크로 탐지명 ELF_LUABOT)은 리눅스 감염 악성코드 중 가장 최근 등장한 것입니다. LouaBot에 대한 연구에 따르면, Mirai와 유사하게 리눅스 서버 및 IOT 기기를 봇넷화하여 DDoS 공격에 사용합니다. 트로이목마형 악성프로그램 LuaBot은 ELF 형식의 파일 패키지로, IoT 기기에 일반적으로 탐재된 ARM 프로세서를 타겟으로 합니다. LuaBot의 세부적인 내용과 감염 경로는 아직 밝혀지지 않았습니다.

트렌드마이크로의 대책

리눅스를 겨냥한 최신 위협은 리눅스 또한 기업에서 이용되는 다른 OS와 마찬가지로 보안 대책의 도입이 중요하다는 것을 부각하고 있습니다. 네트워크 보안 조치만으로 충분하지 않기 때문에 서버 및 시스템 관리자는 다계층 보안 조치를 취해야 합니다.

트렌드마이크로 Deep Security는 Fairware와 같은 랜섬웨어 공격으로부터 리눅스서버를 보호합니다. 관리자에게 알림을 보내고 공격 도중 악의적인 활동을 차단하여 감염된 엔드포인트를 통한 공격으로부터 방대한 기밀정보를 보유한 기업의 파일서버를 보호합니다. 또한 무차별공격(Brute Force Attack) 또는 서버 간의 측면이동(Lateral Movement) 공격 등을 조기 감지하여 피해를 최소화하기 위해 신속히 대응합니다.


원문: Linux Security: A Closer Look at the Latest Linux Threats