사물인터넷(IoT)의 OS는 대체로 리눅스를 사용하고 있으며, 기업의 업무용 시스템에서도 리눅스 채택률이 크게 늘고 있다. 엔터프라이즈 시장에서는 유닉스 다운사이징으로 리눅스를 채택하는 비중이 높아 리눅스 점유율은 빠르게 늘어나고 있다.
리눅스 사용이 보편화되면서 리눅스를 타깃으로 하는 보안위협도 증가하고 있다. 지난 5월에는 리눅스용 랜섬웨어가 발견되는가 하면, 리눅스 시스템과 단말을 이용하는 DDoS 봇넷, 보안 시스템과 분석시스템을 회피하는 리눅스용 루트킷도 나타난다.
트렌드마이크로 보안블로그에서는 오픈소스로 운영되는 리눅스가 기업에서도 채택되고 있으며, 빠르게 활용도를 넓혀가고 있는 것과 함께 위협도 늘어나고 있다고 경고했다.
지난 5월 발견된 리눅스용 랜섬웨어 ‘렉스(Rex)’는 콘텐츠 관리 시스템(CMS)은 ‘드루팔(Drupal)’을 타깃으로 했다. 발견 당시에는 CMS의 자동 백업기능으로 피해를 입히지 못했으나, 최신 버전의 렉스는 감염된 시스템을 봇으로 변형시켜 DDoS 공격을 수행한다.
렉스는 RPC 플러그인을 실행해 DrupalRESTWS 스캐너, WordPress 스캐너, ContactScanner 스캐너, Magento 스캐너, Kerner 스캐너, Airos 스캐너, Exagrid 스캐너, Jetspeed 스캐너, Ransom 스캐너 등 리눅스 서버 소프트웨어에 존재하는 일반적인 취약점을 스캔한다. 또한 몸값 지불방법으로 비트코인을 요구하며 지불하지 않으면 DDoS 공격에 노출되며 이후 몸값이 지속적으로 증가한다.
8월 확인된 ‘미라이(Mirai)’는 리눅스 서버와 IoT 기기를 타깃으로 하며, 리눅스 기반 펌웨어가 내장된 하드디스크 드라이브를 감염시켜 DDoS 공격을 위한 봇넷으로 활용한다. 미라이는 DDoS 공격 수행 기능을 갖춘 Gafgyt, Bashdoor, Torlus, BASHLITE 등의 오래된 트로이목마의 발전된 형태인 것으로 밝혀졌다.
‘포켓몬’의 이름을 차용한 새로운 루트킷 ‘엄브레온(Umbreon)’은 인텔 프로세서와 라즈베리파이에 탑재된 ARM 프로세서를 운영하는 리눅스 시스템을 공격하며, 이러한 프로세서를 탑재한 모든 기기가 공격 대상이다. 엄브레온은 시스템을 재시작해도 활동이 정지되지 않으며, 네트워크 트래픽을 가로채고 종료 명령어를 가로채 변환, 공격자가 감염 기기에 침투할 수 있는 연결을 제공한다.
2015년 초부터 개발되기 시작한 엄브레온의 개발자는 최소 2013년부터 사이버범죄 지하시장에서 활동하고 있던 것으로 확인되고 있는데, 엄브레온은 감지가 특히 어려워 매우 위험하다. 해당 루트킷은 보안 제품, 관리자와 분석가, 사용자, 스캐닝, 포렌식 및 시스템 툴의 검색을 회피하도록 작성돼 있다.
‘루아봇(LuaBot)’은 리눅스 감염 악성코드 중 가장 최근 등장한 것으로, 미라이와 유사하게 리눅스 서버 및 IoT 기기를 봇넷화해 DDoS 공격에 사용한다. 트로이목마형 악성프로그램 루아봇은 ELF 형식의 파일 패키지로, IoT 기기에 일반적으로 탑재된 ARM 프로세서를 타깃으로 한다.
