웹호스팅기업 인터넷나야나 랜섬웨어 공격 이후 리눅스 서버의 보안위협에 대한 경고가 잇달아 나오고 있다. 그동안 리눅스 서버는 사이버 공격으로부터 안전하다고 인식되고 있었으나, 리눅스 타깃 공격이 연이어 등장하면서 리눅스 서버 보호 방법이 시급하다는 주장이 제기되는 것이다.
트렌드마이크로는 21일 자사 보안 블로그를 통해 인터넷나야나 공격의 특징을 분석한 후 리눅스 서버의 보안 취약성을 경고했다. 인터넷나야나를 공격한 ‘에레버스(Erebus)’는 익스플로잇 키트를 이용해 계정 컨트롤을 우회하는 방식으로 진화했다.
클라우드 확산으로 리눅스 사용률 높아져
에레베스는 지난해 9월 악성 광고에 배포돼 처음 등장했다. 2017년 2월까지 에레버스는 윈도우에 있는 기능으로, 시스템에서 승인되지 않은 변경 활동을 막아주는 사용자 계정 컨트롤(UAC)을 우회하는 테크닉을 사용해왔다. 이후 그 수법을 더 발전시켜 피해자가 파일을 복구할 수 없도록 하기 위해 쉐도우 복사본의 파일들을 모두 지워버린다.
가트너에 따르면 리눅스 성장률이 13.5%에 달하고 있으며, AWS EC2의 워크로드 중 90%가 리눅스 변형 버전을 실행하고 있고, 퍼블릭 클라우드 환경에서도 널리 사용되고 있다. 주요 기업 애플리케이션에 리눅스가 널리 이용되면서 공격도 당연히 증가하고 있다.
하트블리드, 전 세계 18만대 서버 감염 가능
서버들이 기업 경계를 넘어 클라우드의 영역으로 이동하고 있으며, 이러한 워크로드에는 리눅스를 기반으로 하는 애플리케이션도 포함돼 있기 때문에 리눅스를 단순히 OS로만 생각해서는 안된다.
하트블리드(Heartbleed)처럼 몇 년 지난 취약점이라고 해서 애플리케이션과 서버가 취약하지 않다고 말할 수 없다. 최근 실시된 쇼단(Shodan)의 설문조사에서 하트블리드는 여전히 전 세계 18만대 이상의 서버에서 악용될 수 있는 취약점으로 나타났으며 대부분이 미국의 서버들이었다.
리눅스 서버 타깃 멀웨어 증가
리눅스 서버를 보호하기 위해 안티바이러스를 배포하는 것만으로 불충분하다. 그러나 대부분의 데이터센터 공격에는 멀웨어 설치 과정이 포함돼 있으며, PCI-DSS, SANS, NIST 등의 규정· 보안 표준은 안티바이러스 설치를 권고하고 있다.
호스트 기반 침입방지시스템(HIPS)를 구현한다면 핵심 운영체제와 실행되는 애플리케이션들에 대한 취약점을 보호하는데 도움이 된다. 네트워크 액세스가 가능하고 파급 효과가 큰 취약점으로는 아파치 스트러츠-2, 하트블리드, 쉘쇼크 등이 있다.
안티바이러스 외에 리눅스 서버를 보호하기 위한 방법으로 다음과 같은 것이 있다.
▲애플리케이션 컨트롤: 알 수 없는 프로세스나 스크립트가 실행되지 못하도록 리눅스를 잠가둘 수 있다. 이로써 멀웨어가 아예 실행되지 못하도록 차단하거나 공격자가 서버 내에 존재할 수도 있는 백도어를 이용하지 못하도록 방지할 수 있다.
▲무결성 모니터링: 새로운 위협이 시스템 일부(포트, 프로토콜, 파일 등)를 변경시킬 수 있으므로 이들에 대한 감시가 중요하다. 무결성 감시는 일반적인 프러덕션 워크로드에서 자주 발생되지 않으며 허용된 변경 범위를 벗어난 변경 사항이 있는지 확인하기 위해 시스템을 지속적으로 감시한다.
▲로그 검사: 로그 파일들을 검사하고 프로세스를 지속적으로 감시하여 공격 주기 초기에 위협들을 찾아냅니다. SQL 주입, 명령 주입, API 공격과 같은 공격들을 로그에서 발견해조치를 취할 수 있다.
물리·가상·컨테이너·클라우드에서 서버 보호
한편 트렌드마이크로의 ‘딥시큐리티(Deep Security)’는 물리, 가상, 클라우드 서버 또는 컨테이너에 상관없이 랜섬웨어가 기업의 서버 및 작업량을 손상시키지 않도록 한다. 딥시큐리티는 는 IPS, 호스트 방화벽을 제공해 네트워크를 위협으로부터 보호하며, 소프트웨어 패치가 적용될 때까지 가상 패치를 제공해써 시스템의 취약점을 보호한다.
정교한 멀웨어 방지 및 동작 분석 기능을 갖추어 랜섬웨어를 비롯한 멀웨어의 서버 활동을 차단하고 중단한다. 또한 서버를 잠그는 응용 프로그램 제어를 비롯하여 시스템 보안이 포함되어 있으며, 랜섬웨어를 비롯한 잠재적 IOC를 탐지할 수 있는 무결성 모니터링 기능을 제공한다.
