보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

‘리눅스 악성코드’ 대비책 있나?

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2017-12-04

리눅스 서버를 노린 공격이 늘어나고 있다. 지난 6월초 발생한 웹 호스팅 업체의 랜섬웨어 감염 사태에 이어 11월에는 대형 IDC 업체가 랜섬웨어에 감염된 사건이 발생했다. 해당 IDC 업체는 사건의 원인을 트루크립터(TrueCrypter)라는 신종 랜섬웨어 의한 것이라고 밝혔다. 앞서 감염된 웹 호스팅 업체는 에레버스 랜섬웨어로부터 피해를 입은 것. 두 사례 모두 리눅스 랜섬웨어에 감염되었다는 점에서 리눅스 서버를 타깃으로 한 악성코드 공격이 본격화되는 것이 아니냐는 우려의 목소리가 나오고 있다.

이 글에서는 2017년 한해 동안의 리눅스 악성코드 현황과 악성코드 공격에 대비하기 위한 서버 보안 관리자를 위한 보안 수칙을 살펴본다. 이와 함께 최근 실시간 감시 기능을 추가한 안랩의 리눅스 서버 보안 솔루션 ‘안랩 V3 넷 포 유닉스/리눅스 서버(AhnLab V3 Net for Unix/Linux Server, 이하 V3 넷 포 리눅스 서버)’를 소개한다.

 

그 동안 윈도우(Windows)에 비해 악성코드로부터 비교적 안전하다고 여겨져 온 리눅스 OS에 대한 보안 인식이 달라지고 있다. 보안 관리자들이 올해 발생한 웹 호스팅 업체의 랜섬웨어 감염 사태와 막대한 합의금 지불 과정을 지켜보면서 리눅스 서버 보안의 필요성을 느끼고 있는 것. 실제로 올해 하반기부터 안랩에 접수되는 리눅스를 비롯한 서버 보안 제품에 대한 문의도 증가하고 있다. 금전적인 이익이 목적인 공격자 입장에서도 개인 PC보다는 기업의 서버를 공격하는 것이 수익 창출 측면에서 더 큰 효과를 기대할 수 있기 때문에 공격의 타깃을 서버로 이동하고 있는 것으로 보인다. 특히, 보안에 충분한 투자를 하지 않은 중소 기업들이 리눅스 악성코드의 타깃이 될 가능성이 높다.

 

리눅스(Linux), 더 이상 악성코드의 안전지대가 아니다

윈도우에 비해 비교적 적은 편이지만 리눅스를 타깃으로 한 악성코드도 증가하고 있는 추세이다. 보안 취약점 통계 분석 사이트인 CVE디테일(CVE Detail, (www.cvedetails.com)에 따르면 2017년 1월부터 현재(11월 24일 기준)까지 전 세계에서 발견된 리눅스 커널 취약점은 407개인 것으로 집계됐다.

 

 

[그림 1] 전 세계 리눅스 커널 취약점 현황 (*출처: CVE Detail, 2017.11)

 

이는 지난해 발견된 217개에 비해 86% 가량 증가한 수치이며, 예년과 달리 급속한 증가세를 보이고 있음을 확인할 수 있다([그림 1] 참고).

 

안랩 시큐리티대응센터가 집계한 2017년 1월부터 현재(11월 22일 기준)까지 추가된 대표 리눅스 진단명은 총 327개이다([그림 2]). 또한 2017년 한해동안 안랩 제품군에서 가장 많이 진단 대응한 리눅스 악성코드는 미라이(Linux/Mirai), 루아봇(Linux/Luabot), 가프지트(Linux/Gafgyt), 쓰나미(Linux/Tsunami), 하지메(Linux/Hajime), 러더(Linux/Flooder),에이전트(Linux/Agent), 비트코인마이너(Linux/BitCoinMiner), 백도어(Linux/Backdoor), 골래드(Linux/Golad) 순으로 집계되었다.

 

 

[그림 2] 2017년 월별 리눅스 악성코드 진단 추가 현황 (2017년 11월 22일 기준)

 

 

[그림 3] 2017년 안랩 제품 진단 기준 리눅스 악성코드 Top 10

 

이렇듯 리눅스를 타깃으로 한 악성코드 공격이 증가하고 있으나 보안에 대한 대비책은 미비하다. 현재 중소 규모의 사업자들이 비용 측면에서 리눅스 OS을 많이 사용하고 있는데 비해 보안 솔루션을 갖고 있는 곳은 그리 많지 않다. 또한 리눅스 OS의 경우 오픈소스 기반이라 제공 업체마다 종류나 버전이 상이해 이를 모두 지원하는 보안 솔루션을 적용하기가 쉽지 않는 것이 현실이다. 리눅스 악성코드로부터의 피해를 입지 않기 위해서는 철저한 보안 점검과 대비책이 필요하다.

 

다음은 안랩에서 제안하는 기업 보안 관리자를 위한 서버 보안 수칙이다.

 

기업 보안 관리자를 위한 서버 보안 수칙

1. 서버 접근 사용자를 제한하고 불필요한 계정과 서비스 및 서비스 포트 등을 제거한다.

2. 비인가자 접속 여부 및 주요 응용 프로그램 관련 기록, CPU 및 네트워크 점유 상태, 악성코드 감염 유무 등 서버에 대한 예방 점검을 수시로 수행한다.

3. 서버 OS 및 응용 프로그램은 최신 패치를 설치하고, 서버에 보관 중인 데이터는 정기적으로 백업 및 분산 보관 하며, 사용하지 않거나 용도가 불분명한 서버는 네트워크에서 분리하여 외부로부터의 침입 가능성을 최소화 한다.

4. 서버 관리는 제한된 IP 및 MAC 주소가 부여된 별도의 관리용 기기를 이용하여 수행한다.

5. 관리용 기기는 서버와의 연결을 위한 전용 회선 또는 인터넷과 격리된 환경에서 제한된 인원만 이용할 수 있도록 통제하고 외부에서의 불필요한 접속을 차단해야 한다.

6. 관리용 기기에서는 서버 관리 작업만 수행하고, OS 및 보안 소프트웨어를 최신 버전으로 유지해야 한다.

 

더 강력해진 AhnLab V3 Net for Unix/Linux Server

안랩은 리눅스 서버 보안에 대한 수요가 증가하자 기존 리눅스 서버 보안 제품인 V3 넷 포 리눅스 서버에 ‘실시간 감시’ 기능을 추가했다.

V3 넷 포 리눅스 서버는 서버에 저장된 다양한 파일 및 압축 파일에 대해 악성코드 감염 여부를 확인하여 서버를 안정적으로 운영할 수 있도록 보호한다. 리눅스 서버의 경우 대용량 파일 서버, 빌링 서버 등으로 운영하는 안정성에 민감한 서버로 구성되어 있어 제품의 안정성 확보가 가장 중요한 만큼, 기업의 보안 관리 운영 정책에 따라 실시간 검사, 수동 검사, 예약 검사를 선택하여 적용할 수 있다. 또한 관리자 편의를 위한 포트 설정, 관리 계정 설정 등의 기능과 함께 안랩의 엔드포인트 중앙관리 솔루션인 안랩 폴리시센터(AhnLab Policy Center, APC) 또는 안랩 EMS(AhnLab EMS) 연동을 통한 통합 관리를 지원한다. 특히 폐쇄망에서도 EMS 서버를 통해 V3 넷 포 리눅스 서버의 엔진 업데이트를 지원하기 때문에 안전한 서버 환경에 기여한다.

 

V3 넷 포 리눅스 서버의 실시간 검사는 11월말 정기 패치를 통해 적용된다. V3 넷 포 리눅스 서버를 사용 중인 고객이라면 일괄 패치를 통해 기능 업데이트가 가능하다.​

  • AhnLab 로고
  • 콘텐츠기획팀
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.