리눅스 서버 노린 공격, 대응책 마련 나선 보안업체들

 해킹 사건을 조사하는 과정에 발견된 ‘BPF도어(BPFDoor)’는 세간의 화제를 모았다. 리눅스(Linux) 운영체제(OS)의 커널(Kernel)에 탑재된 버클리 패킷 필터(Berkeley Packet Filter; BPF)를 악용, 기존 보안 솔루션을 무력화하고 시스템을 은밀히 장악하는 지능적 수법이 적용됐기 때문이다. 기업들은 혹시나 BPF도어에 감염됐을까 우려하고 있다.

BPF도어 공격을 두고 국내 기업의 서버 보안 실태를 꼬집는 목소리도 나왔다. 서비스 안정성에 민감한 나머지 안티바이러스를 비롯한 솔루션 마련에 미진했다는 지적이다. 이러한 우려 속에서 국내외 보안업체들은 BPF도어를 위시한 지능적 위협에 대응하는 방안을 제시하고 나섰다. BPF도어가 만들어진 기술적 원리와 함께, 이처럼 고도화된 사이버공격을 막기 위한 해결책은 무엇인지 살펴봤다.

원인으로 꼽힌 부실한 서버 보안

글로벌 위협 인텔리전스로 BPF도어와 관련된 단서는 지속적으로 보고됐다. 하지만 SKT에서는 BPF도어를 비롯한 일련의 악성코드 공격을 피하지 못했다. 일각에서는 그 원인 중 하나로 부실한 서버 보안을 꼽았다. 개인정보보호위원회에서도 지난 5월 8일 유출 경로가 된 주요 시스템에 악성 프로그램 방지를 위한 보안 솔루션(백신)이 설치되지 않았던 점을 확인했다고 발표했다.

SKT 류정환 네트워크인프라센터장은 국회 과학기술방송통신위원회 청문회에서 “작년 7월 마이크로소프트(MS) 애저(Azure)에서 백신 연동 문제로 크라우드스트라이크(CrowdStrike) 이슈와 같은 글로벌 장애 사례가 발생했다. 이 때문에 계획한 백신 배포를 보류하고 부작용 여부를 재검토했다고”고 해명했다.

전문가들은 서버 보안 문제는 비단 SKT에만 해당하는 일이 아니라고 꼬집었다. 보안업계 한 관계자는 “국내 기업들의 서버 보안 수준은 많은 차이가 있다”며 “보안을 중요히 여기는 곳에서는 투자를 충분히 하고 있으나, 안티바이러스 솔루션조차 갖추지 못한 기업도 상당수”라고 설명했다.


리눅스로 눈 돌리는 해커 집단

BPF도어 공격 대상이 된 리눅스 서버에 대한 보안은 더욱 준비되지 않던 실정이다. 한동안 리눅스는 MS 윈도(Windows)보다 해킹 공격에 안전지대로 여겨졌다. 우분투(Ubuntu), 센트OS(CentOS), 데비안(Debian) 등 다양한 종류가 나와 있고, 같은 OS라 해도 커널 버전에 따라 시스템 구성이 달라졌다. 이러한 이유로 공격자들은 사용자 기반이 넓고 다양성이 낮은 윈도를 주된 표적으로 삼았다.

2017년 6월 국내 웹호스팅 업체 ‘인터넷나야나’에서 웹 서버 및 백업 서버 153대가 랜섬웨어 ‘에레버스(Erebus)’에 감염되는 사건이 일어났다. 에레버스는 본래 윈도를 타깃으로 만들어졌는데, 해당 사건에서는 리눅스 변종이 쓰였다. 회사는 랜섬웨어로 인한 피해를 복구하지 못하고 해커에게 13억 원을 넘겨주고 복호화 키를 받았다.

인터넷나야나 랜섬웨어 사건은 우리나라에 리눅스 보안의 중요성을 일깨우는 계기였다. 공공, 금융 등 컴플라이언스 준수가 필요한 분야를 중심으로 리눅스 서버에 대한 보안 솔루션 적용이 이뤄졌다. 하지만 여전히 그 외 산업군에서는 보안 체계를 마련하지 않은 채 시스템을 운영 중이다.


안정성·호환성 문제로 ‘미적지근’

기업에서 서버 보안에 미온적 반응을 보이는 이유는 우선 ‘안정성’이다. 서버는 기업의 내부 시스템, 대외 서비스 등과 관련해 중추 역할을 맡는다. 24시간 가동되는 경우가 많고 다운타임이나 성능 저하에 민감할 수밖에 없다. 이러한 이유로 기업들은 서버 보안 대응에 적극적으로 나서지 못하는 경향을 보인다.

가령 취약점 패치는 시스템 재부팅을 필요로 하기에 기업에서는 이를 오랜 기간 미루거나 한 번에 모아서 처리하는 식으로 대응하기도 한다. 제때 이뤄지지 못한 패치는 훗날 사이버공격의 표적이 된다. 2023년에 공개된 리눅스 커널 보안 취약점 ‘CVE-2023-0386’은 2년이 지난 올해, 악용 사례가 빈번해져 미국 사이버보안 및 인프라 보안국(CISA)에서 신속한 패치를 당부한 바 있다.

글로벌 보안업계 관계자는 “리눅스 서버는 주로 서비스 제공 목적으로 쓰인다. 때문에 기업에서는 서비스 안정성에 영향을 줄 수 있는 요소에 민감하다”며 “엔드포인트 보안 플랫폼(EPP) 같은 솔루션은 검사, 차단 등이 이뤄지는 과정에서 기존 컴퓨팅 파워를 사용한다. 이에 대해 불안감을 느끼거나 부담을 갖는 경우가 많다”고 말했다.

리눅스는 호환성도 문제 요인이 된다. OS 종류가 다양하며 그 안에서도 버전 차이가 존재한다. 이 때문에 하나의 보안 프로그램이 모든 리눅스 환경에서 동일하게 작동하기 어렵다. 우분투를 호환하는 솔루션이 센트OS에서 문제를 일으킨다거나, 같은 OS라 해도 버전에 따라 설치 오류가 발생할 수 있다. 이러한 기술적 복잡성과 제약이 리눅스 서버 보안에 걸림돌로 작용한다.

BPF도어 악성코드 대응 나선 보안업계

BPF도어처럼 지능적인 위협이 나타남에 따라 서버 보안 체계 강화의 필요성은 다시금 강조되고 있다. 방화벽, 안티바이러스 등 전통적 보안 체계를 우회하는 공격이 증가하는 만큼, 이상 행위를 감지하는 엔드포인트 탐지 및 대응(EDR)에 대한 관심도가 높아졌다. 보안업체들도 BPF도어 관련 침해 지표를 솔루션에 업데이트하는 등 빠른 대응에 나섰다.

안랩에서는 ‘안랩 EDR’을 비롯해 △리눅스 서버 백신 ‘V3 넷 포 리눅스(V3 Net for Linux)’ △네트워크 통합 보안 솔루션 ‘안랩 XTG’ △클라우드 워크로드 보안 플랫폼 ‘안랩 CPP’ 내 호스트 IPS 등 자사 솔루션에 시그니처 업데이트를 완료해 BPF도어 유입을 차단했다. 위협 인텔리전스 플랫폼 ‘안랩 TIP’로 BPF도어 관련 위협 정보도 신속히 공유하고 있다.

트렌드마이크로는 사고 발생 후 탐지 패턴 업데이트와 함께 자사 보고서를 통해 내부 점검을 지원하는 가이드를 고객에게 제공했다. 또한 SKT 해킹 사건이 BPF도어 변종으로 인한 피해임을 확인한 만큼, 행위 기반 탐지 대응에 강점을 지닌 EDR의 필요성을 강조하고 있다. 취약점 악용에 대응해 서버 공격 표면을 줄일 수 있도록 호스트 IPS 도입도 권고하고 있다.

지니언스는 위협 분석 대응 조직인 ‘지니언스 시큐리티 센터(GSC)’를 통해 실사례를 반영한 공격 동향과 기법을 분석해 제품에 반영하고 있다. ‘지니안 EDR(Genian EDR)’로 BPF도어처럼 고정된 패턴으로 대응이 힘든 악성코드, APT 공격 등에 대한 효과적인 방어도 지원 중이다.

카스퍼스키는 BPF도어 탐지가 가능토록 자사 EPP, EDR 등에 스노트 룰(Snort Rule) 및 야라 룰(YARA Rule) 탑재를 마쳤다. 스노트 룰은 네트워크에서 해킹이나 악성 트래픽을 탐지하는 과정에, 야라 룰은 파일 및 프로그램에서 악성코드의 특징을 찾아내는 데 쓰인다.


세밀한 서버 접근 통제로 백도어 악성코드 차단


SGA솔루션즈의 서버 보안 솔루션 ‘레드캐슬’ (사진=SGA솔루션즈)
EDR 외에 서버 보안 솔루션을 대안으로 내건 곳도 있다. SGA솔루션즈에서는 서버 보안 솔루션 ‘레드캐슬(RedCastle)’에 △불법적 서버 접근 통제 △서버 자원 접근 통제 △감사 추적 △로그인 통제 등 내외부 통제 기능을 강화했다.

레드캐슬은 두 가지 보안 제어로 백도어 위협을 차단한다. 우선 ‘경유 제어 기능’으로 서버에서 외부로 나가는 시도를 △대상 사용자 △목적지 IP △포트 등을 기준으로 통제한다. 이를 통해 BPF도어 설치 후 매직 패킷으로 공격자 서버와 연결된 리버스 셸을 차단할 수 있다. 두 번째는 ‘커널 기반 바인드(BIND) 통제’로 외부 접속 대기를 탐지해 공격자가 서버에 직접 침투하는 시도를 막을 수 있다.

이와 함께 SGA솔루션즈는 손쉬운 서버 보안 관리를 위한 기능도 추가 제공한다. 기업에서는 서버를 수십 대부터 많게는 수백 대까지 운용하고 있어 보안 정책 관리에 어려움을 겪는다. 이에 회사는 레드캐슬에서 동일한 보안 정책을 여러 서버에 걸쳐 공통으로 배포하는 기능을 더했다. 또 서버 안정성을 고려해 탐지 후 경고하고 문제 발생 여부를 담당자가 확인 후 대응이 이뤄지는 모드를 제공 중이다.


“고도화된 위협, 대응 위해 보안 투자 나서야”

BPF도어는 시작일 뿐이다. 앞으로도 지능적인 수법으로 IT 보안 체계를 우회하고 위협은 증가할 가능성이 짙다. 늘어나는 위협에 맞서 국내외 보안업체들은 해결책을 내놓고 있다. 결정은 기업들 손에 달렸다. 얼마나 기업에서 보안을 중요시하는지가 관건이다.

업계 한 관계자는 “서버 보안을 두고 성능 저하를 우려하는 이들이 있지만 솔루션들도 좋아져서 이제 그런 문제는 두드러지지 않는다”며 “솔루션 도입을 꺼리는 큰 이유는 불편함이다. 보안 정책은 꼼꼼해야 안정적인데 그럴수록 관리하는 일은 까다로워진다. 서버와 관련해서도 들어오는 접속은 점검하나 외부로 나가는 경우는 살펴보지 않는 곳이 허다하다”고 지적했다.

또 다른 관계자는 “점점 더 정교하고 고도화된 사이버 위협에 기업들의 피해도 커지고 있다”며 “이제 보안은 단순한 비용 문제가 아닌, 사업 존속을 결정하는 요인이 되고 있다. 기존 보안 수준을 뛰어넘는 새로운 체계를 세워야 하며 이를 위한 과감한 투자가 뒷받침돼야 한다”고 강조했다.

※위 포스팅이 문제될 경우 삭제하겠습니다.
출처 : http://www.itdaily.kr/news/articleView.html?idxno=233908