클라우드와 가상화 기술에 대한 사용량이 증가하자 공격자들은 리눅스에 관심을 갖기 시작했다. 윈도 환경의 위협들이 리눅스에서 하나 둘 출현하고 있는데, 그 속도가 꽤나 빨라서 미국 정부 기관이 나서서 경고까지 했을 정도다.

[보안뉴스 문가용 기자] 클라우드 서비스, 가상기기 호스트, 컨테이너 기반 인프라가 늘어남에 따라 리눅스에 대한 인기와 관심도 덩달아 늘어나고 있다. 중요한 건 이 관심의 대부분이 사이버 공격자들에게서 온다는 것이다. 그래서 최근 들어 부쩍 리눅스 환경을 노리는 익스플로잇과 멀웨어들이 증가하고 있다.


최근 가상화 서비스의 대가인 VM웨어 고객들을 대상으로 조사한 바에 따르면 리눅스 호스트들을 겨냥해 설계된 랜섬웨어들이 가상기계 이미지들이나 컨테이너들을 감염시키는 경우가 늘어나고 있다고 한다. 거기에다가 암호화폐를 노리는 공격도 크게 증가 중에 있으며, 해킹 도구 코발트 스트라이크(Cobalt Strike)의 악성 버전들도 계속해서 발견되는 중이라는 것도 밝혀졌다.

“공격자들이 자신들의 공격 무기를 윈도에서 리눅스로 바꾼 건 아닙니다. 대부분 해커들이 사용하는 주력 컴퓨터는 여전히 윈도 기반입니다. 실제 윈도 기반 환경에서 공격이 훨씬 더 많이 일어나는 것도 사실이고요. 다만 최근 요 몇 개월 동안 리눅스 환경을 노리는 공격과 리눅스 환경을 겨냥한 공격 전략과 도구들이 크게 늘어났습니다. 리눅스는 떠오르는 위험 지대이며, 앞으로 더 그렇게 될 것입니다.” VM웨어의 브라이언 바스킨(Brian Baskin)의 설명이다.

“지금의 해킹 연구들은 대부분 윈도 환경에 초점이 맞춰져 있습니다. 꽤나 오랜 시간 그래왔어요. 그런데 이제는 리눅스에 초점이 맞춰진 활동이 급증하고 있습니다. 특히 멀티클라우드 인프라를 겨냥한 연구와 해킹 시도들이 주를 이룹니다. 사용자 편(특히 하이퍼바이저)에서의 설정 오류를 찾아내 공략한다든지, 공유된 계정을 탈취한다든지, 공유된 비밀번호를 훔쳐내는 식으로 접근하죠.”

현재까지 리눅스 환경을 겨냥한 공격 중 최초 침투는 취약점 익스플로잇과는 상관이 크게 없는 것으로 조사되고 있다. 크리덴셜을 탈취하여 시스템에 로그인 하는 것이 대부분이었다. 그 다음 두 번째로 선호되는 침투 방법이 원격 코드 실행 취약점의 익스플로잇이었다. VM웨어의 수석 위협 첩보 분석가인 지오반니 비그나(Giovanni Vigna)는 “크리덴셜을 훔쳐서 피해자의 시스템을 둘러보는 편이 공격자 입장에서는 훨씬 편하다”고 말한다.

“크리덴셜 관리가 큰 문제이긴 합니다. 크리덴셜 탈취는 공격자들에게 매우 중요한 공격 수단입니다. 왜냐하면 사용자들의 크리덴셜 관리가 아직 미흡하고, 따라서 훔치는 게 어려운 일이 아니며, 피해자 입장에서 크리덴셜 탈취로 인한 공격이나 침해 행위를 탐지하는 것이 어렵기 때문입니다. 피해자와 같은 ID와 비밀번호로 로그인을 하니, 그 자체만으로는 악성인지 순수한 의도인지를 알 수가 없는 겁니다.”

심상치 않은 랜섬웨어 동향
이런 저런 방법으로 최초 침투에 성공한 후 공격자들은 각종 리눅스용 멀웨어를 사용하기 시작한다. 그런데 최근 들어 리눅스용 랜섬웨어가 크게 증가하고 있어서 적잖은 경고가 리눅스 생태계에서 나오고 있는 중이다. 특히 블랙매터(BlackMatter), 헬로키티(HelloKitty) 등 윈도 환경에서 많이 사용되던 것이 리눅스용으로 변환되어 나타나는 추세가 눈에 띈다. 그 외에는 원격 코드 실행을 가능하게 하는 임플란트, 암호화폐 채굴 멀웨어도 많이 등장한다.

VM웨어에 의하면 리눅스 시스템들 중 리눅스 서버가 가장 많은 공격에 시달리고 있다고 한다. “리눅스 서버에 워크로드가 있으니, 랜섬웨어 공격자들로서는 이 워크로드를 빼돌리고 암호화 하는 게 큰 이득을 가져다 줄 수밖에 없습니다. 랜섬웨어 산업이 최근 급격히 팽창하다보니 공격자들이 사업을 확대하기 위해 여기 저기 눈을 돌리는 것 같고, 그러면서 최근 사용량이 높아지고 있는 리눅스가 이들의 눈에 든 것으로 보입니다.”

미국의 보안 전담 정부 기관인 CISA 역시 이번 2월 보안 권고문을 통해 특정 랜섬웨어 패밀리들이 리눅스 시스템을 노리기 시작했다고 경고하기도 했다. “랜섬웨어 개발자들이 클라우드 인프라와 가상기계, 오케스트레이션 소프트웨어를 노리기 시작했습니다. 취약점 익스플로잇도 하지만 클라우드 계정과 애플리케이션 API를 노리는 일도 크게 늘고 있습니다.” 경고문 내용 중 일부다.

윈도 기반 레드팀 도구였던 코발트 스트라이크(Cobalt Strike)가 리눅스 환경에 자주 출몰하고 있는 것도 주목해야 할 일이라고 VM웨어는 짚는다. “약 1만 4천여 개의 코발트 스트라이크 서버들의 고객 ID가 0이었습니다. 시험판이나 크랙킹이 된 버전이 사용되고 있다는 뜻입니다. 리눅스를 노리는 공격자들이 코발트 스트라이크를 적극 활용하기 시작했습니다.”

3줄 요약
1. 리눅스 환경을 위협하는 요소들이 최근 급증하고 있음.
2. 윈도용 랜섬웨어가 리눅스 서버들에 이식되려는 시도와 경우가 늘어나고 있음.
3. 현재까지 공격자들의 최초 침투 기법은 주로 크리덴셜 탈취.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>