• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

러시아의 팬시 베어, 리눅스 시스템 침해하여 정보 수집한다 2020.08.21

유명 APT 단체 팬시 베어, 리눅스 시스템 침해해 C&C 인프라 구성 중
드로보럽이라는 도구 사용해 침해 하고 백도어 생성...각종 정보 탈취

[보안뉴스 문가용 기자] 러시아의 공격 단체인 팬시 베어(Fancy Bear)가 리눅스 시스템들을 침해해 C&C 인프라를 구성하는 공격을 실시하고 있다는 보고가 나왔다. 팬시 베어는 이같은 공격을 하기 위해 드로보럽(Drovorub)이라는 공격 도구를 활용하고 있다고 한다.

[이미지 = utoimage]


미국의 NSA와 FBI가 발표한 바에 따르면 “드로보럽은 백도어를 생성하는 도구”인데, 이 백도어는 “파일 다운로드, 파일 업로드, 임의 명령 실행, 포트 포워딩 등을 할 수 있다”고 한다. 그러면서 “드로보럽은 결국 커널 모듈 루트킷과 결합된 임플란트”라고 규정했다.

국가의 지원을 받는 APT 단체가 리눅스 시스템을 노리기 위해 무기를 개발하는 건 어제 오늘 일이 아니다. 리눅스는 다양한 OS의 기반이 되고, 서버들에서도 자주 발견되는 요소이며, 각종 사물인터넷에 숨을 불어 넣는 역할을 하고 있기 때문이다. 그럼에도 리눅스 사용자들 사이에서는 ‘윈도는 위험하고 리눅스는 안전하다’는 고정관념이 어느 정도 자리를 잡고 있다.

보안 업체 맥아피(McAfee)는 자사 블로그를 통해 “업데이트를 하고 보안 장치를 갖추고 실천 사항을 준수해야 하는 건 윈도 사용자들만이 아니”라고 강조하며 “리눅스 기반 시스템들도 세계 구석구석에 퍼져 있기 때문에 공격자들로서 매력적인 표적”이라고 설명했다. “심지어 리눅스 기반 시스템들은 윈도 시스템들보다 눈에 띄지도 않습니다. 숨어 있는 것이죠. 공격자들이 숨기에 적합한 장소를 제공해 줍니다.”

FBI와 NSA는 이번 발표를 통해 리눅스 사용자들에게 커널 3.7 혹은 상위 버전으로 업데이트 해야 한다고 권고했다. 그래야 커널 서명 기능을 온전하게 시스템 내에 적용시킬 수 있기 때문이다. “이 기능이 완전히 도입되어야만 올바른 디지털 서명을 갖춘 모듈만을 로딩할 수 있게 됩니다. 공격자로서는 악성 커널 모듈을 진입시키는 게 더 힘들어지죠.” 참고로 곧 출시될 리눅스 최신 버전은 5.8.1이다.

크라우드스트라이크(CrowdStrike)의 부회장인 아담 메이어스(Adam Meyers)는 외신인 스레트포스트(ThreatPost)와의 인터뷰를 통해 “유명 공격 단체가 리눅스에 대한 관심을 꾸준히 보이고 있다는 것을 시스템 담당자들이 인지해야 할 필요가 있다”고 강조했다. 그러면서 “현재 리눅스는 비교적 간과되고 있으며 소홀히 관리되고 있는 게 분명하다”고 짚었다. FBI와 NSA도 “드로보럽이 국가 안보의 위협이 될 가능성이 높다”고 주장했다.

드로보럽은 4개의 주요 요소들로 구성되어 있다고 한다. 모듈들끼리는 제이슨(JSON)을 기반으로 한 메시지 형태로 통신한다. 이 때 웹소켓(WebSocket) 프로토콜이 활용된다고 한다.
1) 드로보럽 서버 : 이 요소는 공격자 인프라에 탑재되어 있으며 MySQL 데이터베이스를 통한 C&C 통신을 가능하게 한다.
2) 드로보럽 클라이언트 : 이 요소는 피해자 엔드포인트에 탑재되며 서버 모듈로부터 명령을 받는다. 파일 전송, 포트 포워딩, 원격 셸 실행 등의 기능을 가지고 있다.
3) 드로보럽 커널 : 루트킷을 기반으로 한 스텔스 기능을 발휘함으로써 클라이언트와 커널 모듈을 숨긴다.
4) 드로보럽 에이전트 : 드로보럽 클라이언트와 비슷한데, 주로 인터넷에 연결된 호스트들이나 공격자가 제어하는 인프라에 설치된다.

도노보럽 공격에 대응하려면 네트워크 침투 탐지 시스템을 마련해 모니터링과 대응을 해야 한다고 한다. 또한 로깅을 통해 악성 행위의 이력을 찾아내고 즉각적인 대응을 하며, 메모리 분석과 디스크 이미지 분석을 주기적으로 진행하는 것이 좋다. 맥아피는 위에서 언급한 자사 블로그를 통해 루트킷 스캐닝과 리눅스 커널 락다운(Linux Kernel Lockdown)을 사용한 모듈 비활성화를 추가로 제안하기도 했다.

또 다른 보안 업체 스플렁크(Splunk)의 믹 바시오(Mick Baccio)는 자사 블로그를 통해 “대선을 맞이하고 있는 지금 시점에 러시아 팬시 베어의 무기를 공개해 방어 전선을 확대시킨 건 현명한 행위”라고 설명했다. “공격 도구를 다시 만들거나 업그레이드시키는 건 간단히 이뤄지는 일이 아니거든요. 정부의 지원을 받고 있는 전문가 단체더라도 이는 마찬가지입니다. NSA와 FBI가 적절한 타이밍을 노린 것으로 보입니다.”

3줄 요약
1. 리눅스를 침해하려는 러시아 APT 단체의 주요 무기 분석됨.
2. 리눅스는 광범위하게 사용되고 있지만 눈에 잘 띄지 않아 공격자들이 좋아함.
3. 리눅스 사용자들은 커널 3.7 이상으로 업그레이드 하는 것이 안전.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>