서버 운용체계(OS)로 널리 이용되며 최근 사물인터넷(IoT)기기 OS로 각광받는 리눅스 보안 위협이 현실로 나타났다. 9일 안랩(대표 권치중)은 윈도나 안드로이드 OS에 비해 사용자 수가 적어 안전한 것으로 여겨졌던 리눅스가 더이상 보안 안전지대가 아니라고 경고했다.
안랩 시큐리티대응센터(ASEC)에 따르면 2012년 14건에 머물렀던 리눅스 악성코드가 올 들어 46건이나 발견됐다. 국내뿐만 아니라 세계적으로 리눅스 악성코드 역시 증가세다.
리눅스는 세계 서버 OS의 27%를 점유하며 기업 IT인프라에서 상당히 중요한 요소를 차지한다. 리눅스 보안이 문제가 되는 건 대부분 사용자가 보안프로그램을 이용하지 않는 탓이다. 리눅스 전용 백신 등 보안 프로그램을 사용하지 않는 사례가 많아 발견되지 않는 리눅스 악성코드나 감염 피해도 더 많을 것으로 예상된다.
또 다른 문제는 리눅스 악성코드는 감염 경로가 알려지지 않았다는 점. 안랩과 같은 보안기업이 탐지한 리눅스 악성코드는 대부분 자체 전파 기능이 없는 트로이목마 형태가 대부분이다. 악성코드 샘플 분석만으로는 감염 경로를 파악하기 쉽지 않다. 일부 리눅스 악성코드는 아파치(Apache), PHP 등의 취약점을 이용한다. 지난 9월에는 쉘 쇼크(Shell Shock)라 불리는 배쉬(Bash) 취약점이 발견돼 세계 리눅스 계열 시스템을 위협했다.
리눅스 악성코드는 진화 중이다. 올 3월 보안업체 ESET가 발견한 ‘윈디고’는 리눅스를 포함해 윈도, OS X 등을 모두 감염시켜 대규모 봇넷을 만든다. 이른바 ‘오퍼레이션 윈디고’라 알려진 봇넷은 감염된 시스템을 이용해 스팸 메일을 발송한다.
‘달로즈’는 지난해 10월 비트코인 등 가상화폐 인기 속에 등장했다. x86과 MIPS, ARM, 파워PC 등의 시스템을 감염시켜 가상화폐 채굴 프로그램을 설치한다. 이 악성코드는 특히 IoT기기를 목적으로 한다. 세계 3만1000대 시스템이 감염된 것으로 추정되며 한국이 전체 감염 비율 중 17%를 차지하는 것으로 알려졌다. 대규모 분산서비스거부(DDoS) 공격을 유발하는 리눅스 트로이목마도 발견했다.
안랩은 “리눅스 악성코드는 목적에 따라 취약점을 공격하는 익스플로잇(Exploit)과 DDoS 공격, 사용자 정보를 탈취하는 백도어(Backdoor), 가상화폐 채굴용 등으로 구분할 수 있다”며 “일부 악성코드는 동시에 여러 목적과 기능을 복합적으로 보이며 진화 중”이라며 주의를 당부했다.
김인순기자 insoon@etnews.com
