“나야나 효과?” 리눅스 서버 보안시장 ‘활기’

‘인터넷나야나’ 사태가 리눅스 서버를 대상으로 한 엔드포인트 보안시장에 활기를 불어넣고 있다.

지난해 6월 인터넷나야나는 리눅스용 랜섬웨어 ‘에레버스(Erebu)’ 공격을 받아 서버 300대 중 리눅스 서버 153대가 감염됐다. 중소기업 및 개인 홈페이지 피해가 속출했고, 데이터 복구를 위해 인터넷나야나는 13억원에 달하는 비트코인을 해커에게 몸값으로 지불했다. 이후 리눅스 서버를 보유한 기업·기관들의 분위기가 사뭇 달라졌다는 것이 관련 업계의 전언이다.

이창훈 카스퍼스키랩코리아 지사장은 “과거에는 리눅스 서버에 엔드포인트 보안을 도입하라고 설득하는 과정이 쉽지 않았는데, 최근에 문의도 많아지고 적용 사례도 늘고 있다”며 “인터넷나야나 사건이 영향을 미친 것으로 보인다”고 말했다.

김창희 안랩 제품기획팀장은 “최근 리눅스 서버에 대한 실제 피해사례가 국내에서 등장하면서 리눅스 서버 사용자의 적극적인 관심이 증가하고 있고, 금융권이나 기업에서 보안 권고 등의 이슈로 인해 문의가 많은 편”이라고 시장 상황을 전했다.

◆리눅스 서버 보안 왜 필요할까?=리눅스는 웹 서버·응용 프로그램 서버 및 엔터프라이즈 응용 프로그램을 포함해 업무 핵심 응용 프로그램을 실행하는 많은 기업 서버에 적합한 운영체제(OS)다.

트렌드마이크로 측은 “지난해 전체 OS 시장 점유율이 13.5%로 증가하고, 클라우드에서 리눅스가 널리 보급됨에 따라 접근 가능한 아마존웹서비스(AWS) EC2 워크로드에 약 90% 배치돼 리눅스 보안에 대한 중요성은 점점 더 커지고 있다”고 설명했다.

보안 취약점 통계 분석 사이트인 CVE디테일에 따르면 지난 1월부터 현재(11월24일 기준)까지 전세계에서 발견된 리눅스 커널 취약점은 407개로, 이는 지난해 발견된 217개에 비해 86% 가량 증가한 수치다.

리눅스 서버에 대한 공격 방법은 일반적으로 공격자는 네트워크 취약성을 악용해 접근 권한을 얻고 나중에 또 접근할 수 있는 매커니즘을 남겨두지만, 랜섬웨어와 같은 직접 공격의 경우 지속성이 필요하지 않아 네트워크를 넘어선 추가 보호조치를 해야 한다.

또한, 마이크로소프트 윈도와 마찬가지로 운영체제(커널)와 서버에서 실행되는 애플리케이션 모두에서 악용될 수 있는 취약점이 있다. 네트워크 접근이 가능하고 그 영향이 컸던 취약점의 대표적인 예는 하트브리드(Heartbleed)와 셸쇼크(Shellshock)며, 그 외에도 많은 취약점이 존재한다. 전세계적으로 18만대 이상의 서버들이 이 취약점을 가지고 있는 것으로 알려졌다.

사이버범죄자들의 목적이 수익 창출로 변하고 있는 만큼, 서버 OS로 많이 사용하는 리눅스 플랫폼은 더 이상 안전지대가 아닌 것이다.

리눅스 서버는 24시간 항상 인터넷에 연결돼 있기 때문에 공격자들은 각종 디도스(DDoS) 공격에 악용하고, 취약점을 이용해 악성코드를 호스팅한다. 실제로 아마존 클라우드에서 실행 중인 디도스 봇넷이 발견된 바 있다.

중요 정보를 다루는 정부기관과 기업을 노릿 타깃 공격 가능성도 있다. 리눅스 플랫폼의 알려지지 않은 제로데이 취약점을 악용한 악성코드로 공격하거나, 특정 플랫폼을 사용하는 시스템만을 겨냥한 사이버스파이도 나타날 수 있다. 이에 엔드포인트 서버 쪽에서 침투하는 악성코드를 막을 수 있는 최소한의 방어책을 마련해야 한다는 의견이 나오고 있다.

◆리눅스 지키는 엔드포인트 보안 제품 살펴보니…=국내에서는 카스퍼스키랩, 트렌드마이크로, 안랩 등이 리눅스 서버용 엔드포인트 보안시장에서 경합을 펼치고 있다.

카스퍼스키랩의 ‘카스퍼스키 안티바이러스 포 리눅스 파일 서버(Kaspersky Anti-Virus for Linux File Server)’는 리눅스 서버에 침투하는 악성코드와 악성해킹툴을 탐지한다.

이 제품은 실시간 감시를 제공하고, 윈도 OS를 공격하는 악성코드까지 찾아 제거한다. 하나의 엔진에서 웹쉘까지 탐지한다. 중앙관리도구와 연동해 여러 대의 리눅스 서버를 통합 관리하고, 신속한 백신 데이터베이스 업데이트로 신종 바이러스에 대응한다.

안티바이러스 영역에서는 ▲시그니처 기반 기술에 의한 알려진 바이러스 ▲휴리스틱 분석 기법에 의한 알려지지 않은 바이러스 ▲압축파일을 검사하고, ▲감염파일, 의심파일, 손상된파일, 암호 설정된 파일 탐지 ▲감염·의심개체 격리 ▲백업 카피 등을 실시한다.

▲트렌드마이크로 '딥시큐리티'(자료 제공 트렌드마이크로)

딥 시큐리티는 트렌드마이크로 클라우드 보안센터 데이터 기반 악성 소프트웨어와 랜섬웨어 관련 명령제어(C&C) 트래픽을 탐지·차단한다. 알려진 악성 URL에 대한 접근을 막고, 랜섬웨어를 감염시킬 수 있는 알려진 소프트웨어 취약점 공격으로부터 시스템을 보호해 하이브리드 클라우드 전반의 서버 및 애플리케이션을 보호한다.

랜섬웨어가 데이터센터에 침입해 활동할 경우, 의심스러운 행위를 식별해 프로세스를 중단하고 경고 알림을 보낸다. 동일 네트워크상 다른 서버로 측면 이동을 시도하는 것도 탐지해 차단하고, 주요 시스템에서 의심스러운 활동이 발생할 경우 잠재적인 랜섬웨어 공격에 대한 신속한 대응이 가능하다는 설명이다.

이와 함께 안랩은 리눅스 서버용 보안 솔루션 ‘V3넷(V3 Net)’을 통해 해당 시장을 공략하고 있다. V3넷의 주요 기능은 ▲파일·압축파일 등 악성코드 검사 ▲엔진 업데이트 ▲서버 관리 ▲로그 및 통계 관리 ▲치료 전 파일 백업 등이다.

V3넷은 기업 정책에 따라 실시간 검사, 수동 검사, 예약 검사를 선택해 적용할 수 있으며, 다중 압축 파일 검사 기능도 가능하다. 관리자 편의를 위한 포트 설정, 관리 계정 설정 등의 기능과 함께 엔드포인트 중앙관리 솔루션인 안랩 폴리시센터(APC), 또는 안랩 EMS 연동을 통한 통합 관리를 지원한다. 폐쇄망에서도 EMS 서버를 통해 엔진 업데이트를 지원한다. 운영도 웹기반의 ‘웹 메니지먼트’를 통해 편리하게 이뤄진다.

지난달 30일 실시간 감시 기능을 추가한 V3넷은 지원 OS 항목에 없는 OS를 사용하더라도 고객 요청에 의한 패치를 반영하며 기술지원 대응을 한다. 리눅스 서버는 중요도에 따라 폐쇄망 환경에서 운영되는 경우가 있는데, 일자별 엔진을 제공해 최신 엔진을 유지할 수 있도록 하고 있다. 

김창희 팀장은 “클라우드, IoT, 오픈소스 등 신기술 확산으로 인해 서버시장에서 리눅스는 이미 MS OS를 추월했으며, 다양해지는 비즈니스 환경으로 리눅스가 점차 확산되고 있어 이에 대한 위협과 보안 수요도 꾸준히 증가할 것”이라며 “이런 상황에서 리눅스용 랜섬웨어도 급증하고 있어 사업자들의 합리적인 보안솔루션에 대한 수요가 올라갈 것”이라고 내다봤다.

이어 “다만 규모가 작은 기업에서 보안솔루션 없이 운영되는 곳이 많고, 니즈는 있으나 우선순위에서 다른 OS에 밀린다면, 인터넷나야나 같은 사태가 반복될 수 있다”며 “한 번의 보안사고가 사업의 명운을 가를 수 있는 만큼, 중요성을 인식하고 적극적으로 도입하는 분위기가 형성되는 것이 중요하다”고 강조했다.