리눅스가 해킹에 가장 많이 악용되는 봇넷 시스템으로 기록됐다. 최근 2년 사이 해커에게 장악된 리눅스 시스템이 눈에 띄게 증가했다. 해커는 과거 윈도 시스템을 좀비로 만들어 공격에 이용했는데 최근에는 리눅스 서버를 표적으로 삼았다.
카스퍼스키랩 분산서비스거부(DDoS) 인텔리전스보고서에 따르면 전체 공격에 이용되는 봇넷 중 리눅스 시스템 비중은 2015년 47.5%에서 2016년 67.5%로 늘었다. 해커가 이용하는 봇넷 절반 이상이 리눅스 시스템으로 변화했다.
특히 2016년 2분기부터 현재까지 전체 봇넷 중 리눅스 시스템이 차지하는 비중이 70%를 넘었다. 윈도 봇넷은 2015년 51.7%에서 2016년 32.85%로 하락했다.
한국은 2015년에 이어 2016년에도 해커가 악용하는 명령&제어(C&C) 서버가 제일 많은 국가였다. 이창훈 카스퍼스키랩코리아 대표는 “한국은 DDoS 공격에 악용되는 C&C 서버가 제일 많은데 상당수가 보안이 안 된 리눅스 서버”라고 설명했다.
생산, 제조, 금융 등 다양한 분야에서 운영 비용이 낮고 기술 적용 자유도가 높은 리눅스 도입을 늘렸다. 리눅스는 사물인터넷(IoT), 빅데이터, 클라우드 플랫폼으로 이용된다. 윈도보다 상대적으로 가격이 저렴한 리눅스 서버는 늘었는데 보안은 제대로 이뤄지지 않았다. 리눅스는 윈도보다 안전하다는 생각에 보안 솔루션을 설치하지 않는다. 최신 보안 업데이트 적용도 늦다.
취약한 서버는 해커 먹잇감이다. 리눅스 서버를 노린 표적 공격이 늘었다. 트렌드마이크로에 따르면 지난해 리눅스용 랜섬웨어 `렉스(Rex)`가 발견됐다. 렉스는 감염된 리눅스 시스템을 봇으로 만들어 DDoS 공격을 수행한다. 넥스는 리눅스 서버 소프트웨어에 존재하는 취약점을 스캔해 공격에 이용했다.
지난해 북미 인터넷을 마비시킨 미라이 악성코드 역시 리눅스 서버와 IoT 기기를 노린다. 리눅스 펌웨어가 내장된 하드디스크 드라이브를 감염시켜 DDoS 봇넷으로 활용한다.
루아봇(LuaBot)은 리눅스 악성코드 중 가장 최근에 등장했다. 루아봇은 미라이와 유사해 리눅스 서버와 IoT 기기를 봇넷화한다.
이창훈 카스퍼스키랩코리아 대표는 “국내 상당수 기업은 리눅스 서버를 도입하고 안티바이러스 등 기본 솔루션도 도입하지 않은 채 운영한다”면서 “리눅스 서버도 실시간으로 악성코드를 감지하는 보안을 서둘러야 한다”고 말했다.
<리눅스 봇넷 증가율(단위:%), 자료:카스퍼스키랩 DDoS 인텔리전스 보고서>
김인순 보안 전문기자 insoon@etnews.com
