백신 66종 모두 탐지 실패...기존 보안 시스템 무력화
SSH로 접속해 흔적 지워

[보안뉴스 강현주 기자] 기존 바이러스 백신으로 탐지가 불가능한 신종 악성코드 ‘플래그(Plague)’가 등장해 리눅스 서버 보안에 적신호가 켜졌다. SSH 포트를 통해 들어가 접속 흔적을 제거하는 수법이라는 점에서, 최근 SGI서울보증의 랜섬웨어 공격 형태와도 유사점이 있다.

3일 사이버보안 관련 외신들에 따르면 기존 주요 안티바이러스 엔진을 완벽하게 회피하는 악성코드 플래그가 리눅스 서버에 지속적으로 접근하며 기업의 핵심 시스템을 위협하고 있다.

넥스트론 시스템즈가 처음 발견한 플래그는 기존 보안 패러다임을 뒤흔들 것이라는 우려가 제기된다.


▲66개의 백신이 플래그 기반 백도어를 탐지하지 못하고 있다. [자료: Virus Total 스크린샷]

기존 66개의 안티바이러스 엔진 중 단 하나도 플래그 기반 백도어들을 탐지하지 못했다. 플래그는 단순한 악성 파일이 아니라, 리눅스 시스템의 핵심 인증 구조에 깊숙이 파고들어 ‘합법적인’ PAM(Pluggable Authentication Modules) 모듈처럼 위장하기 때문이다.

이 악성코드는 고급 난독화 기술을 사용해 분석을 어렵게 만든다. 단순한 XOR 암호화를 넘어 최근에는 RC4와 유사한 다단계 알고리즘을 사용해 코드 분석을 방해하는 것으로 분석됐다. 정상적인 파일명을 사용하고, 샌드박스 환경을 감지하는 안티 디버깅 메커니즘을 통해 보안 전문가들의 분석을 회피하고 있다.

플래그는 리눅스 인증 프로세스를 담당하는 ‘pam_sm_authenticate()’ 함수를 표적으로 삼아 시스템에 영구적으로 자리 잡는다. 이로써 공격자는 사용자 인증 과정에서 일반 텍스트 자격 증명을 탈취한다. 하드코딩된 백도어 비밀번호를 통해 자유롭게 시스템에 침투할 수 있다. 악성코드가 인증 스택의 일부가 됨으로써 시스템 업데이트나 보안 패치에도 영향을 받지 않고 지속적으로 접근 권한을 유지하게 된다.

플래그는 포렌식 흔적까지 완벽하게 지운다. 공격자는 SSH 접속 기록이 담긴 환경 변수를 체계적으로 제거하고, 셸 명령 기록을 /dev/null로 리디렉션해 어떠한 활동 흔적도 남기지 않는다. 이는 플래그 개발자들이 리눅스 포렌식 절차를 매우 잘 이해하고 있으며, 상당한 수준의 운영 보안 전문 지식을 갖춘 조직의 소행임을 시사한다.

플래그 악성코드 내부에는 1995년 개봉 영화 ‘해커스’에 대한 언급이 숨겨져 있다. 인증 우회 성공 시 “음. 플래그 씨? 우리 해커가 있는 것 같아요”(Uh. Mr. The Plague, sir? I think we have a hacker)라는 메시지가 표시된다. 이는 악성코드 제작자가 서구의 고전 해커 문화에 익숙한 위협 그룹일 가능성을 시사한다. 이러한 정교함과 조직적 특징으로 인해 플래그가 국가 수준의 지원을 받는 지능형 지속 공격(APT) 조직의 소행일 수 있다는 게 전문가들의 분석이다.

플래그는 단순한 악성코드를 넘어 리눅스 시스템의 근본적인 취약점을 노린 새로운 형태의 위협이라고 할 수 있다. 플래그에 맞서기 위해서는 단순한 악성코드 탐지를 넘어, 시스템의 무결성을 검증하고 비정상적인 행위를 탐지하는 ‘행위 기반 분석’ 중심으로 보안 전략을 재편해야 한다는 지적이다.

플래그의 등장은 기존 시그니처 기반 보안 시스템으로는 더 이상 신종 위협에 대응할 수 없다는 점을 시사한다.

이에 따라 기업들은 다음과 같은 조치를 즉시 취해야 한다. △PAM 구성 감사를 통해 모든 PAM 모듈의 무결성을 검증하고, 비정상적인 수정이나 추가 사항이 없는지 확인해야 한다. 또한 △인증 패턴 모니터링으로 평소와 다른 인증 시도나 의심스러운 계정 활동을 실시간으로 감시해야 한다. 이와 함께 △중요 인프라를 운영하는 기업이나 국방 관련 계약을 맺은 조직은 최고 수준의 보안 태세를 유지해야 한다.

[강현주 기자(jjoo@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>