리눅스 바이러스 위험과 대책

리눅스 토발트가 지난 1994년 1.0 버전의 리눅스 운영 시스템을 발표한 이래 리눅스는 전세계 개발자들의 뜨거운 호응 속에 꾸준하게 발전되어 왔다. 인터넷 상에서 무료로 이용할 수 소스 코드를 바탕으로 레드햇, 맨드레이크 (Mandrake) 및 SuSE 등과 같은 리눅스 버전이 꾸준하게 인기를 얻고 있다.

초기에 컴퓨터 프로그래머들과 전문가들이 주로 이용해 왔던 리눅스는 업무 및 가정용으로 영역을 확대되고 있다. 리눅스에 열광하는 많은 사람들은 리눅스를 안전하고, 사용하기 쉬운 운영 시스템으로 간주한다. 확실히 보안 측면에서 리눅스 사용자들은 윈도우 운영 시스템을 무차별적으로 공격하는 웜, 트로이 목마와 같은 컴퓨터 바이러스의 공격에서 벗어나 비교적 안전 지대에 있어 왔다. 하지만 리눅스 시스템이 파일 또는 웹페이지와 같은 형태로 사용되고, 적용 범위가 확대되면서 바이러스 공격을 비껴갈 수 없는 상황이다.

리눅스 바이러스 종류
다음은 많이 퍼져있는 리눅스 바이러스 중에서 불편을 초래하거나 컴퓨터 데이터의 보안을 손상시키는 바이러스 종류들이다.

Linux/Slapper-A : 또는 Linux.Slapper. Worm, Apache/mod_ssl Worm, ELF_SLAPPER.A로 알려져 있다.
이 리눅스 웜은 아파치 웹 서버의 오픈 SSL 모듈에서 버퍼 오퍼플로우 버그를 이용해 시스템에 침입한다. 일단 활성화되면 서비스 거부 공격을 시작하는 백도어로 사용될 수 있다. 이 바이러스는 임의 명령어를 실행시킬 수 있고, TCP (Transmission Control Protocol)와 도메인 네임 서비스 플러드 (flood)를 형성해 디스크 상에 있는 이메일 어드레스를 탐색할 수 있다.

Linux/Lion : 또는 Troj/t0rn-kit로 알려져 있다.
이 바이러스는 바인드 네임 서비스 데몬의 원격 입력 점에 공격받기 쉬운 컴퓨터의 클래스 B IP 네트워크를 스캐닝함으로써 퍼진다. 침투에 성공한 후에는 바이러스의 존재를 숨길 수 있도록 설계된 coollion.51.net에서 패키지를 설치한다. 이것은 새로운 파일을 변경 또는 형성하거나 새로운 디렉토리를 만들어 이러한 작업을 실행한다. 이 웜은 재부팅되는 동안에도 활성 상태로 남아 있어 계속 위장한다. 이 바이러스는 etc/passwd, /etc/shadow의 컨텐츠와 ifconfig-a의 출력을 china.com 도메인 주소로 발송시킨다.

Win32/Lindose: 또는 ELF/Lindose, W32/Winux, W32.PEE1f132라는 명칭으로 알려져 있다.
이 바이러스는 윈도우 PE와 리눅스 ELF의 실행 가능한 파일을 모두 감염시키는 첫 번째 이기종 플랫폼 바이러스이다. 일단 리눅스 머신을 감염시키면 최근 디렉토리와 다른 디렉토리에서 ELF 파일을 탐색한다. 만약 실행 가능한 ELF 파일이 검색되면, 바이러스는 감염되지 않은 오리지널 호스트 코드까지도 파일 끝에 첨부시킨다. 따라서 바이러스 코드의 동작이 중단되면 메모리에 복원되고, 운용될 수 있다. 또는 오리지널 입력 점을 바이러스 코드로 덮어쓸 수 있다. 바이러스 바디는 [Win32/Linux.Winux] multi-platform virus by Benny/29A’와 ‘This GNU program is covered by GPL’이라는 텍스트를 포함한다.

Linux-Ramen : 또는 Linux/Ramen.Worm, Linux.Ramen이라는 명칭으로 알려져 있다.
이 리눅스 인터넷 웜은 레드햇 6.2 또는 7.0을 운영하는 컴퓨터에 접속하기 위해 세 개의 원격 입력점 중 하나를 이용한다. 이 웜은 리눅스 머신을 부팅할 때 실행돼 전원이 꺼질 때까지 활성 상태가 지속된다. 활성화되어 있으면 임의로 클래스 B 인터넷을 선택해 보다 많은 리눅스 머신을 감염시키기 위해 모든 어드레스를 탐색한다. 감염된 리눅스 머신에서 이 윔은 모든 index.html 파일을 ‘Hackers looooooooooooooooove noodles’라는 텍스트를 포함하고 있는 HTML 파일로 바꾸어 놓는다.

바이러스 예방과 대처 중요
윈도우처럼 리눅스에서도 바이러스 예방과 대처가 중요하다. 주된 이유는 다음과 같다.

• 리눅스 머신이 비 유닉스 클라이언트 워크스테이션용 서버 및 PC 에뮬레이터로 사용될 때 리눅스 보안이 문제될 수 있다. 리눅스 머신은 매크로 바이러스와 같이 비 리눅스 계열 바이러스의 매개체가 될 수 있다.

• 현재까지 바이러스 작성자는 윈도우 소프트웨어의 취약성 및 마이크로소프트의 거대한 시장 지배력 때문에 윈도우를 주 공격 대상으로 삼아왔다. 하지만 리눅스가 지속적으로 인기를 끌면서 바이러스 작성자는 리눅스에 관심을 갖기 시작했다. 특히 풍부한 리눅스 코드를 쉽게 확보할 수 있고, 인터넷 상에서 정보를 무료로 이용할 수 있기 때문에 리눅스 머신을 공격해 중요한 정보를 훔치거나 손상을 일으킬 수 있는 위험성이 높아지고 있다.

안전한 컴퓨터 사용 습관 들여야
안티바이러스 소프트웨어는 바이러스를 예방할 수 있는 가장 효과적인 요소이다. 하지만 네트워크 운영 책임자와 유저들은 적절한 방법을 이용해 기술적인 대응력을 강화시켜야 한다.

• 패치를 신속하게 이용한다. 패치는 바이러스가 이용하는 취약한 부분을 고칠 수 있다. 평소에 보안 뉴스를 주의 깊게 보고, 인터넷 상에 패치가 제공되면 신속하게 적용하는 것이 좋다. 레드햇, 맨드레이크, SuSE 및 Sun과 같은 리눅스 웹사이트에서 적합한 패치를 다운로드받을 수 있다. 또한 윈도우가 작동되는 네트워크를 위해서는 마이크로소프트 웹사이트에서 패치를 다운로드해야 한다.

• 감염 위험을 최소화시킨다. 바이러스를 체크하거나 승인 받기 전에 파일을 다운로드 받거나 작동 또는 전송시키게 되면 바이러스 감염 가능성이 높아진다. 평소에 워드 다큐먼트는 RTF 파일로, 엑셀 스프레드시트는 CSV 파일로 저장한다. 이러한 포맷은 매크로를 지원하지 않기 때문에 다큐먼트 바이러스를 퍼뜨리지 않는다. 인터넷 브라우저는 Java, ActiveX 애플릿 또는 쿠키 등과 같은 코드를 실행시키지 않도록 인터넷 브라우저를 안전하게 구성하고, 모든 데이터와 프로그램은 규칙적으로 백업한다.