리눅스 서버를 향한 공격이 늘어나면서 효과적인 보안 방안에 대한 관심도 높아지고 있다. 안랩은 안티바이러스(V3 Net for Linux), 샌드박스(AhnLab MDS), EDR(AhnLab EDR) 솔루션을 연동한 보안 아키텍처를 통해 리눅스 포함 엔드포인트 전 구간에 대해 강력한 보안을 제공해오고 있다. 해당 아키텍처는 많은 고객들에게 실제 도입되어 보안 강화에 기여하고 있으며, 구성 솔루션들은 글로벌 보안 평가에서 우수한 성적을 거두며 탁월한 기술력을 입증하고 있다.
이번 글에서는 리눅스 보안을 위한 안랩의 보안 아키텍처와 고객 입장에서의 차별점에 대해 살펴본다.
1. 위험에 처한 리눅스 서버
한국인터넷진흥원(KISA)이 발간한 ‘2024년 하반기 사이버 위협 동향 보고서’에 따르면, 국내에서 일어난 사이버 공격 중 ‘서버 해킹’이 무려 절반 이상(56%)을 차지했다. 최근 사회적으로 이슈가 되고 있는 서버 공격이 실제로 활발하게 이뤄지고 있음을 알 수 있다.
[그림 1] 2024년 하반기 사이버 공격 유형 통계 (출처: KISA)
서버 공격 중에서도 특히 리눅스 기반 서버 해킹이 화두가 되고 있는 요즈음이다. 2025년 4월, 통신사의 리눅스 서버가 해킹 당해 고객 정보가 유출되는 사건이 발생했고, 그 이후에도 기업의 리눅스 서버 랜섬웨어 감염 등 관련 소식들이 계속해서 들려온다.
앞서 1화에서 통계와 사례를 통해 살펴본 바와 같이 리눅스 환경을 향한 공격은 점점 더 교묘해지고 고도화되고 있다. 추가로 안랩의 또 다른 통계 [그림 2]를 보면, 그 추세를 보다 명확하게 알 수 있다. 2023년 290개였던 리눅스 취약점은 이듬해인 2024년 3,529개로 10배 이상 증가했고, 리눅스 환경을 타깃한 신규 악성코드는 2025년의 절반이 채 지나지 않은 5월 기준으로도 6만개 이상 발견됐다.
[그림 2] 리눅스 취약점과 신규 악성코드 수
리눅스 서버 공격이 늘어나는 이유는 간단하다. 수 많은 클라이언트 PC에 연결되어 있고 다양한 비즈니스 중요 데이터들이 저장되어 있기 때문이다. 앞서 사례와 통계에서 확인한 바와 같이 랜섬웨어를 비롯해 리눅스 기반 시스템을 겨냥한 악성코드가 증가하면서 비즈니스 중단 등 심각한 피해로 이어지고 있다.
이러한 최신 사이버 위협은 단일 솔루션만 활용하는 단편적인 접근으로는 대응이 어렵다. 공격이 엔드포인트, 이메일 등 다양한 구간에서 시작되고, 신/변종 악성코드가 빈번하게 등장하기 때문이다. 또한, 공격이 한 번에 그치지 않고 언제든 다시 재발할 수 있다. 따라서, 효과적인 보안을 위해서는 다음과 같은 역량이 요구된다.
- 위협 탐지, 분석 및 대응으로 이어지는 보안 체계
- 제품 간 연계와 연동을 지원해 여러 보안 구간을 보호할 수 있는 아키텍처
- 탐지 및 차단을 넘어 위협을 추적해 재발을 방지할 수 있는 보안 전략
2. 안랩의 체계적인 보안 아키텍처
안랩은 엔드포인트와 이메일 등 사이버 공격이 유입될 수 있는 구간에 대해 최적의 보안 방안을 제시하여 고객이 강력한 위협 대응 체계를 구축할 수 있도록 한다. 공격자들이 활발하게 사용하는 악성 이메일 격리부터 네트워크 트래픽 미러링을 통한 파일 수집 및 분석, 그리고 엔드포인트 단의 다양한 보안 기능과 위협 추적을 통한 재발 방지까지 완벽에 가까운 보안 체계를 제공한다.
[그림 3] 안랩의 리눅스 서버 보안 아키텍처
[그림 3]은 랜섬웨어 등 주요 사이버 공격에 대한 보안을 제공하는 안랩의 리눅스 서버 보안 아키텍처다. 해당 아키텍처는 각 구성 솔루션들이 서로 유연하게 연동되어 시너지를 내는 형태로 운영된다. 아키텍처를 구성하는 솔루션들은 정적(Static), 평판(Reputation), 동적(Dynamic), 행위(Behavior) 분석 등 다양한 탐지 기법을 바탕으로 다양한 위협들을 빈틈없이 방어한다.
구성 솔루션들의 역할을 정리하면 다음과 같다.
[그림 4] 안랩 리눅스 서버 보안 아키텍처 솔루션 별 역할
#1. AhnLab V3: 알려진 악성코드 탐지 & 차단
안랩의 30년 역사와 기술력이 담긴 안티바이러스 솔루션 AhnLab V3는 수십억 개의 악성코드 시그니처가 저장된 자사 데이터베이스를 기반으로 알려진 악성코드를 빠르고 정확하게 탐지 및 차단한다. 수 천개의 악성 행위 패턴을 활용해 알려진 알려지지 않은 악성코드까지도 대응 가능하다.
이 밖에, 랜섬웨어 보안을 위한 특화 기능인 ▲디코이 파일 진단 ▲앱 격리 검사 ▲랜섬웨어 보안 폴더 등을 제공한다. ▲프로세스 메모리 진단 ▲AMSI(Anti Malware Scan Interface) 진단을 통해 파일리스 형태로 유포되는 악성코드도 탐지해 차단할 수 있다.
AhnLab V3는 엔드포인트 유형과 OS 별로 솔루션을 제공한다. 리눅스 서버의 경우 V3 Net for Linux가 BPFDoor를 비롯해 리눅스 계열 악성코드에 대해 최적화된 탐지 및 차단을 지원한다. 또한, 리눅스 서버가 클라우드 환경에서도 다수 사용되는 점을 고려하여 도커 컨테이너 검사 등 클라우드 보안 기능을 함께 지원해 고객이 진정한 하이브리드 클라우드 보안을 구현할 수 있도록 한다.
#2. AhnLab MDS: 악성 이메일 차단 및 알려지지 않은 악성코드 분석
리눅스 보안 관점에서 AhnLab MDS는 네트워크, 이메일 서버 앞단, 망연계 구간 등 다양한 영역에서 샌드박스 기반 파일 검사를 수행한다.
이메일 구간에서 AhnLab MDS의 MTA(Mail Transfer Agent)는 메일의 헤더, 본문, URL, 첨부파일을 종합적으로 검사한다. 본문에 포함된 URL은 직접 접속하여 이상 유무를 파악하고, 첨부파일은 샌드박스 환경에서 분석한다. 악성 이메일은 격리시켜 시스템에 유입되지 않도록 한다.
또한, 네트워크 트래픽 미러링을 통해 의심스러운 파일을 수집하여 가상 VM 환경에서 실행 및 분석하여 악성 여부를 판별한다. 리눅스 보안 관점에서 보면, 일반적인 리눅스 파일은 특정 파라미터와 함께 실행되는 경우가 많으며, AhnLab MDS는 사용자가 파일과 파라미터를 직접 입력하여 행위 발현 여부를 확인할 수 있다는 장점이 있다. 또한, 여러 파일을 가상 환경에 모아서 분석할 수 있어, 리눅스 위협 탐지 및 분석에 유리하다.
#3. AhnLab EDR: 모든 엔드포인트 이벤트와 행위 탐지 & 대응
AhnLab EDR은 서버, PC 등 여러 디바이스에서 발생하는 모든 행위를 모니터링하여 엔드포인트 위협을 탐지 & 대응한다. 주요 기능은 모든 엔드포인트 행위 정보 수집, 이벤트 연관 관계 분석, AhnLab V3, MDS 등의 솔루션과 연계한 위협 대응 등이 있다. 엔드포인트 전반의 위협 관리, 알려지지 않은 위협의 잠복 기간 최소화와 잠재적 피해 및 재발 방지를 목적으로 한다.
AhnLab EDR은 탐지한 위협에 대해 MITRE ATT&CK 프레임워크 기반 위협 정보와 유입 경로, 주요 행위, 연관 관계, 위험도, 위협 정보 링크 등에 대해 상세한 분석 내용을 제공한다. 분석 정보를 ▲ 다이어그램 ▲타임라인 ▲프로세스 트리 형태로 표시해 사용자가 전반적인 공격 흐름을 쉽게 파악하도록 한다.
그리고, 이처럼 수준 높은 보안 관리에 최적화된 전용 콘솔 ‘EDR Analyzer’를 제공하여 사용자가 위협을 정확하게 인지해 대응하고 당사에 최적화된 정책을 설정할 수 있도록 지원한다.
#4. MDR 서비스: EDR의 활용성 극대화
앞서 설명한 바와 같이 EDR은 다른 솔루션 대비 운영의 난이도가 높은 편이다. 이에, 안랩은 AhnLab EDR에 솔루션 운영과 활용을 돕는 ‘MDR 서비스’를 기본으로 제공하여 고객의 사용성을 높인다. AhnLab EDR 고객은 안랩 보안 전문가의 실시간 모니터링, 중요도가 높은 위협에 대한 분석∙대응, 분석보고서와 월간 통계 보고서 등 서비스를 이용할 수 있다. 더욱 전문적인 서비스를 원하는 고객은 프리미엄 MDR 서비스가 포함된 ‘EDR Premium’을 활용할 수 있다. 이 서비스를 이용하면 더 광범위한 범위의 로그 분석, 조직 환경과 보안 이슈를 반영한 맞춤형 탐지 룰 생성 등 심화 서비스를 받을 수 있다.
3. 안랩의 오퍼링을 선택해야 하는 이유 3가지
AV, 샌드박스, EDR 모두 시장에 여러 솔루션들이 공급되고 있다. 고객 입장에서 이 중 안랩의 오퍼링이 매력적인 이유 3가지를 소개한다.
#1. 솔루션 간 유연한 연동과 시너지
30년 전 V3를 시작으로 아키텍처를 구성하는 모든 솔루션을 자체 개발한 안랩은 솔루션 간 유연한 연동을 통해 시너지를 내는 체계를 구축했다. 고객들은 위 솔루션들을 상호보완적으로 사용하며 더욱 강력한 보안 효과를 누릴 수 있다.
[그림 5] AhnLab EDR과 MDS 연계 분석
특히, 분석과 대응 차원에서 큰 효과를 볼 수 있다. 예를 들면, V3에서 악성코드로 진단된 정보를 기반으로 EDR이 유입 경로 등 상세 분석 정보를 제공하여 향후 발생할 수 있는 동일 위협을 선제적으로 막을 수 있다. 또한, EDR에서 수집된 다양한 프로세스와 파일 정보를 샌드박스에서 분석하고자 할 경우 MDS에 심층 분석을 요청해 결과를 확인하여 위협에 대한 심층적인 정보도 파악할 수 있다.
#2. 고객 레퍼런스를 통해 검증된 우수성
안랩의 리눅스 보안 아키텍처는 오랜 기간 많은 고객들이 도입해 사용하며 그 효용성을 입증하고 있다. 고객들은 V3 Net for Linux, AhnLab MDS 및 AhnLab EDR을 각각 도입해 활용하는 경우도 있지만, 2개 혹은 3개 솔루션을 도입해 통합 보안 효과를 누리는 경우도 많다. 이 솔루션들은 각자 다른 역할을 수행하지만 상호보완적 관계를 갖고 있기 때문에, 함께 운영되었을 때 최상의 시너지를 내기 때문이다.
또한, 해당 솔루션들은 리눅스 뿐만 아니라 윈도우 환경까지 아우르는 연동 기반 보안을 제공하여 고객들이 안전한 비즈니스 환경을 조성할 수 있도록 지원한다.
#3. 탁월한 글로벌 공인 평가 성적
마지막으로, 안랩 보안 솔루션들은 전 세계적으로 공인 받는 보안 평가에서 우수한 성적을 거두며 기술력을 입증해오고 있다.
특히, AhnLab EDR은 전 세계적으로 가장 공신력 있는 보안 제품 테스트 중 하나인 ‘마이터 어택 평가(MITRE ATT&CK Evaluation)’에 국내 보안기업으로는 유일하게 4회 연속 참가해 우수성을 입증하고 있다. 마이터 어택 평가는 주요 위협 그룹들의 공격 기법을 모의수행한 시나리오를 토대로 참가 제품의 위협 탐지 & 대응 역량을 평가한다.
특히, 최근 진행된 라운드 6에서는 주요 랜섬웨어 그룹 클롭(CL0P)과 록빗(LockBit)이 윈도우와 리눅스에 걸쳐 수행하는 실제 공격 기법으로 구성된 시나리오 중 95%를 탐지했다. 이는 전 세계 보안 기업들 중에서도 상위권에 해당하는 성적이다. 뿐만 아니라, 탐지한 56개 세부 단계(substep) 중 49개에서 최고 등급인 Technique을 받았는데, 이는 사용자가 탐지 정보를 통해 위협 행위에 대한 ‘맥락(Context)’을 포괄적으로 이해할 수 있다는 방증이다
안랩의 마이터 어택 평가 라운드 6 결과에 대한 자세한 내용은 결과 분석 보고서를 통해 확인할 수 있다.
4. EDR과 MDR 심층 활용 방안은 3편에서
이처럼, 안랩의 보안 아키텍처는 리눅스 서버를 포함한 엔드포인트 전 구간에서 연동을 기반으로 강력한 보안 역량을 제공한다. 그리고 여러 고객 도입 사례를 통해 솔루션의 효용성을, 글로벌 보안 평가를 통해 우수한 기술력을 입증해오고 있다.
이번 글에서 소개한 솔루션 중 AhnLab EDR은 제품 특성 상 고객 입장에서 운영 난이도가 높은 솔루션이다. 이어지는 3편에서는 EDR의 구체적인 활용 방법과 MDR의 효과에 대해 소개한다.
3편에서 계속
>> 3화 - 안랩 EDR과 MDR로 완성하는 리눅스 보안
