“이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다.”
탐지 불가능한 새로운 악성코드의 위협
2025년 8월, 보안업계에 충격적인 소식이 전해졌습니다. 무려 66개의 주요 안티바이러스 엔진이 모두 탐지하지 못하는 신종 악성코드가 발견된 것입니다. 이 악성코드의 이름은 ‘Plague’입니다.
넥스트론 시스템즈(Nextron Systems) 보안 연구팀이 발견한 이 위협은 지금까지와는 완전히 다른 접근 방식을 취합니다. 기존 악성코드들이 시스템 표면에서 활동했다면, Plague는 리눅스 시스템의 심장부인 인증 시스템에 직접 침투합니다.
가장 놀라운 점은 이 악성코드가 이미 1년 넘게 활동해왔다는 사실입니다. 2024년 7월부터 지속적으로 바이러스토탈(VirusTotal)에 업로드되었지만, 단 한 번도 악성으로 판정받지 않았습니다.
PAM 모듈 위장이라는 교묘한 수법
Plague의 핵심은 PAM(Pluggable Authentication Module) 모듈로 위장하는 것입니다. PAM은 리눅스 시스템에서 사용자 인증을 담당하는 핵심 구성 요소입니다. 마치 건물의 보안 시스템에 위장 경비원을 배치하는 것과 같습니다.
이 악성코드는 다음과 같은 방식으로 작동합니다:
정적 자격증명 제공: 공격자가 미리 설정한 비밀번호로 시스템 접근이 가능합니다.
안티 디버깅 기능: 분석 도구들을 차단하여 역공학을 방해합니다.
문자열 난독화: 악성 코드를 숨기기 위해 복잡한 암호화를 사용합니다.
접속 흔적 삭제: SSH 세션 기록을 자동으로 제거합니다.
특히 흥미로운 것은 공격자들이 영화 ‘해커스(Hackers)’를 참조한 점입니다. 코드 내부에는 “Uh. Mr. The Plague, sir? I think we have a hacker”라는 메시지가 숨겨져 있습니다.
진화하는 암호화 기술
Plague는 시간이 지나면서 점점 더 정교해지고 있습니다. 초기 버전은 간단한 XOR 암호화를 사용했습니다. 하지만 최신 버전은 KSA/PRGA 알고리즘과 DRBG(난수 생성기)를 조합한 복잡한 암호화를 적용합니다.
이러한 발전은 공격자들이 지속적으로 탐지 회피 기술을 개선하고 있음을 보여줍니다. 마치 바이러스가 백신에 대응하여 변이하는 것과 같습니다.
은밀함의 극치: 스텔스 기능
Plague가 특히 위험한 이유는 완벽한 은밀성입니다. 일반적인 악성코드와 달리, 이 위협은 다음과 같은 방법으로 흔적을 지웁니다:
– SSH 연결 정보를 담은 환경변수를 제거합니다
– 쉘 명령어 기록을 /dev/null로 리다이렉션합니다
– 실제 파일명이 ‘libselinux.so.8’인지 확인합니다
– ‘ld.so.preload’ 환경변수 존재를 검증합니다
이러한 기능들은 시스템 관리자가 침입을 전혀 눈치채지 못하게 만듭니다.
하드코딩된 백도어 비밀번호
보안 연구진들이 발견한 하드코딩된 비밀번호들은 다음과 같습니다:
– Mvi4Odm6tld7
– IpV57KNK32Ih
– changeme
이 비밀번호들을 사용하면 정상적인 인증 절차 없이 시스템에 접근할 수 있습니다. 특히 ‘changeme’와 같은 단순한 비밀번호는 공격자의 의도적인 도발로 보입니다.
국내 보증보험사 사건과의 연관성
보고서에 따르면, Plague의 공격 패턴은 최근 국내 보증보험사에서 발생한 랜섬웨어 공격과 유사점이 있습니다. SSH 접근 이력 삭제 기능을 고려할 때, 초기 침투 경로와 은닉 방식에서 공통점을 보입니다.
이는 Plague가 단순한 실험적 악성코드가 아니라 실제 공격에 활용될 수 있는 위험한 도구임을 시사합니다.
효과적인 대응 전략
1. 즉시 실행해야 할 조치
– PAM 모듈 무결성 검사: 모든 PAM 모듈의 해시값을 확인하고 변조 여부를 점검해야 합니다.
– 인증 패턴 모니터링: 평소와 다른 로그인 시도나 의심스러운 계정 활동을 감시해야 합니다.
– 행위 기반 분석: 시스템 내 비정상적인 활동을 실시간으로 탐지할 수 있는 시스템을 구축해야 합니다.
– YARA 룰 적용
연구진들이 제공한 YARA 룰을 활용하여 Plague를 탐지할 수 있습니다:
rule MAL_LNX_PLAGUE_BACKDOOR_Jul25 {
meta:
description = "Detects Plague backdoor ELF binaries"
score = 80
strings:
$s1 = "decrypt_phrase"
$s2 = "init_phrases"
condition:
uint32be(0) == 0x7f454c46
and filesize < 1MB
and all of them
}
2. 장기적 보안 강화
– 정기적인 PAM 감사: PAM 설정과 모듈을 주기적으로 검토해야 합니다.
– 다중 인증 도입: SSH 접근에 다단계 인증을 적용해야 합니다.
– 네트워크 분리: 중요한 시스템은 별도 네트워크에 격리해야 합니다.
– 접근 기록 강화: 우회하기 어려운 중앙집중식 로깅 시스템을 구축해야 합니다.
새로운 보안 패러다임의 필요성
Plague의 등장은 기존 보안 접근 방식의 한계를 명확히 보여줍니다. 시그니처 기반 탐지에만 의존하는 전통적인 백신으로는 이런 정교한 위협을 막을 수 없습니다.
앞으로는 행위 기반 분석과 제로 트러스트 아키텍처가 더욱 중요해질 것입니다. 특히 PAM과 같은 핵심 시스템 구성 요소에 대한 지속적인 모니터링이 필수적입니다.
Plague는 단순한 악성코드를 넘어서 미래 사이버 위협의 진화 방향을 보여주는 사례입니다. 보안 업계는 이제 더욱 정교하고 지능적인 위협에 대비해야 할 시점입니다.
참고 자료
– https://www.nextron-systems.com/2025/08/01/plague-a-newly-discoveredpam-based-backdoor-for-linux/
– https://securityaffairs.com/180701/malware/new-linux-backdoor-plaguebypasses-auth-via-malicious-pam-module.html
– https://www.bleepingcomputer.com/news/security/new-plague-malwarebackdoors-linux-devices-removes-ssh-session-traces/
– https://thehackernews.com/2025/08/new-plague-pam-backdoor-exposes.html
