생성형AI를 활용한 악성코드 분석 및 대응

1. 계정 관리 (Account Management)

1-1. root 계정 원격 접속 제한

점검 방법

 

cat /etc/ssh/sshd_config | grep PermitRootLogin

 

양호 기준

PermitRootLogin no

 

왜 취약한가?

root는 시스템 전체 권한을 가진 계정으로 root 원격 접속 허용 시 비밀번호 하나로 시스템 전체 장악이 가능하고, 공격자가 바로 관리자 권한 확보가 가능함, 또한 로그 추적이 어려움

특히 SSH는 인터넷에 노출되는 경우가 많기 때문에 Brute Force 공격의 주요 타겟

1-2. UID 0 계정 점검

점검 방법

 

cat /etc/passwd | awk -F: '$3 == 0 {print $1}'

 

양호 기준

• root 계정만 존재

왜 취약한가?

UID 0은 root와 동일 권한으로, 추가로 존재한다면 숨겨진 관리자 계정 (백도어), 관리자 통제 불가

실제 해킹 사례에서도 UID 0 계정 추가는 대표적인 지속성 확보 방법

1-3. 불필요한 계정 제거

점검 대상

• test 계정
• guest 계정
• 퇴사자 계정

왜 취약한가?

관리되지 않는 계정은 비밀번호 정책 미적용, 접근 로그 미확인, 존재 자체를 모르는 경우 많음

공격자 입장에서는 가장 쉬운 침입 경로

1-4. 계정 잠금 정책

점검 파일

• /etc/pam.d/system-auth
• /etc/login.defs

점검 항목

• 로그인 실패 횟수 제한 (예: 5회)
• 계정 잠금 여부

왜 취약한가?

제한 없으면 무한 로그인 시도 가능, 자동화 공격(브루트 포스)에 그대로 노출

2. 패스워드 정책

2-1. 패스워드 복잡도

점검

cat /etc/pam.d/system-auth

양호 기준

• 대문자 / 소문자 / 숫자 / 특수문자 포함

왜 취약한가?

단순한 비밀번호는 딕셔너리 공격으로 쉽게 크랙, 자동화 도구로 몇 초 내 탈취 가능

2-2. 패스워드 최소 길이

점검

 

cat /etc/login.defs | grep PASS_MIN_LEN

기준

• 최소 8자 이상(특수문자+숫자+대소문자)

왜 취약한가?

길이가 짧으면 경우의 수 감소, brute force 공격 성공 확률 증가

2-3. 패스워드 변경 주기

점검

chage -l 계정명

기준

• 90일 이내 변경

왜 취약한가?

변경 안 하면 유출 시 장기간 악용 가능, 내부자 공격에도 취약

3. 파일 및 권한 관리

리눅스 보안의 핵심 영역

3-1. /etc/passwd, /etc/shadow 권한

점검

ls -l /etc/passwd
ls -l /etc/shadow

양호 기준

/etc/passwd → 644
/etc/shadow → 600

왜 취약한가?

shadow 파일 노출 시 암호 해시 탈취, 오프라인 크랙 가능

결과: 전체 계정 탈취 가능

3-2. world writable 파일

: 시스템 내 모든 사용자가 소유자나 그룹에 관계없이 내용을 수정, 삭제할 수 있도록 쓰기 권한이 부여된 파일

점검

find / -perm -2 -type f 2>/dev/null

왜 취약한가?

• 악성 코드 삽입
• 시스템 파일 변조
• 권한 상승 공격

3-3. SUID / SGID 파일

점검

find / -perm -4000 -type f 2>/dev/null

 

왜 취약한가?

실행 시 권한 상승, 공격자가 악용하면 일반 사용자임에도 권한 획득

대표적인 privilege escalation 경로

3-4. /tmp 디렉터리 설정

점검

ls -ld /tmp

양호 기준

drwxrwxrwt

왜 취약한가?

모든 사용자 접근 가능

공격 시나리오

• 악성 파일 생성
• race condition 공격
• symlink 공격

sticky bit 없으면 파일 삭제/변조 가능

4. 서비스 및 데몬 관리

4-1. Telnet 사용 여부

점검

ps -ef | grep telnet

왜 취약한가?

평문 통신

• ID / PW 그대로 노출
• 패킷 스니핑으로 탈취 가능

반드시 SSH 사용

4-2. FTP 서비스

왜 취약한가?

기본적으로 평문

• 인증 정보 노출
• 파일 전송 내용 노출

대안:

• SFTP / FTPS 사용

4-3. 불필요한 서비스 제거

점검

netstat -tulnp

 

왜 취약한가?

서비스 하나당 공격 경로 하나임(위 명령어는 현재 어떤 포트가 열려있고 어떤 프로세스가 쓰고 있는지를 확인 가능)

• 취약점 존재 가능
• 패치 안 된 서비스 위험

-> 최소 서비스만 운영