리눅스 PAM을 뚫는 신종 악성코드 ‘플래그(Plague)’ 등장! 대응 전략

요즘 리눅스 서버 점검 중 이상한 SSH 접근 로그를 발견하신 적 있나요? 저도 며칠 전, 인증 로그를 확인하다 이상 징후를 포착했습니다. 자세히 분석해보니, 그 중심엔 **신종 리눅스 악성코드 ‘플래그(Plague)’**가 있더라고요. 이 악성코드, 기존 백신으론 감지도 안 됩니다.

---

📌 플래그(Plague)의 정체는?

‘플래그(Plague)’는 PAM 인증 모듈을 위장해 침투하는 고도화된 리눅스 악성코드입니다. VirusTotal 기준으로 66종의 안티바이러스 모두 탐지 실패라는 무서운 전적을 자랑하죠.

감염 흐름 요약:

• SSH 포트 접근
• PAM 인증 과정 탈취
• 로그인 자격 증명 수집
• 백도어 설치 및 포렌식 회피
• 시스템 재부팅/패치 이후에도 생존

기술적 특징은 아래 표로 정리했습니다.

항목	내용
탐지 여부	기존 백신 66종 탐지 실패
감염 대상	리눅스 서버, PAM 모듈 악용
전파 방식	SSH 포트 → 인증 우회 → 백도어 설치
위장 방식	pam_sm_authenticate() 하이재킹
기술 특징	XOR + RC4 난독화, 환경변수 조작, 안티 디버깅
지속성	인증 스택에 기생, 패치 후에도 생존
포렌식 회피	셸 히스토리 삭제, SSH 흔적 제거
APT 가능성	고전 해커 영화 대사 삽입 등 서구권 냄새

---

🔍 플래그(Plague)가 특히 위험한 이유

플래그가 무서운 이유는 단순히 ‘감염’ 때문이 아닙니다. 기존 시그니처 기반 보안 체계를 통째로 우회하기 때문입니다.

• 시그니처 회피: 모든 백신 사각지대 존재
• 인증 탈취: pam_sm_authenticate() 하이재킹
• 지속성 확보: 시스템 패치 후에도 기생
• 포렌식 회피: 셸 히스토리 및 로그 흔적 제거

🌀 APT 성격까지 겸비한 고도화된 위협입니다. 단순한 스크립트 키디 수준이 아니에요.

---

🛡️ 보안 실무자를 위한 실전 대응 체크리스트

이제 본격적으로 대응 방안을 정리해봅니다. 아래 항목들은 제가 직접 서버에 적용하고 있는 실전 항목들이며, 현업에서도 바로 써먹을 수 있습니다.

1. PAM 무결성 검증
   • rpm -V pam 등으로 패키지 검증
   • /etc/pam.d/, /lib/security/, /lib64/security/ 내 .so 파일 해시값 주기적 비교
2. 비정상 모듈 탐지
   • ldd, readelf, strings, strace 등으로 .so 파일 확인
3. 사용자 인증 이상 행위 감시
   • 루트 외 계정의 다중 접속 탐색
   • /var/log/secure, auditd 로그 비교
4. 셸 히스토리 위·변조 점검
   • HISTFILE, HISTCONTROL 환경 변수 확인
   • bash/zsh/su 기록 유무 점검
5. EDR 및 행위 기반 방어 체계 도입
   • 시그니처 기반 백신만으론 부족
   • SELinux + EDR 조합으로 프로세스 행위 분석 필수

---

🧩 보안 강화를 위한 추가 권장 조치

조치 항목	설명
SSH 접근 제한	방화벽, Fail2Ban, Port Knock 등 도입
다중 인증(MFA)	관리자 접근 시 필수 적용
Rootkit 탐지	rkhunter, chkrootkit, lynis 등
IOC 기반 탐지	위협 인텔리전스 활용 상시 모니터링

---

🧠 플래그(Plague) 대응 요약 리스트

• PAM 모듈 정합성 검증
• .so 파일 행위 분석
• 인증 이상로그 모니터링
• 히스토리 조작 탐지
• EDR 도입 및 SELinux 연계
• SSH 접속제한 및 MFA 적용
• IOC 정보 수집 및 자동화

---

❓ 자주 묻는 질문 (FAQ)

Q. 플래그에 감염됐는지 어떻게 알 수 있나요?
A. 시스템 로그에 이상 현상이 없고, 히스토리도 삭제된 경우 strace, lsof, auditctl 등으로 PAM 호출 이력을 확인해보세요.

Q. PAM 모듈 변조를 쉽게 감지할 방법이 있나요?
A. rpm -V pam이나 sha256 해시를 자동으로 비교하는 스크립트를 통해 모듈 무결성 확인이 가능합니다.

Q. 왜 기존 백신으로는 탐지가 안 되나요?
A. 시그니처 없이 작동하며, 정상 파일명과 경로를 그대로 사용하기 때문입니다. XOR+RC4 난독화로 분석도 어렵습니다.

Q. 어떤 EDR 솔루션이 효과적인가요?
A. CrowdStrike, SentinelOne, Osquery 연동 EDR 등이 리눅스 기반 행위 분석에 효과적입니다.

Q. SSH 보안을 가장 간단하게 강화하는 방법은?
A. 방화벽 설정 + MFA 조합이 가장 효율적입니다. 특히 외부 접속 시에는 포트 노크나 GeoIP 제한도 고려해보세요.

---

🧷 마무리하며…

요즘처럼 위협이 지능화되는 시대에는, 단순 백신이나 침해탐지 시스템만으로는 부족합니다.
리눅스 PAM을 악용하는 플래그는 구조적 보안 대응이 필요한 수준의 APT입니다.

인증 흐름 자체를 노리는 공격에는 행위 기반 분석 체계 도입이 해답입니다.
저도 서버마다 chkrootkit, EDR, PAM 무결성 점검 루틴을 매일 돌리고 있습니다.

여러분도 오늘 당장 pam.d 디렉토리부터 점검해보시길 강력히 추천합니다. 🧪