2026년 6월, 보안업체 Sygnia는 중국 연계 위협 그룹 Velvet Ant가 리눅스 인증 구성요소인 PAM(Pluggable Authentication Modules)과 OpenSSH에 백도어를 삽입해 거의 10년(nearly a decade) 동안 은닉 침투를 수행해 왔다고 공개했다. 엔드포인트 보안 체계가 갖춰진 환경에서도 인증 계층의 변조는 장기간 탐지되지 않은 것으로 보고됐다. 본문은 이 사건의 침투 기법과 국내 리눅스 서버 및 퍼블릭 클라우드 환경에 대한 시사점, 그리고 인증 계층 중심의 대응 절차를 다룬다.
- 중국 연계 위협 그룹 Velvet Ant가 PAM과 OpenSSH에 백도어를 삽입해 거의 10년(nearly a decade) 동안 로그인 단계를 변조한 것으로 확인됨
- Sygnia의 위협 인텔리전스 분석 결과, 일반적인 엔드포인트 탐지 체계를 우회하고 인증 계층에 장기 은닉
- 국내 리눅스 서버와 퍼블릭 클라우드 운영자는 PAM과 SSH 무결성 검증, 파일 무결성 모니터링, 제로트러스트 모델 재설계가 시급함
인증은 더 이상 끝점이 아니라 가장 먼저 신뢰를 잃을 수 있는 경계이며, 무결성 검증 없는 운영은 장기 은닉 백도어의 통로가 될 수 있다.
2026년 6월 12일 The Hacker News는 보안업체 Sygnia의 분석을 인용해 중국 연계 위협 그룹이 리눅스 인증 스택 깊숙이 백도어를 심어 장기간 활동한 정황을 보도했다. 단순한 침투가 아니라 일반적인 정리 작업과 엔드포인트 탐지가 손대지 않는 인증 단계에 은신처를 구축한 점이 핵심이다. 이 사건은 리눅스 기반 인프라 전반에 대한 보안 가정 자체를 재검토해야 함을 시사한다.
사건 개요: Velvet Ant의 10년 백도어 침투
Sygnia가 Velvet Ant로 추적한 행위자는 최소 수년에서 길게는 거의 10년(nearly a decade)에 가까운 기간 동안 피해 조직의 리눅스 시스템에 상주해 온 것으로 분석된다. 침투의 대상은 운영체제 커널이 아니라 사용자 인증을 담당하는 핵심 라이브러리 영역이었다.
침투 대상 PAM과 OpenSSH의 역할과 의미
PAM(Pluggable Authentication Modules)은 리눅스에서 로그인, sudo, SSH 등 거의 모든 인증 흐름의 분기점을 결정하는 모듈 프레임워크다. 여기에 백도어가 들어가면 정상 자격 증명으로도 비정상 세션이 허용되거나, 특정 조건에서만 인증을 우회하는 이른바 황금 경로가 만들어진다. OpenSSH는 원격 관리의 표준처럼 사용되는 만큼, 서버 데몬 자체에 변조가 가해지면 운영자가 접속하는 순간 공격자도 동등한 권한으로 들어올 수 있다. Sygnia는 이 두 컴포넌트에 대한 변조를 통해 인증 경계 자체를 재정의한 것으로 평가했다.
Sygnia 위협 인텔리전스가 추적한 침투 타임라인
Sygnia는 해당 그룹의 활동을 다년간 추적해 왔으며, 이번 공개에서는 침투가 단일 시점이 아니라 운영체제 업데이트와 라이브러리 업그레이드를 거치며 지속되어 온 점을 강조했다. 공격자는 패키지 업데이트 사이클을 이해하고 그 사이에 은밀히 코드를 삽입하는 방식으로 흔적을 분산시켰던 것으로 보인다. 보고된 시점 기준 10년이라는 은닉 기간은 국가 지원 그룹이 감내할 수 있는 수준의 투자 회수 기간에 해당한다.
공격 기법 분석: 인증 계층의 신뢰 경계 우회
이 사건이 기존 APT(Advanced Persistent Threat) 사례와 구별되는 이유는 공격 표면의 선택이다. 일반적인 Living-off-the-Land(LOTL) 공격이 시스템 유틸리티를 남용하는 것과 달리, 이번 사례는 인증 라이브러리 자체를 장기 거처로 삼은 것으로 분석된다.
엔드포인트 탐지가 인증 변조를 놓친 구조적 이유
대부분의 엔드포인트 탐지 및 대응(EDR) 제품과 호스트 기반 침입 탐지 시스템(HIDS)은 사용자 영역의 프로세스 행위와 파일 변경을 모니터링한다. 그러나 PAM과 OpenSSH는 시스템 패키지 관리자가 다루는 영역에 속하며, 정상적인 업데이트와 패치 흐름 안에서 변조가 발생하면 탐지 룰이 노이즈로 간주할 가능성이 크다. Sygnia는 피해 조직이 최신 EDR과 서버 모니터링을 운영 중이었음에도 인증 모듈의 변조가 장기간 노출되지 않았다고 분석했다. 이는 도구의 부족이 아니라 신뢰 경계 설정의 구조적 사각지대로 해석할 수 있다.
PAM 모듈 변조와 SSH 인증 키 은닉 가능성
기술적으로 가능한 시나리오는 크게 두 가지다. 첫째, PAM 공유 라이브러리(.so)에 백도어 분기를 삽입해 특정 자격 증명 또는 입력 패턴에서만 세션을 허용하는 방식이다. 둘째, OpenSSH 데몬 바이너리 또는 authorized_keys 처리 로직을 변조해 운영자 세션 안에 공격자 세션을 끼워 넣는 방식이다. Sygnia는 공개 보고서에서 두 컴포넌트 모두에서 이상 징후를 확인했다고 언급했으며, 단정적인 기법 명세보다는 표면화되지 않은 변조가 누적되어 왔다는 점을 강조한 것으로 보인다.
영향 평가 및 한국 시장 시사점
국내 다수의 기업과 공공기관은 웹 서비스, 데이터베이스, 내부 포털 등 핵심 자산을 리눅스 위에서 운영한다. Velvet Ant의 사례는 이런 환경의 신뢰 가정을 정면으로 위협한다.
국내 리눅스 서버 및 퍼블릭 클라우드 환경 노출 가능성
국내에서도 해외 보안 벤더의 패키지를 그대로 가져다 쓰는 리눅스 배포판이 다수 사용된다. Velvet Ant가 활용한 변조 기법은 특정 배포판에 종속되기보다는 소스 수준에서 라이브러리에 코드를 삽입하는 방식이므로, 배포판 종류와 무관하게 유사한 위험이 존재한다. 퍼블릭 클라우드 환경 역시 게스트 OS 위에 동일한 인증 스택을 사용하므로, 클라우드 제공자의 책임 경계와 무관하게 게스트 내부의 PAM과 SSH 변조는 고객이 직접 점검해야 할 영역이다.
국가 지원 APT의 장기 체류 Living-off-the-Land 전략
국가 지원 행위자는 일반적인 사이버 범죄 그룹과 달리 단발성 침투가 아니라 장기 정보 수집을 목표로 한다. Living-off-the-Land은 시스템에 이미 존재하는 정상 도구를 악용해 탐지를 피하는 전략인데, Velvet Ant는 이 전략을 한 단계 밀어 올려 인증 라이브러리 자체를 자신만의 도구로 전환한 것으로 보인다. 이러한 접근은 탐지 시점을 획기적으로 늦추고, 발견 후에도 어디까지 신뢰할 수 있는 코드인지를 판단하기 어렵게 만든다.
대응 권고: 인증 계층 중심의 보안 강화
이번 사건은 인증 계층의 무결성을 별도의 보안 통제 영역으로 다루어야 함을 보여준다. 다음 절차는 운영 환경에 즉시 반영 가능한 권고안이다.
PAM 및 SSH 구성 무결성 검증 절차
가장 먼저 실행해야 할 것은 인증 구성요소의 해시 값과 패키지 출처를 다시 확인하는 것이다. 구체적인 절차는 다음과 같다.
- 배포판의 공식 패키지 저장소에서 PAM, libpam, openssh-server의 정상 해시 값을 확보하고 현 운영 서버와 비교한다.
- rpm -V 또는 debsums 같은 패키지 검증 도구로 변조 여부를 점검하고 결과를 변경 불가능한 로그로 보관한다.
- /etc/pam.d 디렉터리와 /lib/security, /lib64/security 하위 모듈의 타임스탬프, 소유자, 권한을 베이스라인과 비교한다.
- /etc/ssh 디렉터리의 sshd_config와 호스트 키, authorized_keys 파일에 대해 동일 절차를 적용한다.
파일 무결성 모니터링 FIM과 원본 패키지 재설치
수동 점검만으로는 재발 방지에 한계가 있다. 파일 무결성 모니터링(FIM) 솔루션을 도입해 PAM과 OpenSSH 경로를 상시 감시하고, 변경이 감지되면 즉시 보안팀에 통보되도록 설정한다. 또한 변조 가능성이 의심될 경우 동일 버전의 원본 패키지를 내려받아 강제 재설치하고, 재설치 후에는 즉시 자격 증명과 SSH 키 전체를 교체하는 절차를 표준화해야 한다.
제로트러스트와 호스트 기반 신뢰 경계 재설계
장기적으로는 인증을 단일 호스트의 책임으로 두지 않는 구조가 필요하다. 다음과 같은 제로트러스트 원칙의 적용이 권고된다.
- 중요 시스템에 대해서는 단일 패스워드 기반 인증 대신 다중 요소 인증과 단기 발급 토큰을 결합한다.
- 관리자 세션은 모두 배스티온 호스트를 경유하도록 강제하고, 직접 SSH 접속은 차단한다.
- 호스트 자체의 신뢰는 TPM과 Secure Boot을 기반으로 측정 부팅과 원격 증명으로 검증한다.
- 마지막으로, 침투가 의심될 경우 인증 경계뿐 아니라 백업과 스냅숏, IaC 코드, 컨테이너 이미지까지 신뢰 경계를 함께 재설정한다.
요약 표: 침투 지점과 대응 통제 매핑
| 침투 지점 | 주요 위험 | 1차 대응 통제 | 장기 통제 |
|---|---|---|---|
| PAM 공유 라이브러리 | 인증 우회, 비인가 세션 허용 | 패키지 해시 검증, FIM 도입 | 다중 인증, 배스티온 경유 |
| OpenSSH 데몬 및 설정 | 원격 관리 권한 탈취 | 원본 패키지 재설치, 키 교체 | 원격 증명, Secure Boot |
| authorized_keys 및 PAM 정책 파일 | 은닉된 접근 경로 생성 | 베이스라인 비교, 권한 재검토 | IaC 기반 구성 코드화 |
마무리하며
Velvet Ant의 10년 백도어는 보안 커뮤니티에 단순한 한 사건이 아니라 인증을 바라보는 패러다임의 전환을 요구한다. 엔드포인트 보안, 네트워크 탐지, 위협 인텔리전스가 아무리 정교해져도 인증 라이브러리 자체가 변조되면 그 모든 통계는 공격자가 원하는 시그널로 오염될 수 있다. 국내 운영자에게 필요한 것은 최신 탐지 도구를 더하는 것이 아니라, 신뢰 경계를 어디에 두느냐를 다시 묻는 일이다.
핵심 정리
- PAM과 OpenSSH는 운영체제의 가장 신뢰받는 영역이며, 이곳의 변조는 탐지 체계가 가동 중이어도 장기간 은닉될 수 있다.
- 국가 지원 APT는 단발성 침투보다 장기 체류를 목표로 하므로, 인증 계층의 무결성 검증은 정기 보안 점검의 필수 항목이 되어야 한다.
- 패키지 해시 비교, FIM, 원본 재설치, 자격 증명 로테이션을 묶은 대응 플레이북이 사실상 표준이 되어야 한다.
- 제로트러스트는 개념이 아니라 인증과 호스트 신뢰의 재설계 작업이며, 배스티온 경유와 원격 증명을 통해 실행되어야 한다.
- 국내 리눅스 서버와 퍼블릭 클라우드 환경은 Velvet Ant와 유사한 시나리오에 노출되어 있으며, 지금 시점에서 무결성 점검을 시작하는 것이 가장 비용 효과적인 대응이다.
참고 출처