32. (장애)

문제

어느 날 한 Linux 서버에서 다음과 같은 징후가 발견되었습니다.

• /tmp 디렉토리의 용량이 갑자기 빠르게 차오르기 시작함
• ps aux | grep java 명령어를 사용하면 기존에 없던 여러 개의 Java 프로세스가 생성되어 있음
• 시스템에 nohup 을 이용한 작업이 없었음에도 불구하고, /tmp/nohup.out 파일이 점점 커짐
• root 사용자의 crontab에는 이상이 없음

질문 1

위와 같은 상황에서 /tmp/nohup.out 파일이 계속 커지는 원인을 분석하고, 시스템 관리자의 조치 방법을 기술하세요.

 정답 및 해설

원인 분석

• /tmp/nohup.out 파일이 계속 커지는 것은 Java 프로세스가 표준 출력을 nohup 등으로 /tmp/nohup.out에 기록하고 있기 때문입니다.
• 특히, nohup을 명시적으로 사용하지 않았음에도 /tmp/nohup.out이 생기고 있다는 점에서, 악성 스크립트나 외부 공격자가 백도어 등으로 직접 또는 스크립트 내에서 nohup java ...와 유사한 방식으로 프로세스를 띄운 가능성이 높습니다.
• /tmp는 모든 사용자(심지어 익명 사용자)도 접근 가능한 퍼블릭 임시 디렉토리이므로, 악성코드(예: 마이닝 봇, 백도어, 쉘 스크립트) 배포 장소로 자주 악용됩니다.

조치 방법

1. 의심스러운 프로세스 종료
   의심스러운 Java 프로세스의 pid를 확인(ps aux | grep java)한 뒤, 안전하게 강제 종료(kill -9 PID 등)합니다.
2. /tmp/nohup.out 삭제
   파일 내용을 분석하여 악성 로그나 스크립트가 아닌지 확인한 뒤, 파일을 삭제합니다.
3. /tmp 디렉터리 내 다른 악성 파일 탐색
   최근 생성된 파일(ls -lt /tmp)이나 의심스러운 실행 파일/스크립트가 있는지 확인합니다.
4. 보안 로그 확인
   • /var/log/secure, /var/log/auth.log 등을 분석하여 비인가 접근 시도나 최근 root 권한 상승 기록을 찾습니다.
   • SSH 접근 로그 확인 (/var/log/secure 또는 /var/log/auth.log)
5. 취약점 점검 & 패치
   서비스/시스템 최신 보안패치 적용, root/관리자 계정 비밀번호 변경 등 추가 조치.

질문 2

이러한 일이 다시 발생하지 않도록 /tmp 디렉토리의 악의적인 자동 실행을 막는 보안 설정 2가지를 설명하세요.

 정답 및 해설

/tmp 디렉토리의 악의적 자동 실행 방지 방안

1. noexec 마운트 옵션 적용

• /tmp 및 /var/tmp를 noexec 옵션으로 마운트하면, 해당 위치에서 실행 파일/스크립트가 실행되지 않습니다.

bash
# /etc/fstab 예시 tmpfs /tmp tmpfs defaults,noexec,nosuid,nodev 0 0

• 마운트 재설정 후에도 실행 방지

2. 패킷/사용자 접근 제한 및 감시

• 접근 제어(ACL)이나 AppArmor/SELinux 등 보안 모듈을 활용하여 /tmp 접근제한, 의심스러운 프로세스 감시
• 예시: 특정 사용자만 /tmp에 파일 생성 가능하게 제한하거나, 실행 파일 업로드 감시

추가

• 악성 Shell 스크립트 실행 방지를 위해 .bash_profile, .bashrc 등 사용자 환경설정 파일 내 불필요한 내용 확인
• 정기적 로그 모니터링 및 root password/PAM 등 인증 정책 강화

---

해설 요약

• /tmp는 공용임시디렉토리라 보안상 위험하다. 불필요한 실행 방지 및 감시가 필요하다.
• nohup.out는 기본적으로 nohup으로 백그라운드 실행시 표준출력/에러가 저장되는 파일이다.
• 악성 프로세스가 자신을 숨기기 위해 nohup 등을 악용하는 경우가 많으니, 프로세스/로그/접근기록을 정기 점검해야 한다.