해킹당한 리눅스 서버는 이렇게 움직입니다 — 절대 놓치면 안 되는 네트워크 이상 징후 7가지 (전문가 점검 가이드)

작성자:

리눅스 서버는 보안성이 강한 운영체제로 알려져 있지만, 실제 기업·호스팅·클라우드 환경에서는 생각보다 자주 침해 사고가 발생합니다. 취약한 패스워드, 패치되지 않은 서비스, 노출된 포트, 웹 취약점 등 여러 요인이 해킹으로 이어질 수 있습니다. 문제는 많은 서버가 해킹당해도 “정상처럼 보인다”는 점입니다. CPU·메모리 사용량이 평소와 비슷하고, 로그도 일부 조작되어 별다른 이상을 느끼지 못하는 경우가 많습니다.

그러나 네트워크는 공격자의 활동을 절대 숨기지 않습니다.
백도어는 반드시 외부와 통신해야 하고, 악성 스크립트는 트래픽을 발생시키며, 봇넷에 포함되면 서버는 외부 공격의 발판으로 사용됩니다.
그래서 실제 보안 엔지니어들은 서버가 해킹당했는지 판단할 때 가장 먼저 네트워크 징후를 확인합니다.

아래는 현업에서 가장 신뢰하는 “서버 해킹의 네트워크 징후 7가지”와 즉시 점검 방법입니다.

숨겨진 외부 연결 — 정상 서비스가 아닌 프로세스가 해외 IP와 지속 연결

공격자가 서버 내부에 백도어를 설치하면 가장 먼저 하는 행동은 외부 명령 서버(C2)와 연결을 유지하는 것입니다.

확인 명령어:

ss -tuna
netstat -antp

이상 징후:

  • LISTEN이 아닌 ESTABLISHED 상태 연결이 계속 유지
  • 관리자 로그에는 없는 포트 번호(예: 4444, 1337, 8081 등)가 존재
  • 중국·러시아·미국 등 특정 국가의 의심스러운 IP와 장기 연결

이 단계에서 이미 침해 가능성이 매우 높습니다.

열리면 안 되는 포트가 몰래 열려 있다 — 백도어의 가장 흔한 흔적

정상 서비스 포트만 열려 있어야 하는데 뜻밖의 포트가 열려 있다면 매우 위험합니다.

도구: nmap

nmap 다운로드:
🔗 https://nmap.org/download.html

전체 포트 스캔:

nmap -p- localhost

의심 포트 예:

  • 22가 아닌 2222에서 SSH가 열려 있는 경우
  • 웹 서버가 없음에도 8080, 8443 열림
  • backdoor에서 자주 쓰는 4444, 5555, 31337 포트 열림

공격자가 남긴 “비밀 출입구”일 가능성이 큽니다.

SSH 로그인 실패 기록이 폭증 — 해킹 준비 단계

해킹 시도는 대부분 로그인 실패 로그에서 시작됩니다.

로그 확인:

grep "Failed password" /var/log/auth.log

이상 징후:

  • 특정 IP가 몇 초 간격으로 로그인 시도
  • root 사용자만 집중 공격
  • 아예 존재하지 않는 계정 이름으로 시도
  • 새벽·주말에 공격 요청 증가

이는 침입의 초기 단계이며 빠르게 차단하지 않으면 곧 실제 해킹으로 이어집니다.

트래픽이 갑자기 급증 — 서버가 봇넷에 포함됐을 가능성

해킹된 서버는 종종 다음과 같은 용도로 사용됩니다:

  • DDoS 공격 참여
  • 암호화폐 채굴기 설치
  • 외부 스팸 발송

트래픽 분석 도구: iftop, nload

iftop 다운로드
🔗 https://www.ex-parrot.com/pdw/iftop/

nload 다운로드
🔗 https://github.com/rolandriegel/nload

이상 징후:

  • 단일 IP로 송출되는 대량 outbound 트래픽
  • 웹 서버 트래픽이 없는 시간대에 갑자기 증가
  • NIC 대역폭 사용률이 100% 근처에서 유지

이는 매우 강력한 침해 징후입니다.

패킷 유실 반복 — 봇넷/백도어 트래픽으로 인해 네트워크 큐가 포화된 상태

서버가 공격자의 명령 수행을 위해 지속적으로 외부와 통신하면 네트워크 큐가 포화되고 패킷 손실이 시작됩니다.

도구: mtr, ping

mtr 다운로드
🔗 https://github.com/traviscross/mtr

테스트:

mtr 8.8.8.8

이상 신호:

  • 서버 outbound 구간에서 지연 증가
  • 특정 hop에서 지속적인 패킷 손실
  • 내부 큐 버퍼 초과 패턴 발생

이는 정상적인 서비스 문제와 전혀 다르며, 내부 악성 트래픽으로 인한 현상입니다.

정상 서비스가 아닌 프로세스가 많은 소켓 생성

공격자 백도어의 대표적 행동은 “소켓 생성”입니다.

확인:

lsof -i

이상 징후:

  • 시스템 프로세스처럼 위장한 이름(ex: .systemd, kworkerX)
  • /tmp, /var/tmp, /dev/shm 에서 실행되는 process
  • 수십 개의 연결을 동시에 생성

실제 사고 분석에서도 가장 자주 발견되는 방식입니다.

서버 응답이 느려지지만 CPU·메모리는 정상 — 네트워크 기반 악성 활동의 대표적 증상

서버가 해킹당하면 프로세스는 소규모로 실행되더라도 네트워크 활동은 매우 무거워집니다.

확인:

ss -s

의심 패턴:

  • SYN_RECV 급증
  • CLOSE_WAIT 대량 발생
  • TIME_WAIT이 수만 개 존재

CPU는 정상이나 서버 응답은 느린 전형적인 “해킹 후 서버”의 특징입니다.

서버의 네트워크는 가장 정직한 보안 지표입니다

로그는 조작될 수 있고, CPU 사용률은 정상처럼 보일 수 있지만,
네트워크 움직임만큼은 절대 숨길 수 없습니다.

고급 보안 장비가 없어도 다음 네 가지 도구만 있으면 침해 여부를 정확하게 확인할 수 있습니다.

  • nmap (열린 포트 스캔)
  • ss/netstat (현재 연결 분석)
  • iftop/nload (트래픽 분석)
  • mtr/ping (패킷 손실·지연 확인)

정기적으로 이 도구들로 네트워크 상태를 점검하는 것은
서버 보안에서 가장 중요한 기본이자 최선의 방어 전략입니다.

댓글 남기기