SKT 해킹에 쓰인 ‘BPF도어’ 악성코드는 무엇?

[보안뉴스 이소미 기자] 지난 19일 23시 경, SK텔레콤의 가입자 인증 서버(HSS)가 해킹당하는 초유의 침해 사고가 발생했다. 이번 사고로 유심 고유 식별번호 등 가입자 핵심 정보 유출 정황이 나타나는 등 통신 인프라 전반에 대한 심각한 보안 우려를 낳고 있다.

▲BPFDoor 매직패킷 수행 문자열과 패킷 수신 함수 일부 화면[자료: 지니언스]

이번 해킹 공격엔 리눅스 기반 백도어 악성코드 ‘BPF도어’가 쓰인 것으로 알려졌다. 한국인터넷진흥원(KISA)은 25일 ‘최근 해킹 공격에 악용된 악성코드, IP 등 위협정보 공유 및 주의 안내’란 제목의 보안 공지를 통해 BPF 도어 관련 악성코드를 소개했다.

BPF도어는 시스템에 몰래 잠복한 뒤, 특정 ‘매직 패킷’(Magic Packet)을 수신하면 활성화되는 구조다. 이 매직 패킷은 네트워크상에서 특별한 패턴을 가진 패킷으로 일반적 보안 장비 탐지를 우회할 수 있다.

악성코드가 활성화된 이후에는 TCP, UDP, ICMP 프로토콜을 통해 다양한 명령을 수신하고, 내부 네트워크로 측면 이동(lateral movement)해 추가 감염이 가능한 구조다. 이 때문에 단일 서버 침해에 그치지 않고 조직 전체로 위협을 확산할 수 있어 위험성이 크다.

▲‘kdmtmpflush’ 삭제 기록 및 검증 화면과 신규 생성된 프로세스 화면[자료: 지니언스]

BPF도어는 정상 시스템 프로세스처럼 위장해 탐지를 회피하고, 네트워크 트래픽을 위장해 방화벽 탐지를 우회하는 고도의 은밀성을 갖춘 것으로 알려져 있다. 설치 경로 역시 /tmp/zabbix_agent.log, /bin/vmtoolsdsrv 등 포렌식 분석을 어렵게 하는 은닉 경로가 활용됐다. 공격자는 전용 컨트롤러를 이용해 감염된 서버에 접속한 뒤, 암호 기반 인증 절차를 거쳐 역방향 셸(reverse shell)을 열고 원격으로 시스템을 제어하는 것으로 분석된다.

SKT 해킹 사고가 발생하기 5일 전인 14일, 트렌드마이크로는 아시아와 중동 지역을 겨냥한 BPF도어 공격을 포착해 관련 보고서를 발표했다. 보고서는 이 공격이 한국을 비롯해 홍콩, 미얀마, 말레이시아, 이집트 등지에서 관찰됐으며, 한국에선 통신 기업이 타깃으로 언급됐다.

이 백도어는 중국 기반 APT 그룹 ‘레드멘션(Red Menshen)’이 주로 사용했다. 레드멘션은 ‘Earth Bluecrow’ 또는 ‘Red Dev 18’이라는 이름으로도 알려져 있으며, 아시아 및 중동 지역 내 통신·금융·소매 등 주요 산업군을 타깃으로 사이버 스파이 활동을 벌이는 것으로 알려졌다.

다만 레드멘션이 최근 BPF도어를 오픈소스로 풀었기 때문에 이번 공격의 배후를 특정하기는 어려운 상황이라고 지니언스는 밝혔다.

BPF도어 확산을 막을 방안으로 △시스템 내 BPF 필터 설치 여부 점검 △비정상적인 네트워크 트래픽 및 비허가된 포트 활동 모니터링 △침입 탐지 시스템(IDS) 및 침입 방지 시스템(IPS) 강화 △엔드포인트 탐지 및 대응(EDR) 솔루션 도입 등이 제시됐다.

[이소미 기자(boan4@boannews.com)]

올해 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)