리눅스 서버 노린 백도어 악성코드…BPF 기능 악용해 탐지 회피
보안 장비 우회·은폐 가능한 고도화된 침투 방식
서울 KT 사옥 모습. 2025.11.6/뉴스1 ⓒ News1 김민지 기자
(서울=뉴스1) 김민수 기자 = KT(030200)가 지난해 자사 서버에서 'BPF도어(BPFdoor)'라는 해킹용 악성코드 감염을 자체 확인하고도 정작 정부에 신고하지 않은 사실이 드러났다. SK텔레콤(017670)에서도 같은 유형의 감염 정황이 포착된 만큼, 통신사 전반으로 확산했을 우려가 제기된다.
9일 업계 따르면 BPF도어는 리눅스 운영체제를 겨냥한 '백도어' 형태의 악성코드다. 백도어는 외부 해커가 몰래 서버에 접근해 명령을 내릴 수 있도록 만드는 '숨은 문'과 같다.
이 악성코드는 원래 네트워크에서 특정 데이터를 골라내는 기술인 BPF(버클리 패킷 필터)를 악용한다. 해커는 이를 이용해 서버의 보안 장비나 탐지 시스템을 우회하고, 평소에는 숨어 있다가 특정 신호(매직 패킷)가 오면 작동해 외부 공격자와 통신한다.
BPF도어에 감염되면 공격자는 서버에 명령을 전달하기 위해 리버스 쉘이나 바인드 쉘 방식으로 접속한다.
리버스 쉘은 감염된 서버가 먼저 공격자에게 접속을 걸어 연결을 만드는 방식이고, 바인드 쉘은 서버가 스스로 접속 창구(포트)를 열어 공격자가 그 창구로 접속하는 방식이다. 두 방식 모두 정상 트래픽처럼 위장되기 때문에 탐지·차단이 쉽지 않다.
BPF도어는 2021년 PwC 보고서 등을 통해 처음 알려졌다. 중국 기반 APT(지능형 지속 위협) 그룹 '레드 멘션(Red Menshen)', '어스 블루크로우(Earth Bluecrow)'가 사용하는 것으로 알려져 있다.
BPF도어는 올해 초 발생한 SKT 해킹 사례에서도 큰 피해를 준 바 있다. 이후 KT가 지난해 3월부터 7월 사이 BPF도어 등 악성코드에 감염된 서버 43대를 발견하고 자체적으로 삭제·복구한 것이 최근 드러났다. 조사단은 KT가 'BPF도어 탐지 스크립트(백신)'를 직접 실행한 기록을 확보해 정부에 신고하지 않은 은폐 정황이 있다고 판단했다.
다만 SKT처럼 가입자 핵심 정보가 저장된 홈가입자서버(HSS)에 악성코드 침투 했는지, 개인정보 유출 규모, SKT 공격자와 동일 여부 등은 아직 확인되지 않았다.
악성코드 BPF도어는 한국만의 문제는 아니다. 아시아·중동·아프리카 지역의 통신·금융·소매업체를 공략하며 전세계적으로 감염 사례가 확인됐다. 글로벌 사이버보안 전문기업 트렌드마이크로는 한국, 홍콩, 미얀마, 말레이시아, 이집트 등에서 BPF도어 공격 정황이 감지됐다고 보고했다.
<용어설명>
■ PWC
PwC(PricewaterhouseCoopers)는 글로벌 회계·컨설팅 기업으로 사이버보안 분야에서 폭넓은 자문과 설루션을 제공하고 있다.
보안 장비 우회·은폐 가능한 고도화된 침투 방식
(서울=뉴스1) 김민수 기자 = KT(030200)가 지난해 자사 서버에서 'BPF도어(BPFdoor)'라는 해킹용 악성코드 감염을 자체 확인하고도 정작 정부에 신고하지 않은 사실이 드러났다. SK텔레콤(017670)에서도 같은 유형의 감염 정황이 포착된 만큼, 통신사 전반으로 확산했을 우려가 제기된다.
9일 업계 따르면 BPF도어는 리눅스 운영체제를 겨냥한 '백도어' 형태의 악성코드다. 백도어는 외부 해커가 몰래 서버에 접근해 명령을 내릴 수 있도록 만드는 '숨은 문'과 같다.
이 악성코드는 원래 네트워크에서 특정 데이터를 골라내는 기술인 BPF(버클리 패킷 필터)를 악용한다. 해커는 이를 이용해 서버의 보안 장비나 탐지 시스템을 우회하고, 평소에는 숨어 있다가 특정 신호(매직 패킷)가 오면 작동해 외부 공격자와 통신한다.
BPF도어에 감염되면 공격자는 서버에 명령을 전달하기 위해 리버스 쉘이나 바인드 쉘 방식으로 접속한다.
리버스 쉘은 감염된 서버가 먼저 공격자에게 접속을 걸어 연결을 만드는 방식이고, 바인드 쉘은 서버가 스스로 접속 창구(포트)를 열어 공격자가 그 창구로 접속하는 방식이다. 두 방식 모두 정상 트래픽처럼 위장되기 때문에 탐지·차단이 쉽지 않다.
BPF도어는 2021년 PwC 보고서 등을 통해 처음 알려졌다. 중국 기반 APT(지능형 지속 위협) 그룹 '레드 멘션(Red Menshen)', '어스 블루크로우(Earth Bluecrow)'가 사용하는 것으로 알려져 있다.
BPF도어는 올해 초 발생한 SKT 해킹 사례에서도 큰 피해를 준 바 있다. 이후 KT가 지난해 3월부터 7월 사이 BPF도어 등 악성코드에 감염된 서버 43대를 발견하고 자체적으로 삭제·복구한 것이 최근 드러났다. 조사단은 KT가 'BPF도어 탐지 스크립트(백신)'를 직접 실행한 기록을 확보해 정부에 신고하지 않은 은폐 정황이 있다고 판단했다.
다만 SKT처럼 가입자 핵심 정보가 저장된 홈가입자서버(HSS)에 악성코드 침투 했는지, 개인정보 유출 규모, SKT 공격자와 동일 여부 등은 아직 확인되지 않았다.
악성코드 BPF도어는 한국만의 문제는 아니다. 아시아·중동·아프리카 지역의 통신·금융·소매업체를 공략하며 전세계적으로 감염 사례가 확인됐다. 글로벌 사이버보안 전문기업 트렌드마이크로는 한국, 홍콩, 미얀마, 말레이시아, 이집트 등에서 BPF도어 공격 정황이 감지됐다고 보고했다.
<용어설명>
■ PWC
PwC(PricewaterhouseCoopers)는 글로벌 회계·컨설팅 기업으로 사이버보안 분야에서 폭넓은 자문과 설루션을 제공하고 있다.
댓글목록
등록된 댓글이 없습니다.