신영소식
HOME/신영소식/소식&공지
소식&공지
신영ESD의 다양한 소식과 공지사항을 전해드립니다.

소식 통신망을 노린 침입자

2025.06.02

통신망을 노린 침입자


2025년 4월, SK텔레콤은 악성코드 감염으로 고객 USIM 정보 일부가 유출된 정황을 공식 발표했습니다. 관련 장비는 격리 및 악성 코드 삭제 조치가 이뤄졌지만, 유출된 정보가 통신망 식별자인 IMSI 등 민감한 항목으로 알려지며 논란이 커졌습니다.
이 공격에 사용된 악성코드는 바로 ‘BPFdoor’ 리눅스 시스템에 숨어드는 은밀하고 고도화된 백도어입니다. 기존 보안 시스템으로는 탐지조차 어려워, 장기간 내부에 잠복하며 정보를 유출할 수 있어 APT 공격에 최적화된 위협으로 평가받고 있습니다.


BPFdoor란 무엇인가요?

BPFdoor는 리눅스(Linux) 운영체제를 기반으로 한 서버를 표적으로 삼는 백도어(Backdoor) 유형의 악성코드로, 2021년 PWC사의 보고서를 통해 최초 발견되었습니다. 백도어는 말 그대로, 정상적인 인증 절차를 우회해 시스템에 몰래 접근할 수 있도록 설계된 악성 프로그램을 뜻합니다. BPFdoor가 특히 위험하게 평가되는 이유는, 일반적인 방식이 아닌 ‘BPF(Berkeley Packet Filter)’라는 저수준 네트워크 필터링 기술을 악용한다는 점에 있습니다.


BPFdoor 특징과 위헙 요소 분석

BPFdoor는 리눅스 기반 서버를 표적으로 한 고도화된 백도어 악성코드입니다. 일반적인 악성코드와는 달리, 은밀하게 작동해 기존 보안 체계를 무력화할 수 있어 큰 위협으로 간주됩니다. 다음은 BPFdoor의 주요 특징과 위험한 이유입니다.

1. 기존 보안 시스템을 무력화
BPFdoor는 포트를 열지 않고, 로그도 남기지 않으며, 파일도 생성하지 않는 특이한 방식으로 동작합니다.이러한 특성은 방화벽, 침입 탐지 시스템(IDS), 로그 분석 도구 등 기존 보안 솔루션이 탐지할 수 있는 지표 자체를 없애버립니다. 보안 시스템 입장에서는 ‘보이지 않는 위협’이 되는 셈입니다.

2. 지속적 침투 및 장기 잠복 가능
한 번 설치된 BPFdoor는 서버 내부에 수개월 이상 은폐된 채 존재할 수 있습니다.명령을 받을 때만 작동하기 때문에 네트워크 상에 활동 흔적이 거의 없습니다.이런 특성은 APT(지능형 지속 위협) 공격에 최적화되어 있으며, 공격자가 조직 내부로 천천히 침투할 수 있게 만듭니다.

3. 메모리 기반 실행 (Fileless)
디스크에 파일을 남기지 않고 메모리에서 직접 실행되는 방식으로 작동합니다.이는 백신, 포렌식 도구로도 흔적을 찾기 어렵게 만들며, 서버가 재부팅되기 전까지 악성코드가 계속 활동할 수 있게 해줍니다.

4. 네트워크 패킷 감청을 통한 명령 수신
BPFdoor는 BPF(Berkeley Packet Filter)를 활용해 네트워크 상의 패킷을 감시합니다.공격자는 ICMP나 UDP 등 평범해 보이는 트래픽 안에 특정 신호를 숨겨 백도어를 작동시킵니다. 이는 정상 트래픽처럼 위장되어 탐지하기가 매우 어렵습니다.

5. 감염 사실조차 알기 어렵다
일반적인 악성코드는 포트가 열려 있거나, 네트워크 연결 시도가 있어 관리자에게 이상 징후를 줍니다.그러나 BPFdoor는 아무런 외부 징후 없이 작동하기 때문에, 감염 여부조차 알아차리기 어렵습니다. 결국 공격자는 서버를 조종하면서도 사용자나 관리자가 이를 인지하지 못하게 됩니다.

BPFdoor 예방방법

1. 기존 보안 시스템을 무력화
운영체제와 애플리케이션의 보안 패치를 정기적으로 적용하여 알려진 취약점을 제거합니다.

2. 불필요한 서비스 및 포트 차단
사용하지 않는 서비스와 포트를 비활성화하여 공격 표면을 최소화합니다.

3. 행위 기반 탐지 솔루션 도입화
기존의 시그니처 기반 보안 솔루션 외에도, 이상 행위를 탐지할 수 있는 EDR(Endpoint Detection and Response)이나 XDR(eXtended Detection and Response) 솔루션을 도입하여 알려지지 않은 위협에도 대응합니다.

4. 정기적인 보안 점검 및 모니터링
시스템 로그와 네트워크 트래픽을 정기적으로 점검하여 이상 징후를 조기에 발견하고 대응합니다.

BPFdoor 결론

BPFdoor는 기존 보안 체계로는 탐지하기 어려운 은밀하고 지능적인 위협입니다.눈에 띄지 않게 침투해 오랜 시간 시스템에 머물며 내부 정보를 유출하거나 제어할 수 있기 때문에, 단순한 보안 설정만으로는 충분하지 않습니다.

이제는 “정상이지만 이상한 행위”를 탐지하고 차단할 수 있는 보안 전략이 필요한 시점입니다.

한국인터넷진흥원(KISA) 등에서 제공하는 보안 가이드를 적극 활용하고, 시스템 점검과 업데이트를 습관화하는 것이 무엇보다 중요합니다. 지속적인 경계와 실천이, 보이지 않는 위협으로부터 조직을 지키는 가장 확실한 방패입니다.



[ 참고 및 출처 ]

https://blog.alyac.co.kr/5560

https://www.boho.or.kr/

https://lime-jelly.tistory.com/entry/BPFDoor%EB%9E%80-SKT-%ED%95%B4%ED%82%B9-%EC%82%AC%EA%B1%B4%EC%97%90-%EC%82%AC%EC%9A%A9%EB%90%9C-%EB%A6%AC%EB%88%85%EC%8A%A4-BPF-%EB%B0%B1%EB%8F%84%EC%96%B4-%EB%B6%84%EC%84%9D


[글/사진] 송민준 주임 / smj6180@gmail.com

목록보기