국내 보안업계, ‘SKT 해킹 원인’ BPF도어 대응 합심

[아이티데일리] 국내 보안업계가 SK텔레콤(SKT) 유심(USIM) 해킹 사고 원인으로 꼽힌 ‘BPF도어(BPFDoor)’에 대응하기 위해 발 빠르게 움직이고 있다.

13일 보안업계에 따르면 파이오링크, 잉카인터넷 등 국내 보안 기업은 BPF도어 감염 여부를 점검하는 프로그램을 무료 배포했다.

과학기술정보통신부 민관합동조사단은 지난달 29일 SKT 유심 해킹 사고 1차 조사 결과 해킹에 쓰인 BPF도어 계열 악성코드 4종을 발견했다고 발표했다.

버클리 패킷 필터(이하 BPF)는 네트워크 트래픽 중 필요 정보만 걸러내는 패킷 필터링 기술이다. 1990년 초반 개발돼 eBPF(extended BPF) 등으로 고도화됐으며 리눅스 운영체제(OS)에서 시스템 호출 필터링, 추적 및 모니터링 등 여러 작업에 쓰이고 있다.

BPF도어는 BPF를 악용한 백도어(Backdoor) 악성코드다. 대개 일반 로그 파일처럼 보이는 경로에 설치되며, BPF로 커널 수준에서 패킷을 변조함으로써 실시간 모니터링을 회피해 탐지가 어렵다.

국민대학교 인공지능학부 윤명근 교수는 “악성코드는 추가 페이로드를 전달받기 위해 공격자의 C2(Command & Control) 서버와 비콘(Beacon)으로 신호를 주고받는다. 이 신호를 감지함으로써 악성코드를 찾을 수 있다”며 “하지만 BPF도어는 시스템에 숨어 있다가 공격자가 ‘매직 패킷(Magic Packet)’을 보낸 시점에만 작동하기에 탐지가 까다롭다”고 설명했다.

국내 기관과 기업에서는 BPF도어로 인한 추가 피해를 막기 위해 힘을 모으고 있다. 침해 지표(IoC)와 악성코드 분석 결과를 공유하는 한편 시스템 감염 여부를 점검하는 도구를 제공하고 있다.

잉카인터넷은 지난달 30일 BPF도어 전용 안티바이러스(백신)를 무료로 공개했다. 이 백신은 실행 중인 프로세스의 고유 특성을 기반으로 감염 여부를 감지하며, 탐지 패턴 105종을 적용해 변종에 대응할 수 있도록 설계됐다.

파이오링크에서도 지난 8일 BPF도어 점검 도구를 무료 배포했다. 한국인터넷진흥원(KISA)에서 공지한 악성코드 및 C2 서버를 탐지할 수 있으며 센트OS, 우분투 등 여러 리눅스 OS 환경에서 원활히 작동한다.

KISA에서는 12일 보호나라 공지를 통해 BPF도어 점검 가이드를 발표했다. 가이드는 △악성코드 뮤텍스/락(Mutex/Lock) 파일 △자동 실행 파일 △BPF 및 로우(Raw) 소켓 △프로세스 환경변수 등을 점검함으로써 감염 여부를 확인하는 방법을 소개했다.

이와 함께 실행 중인 프로세스명을 점검해 BPF도어 감염 단말을 제어하는 ‘컨트롤러(Controller)’를 탐지하는 방법과 문자열과 야라(YARA) 규칙으로 악성 의심 파일을 초기 단계에서 찾아내는 방법도 공유했다.

KISA 측은 “첨부된 점검 가이드를 참고해 자체 보안 점검 후, 침입 흔적과 침해 사고가 확인되면 보호나라(boho.or.kr)를 통해 사고 사실을 즉시 신고해야 한다”고 밝혔다.