피앤피시큐어, BPF도어 위협 대응 나서…“서버 보안 신뢰성 강화”

[아이티데일리] 피앤피시큐어는 서버 접근 통제 솔루션 ‘DB세이퍼(DBSAFER) AM’과 ‘서버 에이전트(Server Agent)’의 결합 구조를 기반으로 한 BPF도어(BPFDoor) 탐지 및 차단 기능을 전 고객사에 배포했다고 10일 밝혔다.

BPF도어는 리눅스 운영체제의 ‘버클리 패킷 필터(Berkeley Packet Filter, BPF)’ 기능을 악용한 악성코드다. 시스템이 잠입해 네트워크 및 호스트 방화벽을 우회한 뒤 수개월에서 수년간 탐지를 피해 데이터를 유출하는 지능형 백도어(Backdoor)다. 정상 서비스 포트를 사용하거나 SSH 터널링 등 다양한 기법을 병행해 기존 보안 체계로 식별하기 까다롭다.

피앤피시큐어는 DB세이퍼 AM과 서버 에이전트를 중심으로 BPF도어 대응 체계를 구축했다. 현재 신규 또는 추가 요청이 발생하는 고객사에 보안 패치를 즉각 제공 중이며 관련 기능의 안정성 검증도 마쳤다. 이번 패치로 실제 침입 시도 탐지 사례가 보고되고 있다고 회사는 설명했다.

DB세이퍼 AM은 중앙에서 인증, 권한, 정책 설정을 담당하는 솔루션이다. 서버 에이전트는 서버 접속과 명령을 통제하는 호스트 보안 모듈로 비정상 통신을 실시간 감시 및 차단한다.

특히 서버 에이전트는 마이크로세그멘테이션(Micro-Segmentation)으로 정책에 정의된 경로와 행위만 허용하고 그 외의 이동이나 실행을 차단한다. 운영 계정과 분리된 보안 계정 사용을 강제해 최소 권한과 승인 절차를 적용하며, 해커를 포함한 미인증 사용자의 서버 간 이동과 명령을 구조적으로 봉쇄한다.

솔루션을 ‘무자각 지속 인증(ICA)과 연동할 시 명령 입력 순간 사용자의 물리 입력과 얼굴을 동시에 검증해 일치할 때만 실행이 이뤄진다. 계정 탈취, 원격 명령 주입, 세션 탈취 등을 설계 단계에서부터 차단할 수 있다.

ICA로 BPF도어 활성화를 유도하는 ‘매직 패킷’을 차단함으로써 서버에 악성코드가 잠입했더라도 명령어 실행 자체를 불가능하게 만들 수 있다. 피앤피시큐어는 솔루션 간 연계를 통해 침입 이후 로그 분석에 그치지 않고 달리 공격 실행 단계를 막는 구조적 대응 체계를 수립했다.

아울러 피앤피시큐어는 무료 서버 위험 탐지 툴 ‘피앤피시큐어 서버 스렛 디텍터(PNPSECURE Server Threat Detector)’를 홈페이지에서 제공하고 있다. 이 도구는 BPF도어 및 변종 악성코드 탐지는 물론 BPF 필터 설정 이상 등을 포괄적으로 점검한다.

피앤피시큐어는 앞으로도 서버 기반 위협 전반에 대응하는 기술 고도화를 지속할 계획이다. 회사 관계자는 “BPF도어 대응 패치를 완료했으나 공격 기법은 계속 진화하고 있다”며 “DB세이퍼 AM, 서버 에이전트, ICA 기술을 중심으로 서버 자산 보호를 위한 전방위적 기술 개발을 이어가겠다”고 밝혔다.