[남도영 기자]
SK텔레콤 해킹 사고의 공격 수단으로 확인된 'BPFDoor' 악성코드가 지난해부터 한국의 통신 산업을 공격했다는 정황이 있었던 것으로 나타났다.
29일 보안업계에 따르면 지난 14일 글로벌 사이버보안 기업 트렌드마이크로는 보고서를 통해 최근 BPFDoor 공격이 한국을 비롯한 홍콩, 미얀마, 말레이시아, 이집트의 통신, 금융, 소매 부문 등을 집중적으로 이뤄진 것을 관찰됐다고 전했다. 트랜드마이크로는 공격자로 중국 해커그룹 '레드멘션(Red Menshen)'을 지목했다.
 |
SK텔레콤 해킹 사고의 공격 수단으로 확인된 'BPFDoor' 악성코드가 지난해부터 한국의 통신 산업을 공격했다는 정황이 있었던 것으로 나타났다.
29일 보안업계에 따르면 지난 14일 글로벌 사이버보안 기업 트렌드마이크로는 보고서를 통해 최근 BPFDoor 공격이 한국을 비롯한 홍콩, 미얀마, 말레이시아, 이집트의 통신, 금융, 소매 부문 등을 집중적으로 이뤄진 것을 관찰됐다고 전했다. 트랜드마이크로는 공격자로 중국 해커그룹 '레드멘션(Red Menshen)'을 지목했다.
BPFDoor 백도어, 지난해 두 차례 국내 통신산업 공격
해당 보고서에서 트렌드마이크로는 특정 기업을 지명하진 않았으나, 2024년 7월과 12월 한국의 통신산업 분야에 대한 공격이 수행됐다고 밝혔다. 해당 위협 행위자는 리눅스 서버를 표적으로 삼았으며, 다양한 경로를 사용해 악성파일을 숨긴 것으로 파악된다. 다만, 어떤 초기 진입점이 사용되었는지에 대한 조사는 계속 진행 중으로 알려졌다.
BPFDoor는 리눅스 운영체제(OS) 커널 내에서 네트워크 패킷을 효율적으로 필터링하기 위해 고안된 '버클리 패킷 필터(Berkeley Packet Filter)' 기능을 악용한다. 초기 BPF(cBPF)는 주로 패킷 필터링 기능에 국한됐으나, 2014년 이후 네트워킹뿐만 아니라 트레이싱, 보안, 모니터링 등 커널 수준에서 다양한 작업을 수행할 수 있는 강력한 기술(eBPF)로 확장됐다.
BPFDoor 멀웨어는 리눅스 방화벽인 '넷필터' 또는 트래픽 캡처 도구와 같이 운영체제 스택의 상위 계층에서 네트워크 패킷을 검사할 수 있는 필터를 로드한다. BPFDoor가 로드한 필터는 '매직 시퀀스'가 포함된 네트워크 패킷을 통해 악성코드를 활성화할 수 있도록 작동한다. 매직 시퀀스는 공격자가 정의한 시퀀스 집합으로, 감염된 시스템의 백도어에 특정 작업을 수행하도록 지시한다.
트렌드마이크로는 "이러한 백도어는 네트워크에 오랫동안 숨겨져 있을 수 있으며, 일반적인 보안 점검으로는 이상 징후를 발견할 수 없다"며 "프로세스 이름을 변경하거나 어떤 포트에도 접근하지 않는 등 우회 기법을 갖추고 있어 시스템 관리자가 서버에 문제가 있다는 것을 의심하기 어렵게 만든다"고 설명했다.
중국 해커들이 주로 사용…오픈소스 공개로 배후 단정 어려워
BPFDoor 악성코드는 사이버 간첩 활동을 위해 설계됐고, 중국 연계 국가지원 지능형지속위협(APT) 그룹인 레드멘션이 주로 사용해 온 것으로 알려져 있다.
해당 보고서를 분석한 지니언스에 따르면, BPFDoor는 2022년 소스코드가 '깃허브' 등에 공개돼 누구나 변종을 개발할 수 있게 됐다. 이 때문에 배후를 특정하거나 단정하기 위해선 다양한 조사와 연구가 필요하다고 설명했다.
BPFDoor 변종은 지난 2018년 8월경 한국에서 보고된 사례가 존재하며, 현재까지 다양한 종류가 지속적으로 발견되고 있다.
지난 4월 25일 한국인터넷진흥원(KISA) 보호나라는 '최근 해킹공격에 악용된 악성코드, IP 등 위협정보 공유 및 주의 안내' 보안공지 게시글을 통해 4종의 침해지표(IoC) 정보를 공개하기도 했다.
남도영 기자 hyun@techm.kr
<저작권자 Copyright ⓒ 테크M 무단전재 및 재배포 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.