 |
임종철 디자이너 /사진=임종철 디자이너 |
지난 4월 SK텔레콤 해킹 사태를 통해 잘 알려진 BPF도어 계열 악성코드를 탐지·대응하는 기술이 국내 보안 기업에 의해 개발됐다.
시큐브는 11일 BPF 루프킷과 BPF도어(BPFDoor)에 대한 탐지 및 대응 기술을 개발했다며 이같이 밝혔다. BPF도어는 일종의 백도어(Backdoor·뒷문)로, 정상적인 인증 절차를 우회해 시스템에 몰래 접근할 수 있는 통로다. 이와 관련한 악성코드는 한 번 침투하면 장기간 은닉하는 데다 탐지 기술도 회피해 일반적인 보안점검으론 발견하기 어렵다는 평가를 받는다.
이 기술은 커널 안에서 동작하는 BPF 프로그램의 동작과 권한을 통제하기 위한 것으로 보안 커널에서 BPF 프로그램이 로딩되는 행위를 실시간으로 탐지하고 권한을 분석해 비인가 BPF 프로세스의 필터 등록 차단, 프로세스 강제 종료, 해당 프로그램의 시스템 내 권한을 모두 제거한다. BPF 악성행위에 대한 원천 방어를 커널 레벨에서 수행한다.
BPF도어 악성코드는 BPF(Berkeley Packet Filter) 기술을 악용해 네트워크 트래픽을 감청하고, 포트를 열지 않고도 특정 패킷 시그니처를 감지해 C2(Command & Control) 서버의 명령을 수신하는 방식으로 동작한다. 특히 BPF도어는 포트리스닝 없이 네트워크 인터페이스에서 직접 패킷을 감청해 기존의 포트 스캐닝이나 방화벽 모니터링으로는 탐지가 어려우며, 로그를 거의 남기지 않아 기존 보안 솔루션 회피 능력도 매우 뛰어난 것으로 분석되고 있다.
시큐브 관계자는 "기존 보안 솔루션들이 시그니처 탐지로 BPF 관련 취약성 방어를 수행하는 것에 비해 이번에 개발된 BPF 통제 기술을 적용하게 되면 알려지지 않은 BPF 루트킷 공격과 변종 BPF도어에 대해 원천 대응이 가능할 것"이라며 "해당 기술을 자사의 서버보안 솔루션인 시큐브 TOS(Secuve TOS)에 적용해 고객사에 옵션형태로 제공할 계획"이라고 했다.
황국상 기자 gshwang@mt.co.kr
Copyright ⓒ 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지.
이 기사의 카테고리는 언론사의 분류를 따릅니다.