은밀하게 들어온 악성코드···BPF 도어, 넌 누구냐

글로벌 보안 업계가 주목하는 위협 중 하나
'컨트롤러' 기능 추가되며 위험 높아져

사진=이미지투데이

[서울경제]

지난달 벌어진 SK텔레콤 해킹 사고를 계기로 리눅스 기반 백도어 악성코드인 ‘BPF도어(BPFDoor)’에 대한 관심이 급격히 높아지고 있다. BPF도어는 이미 보안 업계에서는 이미 널리 알려진 악성코드지만, 코로나19 바이러스처럼 변종을 만들어 감염시킬 수 있다는 사실이 알려지면서 통신 서비스 이용자들의 불안이 커지고 있다.

━

글로벌 보안업계 주목하는 BPF도어···기존 보안 솔루션으로는 탐지 어려워

BPF도어는 한때 리눅스 보안 커뮤니티 내에서만 알려졌던 고도화된 백도어 악성코드다. 그러나 지금은 글로벌 보안 업계에서 가장 주의 깊게 관찰하는 위협 요소 중 하나로 꼽힌다. ‘BPF도어’는 ‘Berkeley Packet Filter(BPF)’의 약자다. BPF는 원래 시스템 관리자들이 네트워크 트래픽을 실시간으로 감시하고 분석할 수 있도록 돕는 패킷 필터링 기술이다. 쉽게 말해 네트워크를 감시하는 CCTV와 같은 기술인 셈이다. 그런데 해커들이 이 CCTV를 해킹하고, 비밀 신호가 오면 문이 자동으로 열리도록 조작하면서 문제가 됐다. 해커들은 이 기술을 악용해, 감염된 시스템 내에서 특정 신호, 매직 바이트(Magic Byte)가 감지되면 자동으로 백도어를 활성화하도록 만들었다.이 때문에 일반 보안 시스템은 ‘백도어’가 열린 줄도 모르고 지나치는 일이 발생하게 됐다. 외부에서 해커들이 신호 하나만 보내면 내부 시스템이 감염되고, 기존 보안 솔루션으로는 탐지하기 어렵기 때문에 위험성이 크다.

━

진화하는 BPF도어···원격 제어 기술까지 갖춰

그런데 최근에는 이 BPF도어에 ‘컨트롤러’라는 기능이 추가되면서 더 위험해졌다는 분석이 나오고 있다. 컨트롤러란 해커가 멀리서도 감염된 컴퓨터에 명령을 내릴 수 있도록 해주는 일종의 리모컨 같은 도구다. 이 컨트롤러를 쓰려면 해커는 먼저 정해진 비밀번호를 입력해야 한다. 비밀번호가 맞으면 컴퓨터는 해커가 감염된 컴퓨터로 몰래 들어갈 수 있도록 문을 열어준다. 이를 통해 해커가 정해진 통로로 자유롭게 드나들 수 있도록 조치한다. 또한 해커는 통로가 제대로 열렸는지 확인하는 것도 가능하다. 컨트롤러는 한 대의 컴퓨터만 감염 시키면 다른 컴퓨터까지 감염 시킬 수 있다. 이를 ‘수평 확산’이라고 한다. 즉, 회사 전체 네트워크가 줄줄이 뚫릴 가능성도 있다.

━

중국계 APT 그룹이 배후···해외 보안매체 “한국 통신사 공격” 이미 지적

보안 업계는 이같은 악성코드를 심는 배후로 중국계 APT 그룹을 지목하고 있다. 다만 BPF도어의 소스코드가 이미 2022년에 유출됐기 때문에, 다른 해커 그룹이 이를 활용했을 가능성도 배제할 수는 없다. 해외 보안 매체는 이미 2024년 기준, 한국, 홍콩, 미얀마, 말레이시아, 이집트 등지에서 통신·금융·소매 산업을 겨냥한 공격에 BPF도어가 사용됐다고 밝힌 바 있다. 특히 리눅스 기반 서버가 많은 통신사와 공공기관이 주요 타깃이 됐다. 국내 통신사들이 리눅스를 많이 사용하는 이유는 높은 안정성과 비용 효율성, 그리고 유닉스 기반 시스템과의 호환성 때문이다.

서지혜 기자 wise@sedaily.com