S사 BPF 백도어 해킹사태, CVE(Common Vulnerabilities and Exposures)취약점 관리 부실도 한 몫

최근 발생한 S사의 해킹 사건에 대해 정부의 공식조사 결과 공격자의 행위는 시스템으로의 초기침투, 추가거점의확보, 정보 유출의 3단계로 진행되었는데, 이를 자세히 살펴보면 CVE취약점에 대한 체계적인 관리 부재도 크게 한몫을 차지했음이 나타났다.

조사결과에 따르면, 공격자들은 2021년 8월, S사의 외부 인터넷 연결 접점에 있는 서버에 초기 침투했다. 이 시점에서의 초기 침투는 주로 웹 애플리케이션 CVE취약점이나 RCE(Remote Code Execution : 원격코드실행) CVE취약점을 통해 이루어졌을 가능성이 크다. 이렇게 초기 침투에 성공한 공격자들은 획득한 관리자 권한을 가지고 커널권한상승과 관련된 CVE취약점(CVE-2022-2785, 22087, 23222)들을 이용하여 음성통화인증서버에 BPF 악성코드를 설치하여, 유심정보를 탈취할 수 있는 발판을 마련하였다고 볼 수 있다.

장장 3년 8개월에 걸친 잠복과 내부망 장악 끝에, 2025년 4월 공격자들은 최종적으로 유심 서버에 접근하여 약 2,696만 건의 유심 정보를 탈취하는 데 성공했다. 이 시점에서 유심 서버의 정보 유출은 단순히 한두 개의 취약점 때문이 아니라, 그동안 누적된 S사의 CVE취약점 관리 부실이 총체적으로 폭발한 결과라고 볼 수 있다.

이번 S사의 BPF 백도어 해킹 사건은 국내 컴플라이언스가 있는 CCE 부분에만 신경을 쓰고 정작 해커의 표적이 되는 CVE취약점에 대하여는 관심을 가지지 않는 국내 기업들의 고질적인 사이버 보안 문제를 다시 한번 수면 위로 드러낸 사건이라는 점에서 CVE취약점의 중요성에 대하여 경각심을 가져야 하는 계기가 되었다.

내부망 침투, 추가거점확보, 정보유출의 과정에서 사용된 다양한 악성코드(총 33종 중 27종이 BPF백도어)와 관련된 CVE취약점들은 이미 CVE취약점 데이터베이스인 NVD(National Vulnerability Database)에 등록되어 있었고, 보안 커뮤니티에서도 활발히 논의되던 위협들이었을 가능성이 높다. 만약 S사가 이러한 CVE취약점 정보를 적시에 파악하여, 관련된 CVE취약점에 대한 패치를 하였다면, 유심서버와 같은 중요한 정보의 대규모 유출은 막을 수 있었을 것이다.

CVE취약점 사이트 이미지

CVE취약점 세계1위의 보안 기업 테너블(Tenable)사의 한국 총판인 ㈜롤텍의 이중원 부사장은 “수많은 CVE취약점중에서 해커가 특히 악용하는 취약점이나 심각도가 높은 CVE취약점은 최우선적으로 관리되어야 한다”고 강조하며, “이번 S사 BPF 백도어 악성코드 감염 사태는 비단 S사 만의 문제가 아니며 국내외 많은 기업들이 유사한 취약점을 안고 있을 수 있고, 이는 언제든 심각한 보안 사고로 이어질 수 있다며, 모든 기업은 지속적인 CVE 취약점 점검과 신속한 패치 적용을 통해 잠재적인 위협에 대비해야 한다”라고 말한다.

정용석 기자 kudljang@dt.co.kr