개요
2024년 하반기, SKT에서 발생한 유심 해킹 사고는 단순한 악성코드 감염이 아니라, 정교한 백도어 프로그램이 사용된 고도화된 공격 사례로 주목받았다. 이 사건에서 활용된 BPFdoor는 일반적인 보안 시스템으로는 탐지가 어려운 방식으로 작동해, 보안 업계에 큰 경각심을 주었다.
이 글에서는 BPFdoor의 특징과 동작 방식, 그리고 실제 해킹 시 어떤 식으로 사용되었는지를 정리해보았다.
BPFdoor란?
BPFdoor는 리눅스 및 유닉스 시스템을 대상으로 한 백도어 프로그램이다. 이름에서 알 수 있듯이, BPF(Berkeley Packet Filter) 기술을 활용해 외부에서 특정 신호가 들어오면 내부에서 명령을 실행할 수 있도록 설계되어 있다.
또, 다음과 같은 특징을 가지고 있다.
| 비포트리스닝 | 방화벽에 탐지되지 않도록 포트를 열지 않고 패킷을 감시 |
| 파일리스 | 시스템에 흔적을 거의 남기지 않고 메모리 상에서 실행 |
| 특정 패킷 감시 | ‘매직 시퀀스’라는 특정 신호를 포함한 패킷이 들어올 때만 작동 |
| 리버스 쉘 | 쉘 연결을 통해 명령 실행, 파일 전송 등이 가능 |
| 탐지 회피 | 로그 기록을 피하고 보안 솔루션 우회 설계 |
실제 해킹에서의 활용 방식
SKT 유심 해킹 사례에서는 공격자가 먼저 사회공학 기법 등을 통해 내부 시스템 접근 권한을 확보한 뒤, 일부 서버에 BPFdoor를 설치했다.
BPFdoor는 감염된 시스템에서 포트를 열지 않고도 외부에서 보내는 특정 신호를 감지하고, 이 신호를 받은 후에만 쉘을 생성하거나 명령을 실행한다.
이러한 방식은 기존의 EDR(엔드포인트 탐지)이나 NGAV(차세대 백신)에서 흔히 탐지되는 패턴을 우회하기 때문에, 정상처럼 보이지만 실제로는 조용히 제어되고 있는 상태가 될 수 있다.
BPFdoor의 동작 단계
| 1. 초기 침투 | 내부 사용자 계정 탈취 또는 악성코드 유입 |
| 2. 설치 | 리눅스 시스템 내 메모리 상에 설치되어 흔적 최소화 |
| 3. 대기 | BPF로 패킷을 필터링하며 ‘매직 시퀀스’가 포함된 패킷을 대기 |
| 4. 활성화 | 특정 신호 수신 시 쉘 생성 및 명령 실행 |
| 5. 은폐 유지 | 포트를 열지 않고, 로그 기록이나 파일 생성을 하지 않음 |
보안적 시사점
| 기존 솔루션 한계 | EDR, NGAV 등 기존 탐지 솔루션만으로는 탐지 어려움 |
| SIEM 필요성 | 이상 행위 로그들을 통합 분석하는 시스템 필요 |
| Threat Intelligence | 지속적으로 최신 위협 정보(IoC)를 반영한 룰 갱신 필요 |
| 망 분리 중요성 | 감염 후 내부 확산을 막기 위해 네트워크 분리 필요 |
| EDR + NDR 연계 | 엔드포인트와 네트워크 감시를 함께 적용해 탐지력 강화 |
결론
BPFdoor는 단순한 악성코드가 아닌 지능적이고 은밀한 침투 도구로, 전통적인 보안 장비를 우회해 내부 시스템을 제어할 수 있다.
이처럼 고도화된 위협에 대응하기 위해서는 단일 보안 솔루션 의존을 넘어서, 로그 통합 분석, 최신 위협 정보 반영, 네트워크+엔드포인트 연계 방어 등 체계적인 접근이 필요하다.
이 사례를 통해 저는 전통적 탐지를 우회하는 기술에 대한 이해와 함께, 현실적인 대응 전략의 중요성을 배우게 되었다.
특히 단일 솔루션만으로는 충분치 않다는 사실은, 향후 보안 설계나 분석 업무에서 전체 흐름을 파악하고 위협을 조기에 감지하는 관점이 중요하다는 점을 다시금 깨닫게 했다.
참고 자료
- SKT 해킹 사례 보도자료
- BPFdoor 분석 보고서 (Trend Micro, Cisco Talos 등)
'Security' 카테고리의 다른 글
| 현대 랜섬웨어 동향과 보안 시사점 (2) | 2025.09.21 |
|---|---|
| 정보보안 용어 정리 (2) (0) | 2025.09.16 |
| 정보보안 용어 정리 (1) (2) | 2025.09.07 |
| 운영체제 및 리눅스 시스템 (3) | 2025.08.31 |
| EDR을 통해 본 현대 보안 솔루션의 흐름 (1) | 2025.06.24 |