BPF도어 공격, 사전에 알 방법 있다지만…운영서버는 어쩔 수 없다?

실시간
뉴스

보안

BPF도어 공격, 사전에 알 방법 있다지만…운영서버는 어쩔 수 없다?

디지털데일리 발행일 2025-05-09 09:13:10

김보민 기자

URL복사

8일 인천국제공항 2터미널 출국장을 찾은 방문객들이 SK텔레콤 로밍센터 앞에 줄지어 있다. [ⓒ연합뉴스]

[디지털데일리 김보민기자] SK텔레콤 해킹 여파가 이어지고 있는 가운데, 주요 원인으로 BPF도어 공격이 지목됐다. 보안업계에서는 BPF도어 악성코드를 사전에 검출할 방법이 있지만, 운영서버 특성상 안정성을 이유로 보안 프로그램을 설치하지 않는 경우가 많아 예견된 사고라는 평가가 나온다.

9일 보안업계에 따르면, 민관합동조사단은 SK텔레콤 해킹에 사용된 악성코드에 대한 조사를 진행하고 있다. 조사단은 지난달 가입자인증시스템(HSS) 서버에서 해킹에 사용된 악성코드 4종을 특정했고, 이달 추가적으로 8종을 발견했다. 해당 악성코드는 SK텔레콤 해킹의 원인인 BPF도어의 변종으로 알려졌다.

BPF(Berkeley Packet Filtering)는 컴퓨터 네트워크에서 특정 데이터를 골라내는 필터 기술로, 운영체제 커널 수준에서 네트워크 패킷을 필터링하고 캡처하도록 지원하는 것이 특징이다. 리눅스를 포함해 대부분 유닉스 계열 시스템에서 사용되며, 이를 확장한 eBPF(extended BPF)는 보안 정책을 적용하거나, 운영체제 내부 동작을 추적하는 '커널 트레이싱' 용도로 활용되기도 한다.

BPF도어는 이러한 BPF 기술을 악용한 공격 기법으로, 평소 시스템에 숨어 있다가 해커가 특별한 신호(이하 매직 패킷)를 보내면 작동한다는 특징이 있다. 별도의 리슨 포트(서버에서 연결 요청을 기다리는 지점)를 열지 않기 때문에, 일반적인 모니터링 도구(툴)로는 탐지가 어렵다. BPF도어 악성코드가 실행되면 정상 시스템처럼 감지되는 경우도 있어, 장기간 주요 서버에 숨어 활동할 가능성도 있다.

BPF도어 공격을 사전에 검출할 방법은 없을까. 일각에서는 기본적인 보안 조치가 있었다면, 일부 대응이 가능했을 것이라는 해석이 나온다. 보안기업 소만사가 배포한 BPF도어 악성코드 분석 보고서에 따르면, 일반적인 서버 안티바이러스와 엔드포인트탐지및대응(EDR) 솔루션으로 BPF도어를 검출하거나 격리할 수 있다. 다만 운영서버의 경우 안정성 문제로 서버 안티바이러스 솔루션 설치율이 낮아, 탐지가 가능하더라도 선제적 대응이 어렵다고 설명했다. 기술적으로 설치가 어렵다기보다는, 장애가 발생하거나 서비스가 중단될 위험 요인(리스크)이 있어 사업자 입장에서 보안 솔루션을 설치하기 꺼려한다는 취지다.

기본 보안 조치가 미흡했다는 지적은 전날 개인정보보호위원회(이하 개인정보위)가 배포한 참고 자료에서도 확인할 수 있었다. 개인정보위는 자료를 통해 SK텔레콤이 유출 경로가 된 주요 시스템에 보안 프로그램을 설치하지 않은 점을 확인했다고 밝혔다. 백신을 비롯한 기본 보안 조치도 미비했던 것으로 평가했다. 이와 관련해 개인정보위는 "개인정보 관련 기본적인 기술적·관리적 조치가 미흡했다고 보고 있다"고 말했다.

다만 국내 통신사를 겨냥한 BPF도어 공격이 지난해부터 이어졌다는 점을 고려했을 때, 안정성을 앞세워 보안 조치를 하지 않은 것에 대한 책임이 필요하다는 목소리가 나온다. 국내 보안업계 관계자는 "SK텔레콤 해킹 사고는 하루 이틀 만에 일어난 것이 아닌, 오래 전부터 누적된 공격 시나리오의 결과"라며 "서버 내에 보안 설치가 미흡했다면 이를 대체할 전문 인력을 많이 투입해야 할 텐데, 그렇지도 못 했던 것으로 보인다"라고 말했다.

한편 민관합동조사단은 SK텔레콤 해킹 경로와 원인 등을 분석하고 있다. 강도현 과학기술정보통신부(이하 과기정통부) 제2차관은 8일 청문회에 참석해 "피해가 우려되는 서버가 3만3000대 정도 있다"며 "세 차례 조사를 했고, 네 번째 조사를 진행하고 있다"고 말했다. 보안업계에서는 서버 간 횡적 이동 구간에 보안 조치가 미흡했던 점이 원인이라는 해석도 나온다.