이번 SK텔레콤의 대규모 해킹 사태는 ‘BPF(Berkeley Packet Filter) 도어’ 수법이 사용된 것으로 알려졌다.
‘BPF’는 리눅스 기반 운영체제에서 통신 데이터를 감시하는 일종의 ‘문’으로 비유할 수 있다. 이 문은 송수신하는 데이터를 제어하는 역할을 한다. ‘열쇠’를 가진 서버 관리자가 데이터 출입을 관리할 수 있는 것이다. BPF 도어는 해커가 관리자 몰래 BPF에 뒷문을 새로 만든 것이다. 해커가 명령을 내려 특정 데이터들을 뒷문을 통해서 탈취할 수 있다. 뒷문의 존재를 발견하기 전까지는 해커의 흔적을 찾기가 쉽지 않은 것이 특징이다. 이희조 고려대 교수는 “비정상적인 통로이기 때문에 빠르게 발견하기는 쉽지 않다”라고 말했다.
보안업계에 따르면 BPF 도어 수법은 2021년 PWC의 위협 보고서를 통해 최초로 공개됐다. 중국 ‘레드멘션’ 등 중국 해커 그룹이 BPF 도어 방식을 수년간 해킹에 활용해 왔다. 레드멘션은 중동 및 아시아 지역 통신 업체, 물류, 교육 등 다양한 업체들을 표적으로 공격한 것으로 알려졌다. 최근 BPF 도어에 사용되는 악성 코드가 오픈 소스(개방형) 방식으로 공개돼 위협은 더욱 커지고 있다. 누구나 개방된 코드를 내려받아 악용할 수 있게 됐기 때문이다. 현재 보안 당국은 해킹 주체를 특정하지 못했다.
‘BPF’는 리눅스 기반 운영체제에서 통신 데이터를 감시하는 일종의 ‘문’으로 비유할 수 있다. 이 문은 송수신하는 데이터를 제어하는 역할을 한다. ‘열쇠’를 가진 서버 관리자가 데이터 출입을 관리할 수 있는 것이다. BPF 도어는 해커가 관리자 몰래 BPF에 뒷문을 새로 만든 것이다. 해커가 명령을 내려 특정 데이터들을 뒷문을 통해서 탈취할 수 있다. 뒷문의 존재를 발견하기 전까지는 해커의 흔적을 찾기가 쉽지 않은 것이 특징이다. 이희조 고려대 교수는 “비정상적인 통로이기 때문에 빠르게 발견하기는 쉽지 않다”라고 말했다.
보안업계에 따르면 BPF 도어 수법은 2021년 PWC의 위협 보고서를 통해 최초로 공개됐다. 중국 ‘레드멘션’ 등 중국 해커 그룹이 BPF 도어 방식을 수년간 해킹에 활용해 왔다. 레드멘션은 중동 및 아시아 지역 통신 업체, 물류, 교육 등 다양한 업체들을 표적으로 공격한 것으로 알려졌다. 최근 BPF 도어에 사용되는 악성 코드가 오픈 소스(개방형) 방식으로 공개돼 위협은 더욱 커지고 있다. 누구나 개방된 코드를 내려받아 악용할 수 있게 됐기 때문이다. 현재 보안 당국은 해킹 주체를 특정하지 못했다.
한국인터넷진흥원(KISA)은 지난 25일 BPF 도어 수법에 사용되는 악성 코드를 공개했다. KISA는 SK텔레콤 사태를 언급하지는 않았지만 “최근 주요 시스템을 대상으로 해킹 공격을 하는 사례가 확인돼 위협 정보를 공유한다”며 “자체적으로 보안 점검 후 침입 흔적 및 침해 사고가 확인되면 침해 사고를 즉시 신고해달라”고 했다.
현재 KISA를 비롯해 과학기술정보통신부, 경찰 등이 SK텔레콤 사태를 조사 중이다. 이희조 교수는 “먼저 해커가 들어와서 뒷문(BPF 도어)을 만든 경로를 정확히 조사해 파악해야 할 것”이라며 “데이터가 오가는 다른 통로들에 대해 서버의 보안 취약점이 없도록 관리해 나가야 한다”고 말했다.
[유지한 기자]
- Copyrights ⓒ 조선일보 & chosun.com, 무단 전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.
!["너무 부끄럽고 죄송" 김장훈→인순이, 비공개 결혼식 참석했다가 사과까지 [엑's 이슈]](/_next/image?url=https%3A%2F%2Fthumb.zumst.com%2F256x144%2Fhttps%3A%2F%2Fstatic.news.zumst.com%2Fimages%2F108%2F2025%2F12%2F23%2F766c104d294f4376adcf23e735c72fb8.jpg&w=384&q=100)
