최근 SK텔레콤 해킹 사건을 계기로 리눅스 기반 백도어 악성코드인 'BPF도어(BPFDoor)'에 대한 관심이 높아지고 있습니다.
이 악성코드는 네트워크 필터링 기술인 BPF를 악용하여 방화벽을 우회하고, 탐지를 회피하는 특성을 지니고 있습니다.
1. BPF도어란 무엇인가?
BPF도어는 'Berkeley Packet Filter(BPF)'를 악용한 리눅스 기반 백도어 악성코드입니다.
BPF는 원래 시스템 관리자들이 네트워크 트래픽을 실시간으로 감시하고 분석할 수 있도록 돕는 패킷 필터링 기술입니다.
그러나 해커들은 이 기술을 악용하여, 감염된 시스템 내에서 특정 신호인 '매직 바이트(Magic Byte)'가 감지되면 자동으로 백도어를 활성화하도록 만들었습니다.
이로 인해 일반 보안 시스템은 백도어가 열린 줄도 모르고 지나치는 일이 발생하게 됩니다.
2. BPF도어의 작동 방식
BPF도어는 시스템에 몰래 잠복한 뒤, 특정 '매직 패킷(Magic Packet)'을 수신하면 활성화되는 구조입니다.
이 매직 패킷은 네트워크상에서 특별한 패턴을 가진 패킷으로, 일반적인 보안 장비 탐지를 우회할 수 있습니다.
악성코드가 활성화된 이후에는 TCP, UDP, ICMP 프로토콜을 통해 다양한 명령을 수신하고, 내부 네트워크로 측면 이동(lateral movement)해 추가 감염이 가능한 구조입니다.
이 때문에 단일 서버 침해에 그치지 않고 조직 전체로 위협을 확산할 수 있어 위험성이 큽니다.
3. 진화하는 BPF도어
최근 BPF도어에는 '컨트롤러'라는 기능이 추가되면서 더 위험해졌다는 분석이 나오고 있습니다.
컨트롤러란 해커가 멀리서도 감염된 컴퓨터에 명령을 내릴 수 있도록 해주는 일종의 리모컨 같은 도구입니다.
이 컨트롤러를 쓰려면 해커는 먼저 정해진 비밀번호를 입력해야 합니다.
비밀번호가 맞으면 컴퓨터는 해커가 감염된 컴퓨터로 몰래 들어갈 수 있도록 문을 열어줍니다.
이를 통해 해커가 정해진 통로로 자유롭게 드나들 수 있도록 조치합니다.
또한 해커는 통로가 제대로 열렸는지 확인하는 것도 가능합니다.
컨트롤러는 한 대의 컴퓨터만 감염시키면 다른 컴퓨터까지 감염시킬 수 있습니다.
이를 '수평 확산'이라고 합니다. 즉, 회사 전체 네트워크가 줄줄이 뚫릴 가능성도 있습니다.
4. 배후와 확산 경로
보안 업계는 이 같은 악성코드를 심는 배후로 중국계 APT 그룹을 지목하고 있습니다.
다만 BPF도어의 소스코드가 이미 2022년에 유출됐기 때문에, 다른 해커 그룹이 이를 활용했을 가능성도 배제할 수는 없습니다.
해외 보안 매체는 이미 2024년 기준, 한국, 홍콩, 미얀마, 말레이시아, 이집트 등지에서 통신·금융·소매 산업을 겨냥한 공격에 BPF도어가 사용됐다고 밝힌 바 있습니다.
특히 리눅스 기반 서버가 많은 통신사와 공공기관이 주요 타깃이 됐습니다.
5. BPF도어(BPFDoor)가 리눅스(Linux) 기반 시스템을 노리는 이유
1) 서버의 대부분이 리눅스 기반
웹 서버, 데이터베이스 서버, 통신 인프라, 클라우드 인스턴스의 상당수가 리눅스에서 운영됩니다.
기업·정부·통신사의 핵심 인프라 대부분이 리눅스 환경에서 돌아가기 때문에, 리눅스를 감염시키면 높은 효과를 거둘 수 있습니다.
2) 오픈소스의 양면성
리눅스는 오픈소스이므로 보안 기능이 투명하게 공개되어 있고, 그만큼 보안 우회 기법을 연구하기 쉽습니다.
커널이나 네트워크 레벨에서 조작할 수 있는 자유도가 높기 때문에 고급 해커 그룹(APT)이 선호합니다.
3) BPF 기술 자체가 리눅스에 특화
BPF(Berkeley Packet Filter)는 리눅스에서 네트워크 패킷을 실시간으로 분석하고 필터링하는 데 사용되는 기술입니다.
BPF도어는 이 BPF를 악용해 트래픽을 가로채고, 일반 포트를 열지 않고도 통신하는 은밀한 방식을 사용합니다.
윈도우나 macOS에는 BPF를 커널 수준에서 조작하기 어렵거나 불가능하므로, 리눅스가 공격 대상이 되는 것입니다.
4) 탐지 회피가 용이
리눅스는 **디스크 없이 메모리만 사용하는 공격(Memory-Only Payload)**이 가능해, 로그에 흔적이 남지 않습니다.
BPF도어도 파일을 남기지 않고 메모리 상에서 동작하여, 기존 안티바이러스나 보안 솔루션으로는 탐지하기 어렵습니다.
5) 관리자의 보안 의식 격차
일부 리눅스 시스템은 GUI 없이 CLI(명령어 기반)로 운영되며, 관리자가 보안 업데이트를 수동으로 해야 하는 경우가 많습니다.
패치가 누락된 오래된 시스템도 많아, 취약점을 노리기 쉽습니다.
BPF도어는 단순한 악성코드가 아니라, 조직의 시스템 깊숙이 침투해 통제권을 탈취하는 ‘사이버 정찰 무기’에 가깝습니다.
리눅스는 강력하지만, 오히려 그 강력함을 악용당할 수 있다는 사실을 보여주는 사례이기도 합니다.
이번 sk 유심 해킹은 단순한 통신 문제가 아닌 개인자산, 정보보안, 사회 인프라 전반에 악영향을 줄 수 있는 매우 중대한 사고입니다.
그동안 잊고 살았던 사이버 보안에 대하여 다시 한번 경각심을 주고 있습니다.
복구에도 많은 시간과 노력과 비용이 필요하다는 것이 새삼스럽습니다.