(서울=뉴스1) 윤주영 기자 = 막대한 피해를 받은 SK텔레콤(017670) 서버 해킹에는 25종의 악성코드가 사용됐다. 대다수는 'BPF도어' 계열이다. 중국·북한 해커 집단이 주로 사용하는 악성코드로 구동방식이 은밀하고 치명적이다.
20일 보안업계에 따르면 BPF도어 악성코드는 네트워크 패킷 필터링 메커니즘 '버클리 패킷 필터'(BPF)를 악용해 타깃을 공격한다.
운영체제(OS) 커널 영역에 설치되는 BPF는 외부로부터 전달받은 패킷을 사용자 영역으로 넘길지 결정한다. 쉽게 말해 네트워크 모니터링·필터 기능이다.
이는 리눅스 OS에서 작동하기 때문에 SKT의 리눅스 서버 전반이 집중 점검됐다.
공격자는 이 필터링에 규칙을 추가해 특정 패킷(일명 '매직 패킷')이 전송되게끔 한다. 악성코드는 잠복했다가 매직 패킷이 수신되면 공격을 시작한다. 공격 은닉성이 높아 파악이 어려웠다.
안랩(053800)은 "과거 버전의 cBPF 기술을 악용한 백도어"라며 "BPF도어는 서버 방화벽과 보안 시스템을 우회하며, 외부 공격자가 직접 시스템에 명령을 전달할 수 있는 리버스 쉘, 바인드 쉘 등 기능을 제공한다"고 설명했다.
이어 "기존 BPF도어 공격과 달리 이번에 공개된 악성코드는 복제·자가 삭제 기능이 제거됐으며, 프로세스 이름을 위장하는 방식으로 진화했다"고 덧붙였다.
BPF도어 악성코드 공격은 2021년 PWC 위협 보고서를 통해 처음 알려졌다. 민관 합동 조사단에 따르면 SKT 서버의 경우 2022년 6월 최초로 악성코드가 설치됐다.
글로벌 사이버보안 기업 트렌드마이크로의 4월 보고서에 따르면 이런 공격을 쓰는 집단으론 중국 정부를 배후로 둔 '레드 멘션'이 꼽힌다. 트렌드마이크로는 레드 멘션이 지난해 7월·12월 두 차례에 걸쳐 한국의 한 통신사를 침투했다고 공개했다.
이 밖에도 레드 멘션은 지난해 홍콩·미얀마·말레이시아·이집트 등지에서 통신·금융·리테일 인프라를 중점적으로 공격했다. SKT 사례처럼 대부분 리눅스 기반 서버가 피해를 보았다.
다만 레드 멘션이 SKT를 공격했다고 확정 짓긴 어렵다. BPF도어 악성코드는 오픈소스화돼서 어떤 집단이든 이용할 수 있다.
SKT 사태가 최근 중국·북한 등이 전개하는 사이버 전쟁의 일환일 수 있다는 보안업계 분석도 있다.
공격자가 3년간 별다른 금전 요구를 하지 않은 점을 보아 정치적 목적일 수 있단 것이다. 이와 반대로 2023년 LG유플러스 개인정보 유출 사고에선 해커가 다크웹에 정보 판매 글을 올렸다.
한편 민관 추가 조사에서 BPF도어 이외 새로 발견된 악성코드는 웹셸 1종이다. 악의적인 웹셸이 서버에 업로드되면 공격자는 이후 파일 탐색이나 시스템 쉘 명령 등을 수행할 수 있다.
민관 조사단 측은 "웹셸 설치는 최초 감염 시점을 알려주는 중요한 요소"라고 말했다.
