(서울=뉴스1) 김민석 윤주영 기자 = 눈에 띄지 않는 방식으로 작동하는 'BPF도어(Door)' 계열 악성코드의 위협이 증가함에 따라 국내외 보안 기업들도 탐지·식별 방법(수동 포함)을 공개하며 대응에 나섰다.
SK텔레콤 해킹을 조사한 민관합동조사단은 SKT 가입자 인증 서버(HSS)를 해킹한 악성코드는 BPFDoor 계열 4종으로 확인했다.
보안 기업들은 EDR(엔드포인트 탐지&대응·Endpoint Detection and Response) 제품을 활용할 필요가 있다고 제시했다.
2일 IT·보안 업계에 따르면 글로벌 사이버보안 전문기업 트렌드마이크로는 최근 발간한 보고서에서 중국계로 추정되는 해커 그룹이 지난해 7월·12월 BPFDoor를 활용해 한국의 통신 분야를 공격했을 수 있다고 관측했다.
보고서는 "BPFDoor는 레드멘션(Red Menshen)이라는 APT(국가지원 지능형지속위협) 그룹과 관련이 있고 자사는 이 그룹과 유사한 ATP 그룹인'어스블루크로'(Earth Bluecrow)를 추적하고 있다"며 "해당 백도어는 국가 지원 백도어로 사이버 간첩 활동을 위해 설계됐다"고 언급했다.
트렌드마이크로는 BPFDoor 공격을 분석하는 과정서 어스블루크로의 독자적인 '컨트롤러'(controller) 파일을 발견했다.
BPFDoor는 '버클리 패킷 필터'(Berkeley Packet Filter·BPF)를 악용하는 리눅스 기반 백도어 악성코드로 2021년 PWC 위협 보고서를 통해 처음 알려졌다. 특징은 평소엔 잠복해 있다가 특별한 신호(일명 매직 패킷)가 오면 그때 활동을 시작한다는 점이다.
보고서는 BPFDoor와 같은 악성코드 위협에 대응하려면 △프로액티브 위협 헌팅(선제적 탐지·조사·차단 보안 접근법) △행동 기반 탐지 △정기 시스템 감사 등이 필요하다며 자사 설루션인 'Trend Vision One™ Network Security' 등의 제품을 활용할 필요가 있다고 전했다.
한국 보안기업 지니언스(263860)도 트렌드마이크로 보고서 주요 내용을 인용한 '분석 보고서'를 내고 BPFDoor 시리즈는 오픈소스 형태의 리눅스 기반 악성코드로 다양한 변종이 생성될 수 있다고 경고했다.
지니언스 측은 파일 해시(Hash) 패턴 검사 등 기존 방식으론 BPFDoor를 탐지하지 못할 가능성이 높다며 수동 명령어를 통한 대응법 등을 공개했다.
지니언스 측은 "수동으로 탐지하려면 특정 명령어를 사용해 네트워크 소켓 정보를 조회해야 한다"며 "위협을 효과적으로 식별하려면 엔드포인트 탐지·대응(EDR:Endpoint Detection and Response) 제품을 활용할 필요가 있다"고 했다.
