【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]"몰래 침투 숨었다가 특정신호에 발동"…SKT 해킹 'BPF도어'란

온카뱅크관리자

2025-04-30 06:07:27

<div id="layerTranslateNotice" style="display:none;"></div> 오픈소스 리눅스 기반 백도어…개발자·설루션 단위 탐지 어려워 보이지 않는 위협증가에 美빅테크 암호화 등 보안강화 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="6h436ec6XS">
 <figure class="figure_frm origin_fig" contents-hash="ed161628c212b3cab936d4f447deb564eff490f5c526101a0ebcc336fccbef1e" dmcf-pid="Pl80PdkPXl" dmcf-ptype="figure">
 <img alt="ⓒ News1 DB" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202504/30/NEWS1/20250430060016837dzrl.jpg" data-org-width="553" dmcf-mid="HHpNvH7vXK" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202504/30/NEWS1/20250430060016837dzrl.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 ⓒ News1 DB
 </figcaption>
 </figure>
 (서울=뉴스1) 김민석 윤주영 기자 = 눈에 띄지 않는 방식으로 작동하는 'BPF도어(Door)' 계열 악성코드부터 인공지능(AI) 코드 생성 툴의 취약점을 악용한 '룰 파일 백도어'까지 개발자 단위에서 발견하기 어려운 위협이 증가하고 있다.
 글로벌 빅테크 기업들은 증가하는 보이지 않은 위협에 대응하고자 보안 강화에 나섰다.
 30일 IT·보안 업계에 따르면 BPFDoor는 '버클리 패킷 필터'(Berkeley Packet Filter·BPF)를 악용하는 리눅스 기반 백도어 악성코드로 2021년 PWC 위협 보고서를 통해 처음 알려졌다. 이후 꾸준히 진화해 왔고 최근 SK텔레콤 가입자 인증 서버(HSS)를 해킹한 악성코드로 확인됐다.
 BPF는 기존엔 컴퓨터 네트워크에서 특정 데이터를 골라내는 필터 기술이었지만, 해커들은 이 기술을 해킹에 악용했다. BPFDoor는 해당 필터 기능을 악용해 보안 설루션의 눈을 피해 몰래 통신하는 방법을 고안했다.
 BPFDoor 특징은 평소엔 잠복해 있다가 특별한 신호(일명 매직 패킷)가 오면 그때 활동을 시작한다는 점이다.
 <figure class="figure_frm origin_fig" contents-hash="da075715f5ee62a0913840aadad71b546212b8904115dbdcc777f5447e9bd869" dmcf-pid="Gk7WqVJqGm" dmcf-ptype="figure">
 <img alt="패킷수신 함수 일부(지니언스 악성파일 분석 보고서 갈무리)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202504/30/NEWS1/20250430060018414qhus.jpg" data-org-width="907" dmcf-mid="pylNvH7vY0" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202504/30/NEWS1/20250430060018414qhus.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 패킷수신 함수 일부(지니언스 악성파일 분석 보고서 갈무리)
 </figcaption>
 </figure>
 BPFDoor는 평소엔 'kdmtmpflush' 'vmtoolsdsrv' 같은 정상적인 시스템 프로그램인 것처럼 이름을 바꿔 숨는다. 
 이를 통해 일반적인 악성코드는 방화벽을 통과하지 못하지만 BPFDoor는 '커널'(운영체제의 핵심 부분)에서 직접 패킷을 확인하는 방식으로 방화벽을 회피할 수 있다.
 최근 발견된 BPFDoor 변종들은 더욱 교묘한 방식으로 진화했다. 이전 버전은 코드 내 고정된 명령어 또는 파일이름 등은 존재했지만, 최신 버전은 이름과 흔적마저 제거해 탐지 프로그램 및 탐지자가 분석하기 어렵게 한다.
 BPFDoor는 활성화 시 감염된 컴퓨터가 해커의 컴퓨터로 먼저 연결을 시도하는 리버스 쉘(Reverse Shell)과 감염된 컴퓨터에 특별한 문을 열어두고 해커가 그 문을 통해 들어오게 하는 바인드 쉘(Bind Shell) 방식으로 해커에게 시스템 접근권을 제공한다.
 <figure class="figure_frm origin_fig" contents-hash="fc0dc8a6b7b7055e45442f4d024c81061bd37fa2fd9fcbc40e73754f7a7e364d" dmcf-pid="1yx7RLrRZk" dmcf-ptype="figure">
 <img alt="깃허브에 공개된 BPFDoor 소스코드 화면(지니언스 악성파일 분석 보고서 갈무리)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202504/30/NEWS1/20250430060019974vhte.jpg" data-org-width="791" dmcf-mid="4b0SUbMUZT" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202504/30/NEWS1/20250430060019974vhte.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 깃허브에 공개된 BPFDoor 소스코드 화면(지니언스 악성파일 분석 보고서 갈무리)
 </figcaption>
 </figure>
 BPFDoor와 유사한 방식의 악성코드는 한국뿐 아니라 전 세계적으로 주요 기업과 기관을 노리고 있다.
 필라 시큐리티는 최근 MS '커서'와 깃허브 '코파일럿' 등 주요 AI 코드 어시스턴트에서 '룰 파일 백도어' 취약점 발견했다.
 룰 파일 백도어는 AI 도구의 설정 파일에 보이지 않는 유니코드 문자로 악성 지시를 숨겨 AI가 생성하는 코드 내에 악성코드를 삽입하는 방식으로 BPFDoor 기재와 거의 유사하다.
 해커들은 이처럼 양방향 텍스트 마커 등 보이지 않는 유니코드 문자를 활용해 악성 지시를 숨기고 AI의 자연어 이해 능력을 악용해 코드에 취약점을 심는 방식으로 진화하고 있다.
 증가하는 위협에 MS·오픈AI·AWS 등은 데이터 암호화 등 보안 강화에 고삐를 당기고 있다. 오픈AI 경우 최근 사이버보안 분야(어댑티브 시큐리티) 4300만 달러(약 618억 원) 규모의 첫 투자를 유치했다
 지니언스(263860)는 'BPFDoor 리눅스 악성파일 분석 보고서'를 내고 보안기업 트렌드마이크가 이달 14일 발간한 보고서를 인용해 지난해 7월·12월 BPFDoor를 활용한 한국의 통신산업 분야 공격 가능성을 전했다. 
 지니언스 측은 "BPFDoor 시리즈는 오픈소스 형태 리눅스 기반 악성파일로 다양한 변종이 생성될 수 있다"며 "위협을 효과적으로 식별하려면 엔드포인트 탐지·대응(EDR:Endpoint Detection and Response) 제품을 활용할 필요가 있다"고 전했다.
 ideaed@news1.kr
 &lt;용어설명&gt;
 ■ PWC PwC(PricewaterhouseCoopers)는 글로벌 회계·컨설팅 기업으로 사이버보안 분야에서 폭넓은 자문과 설루션을 제공하고 있다.
 ■ 필라 시큐리티 필라 시큐리티(Pillar Security)는 2023년 설립된 AI 보안 스타트업으로 인공지능(AI) 기반 소프트웨어에서 발생하는 새로운 보안 위협에 대응하고 있다. AI 특유의 보안 리스크를 최소화하기 위해 AI 보안 특화 엔드 투 엔드(end-to-end) 플랫폼을 개발하고 있다.
 ■ 마이크로소프트 커서 커서(Cursor)는 마이크로소프트 윈도우 운영체제·오피스 프로그램 등에서 이용자가 화면상의 위치를 식별하거나 입력 작업을 할 수 있도록 표시되는 작은 그래픽 요소를 말한다. 커서는 마우스·트랙패드·펜 등 포인팅 디바이스의 움직임에 따라 화면 위에서 이동하며 입력 위치나 선택 상태를 시각적으로 안내한다.
 </section> 
 </div> 
 Copyright © 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기