【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]"잠복했다 발동" 중국산 악성코드, SKT 서버 어떻게 털었나

온카뱅크관리자

2025-05-20 15:07:31

<div id="layerTranslateNotice" style="display:none;"></div> "2022년 SKT 서버 침투 시작"…사이버戰 우려 네트워크 필터링 조작수법…"은닉성 높고 오픈소스라 추적 난항" 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="zVqBQdTNXL">
 <figure class="figure_frm origin_fig" contents-hash="95c01d4ac637593e97929c06cfe124cd00d450a9c494fdc5f4a543365c7deb9e" dmcf-pid="qfBbxJyjtn" dmcf-ptype="figure">
 <img alt="SK텔레콤 침해사고 조사 결과. ⓒ News1 김초희 디자이너" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202505/20/NEWS1/20250520150414734ebti.jpg" data-org-width="1400" dmcf-mid="7ZkESY6FZo" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202505/20/NEWS1/20250520150414734ebti.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 SK텔레콤 침해사고 조사 결과. ⓒ News1 김초희 디자이너
 </figcaption>
 </figure>
 (서울=뉴스1) 윤주영 기자 = 막대한 피해를 받은 SK텔레콤(017670) 서버 해킹에는 25종의 악성코드가 사용됐다. 대다수는 'BPF도어' 계열이다. 중국·북한 해커 집단이 주로 사용하는 악성코드로 구동방식이 은밀하고 치명적이다.
 20일 보안업계에 따르면 BPF도어 악성코드는 네트워크 패킷 필터링 메커니즘 '버클리 패킷 필터'(BPF)를 악용해 타깃을 공격한다.
 운영체제(OS) 커널 영역에 설치되는 BPF는 외부로부터 전달받은 패킷을 사용자 영역으로 넘길지 결정한다. 쉽게 말해 네트워크 모니터링·필터 기능이다.
 이는 리눅스 OS에서 작동하기 때문에 SKT의 리눅스 서버 전반이 집중 점검됐다.
 공격자는 이 필터링에 규칙을 추가해 특정 패킷(일명 '매직 패킷')이 전송되게끔 한다. 악성코드는 잠복했다가 매직 패킷이 수신되면 공격을 시작한다. 공격 은닉성이 높아 파악이 어려웠다.
 안랩(053800)은 "과거 버전의 cBPF 기술을 악용한 백도어"라며 "BPF도어는 서버 방화벽과 보안 시스템을 우회하며, 외부 공격자가 직접 시스템에 명령을 전달할 수 있는 리버스 쉘, 바인드 쉘 등 기능을 제공한다"고 설명했다.
 이어 "기존 BPF도어 공격과 달리 이번에 공개된 악성코드는 복제·자가 삭제 기능이 제거됐으며, 프로세스 이름을 위장하는 방식으로 진화했다"고 덧붙였다.
 BPF도어 악성코드 공격은 2021년 PWC 위협 보고서를 통해 처음 알려졌다. 민관 합동 조사단에 따르면 SKT 서버의 경우 2022년 6월 최초로 악성코드가 설치됐다.
 글로벌 사이버보안 기업 트렌드마이크로의 4월 보고서에 따르면 이런 공격을 쓰는 집단으론 중국 정부를 배후로 둔 '레드 멘션'이 꼽힌다. 트렌드마이크로는 레드 멘션이 지난해 7월·12월 두 차례에 걸쳐 한국의 한 통신사를 침투했다고 공개했다.
 이 밖에도 레드 멘션은 지난해 홍콩·미얀마·말레이시아·이집트 등지에서 통신·금융·리테일 인프라를 중점적으로 공격했다. SKT 사례처럼 대부분 리눅스 기반 서버가 피해를 보았다.
 다만 레드 멘션이 SKT를 공격했다고 확정 짓긴 어렵다. BPF도어 악성코드는 오픈소스화돼서 어떤 집단이든 이용할 수 있다.
 SKT 사태가 최근 중국·북한 등이 전개하는 사이버 전쟁의 일환일 수 있다는 보안업계 분석도 있다. 
 공격자가 3년간 별다른 금전 요구를 하지 않은 점을 보아 정치적 목적일 수 있단 것이다. 이와 반대로 2023년 LG유플러스 개인정보 유출 사고에선 해커가 다크웹에 정보 판매 글을 올렸다.
 한편 민관 추가 조사에서 BPF도어 이외 새로 발견된 악성코드는 웹셸 1종이다. 악의적인 웹셸이 서버에 업로드되면 공격자는 이후 파일 탐색이나 시스템 쉘 명령 등을 수행할 수 있다.
 민관 조사단 측은 "웹셸 설치는 최초 감염 시점을 알려주는 중요한 요소"라고 말했다.
 legomaster@news1.kr
 &lt;용어설명&gt;
 ■ 패킷 네트워크를 통해 전송되는 형식화된 데이터 덩어리. 쉽게 말해 데이터 전송 단위다.
 </section> 
 </div> 
 Copyright © 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기