[SKT 해킹 사고] BPFDoor 에 대해 알아보자

BPFDoor란 무엇인가?

BPFDoor는 최근 SK텔레콤 해킹 사고에서 언급된 리눅스 기반의 고급 백도어 악성코드입니다. 이 악성코드는 일반적인 취약점(CVE) 자체가 아니라, 리눅스의 네트워크 기능인 BPF(Berkeley Packet Filter)를 악용해 만들어졌습니다. BPFDoor는 2021년 PWC 위협 보고서를 통해 처음 공개됐으며, 주로 중국 해커 그룹(예: Red Menshen)이 중동과 아시아를 대상으로 한 사이버 공격에 수년간 사용해온 것으로 알려져 있습니다.

주요 특징

• 무포트(Portless) 백도어
  BPFDoor는 감염된 서버에서 별도의 포트를 열지 않고도 공격자의 명령을 수신할 수 있습니다. 이는 서버가 평소와 다르게 열린 포트가 없어 탐지하기 어렵다는 의미입니다.
• BPF(Berkeley Packet Filter) 악용
  BPF는 네트워크 패킷을 필터링할 수 있는 리눅스 커널의 기능입니다. BPFDoor는 이 기능을 이용해, 공격자가 보낸 특정 '매직 패킷'만을 감지해 명령을 실행합니다.
• 탐지 회피
  서버 방화벽이나 네트워크 보안 시스템을 우회할 수 있어, 장기간 은밀하게 시스템에 머무르며 정보 유출이나 추가 공격에 활용됩니다.
• 리버스 쉘/바인드 쉘 지원
  공격자는 매직 패킷에 포함된 비밀번호에 따라 감염된 서버에서 리버스 쉘(공격자에게 접속) 또는 바인드 쉘(서버에서 포트 오픈) 등 다양한 명령을 실행할 수 있습니다.

동작 방식

1. 감염 및 설치
   공격자는 서버의 원격 코드 실행(RCE) 취약점 등을 이용해 BPFDoor를 설치합니다. 대표적으로 sudo, Confluence, F5 BIG-IP, VMware 등 다양한 취약점이 악용될 수 있습니다.
2. BPF 필터 등록
   BPFDoor는 BPF 필터를 등록해 네트워크로 들어오는 패킷 중 특정 '매직 패킷'만을 감지합니다. 이 패킷이 감지되면, 공격자의 명령에 따라 다양한 악성 행위를 수행합니다.
3. 은폐 및 지속성
   BPFDoor는 자신을 /dev/shm 등 임시 디렉터리에 복제하고, 파일의 타임스탬프를 과거로 위조하는 등 흔적을 숨깁니다.

SKT 해킹 사고와의 연관성

이번 SKT 해킹 사고에서도 BPFDoor가 사용된 것으로 보이며, 서버에 리눅스용 BPFDoor 악성코드가 심겨 유심(USIM) 정보가 유출된 것으로 추정됩니다. BPFDoor는 공격자가 서버에 은밀하게 접근해 명령을 실행하거나 데이터를 유출하는 데 사용될 수 있습니다.

BPFDoor는 리눅스 BPF 기능을 악용해 포트를 열지 않고도 원격 명령을 수신하는 고급 백도어 악성코드로, 탐지가 어렵고 방화벽을 우회할 수 있는 것이 특징입니다.

요약

• BPFDoor는 리눅스 BPF 기능을 활용한 고급 백도어 악성코드
• 별도 포트 없이 매직 패킷만으로 명령 수신 → 탐지/차단 어려움
• 서버 취약점(RCE 등) 악용해 설치, 장기간 은폐 가능
• 최근 SKT 해킹 사고에서 사용된 것으로 알려짐

BPFDoor는 서버 보안의 취약점을 노린 최신 공격 트렌드의 대표적인 예시로, 서버 운영자는 최신 보안 패치와 탐지 시스템 점검이 필요합니다.