SK텔레콤 유짐정보 해킹, BPFdoor 악성코드 사건 정리

 

🧱 배경

2025년 4월, 국내 통신사 중 하나인 SK텔레콤의 네트워크에서 BPFdoor라는 고급형 백도어 악성코드가 발견되었다. 해당 악성코드는 일반적인 보안 시스템을 우회하여 커널 레벨에서 직접 패킷을 가로채 외부 명령을 받아들이는 구조로 되어 있어, 업계에 적지 않은 충격을 주었다.

BPFdoor는 2021년 PwC Threat Intelligence에서 최초로 공개되었으며, 중국계 APT 그룹인 Red Menshen이 제작한 것으로 추정되지만, 오픈소스로 퍼져 있기 때문에 정확한 배후는 불분명하다.

---

🔍 BPFdoor란 무엇인가?

1️⃣ 기본 동작 원리

• BPF(Berkeley Packet Filter): 운영체제 커널에서 네트워크 패킷을 빠르게 필터링하기 위한 기술
• BPFdoor: BPF를 악용하여 커널에서 직접 패킷을 감지하고, 특정 신호가 오면 포트를 비밀리에 열고 명령을 수신하는 백도어
• 기존 소켓 통신을 사용하지 않기 때문에 netstat, ss 등으로 탐지되지 않음

2️⃣ 주요 특징 요약

항목 설명

커널 레벨 통신	사용자 영역(User Space)을 거치지 않고 커널에서 직접 통신 수행
소켓 미사용	소켓을 열지 않으므로 netstat 등으로 확인 불가
프로토콜 다양성	TCP, UDP, ICMP 모두 지원 (탐지 회피에 유리)
Reverse Shell	공격자가 접속하면 서버가 반대로 연결해주는 방식 지원
하드코딩 인증	고정된 인증 키로 공격자 식별, 무차별 대입 방지
은닉성 강화	프로세스 위장, 연결 기록 없음, 일반 모니터링 회피

---

⚙️ 작동 구조

전체 흐름 요약

1. 공격자가 서버에 BPFdoor 설치
2. 외부에서 매직 패킷 전송 (특정 패턴 포함)
3. 커널에서 감지 → 비밀 포트 오픈
4. 공격자가 연결 → 명령 실행 / 파일 다운로드 등 수행

시스템 수준 통신 흐름

• 커널 레벨에서 **NIC(Network Interface Card)**를 통해 직접 패킷 수신
• 사용자 영역으로 전달되지 않음
• 전통적인 보안 솔루션으로는 통신 흔적을 탐지하기 어려움

[공격자] 
  ↓ (매직 패킷)
[서버: BPFdoor 감지 → 포트 오픈]
  ↔ (Reverse Shell 연결)
    ↳ 명령어 실행 / 파일 전송 / 추가 악성코드 설치

---

✅ 대응 전략

문제점 요약

• 커널 기반 통신으로 netstat, IDS 등으로 탐지 불가
• 정규 포트를 사용하지 않기 때문에 세션 추적 무력화
• 정상적인 패턴처럼 보이는 트래픽이라 시그니처 탐지 한계

대응 방안

전략 설명

포트 미러링 & DPI	네트워크 스위치에서 트래픽을 복제하고, Deep Packet Inspection으로 정밀 분석
트래픽 이상 탐지	전송 주기, 패킷 크기, 목적지 분석 기반 이상 징후 탐지 강화
커널 무결성 검사	커널 후킹이나 BPF 필터 변조를 탐지하는 무결성 검사 도구 도입
다계층 보안	사용자/커널/네트워크 각각 독립적으로 감시하는 구조 확보
머신러닝 기반 이상 탐지	트래픽, 사용자 행동 등 평소와 다른 패턴 감지용 이상 탐지 시스템 구축

---

✍️ 학습 정리

• BPFdoor는 커널에서 직접 통신을 제어하기 때문에, 기존 보안 체계를 전혀 통하지 않고도 작동할 수 있다는 점에서 매우 위협적이다.
• netstat, IDS, 방화벽 모두 우회 가능하며, 단일 계층 방어로는 탐지/차단이 사실상 불가능하다.
• APT 공격의 특성상, 이처럼 침투 후 장기적으로 내부에 잠복하는 전략이 자주 사용되며, 보안 체계는 지속적인 탐지와 다계층 방어를 고려해야 한다.
• 결국 커널 수준의 이상 행위 탐지, 트래픽 분석, 머신러닝 기반 이상 탐지까지 포함한 종합적인 보안 설계가 중요하다는 것을 다시 한 번 느꼈다.

---

📚 참고 자료

• Trend Micro Research
• PwC Threat Intelligence Report
• AhnLab ASEC Report
• MITRE ATT&CK Framework
• Elastic Security Labs