SK 해킹, 기존과는 차별화된 공격(진화된 백도어)

최근 사이버 공격 기법은 점차 진화하며 기존의 보안 체계를 우회하려는 경향을 보이고 있습니다. 이러한 흐름 속에서 발견된 'BPFdoor'는 그 작동 방식의 은밀성으로 인해 보안 전문가들의 경각심을 높이고 있습니다. 특히, 네트워크 방화벽이나 일반적인 탐지 기법으로는 쉽게 발견하기 어렵다는 점에서 기존의 백도어와 차별화됩니다.

 

 

BPFdoor는 단순한 악성코드를 넘어선 정교한 지속성 메커니즘과 통신 방식을 갖추고 있습니다. 이번 글에서는 BPFdoor의 기술적 특징과 작동 원리를 살펴보고, 기존 백도어와의 결정적인 차이점을 조명하며, 이에 대한 대응 및 예방 전략을 제시하고자 합니다.

 

1. BPFdoor란 무엇인가?

BPFdoor는 이름에서 알 수 있듯이 BPF(Berkeley Packet Filter) 기술을 악용한 백도어의 일종입니다. BPF는 본래 네트워크 트래픽을 효율적으로 필터링하기 위해 설계된 리눅스 커널 기능입니다. BPFdoor는 이 기능을 이용하여 시스템에 들어오고 나가는 네트워크 패킷을 모니터링하고, 특정 조건에 해당하는 패킷을 탐지했을 때만 활성화되는 방식으로 작동합니다. 공격자는 이를 통해 시스템에 은밀하게 침투하고 백도어를 유지하며 원격 제어 채널을 확보합니다.

 

BPFdoor의 작동 방식

BPFdoor의 가장 큰 특징이자 은밀성의 핵심은 '포트를 열지 않는다'는 점입니다. 일반적인 백도어는 C2(Command & Control) 서버와의 통신을 위해 특정 포트를 열고 연결을 기다립니다. 하지만 BPFdoor는 다음과 같은 단계를 거칩니다.

• BPF 필터 설치: 시스템 감염 후, BPFdoor는 네트워크 인터페이스에 특수하게 제작된 BPF 필터 프로그램을 설치합니다. 이 필터는 모든 네트워크 패킷을 검사하지만, 특정 '마법의 패킷(Magic Packet)' 패턴이나 조건을 가진 패킷만을 식별하도록 프로그래밍되어 있습니다.
• 패킷 모니터링: BPF 필터는 커널 수준에서 작동하며, 시스템으로 들어오는 모든 패킷을 방화벽(Netfilter)의 규칙이 적용되기 전 단계에서 모니터링합니다.
• 트리거 및 활성화: 공격자가 미리 정해둔 '마법의 패킷'을 시스템으로 전송하면, BPF 필터가 이 패킷을 감지합니다. 이 패킷은 정상적인 통신처럼 보일 수도 있지만, BPFdoor가 설치한 필터만이 식별할 수 있는 숨겨진 특징을 포함하고 있습니다.
• Raw 소켓 사용 및 제어: 마법의 패킷이 감지되면, BPFdoor 프로세스가 활성화되어 Raw 소켓(가공되지 않은 패킷 데이터를 직접 다루는 소켓)을 엽니다. Raw 소켓을 사용하면 네트워크 스택의 상위 계층(TCP/IP 등)이나 방화벽의 상태 추적(Stateful Firewall)을 우회하여 통신할 수 있습니다. 이를 통해 공격자는 원격 명령 수행, 파일 전송, 연결 중계 등 백도어 기능을 실행합니다.

2. 기존 백도어와 BPFdoor의 결정적인 차이점

이러한 작동 방식은 BPFdoor를 기존 백도어보다 훨씬 탐지하기 어렵게 만듭니다. 주요 차이점은 다음과 같습니다.

• 네트워크 포트 사용 여부
  • 기존 백도어: 특정 TCP/UDP 포트를 열고 청취(Listening) 상태를 유지합니다. netstat이나 ss와 같은 도구를 사용하면 시스템이 어떤 포트를 열고 듣고 있는지 확인할 수 있으며, 이는 백도어 탐지의 기본이 됩니다.
  • BPFdoor: 어떤 청취 포트도 열지 않습니다. BPF 필터는 포트를 열고 트래픽을 '받아들이는' 행위가 아니라, 지나가는 트래픽 중 특정 패턴을 '감지'만 합니다. 따라서 netstat으로 확인해도 의심스러운 청취 포트가 보이지 않아 존재 자체를 파악하기 매우 어렵습니다.
• 방화벽(Netfilter) 우회 능력
  • 기존 백도어: 방화벽 규칙에 의해 해당 포트가 차단되어 있으면 통신 시도가 실패하거나 기록에 남습니다. 방화벽 규칙을 우회하기 위해 알려진 포트를 사용하거나 방화벽 설정을 변경하려 할 수 있습니다.
  • BPFdoor: BPF 필터는 Netfilter(리눅스 방화벽의 기반) 처리 과정의 이전 단계에서 작동하거나, 트리거 후 Raw 소켓을 사용하여 방화벽 규칙이나 상태 추적을 상당 부분 우회할 수 있습니다. 이는 시스템 내부로의 접근 채널을 몰래 확보하는 데 매우 효과적입니다.
• 탐지 난이도
  • 기존 백도어: 의심스러운 프로세스, 열린 포트, 비정상적인 네트워크 연결(netstat, 방화벽 로그 등)을 통해 비교적 쉽게 탐지될 수 있습니다.
  • BPFdoor: 청취 포트가 없기 때문에 기존 포트 스캔이나 netstat 기반의 탐지 기법이 무력화됩니다. BPF 필터 자체를 탐지하거나, 매우 낮은 수준의 네트워크 트래픽을 심층적으로 분석하여 '마법의 패킷' 패턴을 찾아내거나, 또는 백도어 프로세스의 비정상적인 행동(예: Raw 소켓 사용)을 탐지해야만 합니다. 이는 훨씬 고도화된 탐지 기술과 분석 능력을 요구합니다.

이러한 차이점 덕분에 BPFdoor는 감염된 시스템에 장기간 은밀하게 머물며 공격자의 명령을 기다릴 수 있습니다. 트렌드 마이크로 보고서에 따르면, 이 백도어는 특정 국가 정부 기관이나 통신사 등을 대상으로 수년 동안 지속적으로 사용되어 온 정황이 포착되었습니다.

 

3. 대응 및 예방법

BPFdoor와 같은 최신 백도어는 기존의 보안 상식을 뛰어넘는 방식으로 작동하므로, 이에 대한 대응 및 예방 전략 역시 변화해야 합니다.

 

• 탐지 및 대응
  • BPF 프로그램 모니터링: 시스템에 비정상적으로 로드되거나 특정 네트워크 인터페이스에 부착된 BPF 프로그램을 모니터링해야 합니다. bpftool prog show 명령 등을 활용하여 시스템에 로드된 BPF 프로그램을 주기적으로 점검하고, 출처가 불분명하거나 의심스러운 프로그램은 즉시 분석하고 제거해야 합니다.
  • 네트워크 트래픽 심층 분석: 네트워크 트래픽을 단순히 포트 기반으로 필터링하는 것을 넘어, 패킷 내용을 깊이 분석(Deep Packet Inspection)하여 비정상적인 패턴이나 알려지지 않은 프로토콜 사용 시도를 탐지해야 합니다. BPFdoor 트리거 패킷과 같은 숨겨진 패턴을 찾기 위한 시그니처 기반 또는 행위 기반 탐지 규칙 개발이 필요할 수 있습니다.
  • 프로세스 및 시스템 호출 모니터링: BPFdoor 프로세스 자체나 트리거 후 활성화되는 악성 행위(예: Raw 소켓 생성/사용, 비정상적인 명령 실행)를 탐지하기 위해 EDR(Endpoint Detection and Response) 솔루션을 활용한 행위 기반 모니터링을 강화해야 합니다.
  • 파일 무결성 검사: 설치된 BPFdoor 파일 자체나 관련 설정 파일에 대한 무결성 검사를 수행하여 변조 시도를 탐지합니다.
• 예방
  • 시스템 및 커널 업데이트: BPFdoor가 알려진 BPF 취약점이나 커널의 특정 기능을 악용할 수 있으므로, 운영체제 및 커널을 항상 최신 상태로 유지하여 알려진 보안 취약점을 제거하는 것이 필수적입니다.
  • 최소 권한 원칙 적용: BPF 프로그램을 로드하거나 Raw 소켓을 사용하는 행위는 높은 권한을 요구하는 경우가 많습니다. 서비스 계정이나 일반 사용자의 권한을 최소화하여 악성코드가 이러한 기능을 쉽게 악용하지 못하도록 해야 합니다.
  • 네트워크 세그멘테이션 강화: 네트워크를 기능별, 중요도별로 세분화하여 만약 하나의 시스템이 감염되더라도 전체 네트워크로 확산되는 것을 제한하고, lateral movement(측면 이동) 경로를 차단해야 합니다.
  • 정교한 보안 솔루션 활용: 기존 방화벽과 함께 행위 기반 탐지 기능이 강화된 차세대 방화벽, EDR, NTA(Network Traffic Analysis) 솔루션을 도입하여 BPFdoor와 같은 은밀한 위협을 다층적으로 탐지하고 대응하는 체계를 구축해야 합니다.

BPFdoor는 공격자들이 탐지를 회피하기 위해 얼마나 정교하고 낮은 수준의 기술까지 활용하는지를 보여주는 사례입니다. 이러한 신종 위협에 효과적으로 대응하기 위해서는 시스템 내부 동작 방식에 대한 깊이 있는 이해를 바탕으로, 네트워크 및 엔드포인트 전반에 걸친 통합적이고 능동적인 보안 전략을 수립해야 합니다. 더 이상 '포트가 닫혀 있으니 안전하다'는 인식은 통용되지 않습니다.

이제 SK도 막지 못한 진화된 백도어 공격기법이 늘어 날 수 있는데요. 각 기관이나 중요정보를 다루는 회사에서는 빠른 대응이 필요해 보입니다. 

 

참고: https://www.trendmicro.com/ko_kr/research/25/d/bpfdoor-hidden-controller.html