본문 바로가기
보안/용어

‘BPF도어’…보안 기술이 악성코드로 돌아오다

by Blacksawsage 2025. 5. 22.

최근 SKT 가입자 인증 서버가 해킹당한 사건이 보도되며, 기업의 사이버 보안에 대한 경각심이 다시 높아지고 있습니다. 이번 사건의 핵심 키워드는 다소 생소한 BPF도어라는 악성코드입니다.

BPF는 무엇일까요?

 

우선, BPF는 Berkeley Packet Filter의 약자로, 원래는 네트워크 안에서 필요한 데이터만 뽑아내는 기술입니다. 예를 들어, 수도꼭지에서 나오는 물줄기에서 원하는 물방울만 골라내는 필터라고 생각하시면 됩니다.

 

이 기술은 특히 리눅스 운영체제 내부, 즉 ‘커널’이라는 시스템의 핵심에서 빠르게 작동할 수 있어 보안 솔루션, 네트워크 분석, 시스템 최적화 등 여러 분야에 널리 활용되고 있습니다.

문제는, 이 유용한 기술이 해커의 손에 들어갔을 때입니다

BPF 도어는 이런 BPF 기술을 활용해 만든 백도어 악성코드입니다. 쉽게 말하면, 누군가 몰래 집 안에 작은 문 하나를 만들어놓고 수시로 드나들 수 있는 것과 같습니다. 해커들은 이 백도어를 이용해 시스템 안에서 몰래 명령을 주고받고, 파일을 훔치거나, 시스템을 조작할 수 있습니다. BPF 도어는 정상적인 프로그램처럼 행동하며, 보안 솔루션의 눈을 피해 움직입니다.

 

이 악성코드는 △프로세스 이름 위장 △네트워크 트래픽 위장 △역방향 셸(Reverse Shell)을 생성해 외부와 통신하는 등 다양한 방식으로 흔적을 숨깁니다.

 

무엇보다도 커널 안에서 작동하기 때문에, 시스템이 느껴지지 않을 정도로 은밀하게 움직일 수 있습니다.

 

왜 지금 BPF 도어가 문제일까요?

최근 공격에 사용된 BPF 도어는 오픈소스화되어 여러 해커가 쉽게 변형할 수 있는 상태입니다. 특히 ‘레드멘션(Red Menshen)’이라는 중국 해커조직이 BPF 도어를 활용해 아시아, 중동, 아프리카의 통신·금융 기업 등을 공격한 정황도 있었습니다.

 

즉, 이제 누구나 BPF 도어를 변형해 새로운 공격을 시도할 수 있는 위험한 상황입니다. 이로 인해 국내 기업들은 행위 기반 탐지보안 로그 모니터링을 강화해야 하는 상황에 직면했습니다. 기술적으로는 BPF가 윈도우에도 적용되려는 움직임이 있어, 리눅스뿐 아니라 다양한 시스템에 대한 대비가 필요한 시점입니다.

 

어떻게 BPF 도어에 감염될 수 있을까요?

BPF 도어는 일반적인 악성코드와는 다른 방식으로 시스템에 침투합니다. 주로 다음과 같은 경로를 통해 감염됩니다.

  • 취약한 서버의 악용: 해커들은 보안 패치가 적용되지 않은 서버의 취약점을 이용하여 BPF 도어를 설치합니다. 이러한 서버는 종종 방화벽이나 보안 솔루션의 감시를 받지 않아 공격에 취약합니다.
  • 사회공학 기법: 피싱 이메일이나 악성 링크를 통해 사용자가 악성 파일을 다운로드하거나 실행하도록 유도합니다. 이를 통해 BPF 도어가 시스템에 설치될 수 있습니다.
  • 내부 네트워크의 확산: 한 번 감염된 시스템을 통해 동일한 네트워크 내의 다른 시스템으로 확산됩니다. 이를 통해 기업 전체의 네트워크가 위험에 처할 수 있습니다.
  • 공개된 소스 코드의 악용: BPF 도어의 소스 코드가 공개되면서, 다양한 변종이 만들어지고 있습니다. 이로 인해 새로운 감염 경로가 지속적으로 등장하고 있습니다.

 

블랙쏘세지는 링크를 대신 열어드립니다

문자나 메신저로 수상한 링크가 도착했을 때, 무심코 누르게 되면 그 안에는 BPF 도어처럼 은밀하게 작동하는 악성코드가 숨어 있을 수도 있습니다. 블랙쏘세지는 링크를 직접 여는 것이 아니라, 원격의 안전한 브라우저에서 대신 열어 보여주는 앱입니다. 쉽게 말하면, 낯선 음식이 있을 때 먼저 로봇이 대신 먹어보고 괜찮은지 확인해 주는 것과 같은 개념입니다.

 

이렇게 하면 어떤 링크든 직접 클릭하는 대신, 위험을 최소화한 환경에서 내용을 확인할 수 있습니다. 특히 BPF 도어처럼 눈에 띄지 않는 악성코드는 직접 링크를 열 경우 쉽게 침투할 수 있지만, 원격 브라우저 격리 기술을 사용하면 이 악성코드는 아예 내 기기와 접촉조차 할 수 없습니다.

 

저작자표시 비영리 변경금지 (새창열림)

'보안 > 용어' 카테고리의 다른 글

내부에서 연결을 건다 — Reverse Shell  (0) 2025.05.23
해커를 유인하는 꿀단지, 허니팟(Honeypot)이란?  (0) 2025.05.15
SK텔레콤, 유출된 유심(USIM) 안전할까요? – 'SIM 스와핑'의 진짜 무서운 이야기  (2) 2025.04.25
비트코인 주소 포이즈닝 공격을 들어보셨나요?  (0) 2025.04.24
AI가 해킹을 돕는 시대: 잔소록스AI의 등장  (0) 2025.04.17

관련글

티스토리툴바