SK텔레콤의 가입자 인증 서버를 노린 해킹 사건과 관련해, 중국계로 추정되는 해커조직이 배후에 있을 가능성이 제기됐다. 공격에 사용된 악성코드 ‘BPFDoor’는 탐지 회피에 특화된 리눅스 기반의 백도어로, 국내외 보안업계는 이 악성코드가 한국 통신 인프라를 겨냥한 정밀 사이버 작전에 동원됐을 수 있다고 보고 있다.
2일 보안업계에 따르면, SK텔레콤 해킹을 조사한 민관합동조사단은 가입자 인증 서버(HSS)를 침해한 악성코드가 ‘BPFDoor’ 계열 4종으로 확인됐다고 밝혔다. 이 악성코드는 시스템 내에서 평소에는 숨어 있다가 외부에서 특정 신호(일명 ‘매직 패킷’)를 수신했을 때만 작동하는 구조로, 흔히 사용하는 해시 기반 탐지 기법이나 패턴 매칭 방식으로는 탐지가 어려운 것이 특징이다.
글로벌 보안기업 트렌드마이크로는 최근 공개한 보고서에서, 중국 국적의 APT(지능형 지속 위협) 그룹 ‘레드멘션(Red Menshen)’과 ‘어스블루크로(Earth Bluecrow)’가 지난해 7월과 12월 사이, 한국의 통신망을 타깃으로 BPFDoor를 활용한 공격을 벌였을 가능성을 언급했다. 트렌드마이크로는 이들 조직이 국가 차원의 지원을 받는 해킹 그룹이며, BPFDoor는 사이버 첩보 활동을 위해 설계된 백도어 악성코드라고 분석했다.
보고서에 따르면, BPFDoor는 2021년 처음 존재가 드러났으며, 네트워크 상의 패킷을 비정상적으로 조작해 시스템 제어 권한을 탈취하는 기능을 갖고 있다. 트렌드마이크로는 어스블루크로 조직이 사용하는 독자적인 제어 파일(controller)을 확보해 분석 중이며, 이 파일은 기존의 공개된 BPFDoor와는 다른 형태를 띠고 있는 것으로 전해졌다.
국내 보안업체 지니언스도 최근 별도의 기술 보고서를 통해 BPFDoor가 오픈소스 형태로 개발돼 수많은 변종이 존재하며, 전통적인 백신이나 보안 시스템으로는 탐지가 사실상 어렵다고 경고했다. 지니언스는 수동 명령어를 이용해 네트워크 소켓 정보를 직접 조회하거나, EDR(엔드포인트 탐지·대응) 솔루션을 통해 비정상적인 행위를 탐지하는 방식이 현실적인 대응책이라고 설명했다.