[뭔일easy] 보이지 않는 문, 'BPF도어'

산업계에서 갑자기 튀어나온, 혹은 필연적으로 등장한 이슈의 전후사정을 살펴봅니다. 특정 산업 분야의 직‧간접적 이해관계자나 소액주주, 혹은 산업에 관심이 많은 일반 독자들을 위해 데일리안 ICT융합부 기자들이 대신 공부해 쉽게 풀어드립니다.

AI 이미지

집에는 많은 문이 있지만, 외부에서 열리는 문은 정해져 있습니다. 그런데 누군가, 내가 모르는 문을 몰래 만들어 놓았다면 어떨까요?

최근 SK텔레콤(SKT) 해킹 사건에서 'BPF도어'라는 이름이 등장해 화제가 되고 있습니다. BPF라는 이름의 풀이부터 해보겠습니다. '버클리 패킷 필터(Berkeley Packet Filter)'의 약자로, 컴퓨터가 오가는 인터넷 신호 중에서 특정 조건에 맞는 것만 골라내는 기술입니다. 인터넷 검색에서 수많은 결과 중 내가 원하는 조건에 맞는 결과만 보여주는 것처럼, BPF도 네트워크 신호를 조건에 따라 걸러냅니다.

이 기술은 미국 UC 버클리에서 개발됐고, 주로 리눅스라는 운영체제에서 네트워크를 감시하거나 분석할 때 사용됩니다. 리눅스는 우리가 자주 쓰는 윈도우나 맥OS처럼 컴퓨터와 서버를 움직이게 해주는 기반 시스템입니다. 스마트폰, 공공기관 서버 등 보이지 않는 곳에 널리 쓰이지요.

원래는 관리와 보안 등 바람직한 목적으로 쓰이던 BPF 기술을 해커가 역이용한 것이 바로 BPF도어입니다. 주인이 쓰면 관리 도구지만, 타인이 악용하면 범죄 도구가 되는 셈이죠. 해커가 서버에 몰래 침입해 BPF도어를 심습니다. 비밀번호를 뚫고 들어오는 일반적인 해킹과 달리 BPF도어는 아예 해커만 쓸 수 있는 새로운 문을 만들어 놓는 방식입니다. 몰래 설치하기에 백도어, 즉 '숨겨진 문'입니다.

SK텔레콤 해킹 사건에서 또 하나 주목받은 단어가 있지요. 바로 '웹셸(WebShell)'입니다. 주로 웹 서버의 보안 취약점을 노려 설치됩니다. 예를 들어 보안 패치가 적용되지 않은 오래된 소프트웨어나 잘못된 설정으로 외부에서 접근 가능한 관리 기능 등이 주요 표적이 됩니다.

웹셸은 정상 파일로 위장하거나 시스템의 잘 눈에 띄지 않는 위치에 숨겨져 있어 정기 점검 시 놓칠 수 있지만, 파일 검사나 전문 탐지 솔루션을 이용할 경우 발견할 수 있습니다. SK텔레콤은 웹셸이 약 3년 동안 탐지되지 않았던 점을 두고 내부 보안 관리 허점을 인정했습니다.

4월 28일 서울 송파동의 한 SK텔레콤 직영점에서 유심을 교체하려는 고객들이 길게 줄지어 서있다.ⓒ데일리안 이주은 기자

해커, 웹셸 이용해 시스템 접근한 뒤 BPF도어 설치해 정보 탈취

해커는 먼저 웹셸을 이용해 시스템 내부에 접근합니다. 웹셸은 비교적 쉽게 설치할 수 있는 '비밀 조종장치'로, 해커가 서버 안에서 명령을 내리거나 환경을 탐색하는 데 쓰입니다. 이후 해커는 더 깊고 은밀한 통로인 BPF도어를 추가로 설치합니다.

BPF도어는 서버의 보안 환경과 권한을 충분히 파악한 뒤에야 심을 수 있는 '비밀 출입구'입니다. 외부에서는 거의 탐지되지 않은 채 숨어 있다가, 해커가 보내는 특정 신호(매직 패킷)에만 반응해 문을 열어줍니다. 실제로 SK텔레콤 사건에서도 웹셸과 BPF도어가 함께 발견됐습니다.

BPF도어는 설치 후 흔적을 남기지 않기 위해 파일을 삭제하고 메모리에서만 동작합니다. 이런 방식은 전원을 껐다 켜면 흔적이 사라지기 때문에 기존 백신이나 보안 솔루션으로는 탐지가 힘듭니다.

해커는 BPF도어를 통해 서버에 명령을 내릴 때 여러 가지 통로를 이용하기도 합니다. 대표적으로 TCP, UDP, ICMP 신호 등이 있습니다. 이런 다양한 신호를 모두 활용할 수 있기에 방어하기가 상당히 까다롭습니다.

이처럼 BPF도어는 해커가 장기간 들키지 않고 서버를 조종하거나 정보를 탈취할 수 있게 해주며, 한 대의 서버가 뚫리면 내부 네트워크 전체로 위험이 확산될 수 있습니다. 최근에는 BPF도어가 더 교묘해져 흔적을 감추기 때문에 탐지와 대응이 더욱 어려워지고 있습니다.

PwC가 처음 명명…조직적 해킹 재발 방지 위한 보안 체계 수립해야

BPF도어는 2021년 PwC에 의해 처음 명명됐습니다. 중국과 연계된 해킹 조직 ‘레드 멘션(Red Menshen)’이 사용한 것으로 알려져 있습니다. 배후는 아직까지 밝혀지지 않았지만 이번 SK텔레코 해킹에서도 BPF도어가 쓰였다는 정황이 포착되면서, 단순 범죄를 넘어선 조직적 해킹이라는 우려가 커지고 있습니다.

특히 국내 1위 통신사인 SK텔레콤이 뚫렸다는 점에서 충격이 큽니다. SK텔레콤 가입자 2300만명과 알뜰폰 가입자 187만명 등 최대 2700만건의 유심 정보가 유출된 것으로 정부는 발표했습니다. 국내 이동통신 가입자의 절반에 해당하는 규모입니다.

단순히 전화번호만 유출된 것이 아니라, 기업 내부 망 구조나 보안 체계까지 해커에게 넘어갔을 가능성이 제기됩니다. 해커의 침투 목적이 단순 금융 탈취를 넘어선 조직적 정보 수집 혹은 장기적 거점 확보였을 것이라는 분석입니다.

그렇다면 우리는 무엇을 해야 할까요? 단일 기업의 대응 역량에 맡길 일이 아닙니다. 이미 뚫린 기업의 죄가 없다고 할수는 없지만 기업을 신나게 두들겨 팬다고 다시는 이런 일이 발생하지 않는다고 누구도 보장 못합니다.

기업과 정부, 수사기관은 서버를 전수 조사하고, 로그를 정밀하게 분석해야 합니다. 나아가 정부는 민간 뿐 아니라 공공기관 전체 백도어 탐지 시스템과 경보 체계도 강화해야 합니다. 일반 이용자 역시 유심 교체나 재설정, 이심(eSIM) 교체 등 보안 조치를 취하고 의심스러운 문자나 앱은 클릭하지 않는 등 보안 습관을 지키는 것이 중요합니다.

SKT 민관합동조사단은 이번 공격이 단순 정보탈취가 아닌 장기적 해킹 거점 확보를 위한 목적일 가능성도 열어두고 있으며, 북한 등 국가 차원의 조직적 공격 여부도 수사기관과 협의 중이라고 했습니다. SK텔레콤 역시 국가 단위의 지능형 지속 위협(APT) 공격이 고도화되는 상황에서 통신 3사가 공동 대응 논의를 본격화할 경우 참여하겠다고 밝힌 상황입니다.

이처럼 보이지 않는 이 문이 다시는 열리지 않도록, 기술과 보안 체계를 다시 수립하고 초국가적인 투자와 긴밀한 대응이 필요합니다. '소 잃고 외양간 고친다'를 다시 반복하지 않으려면 보안 강국 대한민국 백년대계를 하루라도 빨리 수립해야겠습니다.