SK텔레콤 해킹에 사용된 BPF도어란?

지난달 SK텔레콤 해킹 사건 이후, 보안 업계에서는 리눅스 기반의 고도화된 백도어 악성코드 ‘BPF도어(BPFDoor)’에 대한 경고음을 울리고 있습니다. BPF도어는 이미 보안 전문가들 사이에서 널리 알려진 위협이지만, 최근 변종이 생기고 전파력이 강해지면서 일반 사용자들의 불안도 커지고 있는 상황입니다.

📌 BPF도어란?

‘BPF도어’는 Berkeley Packet Filter(BPF) 기술을 악용한 백도어 악성코드를 말합니다. 
원래 BPF는 시스템 관리자가 네트워크 트래픽을 실시간으로 감시하고 분석하기 위한 패킷 필터링 기술로, 쉽게 말하면 네트워크를 감시하는 CCTV 역할을 합니다. BPF(Berkeley Packet Filter) 리눅스 운영체제 커널 내에서 네트워크 패킷을 효율적으로 필터링하기 위해 고안된 기술으로 1992년 Lawrence Berkeley National Laboratory의 Steven McCanne과 Van Jacobson에 의해 개발되었습니다.

초기의 Classic BPF (cBPF)는 주로 패킷 필터링에 국한되었습니다. 하지만 Extended BPF (eBPF)는 네트워킹뿐만 아니라 트레이싱, 보안, 모니터링 등 커널 수준에서 다양한 작업을 수행할 수 있는 강력한 기술이 되었습니다.

하지만 해커들은 이 기술을 역으로 이용해, 시스템이 특정 신호(일명 매직 바이트)를 감지하면 몰래 문이 열리도록 조작했습니다.
즉, 외부에서 정해진 신호만 보내면 백도어가 자동으로 열리고, 기존 보안 시스템은 이를 탐지하지 못한 채 넘어가는 일이 벌어지는 것입니다.

🔒 기존 보안 솔루션으로는 탐지 어려워

BPF도어는 워낙 정교하게 만들어졌기 때문에 일반적인 보안 솔루션으로는 탐지하기 어렵습니다.
실제로 트래픽을 분석해도 BPF도어는 자신을 숨기고, 마치 정상적인 데이터 흐름처럼 위장합니다. 이 때문에 해커는 시스템 관리자 몰래 내부에 침투할 수 있는 길을 열어두는 셈입니다.

🧠 진화하는 악성코드…‘컨트롤러’ 기능까지 탑재
최근 BPF도어에는 ‘컨트롤러’라는 기능이 추가되면서 위험성이 더욱 커졌습니다. 컨트롤러는 일종의 원격 조종 장치로, 해커는 비밀번호만 입력하면 감염된 컴퓨터를 원격에서 조종하거나 명령을 내릴 수 있습니다.
또한, 감염된 한 대의 컴퓨터를 발판 삼아 다른 컴퓨터들까지 전파하는 ‘수평 확산’도 가능해집니다.
즉, 기업 전체 네트워크가 한 번에 감염될 수 있다는 것입니다.

 

🕵️‍♂️ 배후는 중국계 APT 그룹?

보안 전문가들은 이번 공격의 배후로 중국계 APT(지능형 지속 위협) 그룹을 지목하고 있습니다.
다만, BPF도어의 소스코드가 2022년에 유출된 바 있기 때문에, 다른 해커 그룹이 이 코드를 활용했을 가능성도 존재합니다.

해외 보안 매체들은 이미 2024년 기준으로 한국, 홍콩, 미얀마, 말레이시아, 이집트 등지의 통신·금융·소매 산업을 대상으로 한 공격에 BPF도어가 사용된 정황을 밝힌 바 있습니다.
특히 리눅스 기반 서버를 많이 사용하는 통신사와 공공기관이 주요 타깃이 되고 있습니다.

리눅스는 안정성이 높고, 비용 효율성이 뛰어나며, 유닉스 기반 시스템과도 호환성이 뛰어나 국내 통신사와 기관에서 많이 사용됩니다.
하지만 이처럼 널리 사용되는 만큼, 해커들의 표적이 되기 쉬운 환경이기도 합니다.

특히 대만 사이버보안 기업 팀T5는 최근 중국과 연계된 지능형 지속 공격(APT) 그룹이 미국 보안 기업 이반티의 ‘커넥트 시큐어 VPN’ 솔루션 취약점을 악용한 공격을 세계적으로 벌여 온 사실을 포착했다고 밝혔습니다.

 

 APT는 Advanced Persistent Threat의 약어이다.

한국을 포함해 미국, 영국, 일본, 호주 등 12개 선진국의 통신, 자동차, 화학 등 20여 산업 분야가 피해를 입었다고 하는데요. 이 보고서가 공개된 날은 14일로, SKT 해킹 사실이 알려지기 몇일 전입니다.

공격자는 이반티 VPN에 있는 2종의 스택 버퍼 오버플로우 취약점 ‘CVE-2025-0282’과 ‘CVE-2025-22457’을 이용해 시스템에 최초 접근한 것으로 팀T5는 분석습니다. 이 취약점을 이용하면 스택 버퍼 오버플로우를 악용해 원격 코드를 실행할 수 있는데, 공통취약점등급시스템(CVSS)에서 위험도가 10점 만점에 9점으로 평가됩니다.

스택 버퍼 오버플로우는 프로그램이 할당된 버퍼 영역을 넘어 더 많은 데이터를 쓸 때 발생하는 에러로, 이를 이용해 해커가 악성 코드를 실행할 수 있는 문제가 있습니다.

공격자는 중국 해커그룹들이 사용하는 ‘스폰키메라’(SPAWNCHIMERA) 도구를 활용했는데요. 악성코드 설치와 통신, 백도어, 활동 로그 삭제 등의 기능을 고루 갖춰 피해 기관이 탐지하기 쉽지 않다는 평가입니다.