[컴퓨터월드] SK텔레콤(SKT) 해킹 사건을 조사하는 과정에 발견된 ‘BPF도어(BPFDoor)’는 세간의 화제를 모았다. 리눅스(Linux) 운영체제(OS)의 커널(Kernel)에 탑재된 버클리 패킷 필터(Berkeley Packet Filter; BPF)를 악용, 기존 보안 솔루션을 무력화하고 시스템을 은밀히 장악하는 지능적 수법이 적용됐기 때문이다. 기업들은 혹시나 BPF도어에 감염됐을까 우려하고 있다.

BPF도어 공격을 두고 국내 기업의 서버 보안 실태를 꼬집는 목소리도 나왔다. 서비스 안정성에 민감한 나머지 안티바이러스를 비롯한 솔루션 마련에 미진했다는 지적이다. 이러한 우려 속에서 국내외 보안업체들은 BPF도어를 위시한 지능적 위협에 대응하는 방안을 제시하고 나섰다. BPF도어가 만들어진 기술적 원리와 함께, 이처럼 고도화된 사이버공격을 막기 위한 해결책은 무엇인지 살펴봤다.

네트워크 문제 해결에 혁신 가져온 ‘BPF’

BPF는 네트워크 패킷을 효과적으로 필터링하기 위해 고안된 기술이다. 이를 통해 개발자들은 OS의 심장부인 커널에서 패킷을 확인함으로써 네트워크 문제 원인을 빠르게 찾아낼 수 있었다.

1992년경 미국 로렌스 버클리 국립연구소 소속 연구원인 스티븐 맥캔(Steven McCanne)과 밴 제이콥슨(Van Jacobson)이 BPF를 개발했다. 당시 유닉스(Unix) 계열 OS에서도 패킷 필터링 기술을 제공했으나 대부분 성능에 결함이 있었다. 가령 썬OS(SunOS)에서 지원하는 NIT는 필터링 전에 패킷을 일일이 복사해야만 했다. BPF는 패킷이 네트워크에 들어오자마자 필터링하는 등 구조를 변경해 효율성을 높였다.

BPF는 이후 리눅스 OS 커널에 탑재됐다. 개발자들은 이를 네트워크 분석 및 진단 도구의 성능을 높이는 데 활용했다. 특히 BPF는 OSI 7계층 가운데 2계층(데이터 링크)에서 로 소켓(Raw Socket)을 통해 데이터에 접근함으로써 불필요한 작업을 줄여 보다 정교한 모니터링을 가능케 했다. OSI 7계층은 네트워크에서 통신이 일어나는 과정을 일곱 단계로 나눈 개념적 프레임워크다.

리눅스 생태계에서 중요한 위치를 차지하던 BPF는 2014년 커널 내 다른 기능과도 연결되도록 업데이트된 ‘eBPF(extended BPF)’로 발전했다. eBPF는 갈수록 복잡해지는 컴퓨팅 환경에서 네트워크, 보안, 성능 분석 등 폭넓은 역할을 맡는 기능으로 자리했다. 기존에는 네트워크라는 특정 영역만 확인했다면, eBPF는 컴퓨터의 여러 영역을 살펴볼 수 있게 된 것이다. 이때부터 패킷 필터링에 중점을 맞춘 초기 기술은 eBPF와 구분하기 위해 ‘cBPF(classic BPF)’라고 일컬었다.

BPF도어, 지능적 수법으로 솔루션 탐지 회피

BPF도어는 BPF, 그중 초기 버전인 cBPF를 악용한 백도어(Backdoor) 악성코드다. 공격자는 BPF도어로 ‘매직 패킷(Magic Packet)’이라 불리는 조작된 패킷을 수신할 수 있도록 필터링 규칙을 조작한다. 악성코드는 BPF에 은닉하다가 공격자가 보내는 매직 패킷에 담긴 명령을 받은 뒤, 서버를 원격으로 제어할 수 있는 리버스 셸(Reverse Shell)을 열어둔다. 공격자는 이를 통해 본격적으로 악성 활동을 벌일 수 있다.

BPF도어는 은닉성이 높아 탐지가 어렵다. 보통 백도어는 공격자로부터 후속 명령을 전달받기 위해 명령제어(C&C) 서버에 접속하거나 리스닝 포트(Listening Port)를 열어둔 채 대기한다. 이를 역이용해 네트워크 연결 상태 등을 보여주는 [netstat] 명령어로 수상한 포트를 찾고 백도어를 잡는 일이 가능하다. 반면, BPF도어는 정상 프로세스로 위장하는 데다 매직 패킷이 떨어지기 전까지는 움직이지 않기에 감지하기 힘들다.

특히 방화벽, 침입 방지 시스템(IPS) 같은 보안 솔루션마저도 회피한다. 방화벽, IPS 등은 주로 IP 주소(네트워크 계층, Layer 3)와 포트 번호(전송 계층, Layer 4) 기반으로 트래픽을 검사한다. 하지만 BPF는 커널에서 RAW 소켓을 통해 전달되는 패킷을 네트워크·전송 계층보다 앞단인 데이터 링크 계층(Layer 2)에서 필터링한다.

BPF도어는 이를 악용해 매직 패킷을 수신 대기 중인 악성코드로 전달해 탐지를 우회한다. 따라서 방화벽이 이상 트래픽을 먼저 차단한다 해도 백도어를 작동시키는 매직 패킷은 내부로 흘러 들어가 버리는 셈이다.

정교한 공격 위해 시스템 장악 선행 필요

민관합동조사단 1차 조사 결과 발표 후 BPF도어는 화제를 모았다. 국내 이동통신 업계 1위인 SKT를 상대로 일어난 해킹 사건에서 그 원인으로 일찍이 주목받았기 때문이다. KISA에서는 사건 후 며칠 지나지 않아 피해 확산을 막고자 BPF도어 관련 침해 지표(IoC)를 공유했다. 이후 1차 조사 결과에서 가장 먼저 확인된 악성코드 4종도 BPF도어 계열이었다.

전문가들은 BPF도어가 이번 사건을 일으킨 근본 원인은 아닐 것으로 추정했다. BPF도어를 설치하기 위해선 먼저 시스템에 침투해 완전히 장악하는 과정이 필요하다. 해당 악성코드가 설치된 BPF는 OS의 핵심 영역인 커널에서 작동한다. 커널은 시스템 자원을 관리하고 모든 하드웨어 및 소프트웨어와 상호작용하는 만큼, 이에 접근하려면 관리자(root) 권한이 요구된다.

공격자는 BPF도어를 설치하기 위해서 시스템에 들어가 내부를 장악해야 한다. 실제로 민관합동조사단은 2차 조사를 통해 웹셸(Web Shell) 1종을 추가 발견했고, 2022년 6월 15일 악성코드가 설치된 사실도 확인했다. 웹셸은 원격으로 서버를 조작하는 프로그램으로, 주로 웹 서버의 보안 취약점 등을 노려 설치된다. 여러 정황을 고려할 때 공격자는 시간을 두고 SKT 서버를 천천히 공략해 나갔을 가능성이 높다. 다만 정확히 어떤 경로로 일차적인 공격이 이뤄졌는지는 아직 알려진 바가 없다.

SKT 이전부터 잇따른 전 세계 피해 보고

BPF도어는 SKT 해킹 사건 이전부터 아시아, 중동 지역을 대상으로 한 공격에서 몇 차례 발견됐다. 트렌드마이크로는 지난 4월 발간한 보고서를 통해 지난해 7월과 12월 국내 통신사에 BPF도어 공격이 있었다고 공개했다. 이 밖에 홍콩, 말레이시아, 미얀마, 이집트도 통신, 금융, 소매 분야에서 BPF도어로 인한 피해가 일어났다. 트렌드마이크로는 2023년에도 BPF도어의 작동 방식과 위험성을 알리는 보고서를 발표했다.

PwC에서도 지난 2021년 연간 보고서를 통해 중국 기반 지능형 지속 위협(APT) 그룹 ‘레드 멘션(Red Menshen)’이 아시아, 중동 지역을 대상으로 BPF도어 공격을 시도한 사실을 알렸다. 특히 레드 멘션은 통신 서비스 제공업체들 표적으로 삼고 BPF도어를 배포했다.

안랩에서는 2024년 10월 자사 위협 인텔리전스 전문 조직인 ASEC(AhnLab SEcurity intelligene Center)가 운영하는 블로그를 통해 안랩 EDR를 이용한 BPF도어 탐지 방법을 공유했다. 또한 탐지 정보를 바탕으로 대응 시나리오를 정립하고, 시그니처와 위협 인텔리전스를 자사 솔루션에 반영해 대응 체계를 준비했다.

카스퍼스키 측은 2020년경부터 ‘NIDUPICK’이라는 내부 코드명으로 BPF도어를 탐지, 분석 및 추적했다. 지난 5월에는 SSL 암호화 채널을 통한 명령어 통신, 신규 매직 패킷 포맷 등 기능이 고도화된 새로운 변종을 포착했다. 이 같은 변화로 해당 변종을 기존 탐지 시스템으로는 식별할 수 없다고 카스퍼스키 측은 설명했다.

원인으로 꼽힌 부실한 서버 보안

글로벌 위협 인텔리전스로 BPF도어와 관련된 단서는 지속적으로 보고됐다. 하지만 SKT에서는 BPF도어를 비롯한 일련의 악성코드 공격을 피하지 못했다. 일각에서는 그 원인 중 하나로 부실한 서버 보안을 꼽았다. 개인정보보호위원회에서도 지난 5월 8일 유출 경로가 된 주요 시스템에 악성 프로그램 방지를 위한 보안 솔루션(백신)이 설치되지 않았던 점을 확인했다고 발표했다.

SKT 류정환 네트워크인프라센터장은 국회 과학기술방송통신위원회 청문회에서 “작년 7월 마이크로소프트(MS) 애저(Azure)에서 백신 연동 문제로 크라우드스트라이크(CrowdStrike) 이슈와 같은 글로벌 장애 사례가 발생했다. 이 때문에 계획한 백신 배포를 보류하고 부작용 여부를 재검토했다고”고 해명했다.

전문가들은 서버 보안 문제는 비단 SKT에만 해당하는 일이 아니라고 꼬집었다. 보안업계 한 관계자는 “국내 기업들의 서버 보안 수준은 많은 차이가 있다”며 “보안을 중요히 여기는 곳에서는 투자를 충분히 하고 있으나, 안티바이러스 솔루션조차 갖추지 못한 기업도 상당수”라고 설명했다.

리눅스로 눈 돌리는 해커 집단

BPF도어 공격 대상이 된 리눅스 서버에 대한 보안은 더욱 준비되지 않던 실정이다. 한동안 리눅스는 MS 윈도(Windows)보다 해킹 공격에 안전지대로 여겨졌다. 우분투(Ubuntu), 센트OS(CentOS), 데비안(Debian) 등 다양한 종류가 나와 있고, 같은 OS라 해도 커널 버전에 따라 시스템 구성이 달라졌다. 이러한 이유로 공격자들은 사용자 기반이 넓고 다양성이 낮은 윈도를 주된 표적으로 삼았다.

2017년 6월 국내 웹호스팅 업체 ‘인터넷나야나’에서 웹 서버 및 백업 서버 153대가 랜섬웨어 ‘에레버스(Erebus)’에 감염되는 사건이 일어났다. 에레버스는 본래 윈도를 타깃으로 만들어졌는데, 해당 사건에서는 리눅스 변종이 쓰였다. 회사는 랜섬웨어로 인한 피해를 복구하지 못하고 해커에게 13억 원을 넘겨주고 복호화 키를 받았다.

인터넷나야나 랜섬웨어 사건은 우리나라에 리눅스 보안의 중요성을 일깨우는 계기였다. 공공, 금융 등 컴플라이언스 준수가 필요한 분야를 중심으로 리눅스 서버에 대한 보안 솔루션 적용이 이뤄졌다. 하지만 여전히 그 외 산업군에서는 보안 체계를 마련하지 않은 채 시스템을 운영 중이다.

안정성·호환성 문제로 ‘미적지근’

기업에서 서버 보안에 미온적 반응을 보이는 이유는 우선 ‘안정성’이다. 서버는 기업의 내부 시스템, 대외 서비스 등과 관련해 중추 역할을 맡는다. 24시간 가동되는 경우가 많고 다운타임이나 성능 저하에 민감할 수밖에 없다. 이러한 이유로 기업들은 서버 보안 대응에 적극적으로 나서지 못하는 경향을 보인다.

가령 취약점 패치는 시스템 재부팅을 필요로 하기에 기업에서는 이를 오랜 기간 미루거나 한 번에 모아서 처리하는 식으로 대응하기도 한다. 제때 이뤄지지 못한 패치는 훗날 사이버공격의 표적이 된다. 2023년에 공개된 리눅스 커널 보안 취약점 ‘CVE-2023-0386’은 2년이 지난 올해, 악용 사례가 빈번해져 미국 사이버보안 및 인프라 보안국(CISA)에서 신속한 패치를 당부한 바 있다.

글로벌 보안업계 관계자는 “리눅스 서버는 주로 서비스 제공 목적으로 쓰인다. 때문에 기업에서는 서비스 안정성에 영향을 줄 수 있는 요소에 민감하다”며 “엔드포인트 보안 플랫폼(EPP) 같은 솔루션은 검사, 차단 등이 이뤄지는 과정에서 기존 컴퓨팅 파워를 사용한다. 이에 대해 불안감을 느끼거나 부담을 갖는 경우가 많다”고 말했다.

리눅스는 호환성도 문제 요인이 된다. OS 종류가 다양하며 그 안에서도 버전 차이가 존재한다. 이 때문에 하나의 보안 프로그램이 모든 리눅스 환경에서 동일하게 작동하기 어렵다. 우분투를 호환하는 솔루션이 센트OS에서 문제를 일으킨다거나, 같은 OS라 해도 버전에 따라 설치 오류가 발생할 수 있다. 이러한 기술적 복잡성과 제약이 리눅스 서버 보안에 걸림돌로 작용한다.

BPF도어 악성코드 대응 나선 보안업계

BPF도어처럼 지능적인 위협이 나타남에 따라 서버 보안 체계 강화의 필요성은 다시금 강조되고 있다. 방화벽, 안티바이러스 등 전통적 보안 체계를 우회하는 공격이 증가하는 만큼, 이상 행위를 감지하는 엔드포인트 탐지 및 대응(EDR)에 대한 관심도가 높아졌다. 보안업체들도 BPF도어 관련 침해 지표를 솔루션에 업데이트하는 등 빠른 대응에 나섰다.

안랩에서는 ‘안랩 EDR’을 비롯해 △리눅스 서버 백신 ‘V3 넷 포 리눅스(V3 Net for Linux)’ △네트워크 통합 보안 솔루션 ‘안랩 XTG’ △클라우드 워크로드 보안 플랫폼 ‘안랩 CPP’ 내 호스트 IPS 등 자사 솔루션에 시그니처 업데이트를 완료해 BPF도어 유입을 차단했다. 위협 인텔리전스 플랫폼 ‘안랩 TIP’로 BPF도어 관련 위협 정보도 신속히 공유하고 있다.

트렌드마이크로는 사고 발생 후 탐지 패턴 업데이트와 함께 자사 보고서를 통해 내부 점검을 지원하는 가이드를 고객에게 제공했다. 또한 SKT 해킹 사건이 BPF도어 변종으로 인한 피해임을 확인한 만큼, 행위 기반 탐지 대응에 강점을 지닌 EDR의 필요성을 강조하고 있다. 취약점 악용에 대응해 서버 공격 표면을 줄일 수 있도록 호스트 IPS 도입도 권고하고 있다.

지니언스는 위협 분석 대응 조직인 ‘지니언스 시큐리티 센터(GSC)’를 통해 실사례를 반영한 공격 동향과 기법을 분석해 제품에 반영하고 있다. ‘지니안 EDR(Genian EDR)’로 BPF도어처럼 고정된 패턴으로 대응이 힘든 악성코드, APT 공격 등에 대한 효과적인 방어도 지원 중이다.

카스퍼스키는 BPF도어 탐지가 가능토록 자사 EPP, EDR 등에 스노트 룰(Snort Rule) 및 야라 룰(YARA Rule) 탑재를 마쳤다. 스노트 룰은 네트워크에서 해킹이나 악성 트래픽을 탐지하는 과정에, 야라 룰은 파일 및 프로그램에서 악성코드의 특징을 찾아내는 데 쓰인다.

세밀한 서버 접근 통제로 백도어 악성코드 차단

EDR 외에 서버 보안 솔루션을 대안으로 내건 곳도 있다. SGA솔루션즈에서는 서버 보안 솔루션 ‘레드캐슬(RedCastle)’에 △불법적 서버 접근 통제 △서버 자원 접근 통제 △감사 추적 △로그인 통제 등 내외부 통제 기능을 강화했다.

레드캐슬은 두 가지 보안 제어로 백도어 위협을 차단한다. 우선 ‘경유 제어 기능’으로 서버에서 외부로 나가는 시도를 △대상 사용자 △목적지 IP △포트 등을 기준으로 통제한다. 이를 통해 BPF도어 설치 후 패킷으로 공격자 서버와 연결된 리버스 셸을 차단할 수 있다. 두 번째는 ‘커널 기반 바인드(BIND) 통제’로 외부 접속 대기를 탐지해 공격자가 서버에 직접 침투하는 시도를 막을 수 있다.

이와 함께 SGA솔루션즈는 손쉬운 서버 보안 관리를 위한 기능도 추가 제공한다. 기업에서는 서버를 수십 대부터 많게는 수백 대까지 운용하고 있어 보안 정책 관리에 어려움을 겪는다. 이에 회사는 레드캐슬에서 동일한 보안 정책을 여러 서버에 걸쳐 공통으로 배포하는 기능을 더했다. 또 서버 안정성을 고려해 탐지 후 경고하고 문제 발생 여부를 담당자가 확인 후 대응이 이뤄지는 모드를 제공 중이다.

“고도화된 위협, 대응 위해 보안 투자 나서야”

BPF도어는 시작일 뿐이다. 앞으로도 지능적인 수법으로 IT 보안 체계를 우회하고 위협은 증가할 가능성이 짙다. 늘어나는 위협에 맞서 국내외 보안업체들은 해결책을 내놓고 있다. 결정은 기업들 손에 달렸다. 얼마나 기업에서 보안을 중요시하는지가 관건이다.

업계 한 관계자는 “서버 보안을 두고 성능 저하를 우려하는 이들이 있지만 솔루션들도 좋아져서 이제 그런 문제는 두드러지지 않는다”며 “솔루션 도입을 꺼리는 큰 이유는 불편함이다. 보안 정책은 꼼꼼해야 안정적인데 그럴수록 관리하는 일은 까다로워진다. 서버와 관련해서도 들어오는 접속은 점검하나 외부로 나가는 경우는 살펴보지 않는 곳이 허다하다”고 지적했다.

또 다른 관계자는 “점점 더 정교하고 고도화된 사이버 위협에 기업들의 피해도 커지고 있다”며 “이제 보안은 단순한 비용 문제가 아닌, 사업 존속을 결정하는 요인이 되고 있다. 기존 보안 수준을 뛰어넘는 새로운 체계를 세워야 하며 이를 위한 과감한 투자가 뒷받침돼야 한다”고 강조했다.