보이지 않는 침투 경로, KT 해킹사태에서 확인된 ‘BPF도어’란 [지식용어]

최근 국내 통신망에서 대규모 침해 사고가 잇달아 확인되면서, 공격자가 어떤 경로로 내부에 접근했는지에 대한 관심이 커지고 있다. 특히 일부 사건에서는 네트워크 외곽에서 잡히지 않는 ‘보이지 않는 통로’가 활용된 정황이 드러나면서, 보안 체계의 근본적 취약성이 다시 논의되고 있다. 이러한 흐름 속에서 주목받는 용어가 바로 BPF도어(BPFdoor)다. 겉으로는 아무 징후가 없는데 내부에서는 특정 신호를 받는 순간 조용히 열리는 이 백도어는 국내 여러 사건에서 실제로 확인되며 그 이름이 널리 알려졌다.

BPF도어(BPFdoor)는 리눅스 운영체계에 내장된 BPF(Berkeley Packet Filter) 기능을 악용해 만든 은닉형(backdoor) 악성코드다. 원래 BPF는 네트워크로 오가는 데이터 중 필요한 것만 골라내는 ‘필터’ 역할을 하는데, BPF도어는 이 필터 규칙을 조작해 특정 패킷(‘매직 패킷’)이 들어올 때만 공격자 명령을 받아들이는 은밀한 통신 채널을 만든다. 포트를 열지 않은 상태에서도 교신이 가능하기 때문에, 방화벽·침입방지시스템(IPS)의 탐지 체계를 뛰어넘는 구조를 가진다. 즉, 보안 장비는 아무 이상을 감지하지 않지만, 내부에서는 특정 순간에만 열리는 ‘비밀의 문’이 존재하는 셈이다.

이러한 작동 방식은 실제 침해 과정에서 큰 위협이 된다. BPF도어는 네트워크 외부에서 보이지 않는 채로 리버스 쉘·바인드 쉘을 열어 명령을 실행하거나, 서버에서 외부로 나가는 트래픽 일부를 가로채 내용을 읽을 수 있다. 파일 없이 메모리에서만 움직이는 변종, 정상 프로세스명으로 위장하는 방식 등도 보고되어 탐지 난도가 높다. 초기 보고에서는 중국 기반 APT 조직이 사용한 사례가 지목되었고, 이후 관리자 권한 없이 작동하는 유형까지 등장하면서 위협 범위가 확대되었다.

국내에서도 이 은닉형 백도어의 위험성은 현실로 확인됐다. SK텔레콤 유심 관련 해킹 사고와 KT 통신망 침해 조사 과정에서 BPF도어 흔적이 발견되었고, 일부 서버는 가입자 정보가 저장된 시스템까지 포함된 것으로 조사됐다. 조사 과정에서는 펨토셀·코어망·서버 등 서로 다른 계층의 취약점이 결합될 경우 피해가 통신 인프라 전반으로 확장될 수 있다는 우려도 제기됐다. 정부·민간 합동 조사단은 BPF도어 감염과 통신망 관리 취약성의 연관성을 파악하기 위해 분석을 이어가고 있다.

보안 전문가들은 이번 사례들이 보여주는 가장 중요한 메시지를 “커널 기반 공격은 기존 보안 구조를 우회한다”는 점이라고 지적한다. 포트·서비스 활동 감시에 의존하는 방식으로는 은닉형 백도어를 탐지하기 어렵고, 커널 내부에서 필터가 조작되면 감지 시점은 필연적으로 늦어진다. 이에 따라 운영체계 수준의 필터 무결성 점검, RAW 소켓 사용 분석, 위장 프로세스 탐지 등 커널 단위 모니터링 체계 구축이 실질적 대응의 핵심으로 언급되고 있다. 최근 KISA·금융보안원 등이 BPF 필터 조작 여부 확인 가이드를 배포한 것도 이러한 문제의식을 반영한다.

이처럼 보이지 않는 출입구가 가장 위험할 수 있다는 사실을 BPF도어는 여실히 보여준다. 네트워크 외곽 장벽을 강화하는 것만으로는 막을 수 없는 유형의 침투가 현실화되고 있으며, 운영체계 내부에서 벌어지는 조작까지 감시해야 하는 시대가 도래했다. 커널 깊은 곳에 숨어 있는 작은 통로가 전체 인프라를 위험에 빠뜨릴 수 있다는 점에서, BPF도어는 현대 보안 체계가 무엇을 우선적으로 점검해야 하는지 묻는 문제적 사례로 남고 있다.

시선뉴스=심재민 기자 / 디자인=김선희 pro