게티이미지뱅크

<이미지를 클릭하시면 크게 보실 수 있습니다>

BPF도어(Berkeley Packet Filter Door)는 네트워크에 은밀하게 침투해 해커가 데이터에 접근하도록 통로 역할을 하는 악성코드다.

BPF 도어는 리눅스 운용체계(OS)에 내장된 네트워크 모니터링·필터 기능을 수행하는 'BPF'를 악용한다. 은닉성이 높아 서버에 침입한 뒤 공격자가 장기간 숨어 있을 수 있는 '은신형 백도어' 역할을 한다. 이같은 특성으로 '지능형 지속위협(APT)'의 주요 수단으로 활용된다. 중국, 북한 해커들이 BPF도어를 개발했다는 의심을 받고 있다.

BPF도어는 BPF터널링을 활용하기 때문에 포트(주소) 없이 해커와 통신할 수 있는게 특징이다. 관리자조차 모르게 서버에 원격 쉘을 열어주거나, 서버에서 나가는 트래픽을 가로채거나 특정 명령을 주고받는 기능을 한다. 방화벽 규칙을 우회해 공격자와 통신이 가능하도록 해 해커의 통신 내역을 알아차리기 어렵다. 특정 시그니처(특정 패킷)를 받으면 공격자 명령을 수행하는 방식으로 활용되기도 한다.

방화벽 활성화·포트 차단 여부와 무관하게 패킷을 수신하고 명령 수행이 가능하다. 관리자(root) 권한 없이도 작동하는 변종이 보고되는 등 BPF도어 유형도 진화하고 있다.

BPF도어는 특히 서버·클라우드·데이터센터 환경에서 위험성이 큰 것으로 알려졌다. 4월 SK텔레콤 유심 해킹, KT 해킹 사태에서도 BPF도어가 침투해 주요 가입자 정보를 빼간 흔적이 발견되기도 했다. 대규모 해킹에서 위력을 입증한 BPF도어를 탐지, 예방하는 것은 정부와 보안 업계의 핵심 과제가 되고 있다.

박지성 기자 jisung@etnews.com

[Copyright © 전자신문. 무단전재-재배포금지]