[3분 보안] 전국민을 불안에 떨게 한 'BPFDoor'

안녕하세요, 이스트시큐리티입니다.

 

2025년 4월, SKT를 타깃으로 한 대규모 해킹 사건이 발생했습니다. 과학기술정보통신부 조사 결과, 총 25종의 악성코드가 SKT 인프라에 침투했고 이로 인해 약 9.7GB에 달하는 민감 정보가 외부로 유출된 것으로 알려졌는데요.

 

더 충격적인 사실은, 이 해킹에 사용된 악성코드의 정체가 최근 사이버보안 업계에서 가장 주목받는 위협 중 하나인 ‘BPF도어(BPFDoor)’라는 점이었습니다. 평소엔 조용히 숨어 있다가, 특정한 신호를 받으면 시스템을 장악하는 이 ‘BPF도어(BPFDoor)’란 도대체 뭘까요?

 

오늘은 뉴스에서 자주 들리지만, 막상 정확히 알기 어려운 ‘BPF도어(BPFDoor)’의 개념과 원리, 그리고 왜 위험한지를 3분 만에 쉽게 이해할 수 있도록 정리해드리겠습니다.

 

 

 

'BPF도어' 그것이 알고싶다, 쉽게!

---

 

자, 먼저 BPF부터 알아보겠습니다. BPF(Berkeley Packet Filter)는 본래 네트워크에서 필요한 데이터만 걸러내도록 돕는 필터링 기술입니다. 공항의 보안검색대처럼, 수많은 트래픽 중 수상한 것만 골라내는 역할이죠. 이처럼 보안에 도움을 주는 기술이지만, 최근엔 악성코드의 핵심 도구로 쓰이기 시작했습니다.

 

 

 

 

🔍 ‘BPF도어(BPFDoor)’란?

BPF 기술을 악용한 악성코드가 바로 BPF도어입니다. 마치 정상적인 시스템 프로세스처럼 위장해 탐지를 피하고, 커널의 BPF 기능을 이용해 트래픽을 은밀하게 가로채거나 통신하는 방식으로 활동합니다. 쉽게 비유하자면 정문이 막혔을 때 해커가 뒷문을 만들어 놓고 자유롭게 들락날락하는 거죠.

 

 

 

BPF도어가 특히 위험한 이유

---

 

1. 탐지가 매우 어렵습니다

 

커널 수준의 BPF 기능을 악용해 기존 보안 솔루션으로는 탐지가 쉽지 않습니다. 일반적인 백신 프로그램이나 방화벽은 시스템의 표면적인 부분만 감시하는데, ‘BPF도어(BPFDoor)’는 시스템의 가장 깊숙한 곳인 커널 레벨에서 활동하기 때문입니다.

 

실시간 모니터링에도 이상 징후 포착이 어렵지만, 최근에는 전용 탐지 도구와 EDR 솔루션 등으로 탐지가 점차 가능해지고 있습니다. SKT 사례에서도, 해외 보안업체가 2024년부터 경고했지만 정작 기업 내부에서는 이를 눈치채지 못했다고 해명했죠.

 

 

2. '매직 패킷'으로 원격 조종됩니다

 

 ▫️  평소 잠복 상태: 정상적인 시스템 프로세스로 위장해 조용히 대기

 ▫️  특정 신호 수신 시 즉시 활성화: 해커가 미리 정해놓은 암호화된 신호(매직 패킷)를 받는 순간 깨어남

 ▫️  완전한 시스템 장악: 파일 탈취, 추가 악성코드 설치, 내부 정보 수집 등이 가능

 

이런 방식 때문에 BPF도어는 '잠자는 폭탄'이라고도 불립니다. 언제 터질지 모르는 위험이 시스템 안에 숨어있는 셈이죠. 해커는 멀리 떨어진 곳에서도 언제든지 이 '매직 패킷'을 보내 시스템을 깨우고 원하는 작업을 수행할 수 있어, 기존의 방화벽이나 네트워크 차단 정책으로는 막기가 매우 어렵습니다.

 

 

 

 

실제 SKT  해킹에선 어떤 일이 있었을까?

---

 

 

📆  사건 발생 타임라인

 

▼2022년 6월 15일

최초 악성코드 설치 시점으로로 파악됨.

 

▼2025년 4월 18일

18:09  이상 트래픽 최초 감지

23:20  내부 시스템에서 악성코드(BPF도어) 탐지, 해킹 공격 사실 확인

 

▼2025년 4월 19일: 유심 관련 일부 민감 정보가 유출된 정황을 확인

 

 

📉 피해 규모

 

 ▫️  최대 9.7GB의 데이터 유출: 압축파일로 약 100만 명분의 개인정보에 해당하는 양

 ▫️  가입자 전화번호, IMSI, 유심 인증키 등 25종 정보 포함: 유심 복제에 악용될 수 있는 핵심 정보들

 ▫️  IMEI(단말기 고유식별번호)는 유출되지 않았음: 다행히 스마트폰 자체 식별 정보는 안전

 ▫️  총 25종 악성코드 발견: 이후 BPF도어 변종 24종 및 웹셸 1종 등이 추가로 발견됨

 

이는 단순한 일회성 공격이 아닌 체계적이고 지속적인 침투였음을 시사합니다. 해커들이 오랜 시간에 걸쳐 다양한 경로로 시스템에 침투했으며, 각기 다른 목적과 기능을 가진 악성코드들을 전략적으로 배치했다는 것을 의미하죠.

 

 

 

 

다른 기업은 괜찮을까?

---

 

🔎 글로벌 BPF도어 공격 현황

 

2024년 7월과 12월, 국내 통신사를 겨냥한 BPFDoor 기반 사이버 공격 정황이 포착되면서 SK텔레콤 외에도 다른 통신사가 위협 대상이었을 가능성이 제기됐습니다. 이에 따라 민관 합동 조사단은 KT와 LG유플러스에 대해서도 자율 점검에서 직접 조사로 방침을 전환했고, 현재까지 두 통신사에서는 해킹 징후가 발견되지 않은 상태입니다.

 

조사단은 SK텔레콤 해킹 당시 발견된 BPFDoor 변종 202종을 토대로 서버를 분석하고 있으며, 통신사들도 자체 점검을 병행하고 있습니다. 전문가들은 이번 공격이 국가 배후 APT 그룹의 고도화된 조직적 해킹일 가능성에 무게를 두고 있습니다.

 

 

 

🌍 국제적 위협으로 확산

 

이 BPF도어는 중국 연계 해킹 조직 '레드 멘션(Red Menshen)'이 과거 주로 사용한 것으로 알려졌으나, 최근 오픈소스화되어 전 세계 해커들이 활용 가능한 상태입니다.

 

홍콩, 미얀마, 이집트, 말레이시아 등에서도 유사한 공격이 이어졌으며, 주로 통신, 금융, 유통 분야의 기업들이 표적이 되고 있습니다. 특히 국가 기반시설과 관련된 기업들이 집중적으로 노려지고 있어 우려가 커지고 있습니다.

 

 

 

 

개인과 기업, 어떻게 대응해야 할까?

---

 

👤 개인은 이렇게!

 

 ▫️ SKT 사용자라면 유심 교체 고려: 유심 인증키가 유출되었을 가능성을 고려해 무료 교체 서비스 이용

 ▫️ 이상한 대출 문자·결제 내역 꼭 확인: 유심 복제를 통한 명의도용 피해 예방

 ▫️ 금융 거래 시 다른 인증 수단 사용 권장: 당분간 휴대폰 인증 대신 OTP, 인증서 등 다른 방법 활용

 ▫️ 개인정보 모니터링 강화: 신용정보 조회, 대출 내역 등을 주기적으로 확인

 

 

🏢 기업은 이렇게!

 

 ▫️ 서버 보안 체계 점검 (특히 리눅스 기반): BPF도어는 주로 리눅스 환경을 노리므로 리눅스 서버의 보안 강화 필수

 ▫️ 관리자 권한 최소화 정책 적용: BPF 공격은 관리자 권한 탈취 후 이뤄지므로 권한 관리 체계 재점검

 ▫️ 네트워크 트래픽 이상 패턴 모니터링: 평소와 다른 트래픽 패턴을 실시간으로 감지할 수 있는 시스템 구축

 ▫️ 정기적인 모의해킹·취약점 분석 실시: 외부 전문기관을 통한 정기적인 보안 점검으로 취약점 사전 발견

 

이스트시큐리티의 '알약'에서는 해당 악성코드에 대해 Backdoor.Linux.BPFDoor 로 탐지중에 있으며, 추가 변종  대한 모니터링과 신속한 대응을 진행하고 있습니다. 더 자세한 대응 방안은 아래 포스팅을 확인해주세요.

 

BPF 필터를 악용하는 BPFDoor 리눅스 악성코드 주의!

 

 

 

 

BPF도어, 더 이상 남의 일이 아닙니다

---

 

‘BPF도어(BPFDoor)’는 단순한 기술 용어가 아닌, 우리 모두의 일상과 직결된 보안 위협입니다. 이번 SKT 해킹 사건은 단순한 개인정보 유출을 넘어, 국가 통신 인프라까지 노린 고도화된 공격이었습니다.

 

보안은 선택이 아닌 생존의 조건입니다. 시스템 깊숙한 곳까지 침투하는 공격 기술은 계속 진화하고 있으며, 지금 이 순간에도 또 다른 위협이 만들어지고 있습니다. 개인과 기업 모두가 함께 대응해야 할 시대, 그 출발점은 보안에 대한 정확한 이해와 관심입니다. 완벽한 차단은 어렵지만, 선제적인 대응으로 피해를 줄일 수 있습니다.

 

이스트시큐리티의 ‘알약’은 이러한 고도화된 위협에 실시간으로 대응하고 있으며, BPF도어를 포함한 다양한 변종 악성코드를 탐지·차단하고 있습니다. 제2의 SKT 사태를 막기 위한 첫걸음, 지금 바로 우리 시스템의 보안 상태를 점검해보세요.

 

앞으로도 이스트시큐리티는 복잡한 보안 위협을 누구나 쉽게 이해할 수 있도록 풀어드리고, 안전한 디지털 환경을 함께 만들어가겠습니다!