SK텔레콤 해킹 사태 이후 국내 산업계는 보안 점검이 화두다. BPF도어로 리눅스 기반 서버보안 체계가 무력화되면서다. BPF도어 탐지부터 새로운 보안 체계에 대한 관심도 어느 때보다 높다.
피앤피시큐어(대표 박천오)는 23일 BPF도어를 분석, 서버 침입 방식을 중심으로 공격을 방지하는 ‘피앤피시큐어 네트워크 해킹 위협행위 탐지’(PNPSECURE Sever Threat Detector) 도구를 무료 공개했다.
BPF도어는 정보를 탈취하는 인포스틸러(Infostealer) 계열의 대표적인 악성코드다. 피해 기업의 서버에서 민감 정보를 훔치는 것이 주된 역할로, 고도화된 위장 기법을 활용해 네트워크 내부에 장기간 잠입했다가 활동하는 것이 특징이다.
이 악성코드는 시스템 방화벽 정책을 우회하고, 포트를 열지 않아도 외부 명령을 수신할 수 있다. 감염 후 수년간 탐지되지 않을 정도로 은밀하게 작동하는데, 시스템 내 특정 트래픽을 선별 수신해 ‘매직 패킷’으로 불리는 명령어로 악성코드를 활성화하고 데이터 유출을 시도한다.
방화벽을 무력화하는 BPF도어의 특성상 감염된 서버는 일반적인 방화벽으로는 막을 수 없다. 이 악성코드는 일반적인 서비스 운영에 사용되는 포트 포워딩이나 SSH 터널링, iptables NAT 등의 기술을 악용한다. 따라서 표면적인 네트워크 이상 징후만으로는 탐지하기 어려운 구조를 지녔다.
악성코드 자체를 식별하는 방식으로는 위협 징후를 파악할 수 없어, 정상 행위를 위장한 내부 설정 조작이나 매직 패킷을 탐지하고 차단하는 것이 핵심이다. 서버 방화벽인 iptables의 전단계인 커널의 Raw Socket에서 수신하는 매직 패킷으로 공격을 수행하기 때문이다. 이를 위해 네트워크 커널 단의 BPF필터 설정과 비인가 포트 포워딩, SSH 터널링 구성, iptables PREROUTING 체인 변조 등을 종합적으로 점검해야 한다.
서버에 침투한 BPF도어의 내부 장악과 연결, 데이터 유출 행위를 탐지하는 핵심 요소다. 매직 패킷은 통신 페이로드 안에 공격 신호를 포함하고 있다. 이는 규격을 벗어난 통신으로 비정상적인 형태를 지닌다.
댓글목록