(서울=뉴스1) 김민석 윤주영 기자 = 눈에 띄지 않는 방식으로 작동하는 'BPF도어(Door)' 계열 악성코드부터 인공지능(AI) 코드 생성 툴의 취약점을 악용한 '룰 파일 백도어'까지 개발자 단위에서 발견하기 어려운 위협이 증가하고 있다. 글로벌 빅테크 기업들은 증가하는 보이지 않은 위협에 대응하고자 보안 강화에 나섰다. 30일 IT·보안 업계에 따르면 BPFDoor는 '버클리 패킷 필터'(Berkeley Packet Filter·BPF)를 악용하는 리눅스 기반 백도어 악성코드로 2021년 PWC 위협 보고서를 통해 처음 알려졌다. 이후 꾸준히 진화해 왔고 최근 SK텔레콤 가입자 인증 서버(HSS)를 해킹한 악성코드로 확인됐다. BPF는 기존엔 컴퓨터 네트워크에서 특정 데이터를 골라내는 필터 기술이었지만, 해커들은 이 기술을 해킹에 악용했다. BPFDoor는 해당 필터 기능을 악용해 보안 설루션의 눈을 피해 몰래 통신하는 방법을 고안했다. BPFDoor 특징은 평소엔 잠복해 있다가 특별한 신호(일명 매직 패킷)가 오면 그때 활동을 시작한다는 점이다. BPFDoor는 평소엔 'kdmtmpflush' 'vmtoolsdsrv' 같은 정상적인 시스템 프로그램인 것처럼 이름을 바꿔 숨는다. 이를 통해 일반적인 악성코드는 방화벽을 통과하지 못하지만 BPFDoor는 '커널'(운영체제의 핵심 부분)에서 직접 패킷을 확인하는 방식으로 방화벽을 회피할 수 있다. 최근 발견된 BPFDoor 변종들은 더욱 교묘한 방식으로 진화했다. 이전 버전은 코드 내 고정된 명령어 또는 파일이름 등은 존재했지만, 최신 버전은 이름과 흔적마저 제거해 탐지 프로그램 및 탐지자가 분석하기 어렵게 한다. BPFDoor는 활성화 시 감염된 컴퓨터가 해커의 컴퓨터로 먼저 연결을 시도하는 리버스 쉘(Reverse Shell)과 감염된 컴퓨터에 특별한 문을 열어두고 해커가 그 문을 통해 들어오게 하는 바인드 쉘(Bind Shell) 방식으로 해커에게 시스템 접근권을 제공한다. BPFDoor와 유사한 방식의
유영상 SKT CEO, 오늘 국회 과방위 청문회 증인 출석" 법적 대응 나선 SKT 이용자들…손해배상 받을 수 있을까"