"잠복했다 발동" 중국산 악성코드, SKT 서버 어떻게 털었나 작성일 05-20 95 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">"2022년 SKT 서버 침투 시작"…사이버戰 우려<br>네트워크 필터링 조작수법…"은닉성 높고 오픈소스라 추적 난항"</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="zVqBQdTNXL"> <figure class="figure_frm origin_fig" contents-hash="95c01d4ac637593e97929c06cfe124cd00d450a9c494fdc5f4a543365c7deb9e" dmcf-pid="qfBbxJyjtn" dmcf-ptype="figure"> <p class="link_figure"><img alt="SK텔레콤 침해사고 조사 결과. ⓒ News1 김초희 디자이너" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202505/20/NEWS1/20250520150414734ebti.jpg" data-org-width="1400" dmcf-mid="7ZkESY6FZo" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202505/20/NEWS1/20250520150414734ebti.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> SK텔레콤 침해사고 조사 결과. ⓒ News1 김초희 디자이너 </figcaption> </figure> <p contents-hash="338d916f227d4207830a818d35178afb6b77716aa1ea790be041a9e9ae4d21c1" dmcf-pid="BBpUfQCnHi" dmcf-ptype="general">(서울=뉴스1) 윤주영 기자 = 막대한 피해를 받은 SK텔레콤(017670) 서버 해킹에는 25종의 악성코드가 사용됐다. 대다수는 'BPF도어' 계열이다. 중국·북한 해커 집단이 주로 사용하는 악성코드로 구동방식이 은밀하고 치명적이다.</p> <p contents-hash="d189b95514506d44b89264152a3c9e1811be508725f80dc4d0f513d17d1a3c15" dmcf-pid="bbUu4xhLYJ" dmcf-ptype="general">20일 보안업계에 따르면 BPF도어 악성코드는 네트워크 패킷 필터링 메커니즘 '버클리 패킷 필터'(BPF)를 악용해 타깃을 공격한다.</p> <p contents-hash="eb71b93884557227f9e020f2d8ce2365e43d258c5284eb6e116ab32f5734d0ca" dmcf-pid="KKu78Mlotd" dmcf-ptype="general">운영체제(OS) 커널 영역에 설치되는 BPF는 외부로부터 전달받은 패킷을 사용자 영역으로 넘길지 결정한다. 쉽게 말해 네트워크 모니터링·필터 기능이다.</p> <p contents-hash="ff7146af120af2b78d853100befa75d55404bef583ceb08a3571b8416f5d0508" dmcf-pid="997z6RSgHe" dmcf-ptype="general">이는 리눅스 OS에서 작동하기 때문에 SKT의 리눅스 서버 전반이 집중 점검됐다.</p> <p contents-hash="e59f155aff47de6c6fb92e5fecf3970c85bb581f8185f20425606b7fcaef2bff" dmcf-pid="22zqPeva5R" dmcf-ptype="general">공격자는 이 필터링에 규칙을 추가해 특정 패킷(일명 '매직 패킷')이 전송되게끔 한다. 악성코드는 잠복했다가 매직 패킷이 수신되면 공격을 시작한다. 공격 은닉성이 높아 파악이 어려웠다.</p> <p contents-hash="c951dbbb152289e06801de5dbb21fe5cb3ea2d259803d265fe4a570893a9af31" dmcf-pid="VVqBQdTN5M" dmcf-ptype="general">안랩(053800)은 "과거 버전의 cBPF 기술을 악용한 백도어"라며 "BPF도어는 서버 방화벽과 보안 시스템을 우회하며, 외부 공격자가 직접 시스템에 명령을 전달할 수 있는 리버스 쉘, 바인드 쉘 등 기능을 제공한다"고 설명했다.</p> <p contents-hash="a08bc407b0eb56ba68e59b2eb14295e0874723311970e9c37b72382d3d4eb936" dmcf-pid="fJQxak3IHx" dmcf-ptype="general">이어 "기존 BPF도어 공격과 달리 이번에 공개된 악성코드는 복제·자가 삭제 기능이 제거됐으며, 프로세스 이름을 위장하는 방식으로 진화했다"고 덧붙였다.</p> <p contents-hash="f1e5f78d964f0e7f793fb31d2d6cd118223f3a991bbfb061ce756089f0ef751f" dmcf-pid="4ixMNE0CXQ" dmcf-ptype="general">BPF도어 악성코드 공격은 2021년 PWC 위협 보고서를 통해 처음 알려졌다. 민관 합동 조사단에 따르면 SKT 서버의 경우 2022년 6월 최초로 악성코드가 설치됐다.</p> <p contents-hash="c4846dd464114108ddcba6410377ebfd95892ddaa54005dd94f4211b42af4151" dmcf-pid="8nMRjDph1P" dmcf-ptype="general">글로벌 사이버보안 기업 트렌드마이크로의 4월 보고서에 따르면 이런 공격을 쓰는 집단으론 중국 정부를 배후로 둔 '레드 멘션'이 꼽힌다. 트렌드마이크로는 레드 멘션이 지난해 7월·12월 두 차례에 걸쳐 한국의 한 통신사를 침투했다고 공개했다.</p> <p contents-hash="157d0cbb0ae6ddf64b3568c3eb4414011b7b005f164c177ecb8066a4a245024c" dmcf-pid="6LReAwUlZ6" dmcf-ptype="general">이 밖에도 레드 멘션은 지난해 홍콩·미얀마·말레이시아·이집트 등지에서 통신·금융·리테일 인프라를 중점적으로 공격했다. SKT 사례처럼 대부분 리눅스 기반 서버가 피해를 보았다.</p> <p contents-hash="b0c5dfb22af439d55f243f266c224fe63d91b4feefd1f57a5a4d3294cec89ee3" dmcf-pid="PoedcruSH8" dmcf-ptype="general">다만 레드 멘션이 SKT를 공격했다고 확정 짓긴 어렵다. BPF도어 악성코드는 오픈소스화돼서 어떤 집단이든 이용할 수 있다.</p> <p contents-hash="29014a03a5980ae42a6e1e0f986f79b999758416b46cd07fd16c3bc8de1140f7" dmcf-pid="QgdJkm7vX4" dmcf-ptype="general">SKT 사태가 최근 중국·북한 등이 전개하는 사이버 전쟁의 일환일 수 있다는 보안업계 분석도 있다. </p> <p contents-hash="77e4fbdc3d200798c0770a7376251280429b56bf6eae32a0ec86805ebc75e0bf" dmcf-pid="xaJiEszTXf" dmcf-ptype="general">공격자가 3년간 별다른 금전 요구를 하지 않은 점을 보아 정치적 목적일 수 있단 것이다. 이와 반대로 2023년 LG유플러스 개인정보 유출 사고에선 해커가 다크웹에 정보 판매 글을 올렸다.</p> <p contents-hash="7a0f8cb603bb8e1a9bc90b168fe7c68cce8c740bf077fd2f3e5a006387ec4ed7" dmcf-pid="y97z6RSgYV" dmcf-ptype="general">한편 민관 추가 조사에서 BPF도어 이외 새로 발견된 악성코드는 웹셸 1종이다. 악의적인 웹셸이 서버에 업로드되면 공격자는 이후 파일 탐색이나 시스템 쉘 명령 등을 수행할 수 있다.</p> <p contents-hash="ffc2b216539e49f3be5154848cb9d4702386709aaffb7403eb56bb6f93e67a84" dmcf-pid="W2zqPeva52" dmcf-ptype="general">민관 조사단 측은 "웹셸 설치는 최초 감염 시점을 알려주는 중요한 요소"라고 말했다.</p> <p contents-hash="2b0fa456f3830f873684a7152907a837af8f3a7a4a0dcb41278ec6397b664520" dmcf-pid="YVqBQdTNH9" dmcf-ptype="general">legomaster@news1.kr</p> <p contents-hash="1057abc3a4a5556d58c7cd3bd8f6a305370b922123d9ab1f9a87417b63360e53" dmcf-pid="GfBbxJyjGK" dmcf-ptype="general"><strong><용어설명></strong></p> <p contents-hash="0da4f9928b4b37b8d99549265610d0c1c70d95052cb32d104799965899f0ec23" dmcf-pid="H4bKMiWAYb" dmcf-ptype="general">■ 패킷 네트워크를 통해 전송되는 형식화된 데이터 덩어리. 쉽게 말해 데이터 전송 단위다.</p> </section> </div> <p class="" data-translation="true">Copyright © 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.</p> 관련자료 이전 막오른 AI컴퓨팅센터에 눈치보는 업계... 정부 "사업성 지원책 마련" 05-20 다음 대한하키협회, 말레이시아 대표팀 초청 합동 훈련 개최 05-20 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
