BPFdoor 악성코드란? 🐍 SKT 해킹 사건에서 드러난 정체와 위험성 분석!

2025년 4월 발생한 SK텔레콤 유심 해킹 사건에서 발견된 **‘BPFdoor’**는 고도화된 백도어(backdoor) 악성코드로, 보안 업계에서 이미 2022년부터 위험성이 제기되었던 위협입니다.

BPFdoor 악성코드란? SKT 해킹 사건에서 드러난 정체와 위험성 분석!

---

🔎 BPFdoor란 무엇인가요?

BPFdoor는 리눅스 및 일부 유닉스 기반 시스템을 겨냥해 작동하는 고급 백도어 악성코드입니다.
특징은 다음과 같습니다:

1. 패킷 필터링 기반 통신(BPF):
   ‘BPF’는 Berkeley Packet Filter의 약자로, 네트워크 트래픽을 감시하거나 필터링할 수 있는 기술입니다.
   BPFdoor는 이 기술을 활용해 시스템 포트를 열지 않고도 외부 명령을 수신할 수 있어 탐지가 매우 어렵습니다.
2. 포트리스(Portless) 통신:
   전통적인 악성코드는 특정 포트를 열고 명령을 기다리지만, BPFdoor는 일반 포트를 열지 않고도 작동해 방화벽이나 IDS(침입 탐지 시스템)을 우회합니다.
   
   
3. 명령 제어(C2) 서버 없이도 작동 가능:
   공격자는 트래픽 안에 명령을 숨겨 시스템에 접근할 수 있으며, 이는 전통적인 보안 솔루션으로는 탐지하기 어렵습니다.
   
   
4. 중국계 해커 그룹 연계 의혹:
   보안 커뮤니티에 따르면, BPFdoor는 중국계 국가 지원 해커 그룹(예: Red Menshen)과 연관이 있는 것으로 보고되고 있습니다.

---

🚨 왜 위험한가요?

• 은밀한 지속성: 포트리스 방식으로 숨어 있기 때문에 오랜 시간 시스템 안에 잠복할 수 있습니다.
• 심각한 정보 유출 위험: 관리 권한 획득 후, 네트워크 내 다른 시스템으로 확산이 가능합니다.
• 실시간 명령 실행 가능: 공격자는 대상 시스템에 명령을 내려 파일을 조작하거나 추가 악성코드를 설치할 수 있습니다.

---

🛡️ 어떻게 대응해야 하나요?

• BPFdoor는 일반적인 백신으로는 탐지되지 않기 때문에 보안 전문가의 포렌식 분석이 요구됩니다.
• 시스템 로그 분석, 비정상 트래픽 모니터링, BPF 기반 필터링 행위 추적 등이 필수적입니다.
• 현재 SKT는 악성코드 제거 및 관련 장비 격리, 전체 시스템 전수 조사 등 대응에 착수한 상태입니다.