KT까지 뚫렸나 – BPF도어 악성코드의 확산과 통신 인프라 위협
2025년 5월 21일 보안뉴스 단독 보도에 따르면, SK텔레콤 침해 사고의 원인이 된 악성코드 ‘BPF도어’가 KT까지 공격한 정황이 확인됐습니다.
국내 주요 통신사 두 곳이 같은 방식의 침투 경로를 통해 연속 타격을 받았을 가능성이 제기되며, 통신 인프라 전반에 대한 보안 강화 필요성이 다시금 부각되고 있습니다.
BPF도어란 무엇인가 – 은닉성과 지속성이 결합된 APT용 백도어
BPF도어(BPFdoor)는 리눅스 시스템에 침투한 뒤, 네트워크 필터링 시스템을 우회하여 잠복할 수 있는 지능형 지속 위협(APT)용 악성코드입니다.
특정 '매직 패킷(Magic Packet)'을 수신했을 때만 활성화되어 흔적 없이 명령을 수행할 수 있어, 일반적인 EDR, 보안 솔루션으로는 탐지가 어렵습니다.
SK텔레콤 침해 분석 결과, 총 24종의 BPF도어 변종이 서버 내에서 확인된 바 있습니다.
KT까지 침투 – 동일 벡터의 재활용 정황
이번 보도에 따르면 KT 또한 BPF도어 악성코드에 의한 침해를 당했을 가능성이 제기됐으며, 실제 공격이 있었으나 외부 공개는 되지 않은 상태입니다.
양사 모두 Ivanti VPN 제품군을 사용하는 공통점이 있으며, 해당 솔루션의 취약점을 악용한 공격 벡터가 공통적으로 활용된 것으로 보입니다.
한 보안 관계자는 “SKT와 KT 모두 같은 VPN 솔루션을 사용하고 있었기 때문에 공격자 입장에서는 구분할 필요조차 없었을 것”이라고 전했습니다.
공격의 배후 – 레드 멘션과 APT 연계 가능성
BPF도어는 중국계 APT 그룹 ‘레드 멘션(Red Menshen)’이 과거 사용해온 백도어 중 하나로 알려져 있습니다.
트렌드마이크로는 컨트롤러 코드 분석 결과, 과거 레드 멘션 공격에서 발견된 패턴과 유사한 흔적이 존재한다고 밝혔습니다.
다만, 현재 BPF도어는 오픈소스로 공개되어 있으며, 공격의 연계성을 단정하기는 어려운 상황입니다.
2024년 공격 국가별 타깃 – 통신산업 집중
2024년 한 해 동안 BPF도어는 통신, 금융, 유통 등 핵심 산업군을 집중적으로 노렸습니다.
특히 한국은 2024년 7월과 12월 두 차례 독립된 통신사 공격이 포착된 국가로 확인됐습니다.
| Date | Country | Industry |
|---|---|---|
| December 2024 | South Korea | Telecommunications |
| December 2024 | Myanmar | Telecommunications |
| October 2024 | Malaysia | Retail |
| September 2024 | Egypt | Financial services |
| July 2024 | South Korea | Telecommunications |
| January 2024 | Hong Kong | Telecommunications |
실무 시사점 – VPN 인프라 보안 점검 우선
현재까지의 분석으로 미뤄보면, Ivanti VPN 제품군의 취약점을 악용한 BPF도어 침투 사례가 다수 확인되고 있습니다.
다음과 같은 조치가 요구됩니다:
- 자사 VPN 장비(Ivanti 등)의 CVE 패치 이력 점검
- EDR, NDR 등 탐지 로그에서 Magic Packet 수신 이력 탐색
- 서버 포트 개방 정책, L3 ACL 재점검
본 사안은 단순 침해가 아니라, 지속적 침투 기반 인프라 탈취 시도로 해석되는 만큼, CSIRT 및 보안운영팀의 긴밀한 대응이 요구됩니다.
도움이 되셨다면 댓글이나 구독 부탁드립니다! 🙏