KT도 뚫렸다? – BPFdoor 악성코드의 타겟 확산
국내 1·2위 통신사가 같은 백도어 공격을 당한 것으로 알려지며, BPFdoor 악성코드의 위협이 단일 사건을 넘어 국가급 인프라 보안 위협으로 확산되고 있습니다.
📍 사건 개요 – KT도 BPFdoor에 노출됐나
2025년 5월 21일, 보안뉴스 단독 보도에 따르면, SKT를 공격한 BPFdoor 악성코드가 KT도 타깃으로 삼은 정황이 드러났습니다.
공격은 2023년부터 수차례 탐지됐으며, 특히 KT 일부 서버에서도 유사한 통신 및 내부 침투 로그가 확인되면서 SKT만의 문제가 아니었음이 확인된 셈입니다.
보안뉴스는 업계 관계자의 말을 인용해 "KT 일부 장비에서 BPFdoor의 흔적이 관찰됐다"는 내용을 공개하며, 다른 주요 통신사까지 악성코드 활동 범위가 확대되고 있음을 시사했습니다.
📍 BPFdoor의 작동 방식
BPFdoor는 리눅스 시스템을 타깃으로 하는 고급 백도어로, 패킷 필터링 기능을 악용하여 포트리스닝 없이도 외부에서 명령을 수신할 수 있습니다.
공격자는 사전에 설정한 ‘매직 패킷’을 통해 악성코드를 활성화시키며, 이는 일반적인 포트 모니터링으로는 탐지되지 않습니다.
주요 특징은 다음과 같습니다:
- 백도어 실행 중에도 포트 오픈 없음 (stealth mode)
- BPF(Berkeley Packet Filter)를 활용한 트래픽 필터링
- 리버스 셸, 파일 업로드, 명령 실행 등 기능 포함
이러한 특성으로 인해 BPFdoor는 EDR, IDS 등 기존 보안 솔루션의 탐지를 우회할 수 있으며, APT 공격에서 은밀한 초기 접근 수단으로 활용됩니다.
📍 실무 보안 관점에서의 시사점
① 클라우드 및 서버에 대한 정적 분석 한계 극복 필요
BPFdoor는 비활성 상태에서는 거의 흔적을 남기지 않기 때문에, 메모리 포렌식, 네트워크 흐름 기반 탐지 등의 정교한 모니터링 체계가 필수입니다.
② EDR 및 NDR 연계 분석 체계 확보
포트가 열리지 않아도 트래픽을 유심히 관찰하면 이상 행동을 식별할 수 있습니다. 정상적인 프로세스에 위장한 커맨드 수행 흔적을 추적하는 EDR 연동 체계가 요구됩니다.
③ 보안관제 조직과의 실시간 협력 강화
이번 사례처럼 수개월간 탐지된 로그가 있었지만 통합 연계/분석이 지연된 점은 실무에서도 반복되고 있는 문제입니다. 클라우드 로그 수집과 중앙 관제를 잇는 구조 개선이 시급합니다.
📍 실무 적용 Tip – BPFdoor 점검 항목 예시
BPFdoor는 다음과 같은 방법으로 시스템 점검이 가능합니다.
$ netstat -antp | grep -v LISTEN
$ ps -ef | grep -i bpf
$ lsof -i
$ tcpdump -n -i eth0 'tcp[13] & 0x02 != 0' # SYN 패킷 모니터링
$ strings /usr/sbin/sshd | grep -i magic
※ 점검 스크립트는 시스템마다 상이하므로, 보안 관제 담당자와 사전 협의 후 배포해야 합니다.
📍 결론 및 향후 과제
BPFdoor는 단순한 백도어가 아니라, 국가 인프라 레벨에서의 취약 지점을 노린 장기 침투형 위협으로 봐야 합니다.
KT까지 확산된 정황은 단순한 침해사고가 아닌, 국가 차원의 사이버 보안 전략이 요구되는 상황임을 보여줍니다.
이슈가 더 이상 확대되기 전에, 각 기관과 기업은 정밀 탐지, 중앙관제 연계, 로그 기반 AI 분석 체계 강화 등의 조치를 서둘러야 할 것입니다.
2025.05.21 - [보안 이슈 아카이브] - KT까지 뚫렸나 – BPF도어 악성코드의 확산과 통신 인프라 위협
2025.04.27 - [보안 이슈 아카이브] - 유심 해킹과 BPFDoor 악성코드, 실무에서 확인할 포인트
2025.04.30 - [보안 이슈 아카이브] - BPFDoor, 조용히 숨어드는 리눅스 백도어 – IOC와 APT 공격 방식 정리
도움이 되셨다면 댓글이나 구독 부탁드립니다! 🙏