BPFDoor 백도어 실무 대응 가이드 – 서버별, 환경별 체크리스트 제공
BPFDoor는 리눅스 기반 시스템에서 탐지 회피 능력이 매우 뛰어난 백도어 악성코드입니다. 공격자는 네트워크 포트를 사용하지 않고 시스템 내부에 숨어들어 백그라운드 명령 실행, 파일 다운로드, 포트 리버스 등 다양한 기능을 실행할 수 있습니다.이 글에서는 실무자가 반드시 알아야 할 BPFDoor 대응 방법을 운영체제별, 환경별로 정리하였습니다.서버 (리눅스 기반 시스템) – CentOS, Ubuntu, RHELBPFDoor는 대부분 리눅스에서 발견되었으며, 시스템 내부 포트를 열지 않고도 명령을 실행하는 구조이므로 일반적인 `netstat`, `lsof` 등으로는 탐지가 어렵습니다.따라서 다음과 같은 보안 점검을 수행해야 합니다.비정상 BPF Socket 확인아래 명령으로 bpf 관련 프로세스를 확인해..
SKT 유심 백도어 후속분석 – 남겨진 의문점과 실무 경고 정리
2025년 4월, SK텔레콤의 유심(USIM) 정보가 대규모로 유출되는 해킹 사건이 발생하였습니다. 본 글에서는 사건의 개요, 기술적 분석, 남겨진 의문점, 실무자 경고 및 대응 방안에 대해 정리하였습니다.사건 개요SK텔레콤은 2025년 4월 18일 오후 6시경 내부 시스템에서 이상 징후를 감지하였고, 같은 날 밤 해킹 사실을 인지하였습니다. 19일 오후에는 유심정보 유출을 확인하였으나, 관련 법령상 24시간 이내 신고 의무를 어기고 약 45시간이 지난 20일 오후 4시 46분에서야 한국인터넷진흥원(KISA)에 사고를 신고하였습니다. 해커는 'BPFDoor'라는 고도화된 백도어 악성코드를 이용하여 SKT의 가입자 서버(HSS)에 침투하였고, 국제이동가입자식별번호(IMSI), 기기식별번호(IMEI), 유심..
2025년 상반기는 유례없이 다양한 보안 사건이 연이어 터지며 보안 실무자들에게 많은 인사이트를 던져주었습니다.이번 아카이브에서는 2025년 1월부터 5월까지 발생한 주요 보안 이슈들을 정리하고, 실무 관점에서 어떤 대응이 필요했는지 함께 살펴보겠습니다.🔐 1. SKT 유심 백도어 사건 (2025년 2월)수만 개의 유심칩에 백도어가 심어진 사실이 드러나며 큰 충격을 준 사건입니다.보안 키 관리 체계와 공급망 보안(Supply Chain Security)의 중요성을 다시 한번 환기시켰으며, 통신사 내부 개발 프로세스 전반의 보안 검증 강화 필요성이 부각되었습니다. 핵심 포인트: 펌웨어에 삽입된 코드 분석 결과, 원격 명령 실행 가능성 있음 실무 대응: 통신망 장비 및 칩셋 레벨 코드 리뷰 프로세스 구..
BPFDoor, 조용히 숨어드는 리눅스 백도어 – IOC와 APT 공격 방식 정리
조용하고 교묘한 리눅스 기반 백도어인 BPFDoor. 침해지표(IOC)와 APT 공격 방식까지 실무 중심으로 정리했습니다.💀 BPFDoor란 무엇인가?BPFDoor는 BPF(Berkeley Packet Filter)를 악용하여 네트워크 필터링 우회를 가능하게 하는 리눅스 기반 백도어입니다. APT 공격조직이 수년간 조용히 사용해왔으며, 포트 리스닝 없이도 패킷을 후킹하는 기법을 사용해 탐지를 어렵게 만듭니다.해당 악성코드는 일반적인 방식이 아닌 raw socket + BPF 필터를 조합하여 패킷을 수신하고, 기존 서비스에 숨어 백도어 명령을 수행합니다.🚨 IOC (Indicators of Compromise)BPFDoor 관련 IOC는 다음과 같습니다. 실제 침해대응(CSIRT) 시 아래 항목을 기준..
유심 해킹과 BPFDoor 악성코드, 실무에서 확인할 포인트
📌 SKT 유심 해킹 이슈, 실무자는 어디를 봐야 할까?2025년 4월, SKT 유심 해킹 관련 이슈와 함께 트렌드마이크로에서 탐지된 BPFDoor, VSNTDO25 계열 악성코드가 보안 커뮤니티를 중심으로 공유되었습니다.본 글에서는 해당 악성코드가 어떤 방식으로 동작하는지, 실무에서는 무엇을 점검해야 하는지 탐지명 분석 + 대응 포인트 중심으로 정리합니다.🧠 BPFDoor 악성코드란?BPFDoor(Backdoor.Linux.BPFDoor.D)는 Linux 환경에서 BPF(Berkeley Packet Filter) 기능을 악용해 방화벽을 우회하고, 외부 명령을 수신하는 백도어입니다.- 커널 수준에서 패킷 필터링 우회 - 비인가 통신 포트를 통한 외부 명령 수신 - EDR, IDS 탐지를 어..
SKT 유심 백도어 해킹, 우리가 알아야 할 보안 현실
최근 SK텔레콤에서 발생한 유심(USIM) 관련 보안 사고가 많은 사람들을 놀라게 했습니다. 단순한 유출 사고가 아닌, 리눅스 커널을 우회하는 BPFDoor 백도어 악성코드가 사용되었고, 최대 2,300만 명에 이르는 가입자 유심 정보가 탈취된 정황까지 드러났기 때문입니다. 📌 침해 방식 – BPFDoor, '보이지 않는 문'을 열다 BPFDoor는 네트워크 상의 방화벽을 우회하여 내부 서버에 침투하는 백도어 계열의 악성코드입니다. 리눅스 커널 수준에서 작동하며, 흔적을 거의 남기지 않는 것이 특징입니다. SKT는 자사 가입자 인증 서버(HSS)에 이 악성코드가 설치된 사실을 뒤늦게 인지했으며, IMSI, IMEI, 유심 인증키 등이 외부로 유출되었을 가능성을 언급했습니다. ⚠️ 위..