https://www.thepublic.kr/news/articleView.html?idxno=260588

 

이번 SK텔레콤의 대규모 해킹 사건은 'BPF(Berkeley Packet Filter) 도어'라는 수법을 통해 이뤄진 것으로 알려졌다.

관련업계에 따르면, BPFDoor(BPF 도어)는 리눅스 커널의 Berkeley Packet Filter(BPF)를 악용해 시스템 내부에 ‘뒷문’을 열어주는 백도어 악성코드다.

‘BPF’는 리눅스 기반 운영체제에서 통신 데이터를 감시하는 일종의 ‘문’으로, 이 문을 통해 송수신되는 데이터를 제어하는 역할을 한다. BPF 도어는 해커가 관리자 몰래 BPF에 새로운 뒷문을 만들어, 특정 데이터를 이를 통해 탈취하는 방식이다.

BPF 도어 수법은 2021년 PWC의 위협 보고서에서 처음 공개되었으며, 중국 해커 그룹인 '레드멘션'이 이를 활용해 해킹을 시도해 왔다. 이 그룹은 중동과 아시아 지역의 통신 업체, 물류, 교육 분야 등을 주요 공격 대상으로 삼았다.

그러나 최근 공격 코드 일부가 오픈소스로 공개되면서, 현재는 공격 주체를 명확히 단정짓기가 어려워졌다. 누구나 공개된 코드를 다운로드 받아 악용할 수 있기 때문이다.

한국인터넷진흥원(KISA)은 지난 25일 BPF 도어 수법에 사용되는 악성 코드를 공개했다. KISA는 SK텔레콤 사건을 직접 언급하지 않으면서도 “최근 주요 시스템을 대상으로 한 해킹 사례가 확인됐다”며 “보안 점검 후 침입 흔적이나 사고가 발견되면 즉시 신고할 것”을 당부했다.

한편 SK텔레콤의 대규모 해킹 사건은 지난 22일 발발했으며, 악성코드에 의해 고객의 유심 정보가 유출된 것으로 알려졌다. 해당 사건은 SK텔레콤의 시스템 내 보안 취약점을 악용한 것으로, 약 100만 명 이상의 고객이 영향을 받은 것으로 보인다.

현재 KISA와 과학기술정보통신부, 경찰은 SK텔레콤 해킹 사건에 대해 조사를 진행 중이다.