얼마전 SK텔레콤 USIM 해킹 사건과 관련된 소식들이 언론을 통해 지속적으로 보도 되며 온 나라가 시끄러운 이시점. 얼마전 안랩에서 발표한 BPFDoor 악성코드 대응에 대한 내용에 대해서 오늘 다뤄보는 시간을 갖도록 하겠습니다. 본문 내용은 안랩에서 작성한 기사 내용을 참고하였음을 미리 말씀드립니다.
https://www.ahnlab.com/ko/contents/content-center/35827
BPFDoor란?
BPFDoor는 리눅스 커널 영역에서 실행되며 네트워크를 모니터링하는 역할을 수행합니다. 그러다 공격자로부터 특정 신호를 수신하면 원격 명령을 실행하는 방식으로 작동합니다.
최근 발생한 통신사 리눅스 서버 해킹 사건과 관련하여, 한국인터넷진흥원(KISA)에서는 치명적으로 작용했던 ‘백도어 악성코드 BPFDoor’에 대한 추가적인 위협 정보를 공개했습니다. 해당 악성코드는 보안 솔루션 회피 능력을 가진 채 시스템에 오랜 기간 은밀히 숨어있을 수 있으며, 이를 통해 정보 탈취는 물론 추가적인 공격 기반으로도 악용될 수 있었습니다. 이에 따라, 각 기업의 보안 담당자들은 시스템 보호를 강화하기 위해 필요한 보안 수칙과 권고사항을 적극적으로 실천해야 합니다. 아래는 KISA가 제시한 주요 보안 권고 사항들입니다.
BPFDoor 악성코드를 이용한 해킹 위협 방지 가이드
첫 번째, 침해지표(IOC)를 기반으로 한 탐지 및 차단입니다. 이를 위해 최신 BPFDoor 관련 침해지표(IP, 도메인, 해시 등)를 지속적으로 수집하고 이를 EDR (Endpoint Detection and Response), NIDS (Network Intrusion Detection System), SIEM (Security Information and Event Management) 같은 보안 도구에 적용하여 이상 징후를 탐지해야 합니다. 특히, 아래와 같은 항목들을 세심히 모니터링하는 것이 중요합니다: 의심스러운 BPF 필터링의 동작 여부, 잘 알려지지 않은 프로세스가 원격 명령을 수신하는 사례, 비표준 포트를 통한 외부 접속 시도 등입니다.
두 번째로, 비정상 네트워크 트래픽 탐지를 강화해야 합니다. BPFDoor는 수신 포트를 열지 않고도 패킷을 필터링하여 명령 수신이 가능한 점 때문에 전적으로 의심스러운 네트워크 활동을 분석해야 합니다. 특히 주목해야 할 부분은 포트가 열리지 않은 상태에서 외부로부터 트래픽 반응이 발생하거나 ICMP, UDP 기반의 비정상적인 패킷이 감지되는 경우입니다.
세 번째는 시스템 모니터링 및 파일 무결성 검증입니다. 시스템 내 설치된 비정상적인 실행 파일이나 수정된 시스템 파일을 정기적으로 점검하는 것은 기본입니다. chkrootkit이나 rkhunter 등의 도구를 활용해 루트킷(r
ootkit)을 탐지하고, 백도어에 의해 생성 가능성이 있는 의심스러운 파일이나 네트워크 소켓까지도 철저히 확인하는 과정을 포함해야 합니다.
네 번째는 패치 관리와 시스템 업데이트에 관한 조치입니다. BPFDoor가 커널 레벨에서 동작할 수 있다는 점을 감안하며, 리눅스 커널을 포함한 주요 소프트웨어와 드라이버에 대해 모든 보안 패치를 최신 상태로 유지하는 것이 중요합니다. 특히, 사용 중인 리눅스 배포판에서 제공하는 보안 권고사항을 정기적으로 확인하고 이를 빠짐없이 적용해야 합니다.
다섯 번째, 접근 제어 및 최소 권한 원칙의 적용입니다. 반드시 시스템에 대한 root 접근 권한을 제한하고 불필요한 서비스나 포트를 선제적으로 차단해야 하며, 관리자 계정을 사용하는 경우 반드시 다중 인증(MFA)을 활성화해 외부 접근을 보다 엄격히 통제해야 합니다.
여섯 번째 항목은 로그 분석 및 장기간 로그 보관입니다. /var/log/messages, auditd, auth.log 등과 같은 로그를 꾸준히 수집, 분석하여 비정상적인 프로세스 실행 기록이나 BPF 및 raw socket 관련 의심 행위를 감지할 수 있도록 해야 합니다. 이와 함께 장기간의 로그 보관은 Advanced Persistent Threat(APT)처럼 오랜 시간 동안 잠복하거나 서서히 진행되는 공격 방식을 추적하는 데 매우 유용합니다.
일곱 번째는 보안 솔루션 회피 징후를 확인하고 대응하는 것입니다. BPFDoor는 기존의 안티바이러스나 EDR 솔루션을 우회할 수 있는 기능을 가지고 있으므로 이러한 회피 징후를 면밀히 분석해야 합니다. 이를 위해 EDR이 정상적으로 작동하지 않거나 우회 시도가 발생하면 즉시 경고를 생성하도록 설정하는 것도 필수적입니다.
여덟 번째로는 내부 사용자를 대상으로 한 보안 인식 교육의 중요성이 강조됩니다. 사내 사용자들에게 의심스러운 이메일, 파일 또는 URL을 열어보지 않도록 경각심을 고취시키고 사회공학적 공격에 대해 학습하며 이에 대비할 수 있도록 교육을 진행해야 합니다.
마지막으로는 정기적인 보안 점검 및 침투 테스트가 중요합니다. BPFDoor가 탐지되지 않을 가능성을 대비해, 정기적인 레드팀/블루팀 테스트를 통해 보안 체계를 철저히 지속적으로 검증한다면 혹시나 모를 침해사고를 대비하는데 도움이 될것입니다.