'SKT 해킹' BPF도어 뭐기에…"해커들 뒷문"
과학기술정보통신부가 1주일 동안 SK텔레콤(SKT) 침해 사고를 조사한 결과를 29일 발표했다. 조사에 따르면, 이번 침해 사고에서 단말기 고유식별번호(IMEI)는 유출되지 않은 것으로 확인했다. 민관합동조사단은 SK텔레콤이 공격 받은 정황이 있는 3가지 서버 5대를 조사했다. 다른 중요 정보가 포함된 서버도 살피고 있다. 조사단은 지금까지 SK텔레콤에서 유출된 정보는 가입자 전화번호, 가입자식별키(IMSI) 등 유심(USIM)을 복제하는 데 쓰일 수 있는 4가지와 유심 정보 처리 등에 필요한 SK텔레콤 관리용 정보 21종이라고 전했다. 특히 조사단은 침투에 사용된 BPF 도어(Berkeley Packet Filter Door) 계열 악성 코드 4가지를 발견했다고 밝혔다. BPF 도어는 리눅스 운영체제(OS)에 내장된 네트워크 모니터링·필터 기능을 수행하는 BPF를 악용한 백도어(Backdoor)다. 은닉성이 높아 해커 통신 내역을 알아채기 어려운 특징이 있다. 이희조 고려대 컴퓨터학과 교수는 이날 지디넷코리아와의 통화에서 “해커가 BPF 도어를 설치했다는 사실보다 어떤 경로로 들어와 설치했는지, 이후 무슨 정보를 빼냈는지, 다음에 행할 더 큰 공격을 위한 단계로 쓴 것인지 조사단이 여부를 알아야 한다”고 말했다. 이 교수는 “SK텔레콤 말고도 KT나 LG유플러스 등이 비슷한 공격을 받았는지 확인해야 또 다른 피해를 막을 수 있다”고 덧붙였다. “BPF, 해커가 드나들려고 숨기는 뒷문” 정보보호 전문가들은 BPF를 리눅스 기반 운영체제에서 통신 정보를 감시하는 문이라고 비유했다. BPF 도어는 해커가 관리자 몰래 BPF에 만든 뒷문이다. 이 뒷문으로 드나들며 정보를 빼낼 수 있다는 얘기다. 박기웅 세종대 정보보호학과 교수는 “BPF는 시스템 내부 상황을 자세히 보려고 만들어진다”며 “시스템 주인이 아니라 공격자가 제어하면 악용된다”고 말했다. 그러면서 “집주인이 홈모니터링 시스템에 접속해 편리하게 집을 관리할 수 있지만, 도둑이 접속하면 범죄에 쓰이는 이치”라고 예를 들었다. 순천향대 정보보호학과 명예교수인 염흥열 한국개인정보보호책임자(CPO)협의회장은 “BPF 도어는 탐지하기 어려운 뒷문이라고 볼 수 있다”며 “해커가 일단 보안 취약점을 악용해 정보 시스템에 성공적으로 침투하고 나서 설치하는 악성 코드로, 해커가 다시 들어오려고 숨겨놓는 뒷문”이라고 표현했다. 익명을 요청한 보안 관련 교수도 “BPF 도어란 쉽게 얘기해 관리자 몰래 서버를 드나들 수 있는 비밀 통로”라며 “해커가 일단 서버에 침입하고 나서 다음에 다시 편하게 들어오려고 만드는 뒷문”이라고 빗댔다. 그러면서도 “'나 말고 다른 해커까지 들락거리면 곤란하다'고 생각한다”며 “나만 편하게 오가려고 '최고의 비밀번호(magic password)를 걸어둔 뒷문을 설치한다”고 전했다. 그는 “'열려라 참깨'라는 비밀번호 문자를 네트워크에 보내면 문이 열리게 해둔다”며 “이때 BPF 도어가 네트워크 통신에 '열려라 참깨'라고 입력됐는지 알아채 문이 열리도록 한다”고 설명했다. 국내에서 BPF 도어와 그 변종으로 인한 피해가 얼마나 생겼는지 통계는 없다. 다만 BPF 도어용 악성 코드가 누구나 보고 수정·배포할 수 있는 오픈 소스로 풀린 지 몇 년 흘렀기에 국내외에서 종종 쓰이는 것으로 전문가들은 보고 있다. 염흥열 협의회장은 “중국계로 추정되는 해커 조직이 정부·통신사·금융사 등 주요 기반 시설을 공격하려고 BPF 도어를 쓰는 것으로 알려졌다”고 언급했다. BPF 도어 수법은 2021년 영국 회계·경영 컨설팅 업체 프라이스워터하우스쿠퍼스(PwC) 위협 보고서에 처음 등장했다. 중국 해커 조직 '레드멘션'이 중동·아시아 통신·물류·교육 업체를 BPF 도어로 공격한 것으로 전해졌다. 미국 보안 기업 트렌드마이크로에 따르면 최근 한국·홍콩·미얀마·말레이시아·이집트의 통신·금융·소매 기업이 BPF 도어 공격을 당했다. “가치있는 회사일수록 보안 투자해야” 박기웅 교수는 “BPF 도어 기법을 포함해 모든 공격에는 공통점이 하나 있다”며 “보안 통제가 깨진 것”이라고 지적했다. “BPF 공격 또한 공격자가 일단 관리자 권한을 얻어서 벌어진 일”이라며 “시스템 권한을 관리하고 내부 소프트웨어 취약점을 분석해 적극적으로 모의 해킹하고 점검해야 한다”고 주장했다. 다만 “완벽한 해결책은 아니다”라며 “공격자가 항상 우위에 있고, 지키는 사람은 100만개를 잘 지켜도 1개만 뚫리면 공격당하는 곳이 이곳의 생태”라고 고개를 저었다. 염흥열 협의회장은 “먼저 원인을 조사해 그 결과에 따라 미흡한 점을 보완해야 한다”며 “특별히 보안 제품이나 서비스, 전담 인력을 늘릴 필요가 있다”고 조언했다. 이어 비정상적인 공격을 검출하는 네트워크 기반 탐지, 비정상적인 트래픽을 막는 방화벽 규칙 강화 등을 권했다. 'SK텔레콤이 당할 수밖에 없었는지, 평소 투자나 방어가 부족해서 이렇게 됐는지' 묻는 물음에 박기웅 교수는 “북한·중국과 가까워 한국 통신사는 지정학적으로 공격 대상이 되기 쉬운 데 비해 많이 투자하기는 어려운 처지”라며 “미국 마이크로소프트(MS)처럼 수백조원 매출을 올리는 기업이 1천억원을 보안에 투자하는 것과 1천억원 매출을 올리는 기업이 1천억원을 보안에 투자하는 것은 비교하기 힘들다”고 답했다. SK텔레콤은 지난해 매출 17조9천406억원, 영업이익 1조8천234억원을 기록했다. 2000년 1분기부터 지난해 4분기까지 100개 분기 연속, 25년째 흑자다. 보안 관련 한 교수는 “BPF 도어를 막으려면 꾸준히 서버에 보안 패치를 설치하고 무결성을 검증하고 비정상적인 접근이 있는지 살펴보는 수밖에 없다”며 “보안에 충분히 투자하고서도 단 한 번의 공격을 알아채지 못해 해킹 당하는 한편 별로 투자하지 않았지만 전혀 해킹 당하지 않는 회사도 있다”고 말했다. 이 교수는 “결국 회사에 훔칠 만한 정보가 있다면 해커가 위험과 어려움을 무릅쓰고 해킹한다”며 “이 정도 공격을 100% 완벽하게 막을 수 없어서 SK텔레콤이 아닌 다른 기업이더라도 방어하기 쉽지 않았을 것”이라고 추정했다. SK텔레콤은 그만큼 가치 있는 정보를 많이 가진 회사다. 시장 점유율 40%에 이르는 국내 1위 통신사다. 유심 정보를 탈취당한 가능성이 있는 이용자는 SK텔레콤 가입자 2천300만명과 SK텔레콤 망을 이용하는 알뜰폰 가입자 187만명을 더해 총 2천500만명에 달한다. 보안 업계 관계자는 “미국 행정부는 '리눅스용 백신과 엔드포인트 탐지·대응(EDR·Endpoint Detection & Response) 시스템을 설치하라'고 권고한다”며 “통신사 시설이 워낙 크고 많으니 모든 시스템을 최신으로 유지하기 어렵겠지만 보안에 계속 투자하고 최신 위협에 대처하는 능력을 갖춰야 한다”고 강조했다. 조사 중…"보안 정책 개선해야" 보안 전문가들은 이번 사태에 대해 조사로 끝나서는 곤란하다고 입을 모았다. 보안 정책을 개선하는 계기로 삼아야 한다는 거시다. 한국 보안 규제는 강하지만, 일이 터져야 급급하다고 평가된다. 과학기술정보통신부에 '침해대응과'는 있어도, '침해예방과'는 없는 현실이 이를 나타낸다. 김승주 고려대 정보보호대학원 교수는 “이 악성 코드는 변종이 많다는 게 특징”이라며 “소스 코드가 공개됐더라도 변형이 많이 만들어진데다 스텔스 기능까지 겸해 탐지하기 어려울 수 있다”고 말했다. 한국과학기술원(KAIST) 과학치안연구센터장인 김용대 카이스트 전기및전자공학부 교수는 일률적인 규제로는 제대로 보안할 수 없다는 입장이다. 김용대 교수는 “인프라가 다른 상황에서 획일적인 체크리스트는 결국 기업이 최소한 조건만 만족하려고 하게 만든다”며 “자신의 인프라를 모른 채 어떻게 해커와 싸울 수 있겠느냐”고 되물었다. 그는 “2021년 'Log4j 사태'처럼 아직 패치되지 않은 취약점이 공개된 적이 있다”며 “해커는 한국 서버가 이런 취약점이 있는지 원격에서 확인해 해킹했지만, 국가는 '누구든지 원하지 않는 트래픽을 보낼 수 없다'는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 때문에 어떤 서버가 취약한지 알 수 없었다”고 비판했다. 그러면서 “해커는 원격으로 마음껏 취약점을 찾고 해킹해 들어온다”며 “우리 스스로 못 봐서 안전하게 만들 수 있는 기회가 없는 마당에, 적은 우리를 분석해 들어오면 결국 적에게 공격을 할 동기를 주는 셈”이라고 꼬집었다. 이어 “미국 사이버인프라보안국(CISA)이나 영국 국립사이버보안센터(NCSC)는 한국과 반대로 민간 시스템 보안을 먼저 지원하고, 취약점 보고자를 법적으로 보호하고, 정부 차원의 기술적 개입과 점검을 가능하게 만드는 법·제도를 병행한다”며 “국가는 통제자가 아니라, 모두가 보안을 하고 싶게 만드는 설계자가 돼야 한다”고 덧붙였다. 한편 KT와 LG유플러스도 안전하지만은 않다는 설도 나온다. 지난해 7월과 12월 한국 통신사가 BPF 도어 공격을 이미 당했다는 지적도 있다. 어느 통신사가 얼마나 큰 피해를 입었는지는 밝혀지지 않았다. 미국 정보보호 기업 트렌드마이크로는 이런 내용의 보고서 '아시아·중동을 표적으로 삼은 BPF 도어의 숨겨진 컨트롤러'를 지난 14일 발표했다.
