🔓 BPF도어(BPFDoor) 악성코드의 정체와 대응 방안: SK텔레콤 HSS 해킹 사건을 중심으로
2025년 상반기, 국내 통신 인프라에 심각한 보안 경고등이 켜졌습니다. SK텔레콤의 핵심 가입자 인증 서버인 **HSS(Home Subscriber Server)**가 해킹당하면서, 2,300만 명에 달하는 이용자의 유심(USIM) 정보가 유출된 것입니다. 특히 이번 해킹에는 고도화된 리눅스 기반 백도어인 **‘BPF도어(BPFDoor)’**가 사용되었으며, 그 정체와 대응 전략에 관심이 집중되고 있습니다.
✅ 사건 개요: HSS 침투, 유심 정보 유출
침해 대상: SK텔레콤의 HSS 시스템
유출 정보:
IMSI: 국제 이동 가입자 식별번호
IMEI: 단말기 고유 식별번호
USIM 인증 키
위협 시나리오:
SIM 클로닝
스푸핑 공격
사용자 가장, 인증 우회
📌 HSS는 이동통신 인증·가입자 정보 관리의 핵심 시스템으로, 이곳이 침해됐다는 것은 통신망의 신뢰 기반 자체가 흔들릴 수 있는 심각한 보안 사안입니다.
🧬 BPF도어(BPFDoor)의 정체: 은밀한 리눅스 백도어
🔍 BPFDoor란?
**BPF(Berkeley Packet Filter)**를 활용하여 네트워크 트래픽을 감청·조작하는 리눅스 기반 백도어 악성코드입니다. 2021년 PwC 보고서[1] 를 통해 정체가 처음 공개되었으며, 중국계 해킹 그룹이 주요 인프라를 표적으로 사용한 것으로 알려졌습니다.
항목
설명
🎭 은폐성
디스크에 흔적 없이 메모리에서만 실행 (파일리스 공격)
🔑 패킷 트리거 방식
특정 포맷의 ‘매직 패킷’ 수신 시 악성 기능 활성화
📡 역방향 연결
공격자에게 직접 연결해 명령 수신 (reverse shell)
🧠 BPF 인터셉트
일반 포트 사용이 아닌 커널 네트워크 계층에서 감청
기존 침입 탐지/방지 시스템(IDS/IPS)으로는 탐지가 어렵고, 백신 프로그램도 쉽게 인식하지 못하는 비정형 공격 코드입니다.
🛡 대응 방안: BPF도어 탐지 및 차단 전략
✅ 1. 시스템 수준 대응 (OS/커널)
조치
설명
🔐 커널 보안 모듈(AppArmor, SELinux) 강화
BPF 기능 사용 제한 및 추적
🧼 최신 커널 패치 적용
eBPF/BPF 관련 취약점 수시 패치
🧰 Audit 시스템 도입
비정상적 BPF 실행 로그 추적 (auditd, sysmon for Linux)
✅ 2. 네트워크 보안
조치
설명
🧱 EDR/XDR 연동
BPF 기반 트래픽 감지 가능한 보안 솔루션 구축
🌐 비정상 포트·패킷 필터링
‘매직 패킷’ 시도 차단 룰 추가
📊 흐름기반 탐지(NTA/NDR)
정상 트래픽과의 패턴 차이 식별
✅ 3. 행위 기반 AI 탐지 시스템 구축
BPF도어는 기존 서명 기반 탐지로는 한계가 있으므로,
**AI 기반 비정상 행위 분석 엔진(NIDS + ML 분석)**을 도입해,
지속적 트래픽 분석
비인가 트리거 및 쉘 호출 탐지
로그 기반 이상 탐지 모델 학습
✅ 4. HSS 시스템 보안 강화
조치
설명
📦 네트워크 분리
인증 DB, USIM 인증 서버를 망 분리
🔐 이중 인증(MFA)
관리자 및 API 호출 시 MFA 적용
🧪 코드 무결성 검증
정기적인 바이너리 스캔 및 체크섬 검증 도입
📉 사고의 파급력: 단순 유출을 넘어선 신뢰 침해
유심 인증 정보는 사용자의 신원을 보장하는 통신망의 루트 자격증명에 해당
이 정보가 유출되면 단말기 스푸핑, 인증 우회, 위치 추적 등 광범위한 악용 가능
통신사뿐만 아니라 금융, 이커머스, 공공기관 인증 서비스에도 연쇄 위협
📈 향후 과제 및 제언
항목
전략
✅ 보안 거버넌스
통신 인프라에 특화된 CERT-CSIRT 상시 운영
✅ 위협 인텔리전스
BPFDoor 및 유사 리눅스 위협에 대한 국가 단위 정보 공유 체계
✅ 민간-정부 협력
KISA, 경찰, 통신 3사 간의 신속 대응 공동 체계 마련
✅ 사이버 레질리언스
침해 후 복구 능력 포함한 위기 대응 시나리오 실현
✅ BPFDoor는 ‘보이지 않는 위협’, 대응은 데이터와 인텔리전스다
이번 SK텔레콤 HSS 침해 사건은 단순한 해킹이 아닌, 대한민국 통신 인프라의 보안 경고입니다. BPFDoor와 같은 고급 위협은 정적 방어로는 막을 수 없습니다. 행위 기반 탐지, AI 분석, 커널 레벨 보안 강화를 통해 ‘선제 방어’에서 ‘지능형 탐지’로 전략을 전환해야 할 시점입니다.
“악성코드는 이제 숨는다. 우리는 이제 그 ‘행동’을 포착해야 한다.” 🧠🛡️📡
📑 BPFDoor 대응을 위한 보안 솔루션 및 정책 설계 제안서
제안 목적: SK텔레콤 HSS 해킹과 같은 리눅스 기반 고도화된 악성코드 침입을 방지하고, 실시간 탐지 및 확산 방지 체계를 마련하여 통신 인프라의 핵심 영역 보안 안정성을 확보합니다.
✅ 1. 위협 정의 및 문제 진단
구분
설명
위협 유형
고급 리눅스 백도어(BPF 기반 파일리스 악성코드)
감염 방식
BPF 필터 통한 패킷 감청, 매직 패킷 활성화, 역방향 연결
침해 대상
리눅스 기반 통신 서버(HSS, PGW, SGW 등)
주요 이슈
탐지 회피, 로그 은폐, 지속성 유지(Persistence), 권한 상승
🛡 2. 솔루션 아키텍처 제안
plaintext
[ 통신 인프라 서버 ] │ ├─ EDR/XDR 에이전트 (CrowdStrike, SentinelOne 등) ├─ eBPF 탐지 보안 커널 모듈 (Falco, Tracee) ├─ 로그 에이전트 (Sysmon for Linux, Osquery) │ ▼ [ 통합 보안 분석 서버 (SIEM) ] ├─ 이상행위 탐지 (MITRE ATT&CK 기반 룰셋) ├─ AI 기반 비정상 패턴 감지 (ML/Anomaly Detection) └─ 위협 인텔리전스 연동 (MISP, STIX, TAXII)
📦 3. 추천 보안 솔루션 (모듈별)
영역
솔루션/도구
설명
🔍 EDR/XDR
CrowdStrike Falcon / SentinelOne Singularity
커널 수준 행위 기반 탐지 및 대응 (Linux 지원 강력)
🧪 커널 탐지
Falco (Sysdig OSS)
eBPF 기반 이상 시스템 콜 탐지 (비정상 쉘·네트워크 접근)
🔧 BPF 로그 추적
Tracee (AquaSec)
BPF API 호출, 메모리 매핑 등 은밀 행위 추적 가능
📋 정형 로그 수집
Osquery + Sysmon for Linux
시스템 상태 및 BPF 추적 로그 생성 및 SIEM 연동
📊 분석 플랫폼
Splunk, Elastic SIEM, Wazuh
규칙기반 탐지 + AI 이상 감지 기능 가능
🧠 AI 모듈
Azure Sentinel ML, IBM QRadar UBA
이상 사용자/시스템 행위 분석(UEBA/NTA)
🏗 4. 보안 정책 설계안
📌 시스템 보호 정책
정책
설명
커널 수준 실행 정책
eBPF 기능 사용 권한 최소화 (/proc/sys/kernel/unprivileged_bpf_disabled)
접근 제어
AppArmor / SELinux 기반 Role 설정, 서비스당 최소 권한 원칙 적용
계정 보안
HSS 관리자·루트 계정에 대해 MFA 및 접근 시간 제어
네트워크 제한
HSS는 외부 명령 수신 불가, 정적 IP 및 ACL 기반 연결만 허용
취약점 관리
리눅스 커널 실시간 패치 시스템(LivePatch) 도입 검토
📌 탐지 및 대응 정책
탐지 항목
정책
BPF 관련 실행 흔적
/sys/kernel/debug/tracing 접근 모니터링
수상한 포트 수신
비인가 포트로의 Listening 동작 탐지
Reverse Shell 시도
터널링/역방향 접속 감지 룰 설정
매직 패킷 수신
네트워크 흐름 이상 감지, 포맷 기반 시그니처 작성
🔁 5. 운영/자동화 방안
항목
내용
로그 자동 수집
rsyslog + Filebeat 기반 통합 수집
공격 탐지 룰셋
Sigma Rule / MITRE ATT&CK 기반 커스터마이징
위협 인텔리전스
MISP 기반 IOC 연동, 자동 차단 룰 구성
정책 자동화
SOAR 플랫폼 (Cortex XSOAR, Splunk SOAR) 연계로 대응 자동화
📈 6. 단계별 도입 전략
단계
내용
기간
1단계
PoC: eBPF 탐지 (Falco/Tracee), 로그 시각화 (ELK)
1~2개월
2단계
EDR 도입, 정형 로그 수집 + SIEM 연동
3~4개월
3단계
위협 인텔리전스, AI 기반 행위 탐지 연동
5~6개월
4단계
정책 정비, 통합 관제센터 연계, 재해 복구 시나리오 적용
6개월~
✅ “이제는 탐지할 수 없는 위협까지 대비해야 한다”
BPF도어는 기존 보안 시스템을 우회하고 커널 레벨에서 작동하는 비정형 위협입니다. 기존 안티바이러스, 방화벽만으로는 방어가 불가능하며, 행위 기반 보안, AI 분석, 커널 추적 보안의 삼박자 전략이 필수입니다.
