1. 사건 개요
- 발견 시점 및 대상
2025년 4월 19일, SK텔레콤의 핵심 서버인 Home Subscriber Server(HSS)에서 악성코드가 탐지되어, IMSI·MSISDN·유심 인증 키 등 가입자 유심 정보가 대량 유출된 정황이 확인되었다. - 영향 범위
국내 가입자 약 2,300만 명 및 알뜰폰 사용자 187만 명 등 총 2,500만 명의 유심 정보가 노출될 가능성이 제기되었다.
2. 악성코드 ‘BPFDoor’ 소개
- 기원
2021년 PwC 위협 보고서를 통해 처음 공개된 리눅스 기반 백도어. BPF(Berkeley Packet Filter)를 악용해 네트워크 모니터링·필터링 기능을 은밀히 활용한다. - 주요 특징
- 방화벽 우회: 커널 레벨 BPF 모듈로 동작해 전통적 방화벽 룰을 무력화한다 .
- 디스크 흔적 최소화: 실행 후 모두 메모리 상에서만 동작해 탐지가 어렵다.
- 프리루트(Prerouting) 활용: 네트워크 패킷이 들어오는 시점에만 가로채 처리하고, 이후 흔적을 지운다.
- 매직 패스워드: 특정 문자열(예: “열려라 참깨”)이 패킷에 포함될 때만 활성화되는 뒷문 형태로 설계되었다.
3. 영상 속 기술적 심화 분석
- CERTCC 정보 공개
컴퓨터 긴급 대응팀 협조 센터(CERTCC)에서 일부 BPFDoor 패턴과 네트워크 트리거 정보를 공개했으며, 영상에서 이를 토대로 코드 구조를 처음으로 상세 해설. - 역방향 셸 구조
BPF 필터를 통해 명령을 수신하고, 시스템 쉘을 역으로 호출해 원격 제어 권한을 확보하는 과정을 단계별로 설명. - 오픈소스 취약점
악성코드 소스가 깃허브 등에서 공개된 상태여서, 여러 위협 행위자가 코드 변형·재배포로 공격을 확산시킬 위험을 지적. - Trend Micro 보고서
패킷 구조와 BPF 프로그램 필터링 로직, 탐지 회피 기법 등을 추가로 소개하며, 기존 보안 솔루션의 한계를 짚었다. - Wiperent 공격 비교
The Elec 보고서를 인용해 SKT 해킹과 국가 인프라 대상 Wiperent 공격 간 공통점(은닉 모듈·패킷 가로채기)을 설명.
4. 탐지 및 방어의 한계
- 보안 솔루션 무력화
커널 레벨에서 직접 패킷을 처리하기 때문에 포트 스캔·IDS·IPS 같은 전통적 탐지 기법이 거의 무용지물이 된다. - 대규모 트래픽 실시간 분석의 어려움
SKT처럼 방대한 트래픽을 가진 네트워크에서는 모든 패킷을 실시간으로 검사하기 현실적으로 불가능해 탐지 지연이 발생할 수 있다.
5. 권고 및 결론
- 보안 체계 강화
커널 모듈 무결성 검증, EDR(Endpoint Detection & Response) 도입, BPF 취약점 패치 등 근본적 보안 대책 마련이 시급하다. - 인소싱 전략
아웃소싱 위주의 보안 운영에서 핵심 기능을 내부화해 신속 대응 역량을 강화할 필요가 있다. - 지속적 모니터링
매직 패스워드 탐지 룰 구축, 비정상 트래픽 차단 룰 강화 등 재발 방지 체계를 확립해야 한다.
이 영상은 BPFDoor 악성코드가 어떻게 시스템 내부로 침투해 은밀히 동작하는지, 그리고 이를 탐지·방어하기 위해 어떤 기술적 조치가 필요한지를 단계별로 심층 분석한다.
