안녕하세요, 안랩입니다.

한국인터넷진흥원(KISA)은 최근 통신사 해킹 사건과 관련하여 리눅스 기반 시스템을 노린 고도화된 백도어 악성코드인 'BPFDoor'에 대한 점검 가이드를 2025년 5월 12일자로 배포하였습니다.

이 가이드는 보호나라 보안공지 게시판에서 확인할 수 있습니다.

한국인터넷진흥원(KISA)에서 배포한 점검 가이드를 참조하여 시스템 점검을 권장드립니다.

• [KISA BPFDoor 점검 가이드 보기]

BPFDoor 악성코드 개요

BPFDoor는 리눅스 및 솔라리스 시스템을 대상으로 하는 스텔스형 백도어 악성코드로, 시스템 프로세스를 위장하여 탐지를 회피하고 외부 명령을 수신하여 민감 정보를 유출하는 기능을 갖추고 있습니다.

특히 최근 SK텔레콤 해킹 사건에서 이 악성코드가 사용된 것으로 추정되며, 유심(USIM) 관련 정보 유출 정황이 포착되었습니다.

주요 변종 및 위장 기법

KISA는 BPFDoor 계열의 기존 악성코드 4종 외에도 변종 악성코드 8종을 추가로 발견하였습니다.

이들 악성코드는 시스템 프로세스를 위장하거나 루트킷 기능을 통해 자신의 존재를 은폐하고, 시스템 권한을 상승시키는 등의 기법을 사용합니다.

예를 들어, dbus-srv는 시스템 프로세스인 dbus-daemon을 위장하여 실행되며, inode262394는 파일 시스템의 inode 구조를 위장하여 숨깁니다.

대응 방안 및 점검 도구

KISA는 BPFDoor 악성코드에 대한 점검 가이드를 제공하고 있으며, 이를 통해 시스템 내 악성코드 감염 여부를 확인할 수 있습니다.

침해사고 발생 시 조치 사항

시스템에서 침해사고가 의심되거나 악성코드 감염이 확인될 경우, 보호나라를 통해 즉시 침해사고를 신고해야 합니다. 또한, 한국인터넷진흥원 사이버민원센터(국번 없이 118)를 통해 상담 및 지원을 받을 수 있습니다.

기업 및 기관은 해당 가이드를 참고하여 시스템 보안 점검을 실시하고, 필요 시 보호나라를 통해 침해사고를 신고하는 등 적극적인 대응이 필요합니다.