[보안뉴스 강현주 기자] SK텔레콤 유심 해킹에 사용된 악성코드 ‘BPF도어’가 더욱 탐지하기 어렵도록 진화하고 있다.

카스퍼스키(한국지사장 이효은)는 리눅스 기반 스텔스 백도어 악성코드 ‘NIDUPICK’(일명 BPF)과 최신 변종에 대한 분석 보고서를 11일 발표했다.


▲카스퍼스키 로고 [자료: 카스퍼스키]

카스퍼스키는 2020년 10월 하반기부터 BPF도어 악성코드를 ‘NIDUPICK’이라는 코드명으로 추적 분석해왔다. 5월엔 이 악성코드의 새 변종을 발견했다. 기존 특징을 대부분 유지하면서 다방면으로 진화했다. 특히 △SSL 암호화 채널을 통한 명령어 통신 △신규 매직 패킷 포맷 △공격 대상 지역 다변화 △통신사 대상 지속적 위협 등이 주목할 만하다.

이 변종은 명령어를 전송할 때 SSL을 암호화해 통신 내용을 숨김으로써 기존 탐지 시스템이 공격자 트래픽을 식별하기 어렵게 만든다는 점이다. 공격자가 의도적으로 패킷을 변화시켜 기존 도구로 탐지할 수 없게 될 가능성도 생겼다.

피해 지역도 아시아와 중동을 넘어 중앙아시아까지 확산되고 있는 것으로 나타났다.

이 변종은 수동 분석이나 기존 백신 솔루션만으로는 탐지가 어려운 수준이다. 특히 통신사를 지속적으로 주요 표적으로 삼는다는 점에서 주의가 필요하다고 카스퍼스키는 강조했다.

카스퍼스키는 이번 변종이 사용하는 신규 매직 패킷과 SSL 인증서를 식별할 수 있도록 탐지 도구를 업데이트했다. 텔레메트리 기반으로 수집한 변종 정보와 침해 지표를 인텔리전스 형태로 고객사에 제공하고 있다.

이효은 카스퍼스키 한국 지사장은 “BPF도어의 변종이 광범위하게 유포될 경우 기존 툴만으로는 완전한 탐지가 어렵다”며 “기업들은 카스퍼스키 리눅스 서버 제품과 카스퍼스키 위협 인텔리전스 솔루션을 통해 이런 위협으로부터 보호받을 수 있다”고 말했다.

한편, BPF도어는 리눅스 시스템 상에서 작동하는 백도어로 주로 아시아권 통신사를 표적으로 하는 공격에 사용돼왔다. 사용자 눈에 띄지 않도록 백그라운드에서 활동하는 게 특징이다. 대기 상태를 유지하다 특정 조건을 만족하는 매직 패킷을 수신하면 공격자의 명령에 따라 원격에서 명령을 수행한다.

[강현주 기자(jjoo@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>