리눅스 백도어 ‘BPF도어’(BPFDoor) 변종으로 세계 통신 인프라 공격
ICMP·매직 패킷 기반 은밀한 통신과 무상태 C2로 탐지 회피 및 공격자 추적 어려움

[보안뉴스 김형근 기자] 중국 배후 해킹 그룹 ‘레드멘션’(Red Menshen)이 고도화된 리눅스 백도어 ‘BPF도어’(BPFDoor) 변종을 활용해 세계 통신 인프라를 겨냥한 공격을 수행하고 있는 것으로 나타났다.

BPF도어는 지난해 SK텔레콤 유심 해킹 사태 때 핵심 역할을 한 악성 코드다.



이번 변종은 ‘버클리 패킷 필터’(BPF: Berkeley Packet Filter) 기능을 악용해 별도 포트를 열지 않고도 유입되는 모든 패킷을 정밀하게 감시하며 은밀히 활동한다.

보안 기업 래피드7(Rapid7)에 따르면, 공격자는 특정 ‘매직 패킷’(Magic Packet)이 전달될 때만 활성화되는 패시브(Passive) 구조를 통해 보안 장비의 탐지를 회피한다. 특히 신규 변종인 ‘icmpShell’과 ‘httpShell’은 ‘무상태 명령제어’(Stateless C2) 방식을 적용해 공격자의 고정 IP 흔적을 남기지 않는 것이 특징이다.

또한 ‘-1’ 플래그를 활용한 역방향 셸(Reverse Shell) 유도 기법을 통해 공격자는 VPN이나 NAT 환경 뒤에 숨어 명령을 수행할 수 있다.

이와 함께 ‘인터넷 제어 메시지 프로토콜’(ICMP) 릴레이 기술을 활용해 일반적 핑(Ping) 트래픽에 악성 명령을 숨김으로써 내부 네트워크 보안 장비를 우회한다. 이 악성코드는 SCTP와 같은 통신 프로토콜과 컨테이너 환경을 악용해 핵심 인프라를 공격할 수 있다.

또 시스템 내부에선 ‘HPE 인사이트 매니지먼트 에이전트’(HPE Insight Management Agents) 등 정상 서비스로 위장하고, 파일 정보를 조작하는 기만 전술도 사용하는 것으로 분석됐다.

보안 전문가들은 기존 보안 도구로 탐지가 어려운 이러한 위협에 대응하기 위해 내부 네트워크 내 비정상적인 ICMP 트래픽에 대한 모니터링을 강화할 것을 권고했다.

이번 공격은 고도화된 스파이 캠페인으로 평가되며, 리눅스 서버 보안 체계 전반에 대한 재점검 필요성을 시사한다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>