TECH

[피앤피시큐어] BPFDoor, 왜 위험하고 어떻게 막을 수 있나? - 서버 위험 탐지 툴 무료 다운로드

PNPSECURE

15 min read
[피앤피시큐어] BPFDoor, 왜 위험하고 어떻게 막을 수 있나? - 서버 위험 탐지 툴 무료 다운로드

최근 국내 대기업을 겨냥한 해킹 사건을 비롯해, 제조업, 이커머스, 통신사, 금융권, 공공기관 등 사업 영역을 가리지 않고 리눅스 기반 시스템을 정조준한 고도화된 공격 수법이 공개되고 있습니다.

시스템 공격에 빈번하게 사용되는 BPFDoor 악성코드를 비롯해 다양한 네트워크 우회 기술에 의해 개인정보를 포함한 대규모의 주요 데이터 유출 사고들이 계속해서 드러나며 기존 서버 보안 체계의 한계가 여실히 드러나고 있습니다. 2022년 최초 발견 당시에 방화벽을 사실상 무력화 시켜 기존의 보안체계로는 방어하기 힘든 새로운 개념의 Backdoor 였습니다.

특히 침입 이후 탐지가 어려운 공격 방식을 활용해 장기적으로 서버 통신을 모니터링 하고, 주요 시점에 핵심적인 데이터를 유출하는 등 기업·기관에 치명적인 피해를 일으킬 수 있어 이에 대한 새로운 보안 체계를 마련하는 것이 필요합니다.

이번 글에서는 주요 공격 기술 중 하나인 BPFDoor 기법을 중심으로 서버 침입 방식을 살펴보고, 이러한 공격을 사전에 방지할 수 있는 핵심 방안을 소개합니다.

[ 목 차 ]

1. BPFDoor란?

2. BPFDoor가 왜 위험한가?

3. BPFDoor는 막을 수 없는건가?

4. 공격으로부터 안전하게 지키려면

5. 서버 위험 탐지 툴로 점검하기 (무료 제공)

-

1. BPFDoor란?🚨

BPFDoor는 정보를 탈취하는 인포스틸러(Infostealer) 계열의 대표적인 악성코드로, 고도화된 위장 기법을 활용해 네트워크 내부에 장기간 잠입해있다가 활동하는 것이 특징입니다. 리눅스 시스템의 네트워크 트래픽을 감청하거나 명령을 수신하기 위해 BPF(Berkeley Packet Filter) 필터 기술을 악용해 다음과 같은 행위를 할 수 있습니다.

시스템의 방화벽 정책(iptables 등)을 우회하고, 포트를 열지 않아도 외부 명령을 수신할 수 있으며, 감염 후 수년간 탐지되지 않을 정도로 은밀하게 작동합니다. 이러한 특성으로 BPFDoor는 시스템 내에서 BPF 필터를 설정해 특정 트래픽만 선별 수신할 수 있으며 공격자는 이를 통해 매직 패킷으로 불리는 명령어를 전달해 악성코드를 활성화하고 데이터 유출을 시도합니다.

2. BPFDoor가 왜 위험한가?🧐

보통의 네트워크 구성 인프라에서는 네트워크 방화벽과 서버 내부의 방화벽(iptables 등)으로 보호를 하고 있습니다. 하지만 BPFDoor는 이런 방화벽을 모두 우회하여 정보를 탈취합니다.

Case 1. 방화벽을 구성하지 않았다면?😱

네트워크 인프라에서 방화벽이 없는 경우는 거의 없습니다. 단, 동일 네트워크의 경우에는 네트워크 방화벽이 없을 수 있습니다. 또한 개인 환경에서는 편의상 방화벽을 비활성화하는 경우가 있습니다. 이런 경우에는 BPFDoor 이외에도 간단한 공격에도 취약하게 됩니다.

Case 2. 호스트 방화벽으로는 방어할 수 없는가?🛡️

개인정보의 중요성과 해킹 사고의 전파로 인하여 보안 경각심이 높아지고 있습니다. 하여 기업과 개인 모두 최소한 Windows 방화벽 혹은 리눅스의 Iptables 같은 호스트 방화벽을 사용합니다. 하지만 BPFDoor 는 iptables 을 무력화 시키고 정보를 유출합니다.

BPFDoor 에 감염된 서버의 경우 서버 내 잠재되어 은밀하게 신호를 기다리고 있습니다. 공격자는 BPFDoor 를 열기 위해서 서버에 매직코드를 포함한 패킷을 전달하게 됩니다.

해당 패킷은 서버의 iptables 이전 단계인 Kernel 단에서 RAW Socket에 먼저 수신되어 매직패킷임이 감지되기 때문에 숨겨진 동작을 수행할 수 있습니다. 즉, 방화벽(iptables)에 도달하기 이전에 패킷에 숨겨진 동작을 수행할 수 있기 때문에 호스트 내부 방화벽도 무력화 하는 것입니다.

Case 3. 네트워크 방화벽에서 패킷을 차단하면?🧱

서비스를 제공하기 위해서는 네트워크 방화벽에서 Rule 설정을 해야 합니다. 예를 들어 웹 서비스는 포트 443, 서버 관리는 포트 22를 오픈해 제공할 수 있습니다. 만약 Rule이 잘못 설정되면 서비스 제공 자체가 불가능합니다.

BPFDoor 는 네트워크 방화벽의 허용 Rule을 공략해 공격대상 서버에 접근합니다.

예를 들어, IT 부서는 서버 관리를 위해 서버존으로 22번 포트를 통해 SSH 서비스를 네트워크 방화벽과 서버 방화벽(iptables)에서 오픈 합니다. 공격자는 이미 허용된 네트워크 방화벽 룰을 통해 매직 패킷을 보내기에 중간 방화벽은 모두 무력화 되고 패킷은 무사히 서버에 도달합니다. 서버에 도달하게 되면 RAW Socket에서 패킷을 수신하고 숨겨진 동작을 수행해 정보를 탈취합니다.

우리가 생활을 할 때 보안을 위해서 문이 있듯이 네트워크 환경에는 방화벽이 존재합니다.

하지만 BPFDoor 는 방화벽을 무력하게 만들기에 방어하기가 더 어려운 공격입니다.

방화벽 별 매직 패킷 차단 가능성

3. BPFDoor는 막을 수 없는 것인가? ❌❗

앞서 살펴본 것과 같이 방화벽이 있어도 방화벽을 무력화하고 정보를 유출하는 BPFDoor를 막기는 어렵습니다. 마치 BPFDoor 에 감염이 되면 언제든 열리는 백도어 같을 수 있습니다. BPFDoor 변종에 대한 패킷 컨트롤은 현실적으로 불가능하지만 적어도 공개된 BPFDoor 공격은 BPFDoor의 패킷만 컨트롤 할 수 있다면 막을 수 있습니다.

BPFDoor 공격의 시작은 매직패킷입니다. BPFDoor 활성화 트리거가 되는 매직패킷은 통신 페이로드 안에 공격 시그널을 포함하여 전달을 합니다.

그림과 같이 매직코드는 RAW Socket 에서 인식 할수 있어야 하기 때문에 평문 문자열로 키워드가 존재합니다. 이는 RFC(TCP/IP 등 인터넷 프로토콜, 절차, 통신 규격, 시스템 설계 정의) 규격을 벗어난 통신이기에 비정상적인 형태를 가지게 됩니다.

예를 들어 SSH(Secure Shell) 프로토콜은 “키교환 > 인증 > 암호화 통신” 순서를 가지고 payload 에는 문자열이 없어야 합니다. 하지만 SSH 포트를 이용한 BDFDoor 패킷에는 식별 가능한 문자열이 포함되어 있습니다.

정상 SSH 프로토콜 흐름 vs SSH Port BPFDoor 매직 패킷 비교

즉, 방화벽에서 허용한 SSH 서비스 포트(22)로 매직패킷을 보내더라도 정상적인 SSH 프로토콜이 아닌 경우 패킷이 서버에 도달하기 전에 필터링하게 된다면 해커는 BFPDoor를 활성화 할 수 없습니다.

결론적으로,

BPFDoor가 설치되어 있더라도 프로토콜을 해석할 수 있는 DBSAFER와 같은 프록시 기반의 보안 솔루션이라면, 통신 중간에서 패킷 내용을 분석하고 데이터의 정합성을 검증할 수 있습니다. 특히 SSH 등과 같은 프로토콜을 정확하게 파싱하는 구조라면, 매직 패킷이 BPFDoor가 설치된 서버까지 도달하기 전에 이를 식별하고 차단할 수 있습니다. 즉, 매직 패킷이 트리거로 동작하기 전에 프록시 단에서 무력화되므로, 이러한 구조의 보안 솔루션은 BPFDoor 공격을 효과적으로 방어할 수 있습니다.

4. 공격으로부터 안전하게 지키려면🔒💡

BPFDoor를 비롯해 다양한 서버 공격 도구로부터 주요 자산을 보호하기 위해서는 위험 요소 침입을 예방해야 하며, 주기적인 탐지 활동을 통해 위험 발생 초기에 적절한 보안 조치를 취할 수 있어야 합니다.

특히 BPFDoor와 같은 공격 도구는 고도화된 리눅스 기반 백도어 악성코드로, 해커는 방화벽을 우회하고 탐지를 회피해 시스템에 은밀히 침투합니다. 최근에는 소스코드가 공개로 새로운 변종이 발생하고 있으며 그와 더불어 다양한 공격 방식이 나타나고 있습니다.

포괄적인 탐지의 중요성

현재 대두되고 있는 BPFDoor는 이번 사고로 인해 조기 탐지의 중요성이 인지됨에 따라 점검 방법이 배포되었습니다. 하지만 실제 외부에서는 내부의 기업 자산을 탈취하기 위해 다양한 방식을 활용합니다.

  • Port Knocking : 접근 포트의 순서로 악성코드 활성화 공격
  • 루프백 우회 : Local 인터페이스의 관리 예외를 공략한 기법
  • iptables NAT : PRE/POSTROUTING 룰을 조작하여 외부 트래픽 포워딩
  • Pivoting : 연결을 중계하여 내부 네트워크 공략(lateral movement)

특히 Pivoting 공격의 경우 SSH 터널링 기반으로 침투하여 내부 네트워크을 공략합니다. SSH 터널링은 클라이언트와 서버 사이의 하나의 연결통로를 만들고 통신을 하기 때문에 연결이 된다면 네트워크 방화벽에 감시 받지 않고 내부 네트워크에 접근 경로를 만들어 주게 됩니다.

결국 서버는 BPFDoor 이외에도 다양한 공격에 노출되어 있기 때문에 우리는 더 확대적인 관점에서 포괄적 예방 활동을 위한 탐지가 필요하며, 탐지 기술도 BPFDoor 공격의 표면적인 패턴탐지(문자열 기반의 탐지)를 넘어서 공격 행위의 전체적인 패턴을 수학적으로 분석하여 변종 공격까지 탐지 하는 기술도 고려 되어야 할 것입니다.

주기적 탐지를 통한 위험 요소 차단의 중요성

악성코드는 침입 후 바로 활동하지 않습니다. 공격 성공률을 높이기 위하여 은밀하게 잠재 된 상태로 대기하고 있습니다. 동작 자체도 시스템 내부의 다른 작업과 병행적인 동작을 하여 탐색이 어렵게 구조화 되어 있습니다.

특히 위에서 언급한 방법 이외에도 다양한 통신 프로토콜에 매직코드를 삽입할 수 있으며, 심지어는 서버에서 열고 있지 않은 통신 포트에 매직코드가 삽입된 Raw Packet을 강제 전달하여 대기 중인 악성코드를 활성화 할 수 있다는 것을 간과해서는 안될 것입니다.

그렇기에 한번의 점검으로 완료할 수 없다고 보고 지속적인 관심과 대응이 필요합니다.

5. 서버 위험 탐지 툴로 점검하기

- PNPSECURE Server Threat Detector (BPFDoor, 네트워크 해킹 위협행위 탐지)

기술 개요

PNPSECURE Sever Threat Detector(BPFDoor, 네트워크 해킹 위협행위 탐지)는 피앤피시큐어가 전 사용자에게 무료로 제공하는 서버 기반 위협 탐지 도구로, BPFDoor 및 그 변종 악성코드 탐지에 그치지 않고, 실제 해킹 과정에서 공격자들이 은밀하게 조작하는 시스템 네트워크 설정까지 폭넓게 탐지합니다.

BPFDoor 계열의 공격은 일반적인 서비스 운영에 사용되는 기술—예를 들어 포트 포워딩, SSH 터널링,

iptables NAT 등—을 악용하기 때문에, 표면적인 네트워크 이상 징후만으로는 탐지하기 어려운 구조를 가지고 있습니다. 따라서 단순히 악성코드 자체만을 식별하는 방식으로는 실질적인 위험을 포착할 수 없습니다.

이러한 위협을 근본적으로 방어하기 위해서는 정상 행위를 위장한 내부 설정 조작 여부, 즉 커널 레벨의 BPF 필터 설정, iptables PREROUTING 체인 변조, 비인가 포트 포워딩, 암호화된 SSH 터널링 구성 등의 항목까지 종합적으로 점검해야 합니다. 이는 침투 이후 내부 장악, C2 연결, 데이터 유출 등의 고도화된 행위를 탐지하는 핵심 요소입니다.

PNPSECURE Server Threat Detector 탐지 항목 및 구성 요소

PNPSECURE Server Threat Detector는 관리자 권한만 있으면 로컬에서 즉시 실행 가능하며, 다음과 같은 핵심 구성 요소를 기반으로 서버 내 위협을 정밀하게 분석합니다.

· RAW Socket, Network Interface 필터 여부

· SSH Tunnel 구성, SSH Config 및 SSHD 설정 이상 탐지

· iptables Forwarding / NAT Rule 조작 여부

· auditd, firewalld 상태

· 로컬 포트 사용 현황 및 비인가 통신 포트 감지

결과적으로, PNPSECURE Server Threat Detector는 악성코드 유무를 넘어 침해 징후와 시스템 설정 조작까지 통합적으로 분석하여, BPFDoor가 악용하는 모든 경로를 선제적으로 탐지하고 차단할 수 있는 기술적으로 완결된 서버 보안 대응 수단입니다.

실행 가이드

PNPSECURE Server Threat Detector는 현재 피앤피시큐어 홈페이지에서 모든 분들께 무료로 제공하고 있습니다. '여기'에서 더욱 자세한 내용을 확인하실 수 있습니다.

PNPSECURE Server Threat Detector는 보안 관리자 및 기관 담당자 여러분이 서버의 현재 보안 상태를 직관적으로 파악하고, 이에 기반해 실질적인 보안 조치 계획를 수립하는 데에 도움을 드릴 수 있도록 설계되었습니다.

현재 피앤피시큐어 홈페이지에서 누구나 무료로 다운로드 하여 사용하실 수 있습니다. 더 많은 사용자와 기관이 PNPSECURE Server Threat Detector를 활용해 잠재적인 해킹 위협을 사전에 감지하고 효과적으로 대응할 수 있기를 기대합니다.​

자세한 내용은 여기를 클릭하시어 확인하실 수 있습니다.