카테고리 없음

SKT 해킹-BPF 도어

가영이 2025. 5. 1. 05:57

 

SKT 해킹 사건과 BPF 공격 기법, 우리가 알아야 할 보안의 허점

2025년 상반기, 대한민국을 충격에 빠뜨린 SK텔레콤(이하 SKT) 해킹 사건은 단순한 정보 유출 수준을 넘어, 통신 인프라의 핵심을 건드린 정교한 사이버 공격으로 평가됩니다. 특히 이번 해킹에 사용된 기법 중 하나로 주목받은 것이 바로 **BPF(버클리 패킷 필터, Berkeley Packet Filter)**를 활용한 방식입니다.

많은 사람에게 생소할 수 있는 BPF는 원래 네트워크 트래픽을 모니터링하기 위한 기술이지만, 악의적인 해커의 손에 들어가면 보이지 않는 통로로 정보를 빼가는 수단이 될 수 있습니다.

SKT 해킹 사건 개요 – 통신 인프라를 노렸다

2025년 3월 말, SKT는 내부 서버 일부에서 비정상적인 트래픽과 시스템 이상 탐지를 발표했습니다. 곧이어 정부기관과 KISA(한국인터넷진흥원)가 조사에 착수했고, 해당 사건은 수개월간 은밀히 진행된 해킹 시도로 드러났습니다.

이번 공격의 특징은 단순한 홈페이지 변조나 개인 정보 유출이 아니라, 통신 중계 서버 및 백엔드 관리 시스템에 대한 침투였다는 점입니다. 특히 리눅스 기반 서버에서 BPF를 활용한 후킹(hooking) 기법이 확인되며 보안 업계에 큰 충격을 안겼습니다.

BPF란 무엇인가? – 네트워크 분석의 칼, 하지만 양날의 검

BPF는 원래 리눅스나 유닉스 기반 시스템에서 네트워크 패킷을 감시하기 위해 사용하는 기술입니다. 즉, 특정 조건에 맞는 데이터만 골라내어 네트워크 분석 효율을 높여주는 도구죠.

하지만 최근에는 **eBPF(확장 버전 BPF)**가 등장하며 기능이 더 강력해졌고, 이 기술을 해커가 악용할 경우 아래와 같은 일이 벌어질 수 있습니다.

  • 운영체제 내 커널 호출을 가로채기
  • 보안 로그를 은폐하거나 조작
  • 사용자 모르게 시스템 정보를 외부로 전송

특히 eBPF는 관리자 권한 없이도 실행될 수 있는 루트킷으로 악용될 가능성이 높아, 현재 리눅스 기반 인프라를 운영하는 기업들에 큰 보안 위협이 되고 있습니다.

SKT 해킹에서의 BPF 활용 방식

SKT 해킹 사례에서 공격자는 먼저 내부 네트워크 접근 권한을 획득한 뒤, 특정 서버에 BPF 기반의 악성 스크립트를 심었습니다. 이 코드는 시스템 커널 내부에서 작동하면서 아래와 같은 기능을 수행한 것으로 알려졌습니다.

  1. 시스템 호출 모니터링 – 사용자의 모든 명령을 감시
  2. 트래픽 조작 – 이상 징후가 외부 보안 시스템에 전달되지 않도록 필터링
  3. 로그 조작 – 해킹 흔적을 지우고 관리자 로그인을 감쪽같이 숨김

이런 방식은 **백신이나 EDR(엔드포인트 탐지 시스템)**으로도 탐지가 어렵기 때문에, 더욱 치밀하고 은밀한 공격이 가능했습니다.

왜 위험한가? – BPF는 백신도 못 막는다

BPF 기반 해킹의 가장 큰 위험성탐지 회피 능력입니다. 일반적인 악성코드는 실행파일이나 파일 시스템에 흔적을 남기지만, BPF는 시스템 내부 커널에서 직접 실행되기 때문에 기존 백신, 방화벽, 보안 솔루션이 이를 ‘정상 프로세스’로 인식할 가능성이 높습니다.

즉, 관리자가 아무리 보안 시스템을 최신으로 유지해도, 이 방식은 **"눈 뜨고도 당할 수 있는 해킹"**이라는 말이 나올 정도로 위협적입니다.

그럼 우리는 어떻게 대비해야 할까?

일반 사용자보다는 기업이나 공공기관의 서버 관리자가 더 경각심을 가져야 하지만, 일반 이용자도 다음과 같은 부분에서 주의할 필요가 있습니다.

  • 리눅스 서버나 장비를 운영 중이라면, eBPF 사용 권한을 제한하거나 비활성화해야 합니다.
  • 알 수 없는 명령어 실행이나 의심스러운 서버 트래픽 발생 시, 커널 수준에서 분석이 가능한 보안 솔루션 도입을 고려해야 합니다.
  • 클라우드 기반 서버를 사용하는 스타트업, 기업은 eBPF 관련 보안 설정을 강화하고 주기적인 점검을 시행해야 합니다.

마무리하며 – 보안의 시대, 모든 기술은 ‘양날의 검’

이번 SKT 해킹 사건은 단순한 해킹 사고를 넘어, 우리 사회 전체가 디지털 보안에 얼마나 취약한지를 보여주는 신호탄입니다. BPF는 원래 정상적인 기술이지만, 그것이 어떻게 쓰이느냐에 따라 도구가 될 수도 있고 무기가 될 수도 있습니다.

특히 리눅스, 클라우드, 서버 환경이 확대되는 요즘, 보이지 않는 커널 속 위험에 대한 경계심은 더 이상 선택이 아닌 필수입니다.