"외부인이 중앙까지 침입한 셈"...BPF도어에 이통3사 긴장

국내 통신업계가 'BPF도어(BPFDoor)' 악성코드에 대한 경계 수위를 높이고 있다. SK텔레콤 핵심 서버 23대에서 24종 이상의 변종과 웹셸 1종이 발견된 이번 해킹은 단순 침투를 넘어, 커널 백도어와 VPN 취약점이 연결된 복합 공격으로 평가된다.

이에 KT와 LG유플러스는 각각 "피해 없음", "해당 VPN 미사용"이라며 선을 긋고 있으나, 백도어 특성상 완전한 회피를 장담하긴 어렵다는 우려도 제기된다. 특히 'BPF도어'라는 명칭조차 생소한 상황에서, 사용자 혼란은 더욱 커지고 있다.

이번 공격의 핵심은 리눅스 커널의 eBPF(extended Berkeley Packet Filter) 기능을 변조해 만든 '신종 백도어'다. 이 일명 'BPF도어'는, 평소에는 시스템에 숨어 있다가, 해커가 전송하는 특정 신호(일명 '매직 패킷')를 수신하면 작동한다. 커널 레벨에서 구동돼 많은 보안 장비와 방화벽을 우회할 수 있으며, 내부망에 대한 원격 제어도 가능했다.

SK텔레콤 해킹 사례에서는 특정 외산 VPN의 취약점을 침투 경로로 삼아, HSS(Home Subscriber Server) 등 주요 서버 23대를 장악한 정황이 드러났다. 유심(USIM) 정보 약 2700만 건이 유출됐고, 총 데이터 유출량은 약 9.8GB에 달하는 것으로 집계됐다. 이 공격은 3년 이상 장기간에 걸쳐 이뤄진 것으로 추정된다.
해당 침투 방식은 "학교 정문이 고장 난 채 열려 있었고, 외부인이 검문소를 피해 중앙 통제실까지 침입을 허용한 상황"에 비유할 수 있다. 취약한 VPN이 열린 정문이었다면, BPF도어는 통제실로 연결되는 비밀 통로다.

해커의 정밀한 공격 기법이 알려지며 통신 업계 전반이 긴장감을 드러내고 있다.

KT는 "BPF도어 관련 침입 흔적은 발견되지 않았다"고 선을 그었다. 다만 해당 VPN 사용 여부와 내부 보안 구조 등 자세한 사항에 대해서는 "구체적인 정보는 보안 상 공개하지 않는다"는 입장을 유지 중이다.

LG유플러스는 명확한 태도를 보였다. "해당 VPN은 사용하지 않는다"며, "2023년 정보 유출 사고 이후 현재까지 이상 징후는 없다"고 밝혔다. 이어 "ASM(공격 표면 관리), SIEM(보안 이벤트 통합 분석), RPA(자동화 대응) 기반 보안 체계를 운영 중이며, 향후 EDR(엔드포인트 탐지 및 대응) 솔루션 도입도 계획 중"이라고 덧붙였다.

두 회사 모두 민관합동조사단이 제공한 탐지 도구를 활용해 자사 시스템 전반에 대한 정밀 점검을 진행 중이며, 현재까지는 SK텔레콤 외에는 동일한 피해 정황이 확인되지 않았다.

하지만 이번 사태는 국내 통신망의 구조적 보안 취약성을 적나라하게 드러냈다. BPF도어는 리눅스 커널 기능을 직접 변조해 작동하기 때문에, 외산 운영체제와 네트워크 장비에 대한 높은 의존도 자체가 잠재적 위협으로 부각된다. 국내 통신 인프라 대부분이 외산 시스템 기반인 현실에서, 단일 솔루션의 취약점이 전체 공급망을 흔들 수 있다는 지적이다.

ICT 업계 한 관계자는 "현재 KISA와 과학기술정보통신부, 개인정보보호위원회 등 관련 기관들이 침해 위협이나 이상 징후 발생 시 인적·시스템적으로 정보를 공유하고 있다"면서 "다만 이제는 기존 체계를 강화하거나, 별도 협의체와 전담 조직을 구성하는 등 보다 더 공고한 공동 대응 기반을 마련하는 것이 필요하다"고 말했다.


김지유 글로벌이코노믹 기자 tainmain@g-enews.com