SKT 해킹 악성코드 공개…KISA "기업 보안 점검 당부"

[이데일리 한전진 기자] 최근 SK텔레콤 해킹에 사용된 리눅스 악성코드 정보가 공개됐다. 한국인터넷진흥원(KISA)은 기업과 기관에 보안 점검을 당부하며 관련 위협 정보를 공유했다.

KISA 보안 공지 (사진=KISA 보호나라 캡처)

KISA는 25일 ‘최근 해킹공격에 악용된 악성코드·IP 등 위협 정보 공유 및 주의 안내’라는 제목의 보안 공지문을 통해 악성코드 해시값과 공격 IP 등을 공개했다.

공지문에 SK텔레콤 해킹 사건을 직접 언급하지는 않았지만 보안업계는 SK텔레콤 사이버 공격에 사용된 것으로 파악된 BPF도어(BPFDoor) 수법에 사용되는 악성 코드가 공개된 것으로 미뤄 이 사건과 관련한 보안공지로 해석하고 있다.

KISA는 공지에서 “최근 주요 시스템을 대상으로 해킹 공격을 하는 사례가 확인돼 위협 정보를 공유한다”고 밝혔다. 그러면서 공격 IP와 악성 코드 해시값 및 파일 정보를 공유했다.

KISA는 주요 기관·기업의 대응 방법으로 “위협 정보를 참고해 자체적으로 보안점검을 한 후 침입 흔적 및 침해 사고가 확인되면 보호나라를 통해 사고 즉시 신고해달라”고 당부했다.

BPF도어는 백도어 악성코드로 2021년 PWC사의 위협 보고서를 통해 최초로 알려진 사이버 공격 수법이다.

보고서에 따르면 중국 기반의 공격자인 레드멘션(Red Menshen)이 중동과 아시아를 대상으로 한 공격에 수년간 BPF도어를 사용해 왔다. SK텔레콤 서버 공격은 BPF도어라는 리눅스용 악성파일을 심는 방식으로 이뤄진 것으로 파악되고 있다.

BPF도어 수법은 중국 기반 해킹 그룹이 사용하는 방식이지만, 이들이 최근 악성 파일 개발에 사용되는 소스프로그램을 인터넷에 오픈소스로 공개하면서 현재로서 공격자를 단정하기는 어렵다.

보안업계에서는 이번 SK텔레콤 해킹을 계기로 리눅스용 백신 및 엔드포인트 탐지·대응(EDR) 시스템을 구축해야 한다는 제언이 나온다.

리눅스 기반 시스템에 실시간 분석 및 인공지능(AI) 기반 자동화를 사용해 기존 엔드포인트 보안 도구를 통과하는 사이버 위협으로부터 조직의 최종 사용자, 장치 및 자산을 보호하는 소프트웨어를 말한다.

미국은 모든 행정부에 리눅스용 백신 및 엔드포인트 탐지·대응(EDR) 시스템 설치를 권고하고 있다.