📌 사건 개요
2025년 4월 19일 밤, SK텔레콤의 핵심 서버인 홈가입자서버(HSS)가 악성코드에 감염되어 일부 가입자의 유심 관련 정보가 유출된 정황이 포착되었습니다. 이 서버는 가입자의 전화번호, 유심 고유식별번호, 인증 키 등 통신 서비스 제공에 필수적인 정보를 관리하는 중앙 시스템입니다 .
SK텔레콤은 4월 22일, 해당 사건을 한국인터넷진흥원(KISA)과 개인정보보호위원회에 자진 신고하였으며, 이후 과학기술정보통신부와 함께 민관합동조사단을 구성하여 조사를 진행 중입니다 .
🔍 유출된 정보 및 위험성
정부 조사에 따르면, 유출된 정보는 다음과 같습니다
- 가입자 전화번호
- 가입자식별키(IMSI) 등 유심 복제에 활용될 수 있는 정보 4종
- SK텔레콤의 관리용 정보 21종
다행히 단말기 고유식별번호(IMEI)는 유출되지 않았습니다. 이에 따라, 유심보호서비스에 가입하면 유심 복제 범죄인 ‘심스와핑(SIM Swapping)’을 방지할 수 있다는 정부의 설명이 있습니다.
🧬 BPFDoor란 무엇인가?
BPFDoor는 2021년 중반부터 존재가 확인된 중국계 APT 그룹 Red Menshen(aka Red Dev 18, APT27)의 소행으로 추정되는 고도화된 리눅스 기반 백도어 악성코드입니다.
**Berkeley Packet Filter (BPF)**를 활용하여 방화벽을 우회하고 원격에서 명령을 실행할 수 있습니다.
이 악성코드는 Red Menshen으로 알려진 중국계 APT 그룹과 연관되어 있으며, 최소 5년 이상 탐지되지 않고 활동해왔습니다 .
- 주요 특징:
- 커널 수준의 BPF(Berkeley Packet Filter) 사용
- 포트리스닝 없이 트래픽 필터링 수행
- 역방향 쉘 리버스 기능
- 루트킷과 결합 가능성
🔗 참고: bpfd-door-analysis – Sandfly Security
⚙️ 작동 원리 및 탐지 회피 기법
1. BPF 필터를 통한 패킷 감시
BPFDoor는 BPF 필터를 사용하여 네트워크 인터페이스에서 특정 패킷을 감시합니다. 이 필터는 TCP, UDP, ICMP 프로토콜을 대상으로 하며, 특정 “매직 넘버”를 포함한 패킷을 감지하여 악성 행위를 시작합니다.
bash예시: BPFDoor의 BPF 필터 조건
if (Protocol == UDP && data[0:2] == 0x7255) return true;
if (Protocol == ICMP && data[0:2] == 0x7255 && ICMP Type == Echo Request) return true;
if (Protocol == TCP && data[0:2] == 0x5293) return true;
2. 포트리스닝 없이 명령 수신
BPFDoor는 포트를 열지 않고도 명령을 수신할 수 있습니다. 이는 로컬 방화벽 규칙을 우회하여 비정상적인 포트 리스닝 없이 원격 명령을 실행할 수 있게 합니다 .
3. 리버스 셸 및 바인드 셸 생성
감염된 시스템은 공격자로부터의 명령을 수신하면 리버스 셸 또는 바인드 셸을 생성하여 원격 명령 실행을 가능하게 합니다. 이 과정에서 iptables 규칙을 일시적으로 변경하여 트래픽을 리디렉션합니다.
📌 SKT 유심 유출 사건과의 연관성
2025년 4월 발생한 SK텔레콤의 홈가입자서버(HSS) 해킹 사건에서는 해당 서버가 BPFDoor에 감염된 정황이 포착되었습니다.
- 감염 경로: 초기 진입 벡터는 명확하지 않으나, 내부 시스템 내 포트리스닝 없는 C2 트래픽이 감지되었으며 이는 BPFDoor의 특징과 일치
- 유출된 정보:
- 가입자 IMSI, 유심 고유번호, 인증 키 등
- 탐지 실패 원인: 로그 회피 및 일반 보안 솔루션 우회 기능 탑재
🧪 탐지 및 분석 기법
1. 프로세스 및 네트워크 소켓 확인
BPFDoor는 일반적인 시스템 프로세스처럼 위장하여 실행됩니다. 다음 명령어를 사용하여 수상한 프로세스를 확인할 수 있습니다:
bashps aux | grep -E 'udevd|mingetty|console-kit-daemon'
또한, ss 명령어를 사용하여 BPF 필터가 적용된 소켓을 확인할 수 있습니다:
bashss -lnp | grep 'SO_ATTACH_FILTER'
2. BPF 필터 코드 분석
BPFDoor의 BPF 필터 코드는 특정 매직 넘버를 감지하도록 설계되어 있습니다. 이를 분석하여 악성 활동을 탐지할 수 있습니다 .
감염된 시스템은 공격자로부터의 명령을 수신하면 리버스 셸 또는 바인드 셸을 생성하여 원격 명령 실행을 가능하게 합니다. 이 과정에서 iptables 규칙을 일시적으로 변경하여 트래픽을 리디렉션합니다.
.
🔐 대응 및 방어 전략
BPFDoor는 고도로 은닉화된 백도어로 일반적인 SIEM 솔루션만으로는 탐지가 어렵습니다.
✅ 탐지 및 제거 팁
- ebpftrace 또는 tcpdump 활용한 패킷 분석
- ps, netstat, ss 명령어 활용해 수상한 프로세스/소켓 점검
- Immutable 설정 파일 체크
- 기록되지 않는 스케줄링 작업(.bashrc, crontab 외 사용자 정의 경로 확인)
🧱 보안 권장 사항
- eBPF 기반 행위 분석 솔루션 도입 (EDR 등)
- FIM(File Integrity Monitoring) 활용해 설정 파일 변경 추적
- 정기적인 커널 모듈 검사 및 동적 트래픽 필터링
- SKT 이용자라면 유심 교체 및 유심보호서비스 등록 필수
I’ve been looking for info like this—glad I found your blog.
Well-written and straight to the point. Keep up the good work!
Great read! I really enjoyed your perspective on this topic.
manavgat eve gelen escort Manavgat Bölgesinde Bulabileçeğiniz Escort Kızlar. Manavgat Escort, Manavgat Fahişe, Manavgat Esc, Manavgat Bayan Escort, Manavgat Escort Bayan, Manavgat … https://delizieromane.com/
manavgat rus escort Manavgat Bölgesinde Bulabileçeğiniz Escort Kızlar. Manavgat Escort, Manavgat Fahişe, Manavgat Esc, Manavgat Bayan Escort, Manavgat Escort Bayan, Manavgat … https://che.buet.ac.bd/