[디지털데일리 김보민기자] SK텔레콤 해킹의 원인으로 지목된 BPF도어(BPFDoor) 악성코드를 점검할 방법이 소개됐다.

13일 보안업계에 따르면, 한국인터넷진흥원(KISA)은 전날 보호나라 공지를 통해 BPF도어 악성코드 점검 가이드를 배포했다. KISA는 가이드 개요에서 "최근 국내외 리눅스 시스템을 대상으로 BPF도어 악성코드 위협이 확대되고 있어, 다양한 BPF도어 악성코드 유형을 확인할 수 있는 점검 가이드를 공개한다"고 밝혔다.

BPF도어 악성코드는 리눅스 환경에서 포트를 열지 않고 외부 연결을 대기하는 백도어 악성코드로, BPF 기술을 악용해 네트워크 트래픽 필터를 설정하고 시스템에 은닉하는 것이 특징이다. BPF(Berkeley Packet Filter)는 운영체제 커널 수준에서 동작하는 네트워크 패킷 필터링 기술이다.

가이드는 BPF도어 악성코드 감염 여부를 점검할 방법으로 ▲악성코드 뮤텍스/락 파일 점검 ▲악성코드 자동 실행 파일 점검 ▲BPF 점검 ▲로우(RAW) 소켓 사용 점검 ▲프로세스 환경 변수 점검 ▲특정 포트 확인 및 네트워크 장비를 이용한 패킷 점검 등을 제시했다.

BPF도어 컨트롤러 감염 여부를 점검할 방법으로는 ▲실행 중인 프로세스 명 점검을 제안했다. 악성 의심 파일에 대한 추가 점검 방법으로는 ▲문자열 기반 초동 점검 ▲야라(YARA) 룰 기반 점검이 필요하다고 강조했다. YARA는 악성파일을 시그니처 기반으로 판별 및 분류하도록 돕는 도구(툴)다.

KISA는 "점검 가이드를 참고해 자체 보안 점검을 진행한 후, 침입 흔적 및 침해사고가 확인되면 보호나라를 통해 침해사고를 즉시 신고해야 한다"고 말했다.

한편 <디지털데일리>는 5월20일 서울 소공동에 위치한 롯데호텔서울 사파이어볼룸(3F)에서 제2회 차세대 보안 혁신 서밋 'NSIS 2025'를 개최한다. NSIS 2025는 공공·금융·일반 기업의 보안 실무자를 대상으로 하며, 공무원·일반 기업 보안교육(최대 7시간)으로 인정받을 수 있다. 디지털데일리 홈페이지를 통해 무료로 사전 등록할 수 있으며, 온라인 사전등록은 5월19일 오후 3시까지다.