소만사, '서버아이'에 BPF도어 악성코드 탐지대응 기술적용
등록 2025.05.07 15:06:04
통신사 해킹에 사용된 은닉성이 강한 악성코드
300여대 서버에서 BPF도어 감염여부 점검 수행
소만사 CI(사진=소만사 제공) *재판매 및 DB 금지
[서울=뉴시스]송혜리 기자 = 소만사는 자사 서버 통합보호 솔루션 '서버아이'에 BPF도어(BPFDoor)악성코드 검출 기능을 추가했다고 7일 밝혔다.
BPF도어는 최근 통신사 해킹에 사용된 은닉성이 강한 악성코드로 알려져 있다. 그러나 BPF도어는 포트 스캐닝 방법으로는 검출이 어렵고, 변종도 다양하다. 2차 조사 과정 중에도 변종 악성코드 8종이 추가로 발견됐다. 따라서 해시값 기반으로 검출하는 데는 한계가 있다.
서버 관리자가 수작업으로 수백, 수천 대 서버를 일일이 점검하는 것도 부담이 된다. 검출에 상당한 시간이 소요되고, 해당 결과를 취합하는 것도 용이하지 않다. 인적 소모가 크다.
소만사는 자사 서버아이에 BPF도어 검출 기능을 적용했다. 특정 프로세스가 오픈한 소켓, 특정 패턴을 가진 소켓, 파일패턴 매칭, 해시값 일치 여부, 프로세스 환경변수를 검사해 감염 여부를 판단한다. 소만사는 현재 300여대 서버에서 BPF도어 감염여부 점검을 수행해, 기술적 검증은 완료된 상태라고 설명했다.
소만사 연구개발을 총괄하는 김태완 연구소장은 "BPF도어는 변종이 많아 해시값을 기반으로 검출하는 데 한계가 있다"며 "금융보안원과 인터넷진흥원의 BPF도어 분석 보고서를 참조해 BPF도어 변종 악성코드를 효과적으로 검출하는 스크립트를 완성했다"고 말했다. 이어 "서버아이를 사용하고 있는 도입사는 서버 내 에이전트 설치 없이, 라이선스만 추가하면 BPF도어 점검을 손쉽게 수행할 수 있다"고 덧붙였다.
◎공감언론 뉴시스 chewoo@newsis.com
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
