소만사는 자사 서버 통합보호 솔루션 ‘서버아이(Server-i)’에 ‘BPF도어(BPFDoor)’ 악성코드 검출기능을 추가했다고 밝혔다.
‘BPF도어’는 모 통신사 해킹에 사용된 은닉성이 강한 악성코드로 알려져 있다. 이에 따라 주요 대기업·공공·금융기관은 자사 내 모든 리눅스 서버에 ‘BPF도어’ 감염여부를 긴급 점검하고 있다.
그러나 ‘BPF도어’는 포트 스캐닝 방법으로는 검출이 어렵고, 변종도 다양하다. 2차 조사 과정 중에 변종 악성코드 8종이 추가로 발견됐다. 해시값 기반으로 검출하는 데는 한계가 있다.
서버 관리자가 수작업으로 수백, 수천 대 서버를 일일이 점검하는 것도 부담이 된다. 검출에 상당한 시간이 소요되고, 해당 결과를 취합하는 것도 용이하지 않다. 인적 소모가 크다. 이번 사고로 전사 모든 서버의 취약점을 종합적으로 점검하라는 요구사항 역시 서버 관리자에게는 큰 부담으로 다가오고 있다.
소만사는 자사 ‘서버아이(Server-i)’ 솔루션에 ‘BPF도어’ 검출 기능을 적용했다. 특정 프로세스가 오픈한 소켓, 특정 패턴을 가진 소켓, 파일패턴 매칭, 해시값 일치 여부, 프로세스 환경변수를 검사해 감염 여부를 판단한다. 소만사는 현재 300여 대 서버에서 ‘BPF도어’ 감염여부 점검을 수행했다. 기술적 검증은 완료된 상태다.
소만사 연구개발을 총괄하는 김태완 연구소장은 “‘BPF도어’는 변종이 많아 해시값을 기반으로 검출하는 데 한계가 있다”며 “금융보안원과 인터넷진흥원의 ‘BPF도어 분석 보고서’를 참조하여 ‘BPF도어’ 변종 악성코드를 효과적으로 검출하는 스크립트를 완성하였다”고 말했다. 이어 “‘서버아이(Server-i)’를 사용하고 있는 도입사는 서버 내 에이전트 설치 없이, 라이선스만 추가하면 ‘BPF도어’ 점검을 손쉽게 수행할 수 있다”고 덧붙였다.
소만사는 기존 ‘서버아이(Server-i)’ 고객을 대상으로 ‘BPF도어’ 점검과 함께 ‘공공기관 주요 정보통신 기반시설’ 및 ‘금융기관 전자금융 기반시설’ 취약점 점검도 함께 지원할 예정이다.
‘서버아이(Server-i)’는 현재 국내 100여 개 공공기관과 금융·기업 고객이 도입해 안정적으로 운영하고 있다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
![[사설] 보안, 기업 존폐 문제로 다뤄야](https://img.etnews.com/news/article/2025/05/07/news-a.v1.20250507.fb83ceb040ea45d1b4b363c59b4437aa_T1.jpg)
![[엔피코어 보안칼럼] 전세계 통신사, 크게 두 가지로 분류…APT 공격에 당하고 있다는 것을 아는 기업과 모르고 있는 기업](https://www.dailysecu.com/news/photo/202505/165876_194382_5536.jpg)
![[김경환 변호사의 디지털법] 〈51〉사이버 복원력(Cyber Resilience) 정책 강화해야](https://img.etnews.com/news/article/2025/05/06/news-p.v1.20250506.db797240517a4e10b178ba154f34621e_P3.jpg)
![최신 AI, 더 똑똑해졌지만 더 틀린다?…'환각 현상' 심해지는 이유[글로벌 왓]](https://newsimg.sedaily.com/2025/05/07/2GSPF59V3E_1.png)
