시큐브는 'BPF 루트킷과 변종 BPF도어에 대한 탐지·대응 기술'을 개발했다고 10일 밝혔다.
이 기술은 커널 안에서 동작하는 버클리패킷필터(BPF) 프로그램의 동작과 권한을 통제하기 위한 것이다. 보안커널에서 BPF 프로그램이 로딩되는 행위를 실시간 탐지하고 권한을 분석해 비인가 프로세스에 대해 필터 등록 차단 및 강제 종료하고 시스템 내 권한도 모두 제거한다. 이로써 BPF 악성행위에 대한 원천방어를 커널레벨에서 수행한다.
BPF도어 악성코드는 BPF 기술을 악용해 네트워크 트래픽을 감청하며 포트를 열지 않고도 특정 패킷 시그니처를 감지해 명령제어(C2) 서버의 명령을 수신하는 방식으로 동작한다. 포트리스닝 없이 네트워크 인터페이스에서 직접 패킷을 감청해 기존 포트 스캐닝이나 방화벽 모니터링으론 탐지가 어렵다. 로그를 거의 남기지 않아 기존 보안 솔루션 회피 능력도 뛰어난 것으로 분석된다.
시큐브 관계자는 "기존 보안 솔루션들이 시그니처 탐지로 BPF 관련 취약성 방어를 수행하는 것에 반해 이번에 개발된 BPF 통제 기술을 적용하게 되면 알려지지 않은 BPF 루트킷 공격과 변종 BPF도어에 대해 원천 대응이 가능할 것으로 기대한다"며 "해당 기술을 자사 서버보안 솔루션 '시큐브 TOS'에 적용해 고객사에 옵션 형태로 제공할 계획"이라 말했다.팽동현기자 dhp@dt.co.kr
