[특징주] 지니언스 EDR, SKT 해킹 유일 대안으로 부상…中 APT 겨냥 ‘BPFDoor’ 탐지 대응 솔루션 부각

[글로벌에픽 증권팀 박진현 CP] SK텔레콤 가입자 인증 서버를 겨냥한 해킹 사건의 배후로 중국계 APT(지능형 지속 위협) 조직이 지목되면서, 국산 보안기업 지니언스의 EDR(엔드포인트 탐지 및 대응) 솔루션이 대안으로 급부상하고 있다.

2일 업계에 따르면, SK텔레콤 해킹을 조사한 민관합동조사단은 침해된 가입자 인증 서버(HSS)에 ‘BPFDoor’ 계열의 리눅스 기반 백도어 악성코드 4종이 사용된 것으로 확인했다.

해당 악성코드는 평소에는 은폐되어 있다가 외부에서 특정 신호(‘매직 패킷’)를 수신할 때만 작동하는 구조로, 전통적인 해시 기반 탐지나 패턴 매칭 방식으로는 탐지가 극히 어려운 고도화된 위협으로 분류된다.

이와 관련해 글로벌 보안업체 트렌드마이크로는 최근 보고서에서 중국 국적의 APT 그룹 ‘레드멘션(Red Menshen)’ 및 ‘어스블루크로(Earth Bluecrow)’가 2023년 하반기 중 한국 통신 인프라를 표적으로 삼아 BPFDoor를 활용한 공격을 수행했을 가능성을 제기했다. 이들은 국가 차원의 지원을 받는 조직으로, 사이버 첩보 목적의 정밀 공격을 수행하는 것으로 알려졌다.
국내 보안기업 지니언스는 해당 위협에 대한 대응 솔루션으로 자사의 온프레미스 기반 EDR을 앞세우고 있다. 지니언스는 최근 기술 보고서를 통해 “BPFDoor는 오픈소스로 개발돼 수많은 변종이 존재하며, 전통적인 백신이나 방화벽으로는 탐지 자체가 불가능에 가깝다”고 경고했다. 실제로 BPFDoor는 시스템 내부에 숨어 있다가 네트워크 패킷 조작을 통해 은밀하게 제어권을 탈취하는 방식을 택하고 있어, 행위 기반의 고도 탐지 시스템이 요구된다.

지니언스는 자사 EDR이 수동 명령어 기반의 네트워크 소켓 감시, 비정상 행위 실시간 탐지, 온프레미스 환경 내 분석 자동화 기능을 갖춰, BPFDoor와 같은 고위험 리눅스 기반 백도어 악성코드 탐지에 실질적인 대응이 가능하다고 강조했다. 특히 최근에는 중동 시장에서 EDR 솔루션이 첫 수출 계약을 따내며 글로벌 확장성도 증명하고 있다.

한 보안 업계 관계자는 “BPFDoor 사태는 기존 통신 인프라의 보안 체계를 근본적으로 재점검해야 할 경고 신호”라며 “지니언스처럼 내부망 감시와 대응 중심의 국산 보안 솔루션에 대한 수요가 늘어날 것”이라고 분석했다.

[글로벌에픽 증권팀 박진현 CP / epic@globalepic.co.kr]