피앤피시큐어, 무료로 사용 가능한 ‘BPF도어 쓰렛 디텍터’ 공개

피앤피시큐어는 최근 SK텔레콤 해킹에 사용된 ‘BPF도어(BPFDoor)’ 악성코드를 팀지할 수 있는 무료 서버 위험 탐지 도구인 ‘‘BPF도어 쓰렛 디텍터(BPFDoor Threat Detector)’를 무상 배포하고 있고 밝혔다.

리눅스 기반 서버를 타깃으로 한 ‘BPF도어’는 일반적인 방화벽 설정을 우회하고, 수년간 탐지를 피해 내부 정보를 탈취할 수 있어 기존 보안 체계의 한계를 드러냈다.

이 도구는 피앤피시큐어의 ‘DB세이퍼’를 도입하지 않은 조직도 자유롭게 사용할 수 있도록 설계되어, 서버 보안 체계가 없는 환경에서도 효과적인 점검을 가능케 한다. 설치 없이 관리자 권한으로 바로 실행할 수 있으며, BPF도어 및 변종 여부는 물론, 정상적인 서비스처럼 위장한 비정상 패킷을 판별해 탐지하는 정합성 분석 기반 기술이 적용돼 있다. 이를 통해 BPF 필터, iptables PREROUTING, 포트 포워딩, SSH 터널링 등 일반적인 보안 장비로는 탐지 어려운 네트워크 위협 행위까지 자동 분석이 가능하다.

또한 점검 결과는 요약 및 상세 리포트 형태로 제공돼 실무자는 서버 위험 수준을 빠르게 파악하고 보안 정책 수립에 바로 활용할 수 있다. 이는 단순 악성코드 대응을 넘어, 리눅스 서버 전반의 보안 취약점을 실질적으로 점검할 수 있는 기반 도구로, 보안 여건이 미흡한 기업·기관에서도 신속하고 주기적인 점검 환경을 마련할 수 있게 해준다는 게 피앤피시큐어의 얘기다.

한편, 피앤피시큐어는 DB세이퍼를 사용 중인 고객사의 경우에는 이미 BPF도어같은 침입형 위협에 대해 실질적인 보호 체계를 갖추고 있다고 밝혔다. BPF도어 공격은 정상 포트(예 SSH 22번)를 통해 침투하더라도, 프로토콜 규격을 벗어난 비정상 패킷이 사용되기 때문에, 통신 정합성 분석 기능이 포함된 구조에서는 사전 탐지 및 차단이 가능하다. 이러한 구조는 DB세이퍼 서버에이전트와 같이 프로토콜 파싱 및 행위 분석이 가능한 보안 체계에 부합하며, 기존 사용 고객은 이미 해당 위협에 대한 핵심 방어 체계를 갖추고 있다는 게 회사측 설명이다.

다만 피앤피시큐어는 대규모 인프라 내 일부 테스트 서버나 백업 서버 등은 DB세이퍼 보호 대상에서 제외돼 있을 수 있기 때문에, 이러한 자산에 대해서는 설치형 보안 솔루션이 없어도 실행 가능한 ‘BPF도어 쓰렛 디텍터’를 병행해 점검할 것을 권장하고 있다.

추가로 5월 중 실행 코드 차단 및 로깅 기능을 개선하고 서버에이전트 기반의 탐지 기능을 통해 BPF도어 및 변종 탐지는 물론, BPF 필터, iptables, 포트 포워딩, SSH 터널링 등 네트워크 설정 기반의 이상 행위를 주기적·실시간으로 탐지하는 최신 버전을 DB세이퍼에게 사용자에게 무상 제공할 예정이다. 이 최신 버전에는 위험 행위 탐지 시 관리자 알림 기능 등이 포함될 계획이다. 관리자는 이를 통해 위험 징후에 대한 선제적 대응이 가능하다.

피앤피시큐어는 이 툴을 “서버 보안을 위한 실질적인 첫 단계”라고 말하며, “보안 시스템이 아직 도입되지 않았거나 점검 여력이 부족한 환경에서도 누구나 무료로 사용해 서버 위협에 선제적으로 대응할 수 있다”고 강조했다.

BPFDoor Threat Detector는 현재 피앤피시큐어 홈페이지를 통해 신청자에게 무료로 제공되며, 보안 관리자 및 IT 담당자 누구나 다운로드할 수 있다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network