씨큐비스타가 최신 잠복형 악성코드인 ‘BPFDoor’를 실시간 탐지할 수 있는 신기술을 개발했다. 기존 보안제품으로는 탐지가 어려웠던 이 공격을 에이전트 설치 없이 네트워크 트래픽만으로 포착하는 ‘백도어 헌터(Backdoor Hunter)’ 기술을 상용화해 자사의 네트워크 위협탐지·대응(NDR) 솔루션 ‘패킷사이버(PacketCYBER)’에 탑재했다고 밝혔다.
BPFDoor는 중국 연계 APT 조직 ‘레드 멘션(Red Menshen)’이 사용하는 은닉형 리눅스 백도어로, BPF 기반의 패시브 감시와 ‘매직 패킷 트리거’ 기법을 통해 기존 보안 체계를 회피하는 고도화된 공격으로 알려져 있다. 통신·정부·교육·물류 등 다양한 산업 영역에서 장기간 잠복 침투 사례가 보고되며 탐지 난이도가 높다.
씨큐비스타는 ‘악성코드가 은닉할 수 있을지라도 외부와 통신은 반드시 해야 한다’는 원리에 따라 BPFDoor의 동작 패턴을 분석했다. 그 결과 공격 시작 신호인 ‘매직 패킷’, 약 2.5초 내 활성화, 15초 간격의 규칙적 통신, 정보 유출 시 작은 단위로 분할 전송하는 등 일련의 공통 패턴을 확인했다. 이러한 행위를 탐지하도록 설계된 백도어 헌터는 실험 환경에서 총 2206건의 공격 시도를 포착했다. 이 중 2096건의 매직 패킷을 탐지해 95% 이상의 성공률을 기록했으며 백도어 활성화 85건을 실시간 포착했다. 평균 탐지 시간은 50초로 데이터 유출 전 위협을 식별할 수 있는 수준이며 정상 트래픽을 오인하는 오탐률에 관한 안정성 또한 입증했다.
씨큐비스타는 패킷사이버를 금융, 의료, 국방, 통신 등 다양한 산업 환경에 맞춰 최적화하고 위협 탐지 시 자동 차단 및 격리 기능을 강화할 계획이다. 또한 국가 지원 해킹그룹(APT)의 고도화된 공격에 대응하는 보안 역량을 지속적으로 확장해 나갈 예정이다.
전덕조 씨큐비스타 대표는 “백도어 헌터가 탑재됨에 따라 한층 고도화된 패킷사이버는 모든 네트워크 킬체인 구간을 감시해 공격을 사전에 차단함으로써 핵심 자산과 기밀 정보를 보호할 수 있게 됐다”며 “패킷사이버가 향후 금융·통신·방산·에너지 등 기관 및 기업의 필수 보안솔루션이 될 것”이라고 말했다.
헬로티 구서경 기자 |
