악성코드 '보이지 않는 해킹'이라고도 불리는 'BPFDoor'를 탐지하는 신기술이 국내 보안벤처에 의해 개발됐다.

사이버 위협헌팅 보안기업 '씨큐비스타'(대표 전덕조)는 기존 보안제품으로는 탐지가 어려운 악성코드 'BPFDoor'를 에이전트 설치 없이 네트워크 트래픽만으로 찾아내는 BPFDoor 백도어 탐지 기술 '백도어 헌터'(Backdoor Hunter)를 NDR 업계 최초로 개발해, 자사의 네트워크 위협탐지·대응(NDR) 보안솔루션 '패킷사이버'(PacketCYBER)에 탑재해 공급한다고 밝혔다.

BPFDoor는 중국 연계 APT로 알려진 ‘레드 멘션’이 활용하는 수준 높은 은닉형 리눅스 백도어로, BPF 기반의 패시브 네트워크 감시와 매직 패킷 트리거 기법을 통해 전통적 보안 통제를 회피하는 것으로 보고되어 왔다. 실제로 통신·정부·교육·물류 등 다양한 산업 영역에서 장기 잠복 침투 사례가 확인되고 있다.

씨큐비스타는 '악성코드가 은닉할 수 있을지라도, 외부와 통신은 반드시 해야 한다'는 원리에 착안해 BPFDoor를 분석한 결과, △공격을 시작하는 특별 신호 '매직 패킷', △신호 이후 약 2.5초 내 활성화, △약 15초 간격의 규칙적 통신, △수집 정보를 작은 덩어리로 분할해 유출하는 행위 등 고유한 패턴을 보이는 것을 확인했다.

씨큐비스타는 이러한 패턴을 '패킷사이버'로 추적한 자체 실험에서 2,206건의 실제 공격 시도를 성공적으로 포착했다. 매직 패킷을 2,096건 탐지해 95% 이상의 높은 탐지성공율을 기록했으며, 백도어 활성화 85건을 실시간 탐지, 평균 탐지 시간은 50초로 데이터가 유출되기 전에 위협을 탐지할 수 있는 것으로 확인됐다. 특히 정상 트래픽을 공격으로 오인하는 오탐률은 0%로 안정성도 입증했다.

씨큐비스타는 향후 패킷사이버를 금융, 의료, 국방, 통신 등 국내외 다양한 산업 분야 특성에 맞춰 최적화하고, 위협 탐지 시 자동 차단 및 격리하는 즉각적인 대응 시나리오를 더욱 강화할 예정이다. 또한 국가 지원 해킹그룹(APT)들의 고도화된 공격 기법에 대응하는 보안 역량도 지속적으로 높여나갈 방침이다.

전덕조 씨큐비스타 대표는 "백도어 헌터가 탑재됨에 따라 한층 고도화된 '패킷사이버'는 모든 네트워크 킬체인 구간을 감시해 공격을 사전에 차단함으로써 핵심 자산과 기밀 정보를 보호할 수 있게 됐다"며 "패킷사이버가 향후 금융·통신·방산·에너지 등 기관 및 기업의 필수 보안솔루션이 될 것"이라고 말했다.

씨큐비스타(CQVista)는 지능형 위협 탐지·대응 기술을 중심으로 NDR·FDR 원천기술을 융합한 독자 기술을 보유한 사이버 보안 전문기업이다.