[센머니=현요셉 기자] 글로벌 사이버 보안 기업 카스퍼스키가 최근 국내 통신사 및 주요 기관을 대상으로 한 리눅스 기반 스텔스 백도어 악성코드 'NIDUPICK'의 최신 변종에 대한 심층 분석 결과를 발표해 주목받고 있다. 카스퍼스키는 이미 2020년부터 'NIDUPICK'이라는 이름으로 이 악성코드를 추적 및 분석해왔으며, 이번 발표는 기존 APT(지능형 지속 위협) 분석 작업의 연장선에서 이루어졌다.
2020년 이전부터 추적된 'NIDUPICK'은 끊임없이 진화하는 위협으로, 카스퍼스키는 BPFDoor라는 악성코드를 'NIDUPICK'이라는 내부 코드명으로 탐지하고 분석해왔다. 당시 이 백도어는 아시아 지역의 주요 통신사를 대상으로 한 공격에 사용되었으며, 카스퍼스키는 타 보안 기업보다 훨씬 이전에 이를 탐지하고 Yara 및 Suricata 기반의 악성코드 탐지 룰을 배포했다.
'NIDUPICK'은 리눅스 시스템에서 작동하는 백도어로, 사용자에게 노출되지 않도록 백그라운드에서 활동하며 대기 상태를 유지한다. 특정 패턴의 '매직 패킷(Magic Packet)'을 수신하면 공격자의 명령에 따라 원격 쉘을 열어 활성화되는 특징이 있다. 또한, 제어 명령 전송 시 공유된 비밀 키와 해시 기반 방식을 사용해 제3자의 개입을 차단하며, 악성코드 전용 컨트롤러가 함께 사용되었다. 이 컨트롤러 역시 카스퍼스키가 2020년에 이미 확보하여 분석을 마친 상태였다.
이 악성코드는 주로 아시아권 통신사를 표적으로 사용되며, 스텔스 백도어로 시스템 내부에서 정상 프로세스로 위장하여 실행된다. 통신 방식은 공격자 접속 대기 후 명령을 실행하는 Passive Mode와 원격 C2 서버에 직접 연결하여 쉘을 제공하는 Active Mode로 나뉜다. 모든 수신 패킷을 수동으로 감시(bpf 기반)하며, 공격자가 의도한 특정 명령을 받기 전까지 별다른 네트워크 트래픽 없이 잠복한다. 제어 명령은 공유 비밀키로 암호화되고, 해시로 검증된다. 공격자 컨트롤러는 공격자로부터 입력받은 제어 명령을 암호화하여 백도어로 전송하는 역할을 한다.
이러한 공격 기술 및 전술은 MITRE ATT&CK© 프레임워크 기준에 따라 다양한 전략으로 정리될 수 있다. 실행(Execution) 전략에서는 T1059.004 (Unix 쉘 이용) 기법이 사용되며, 방어 회피(Defense Evasion) 전략에서는 T1070.002 (로그 제거), T1070.004 (숨김 실행) 기법이 활용된다. 정찰(Discovery) 전략에서는 T1033 (사용자 탐색), T1082 (시스템 탐색) 기법이 나타나고, 명령 및 제어(Command & Control) 전략에서는 T1573.001 (SSL 암호화) 기법이 사용된다.
2025년 5월, 카스퍼스키는 자사 텔레메트리를 통해 'NIDUPICK'의 새로운 변종을 포착했으며, 이 악성코드가 대한민국 주요 기관 대상 공격에 사용된 사실이 확인되었다. 한국인터넷진흥원(KISA) 또한 별도 보안 권고문을 통해 이를 경고했다. 카스퍼스키의 최신 분석 보고서(Report ID: APT-20250505)에 따르면, 이번 변종은 기존 기능을 대부분 유지하면서도 SSL 암호화 채널을 통한 통신 방식의 진화를 보였다. 이는 기존 탐지 시스템이 공격자와의 트래픽을 식별하기 어렵게 만들어 방어 회피 능력을 한층 강화한 것이다. 또한, 신규 매직 패킷 포맷이 확인되어 기존 룰로는 탐지가 어려울 수 있다는 점이 시사된다.
공격 대상 지역의 다변화도 주목할 만한 변화이다. 2022년 'NIDUPICK'의 소스코드가 오픈소스 저장소에 유출된 이후, 'NIDUPICK'의 변형이 유포되는 사례가 증가했다. 실제로 아시아와 중동에 이어 중앙아시아 지역까지 피해 범위가 확산되고 있는 것으로 확인되었다. 마지막으로, 'NIDUPICK'은 수동 분석이나 기존 백신 솔루션만으로는 탐지가 어려운 수준이며, 특히 계속해서 통신사를 주요 표적으로 삼고 있다는 점에서 더욱 주의가 필요하다.
한국인터넷진흥원(KISA)이 최근 리눅스 기반 스텔스 백도어 'NIDUPICK(BPFDoor)'에 대한 보안 주의보를 발령한 가운데, 카스퍼스키는 해당 위협에 대한 정밀 분석 결과를 바탕으로 기업 및 기관 보안 담당자들을 위한 다단계 탐지·대응 전략을 제시했다. 카스퍼스키는 이번 변종이 사용하는 신규 매직 패킷과 SSL 인증서를 식별할 수 있도록 탐지 룰을 업데이트했으며, 텔레메트리 기반으로 수집한 변종 정보와 침해 지표(IOC)를 인텔리전스 형태로 고객사에 제공하고 있다.
기업과 기관 보안 담당자들에게 카스퍼스키는 방화벽, IDS/IPS, EDR 등 보안 장비에 최신 탐지 룰을 신속히 적용할 것을 권고한다. 또한, 카스퍼스키 위협 인텔리전스 포털을 통해 IOC를 정기적으로 업데이트하며, 악성 C2(Command & Control) 주소를 차단하고, 네트워크 로그 내 매직 패킷의 이상 패턴을 분석하는 것이 중요하다. 나아가, SSL 암호화 트래픽 중 명령어 기반 쉘 통신 형태를 식별할 수 있도록 DPI(Deep Packet Inspection) 기능을 적극 활용할 것을 제안했다.
카스퍼스키의 이효은 한국지사장은 "NIDUPICK/BPFDoor는 오랜 기간 탐지를 회피하며 지속적으로 통신사 및 인프라 운영 기관을 위협하고 있다"며, "특히 소스코드 유출 이후에는 커스터마이징된 변종이 광범위하게 유포될 가능성을 고려할 경우, 기존 룰만으로는 완전한 탐지가 어려운 상황"이라고 경고했다. 이 지사장은 "카스퍼스키는 본 악성코드에 대한 가장 빠른 탐지 이력과 분석 자료를 보유하고 있으며, 기업들은 카스퍼스키 리눅스 서버 제품과 카스퍼스키 Threat Intelligence 솔루션을 통해 이런 위협으로부터 보호받을 수 있다"고 강조했다. 아울러, "한국 내 피해 확산 방지를 위해 지속적인 모니터링 및 대응 역량을 강화해 나갈 예정"이라고 덧붙였다.
한편, 카스퍼스키는 전 세계적으로 사이버 보안 솔루션을 제공하는 선도 기업으로, 최신 위협과 공격 기술을 지속적으로 연구 분석하여 이를 토대로 고객들에게 맞춤형 보안 솔루션을 제공한다. 특히, 최근에는 인공지능과 머신러닝을 활용한 위협 탐지 기술을 발전시키며 글로벌 시장에서 입지를 강화하고 있다.
Copyright ⓒ 센머니 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
