[제2의 SKT 해킹사태 대응 솔루션 리포트] ‘보안’ 잃기 전 ‘보안 솔루션’ 도입하기

SKT 해킹사태가 불러온 사이버보안 강화 움직임...전 국민 ‘보안’에 눈 뜨다
SKT가 놓친 ‘사이버보안’ 어떤 것들 있을까? 물 만난 보안기업들 노 저을 때
제2의 SKT 해킹사태 예방하는 보안 솔루션 집중분석: 소프트와이드시큐리티, 필상, ICTK, SGA솔루션즈, 안랩, 트렌드마이크로, 피앤피시큐어, 시만텍, 소프트캠프, 넷위트니스, 파이오링크, 인스피언, 디에스앤텍

[보안뉴스 원병철 기자] 2025년 4월 22일, 우리나라 최대(2024년 7월 기준, 이동전화 가입자의 43.89%) 이동통신 사업자인 SKT가 해킹으로 고객 유심 정보 등 개인정보가 유출됐다고 밝혔다. SK텔레콤(SKT)의 가입자 정보를 관리하는 HSS(Home Subscriber Server)에 악성코드가 침투해 고객의 유심 정보가 탈취됐고, 이에 따라 복제폰부터 신원 도용이나 금융사고 등 2차 범죄가 일어날 수도 있다는 것이 알려지면서 SKT 가입 고객은 물론 전 국민의 관심이 이번 해킹사태로 쏠렸다.

[자료: gettyimagesbank]

SKT 해킹사태는 단순 해킹 사건을 넘어 지난 2017년 워너크라이(WannaCry) 랜섬웨어 이후 전 국민이 사이버보안과 개인정보에 관심을 갖게 만든 사건이었고, 기업과 기관의 사이버보안 구축 현황에 주목하게 만들었다.

이번 SKT 해킹사태에서 발견된 BPFDoor는 APT(Advanced Persistent Threat) 공격에 사용되는 악성코드다. 피앤피시큐어는 “BPFDoor는 이미 내부에 침입한 뒤에 사용되는 백도어로, APT 공격의 특징인 침투-정착-지속의 흐름으로 진행된다”고 설명했다.

“이번 SKT 해킹사태에서처럼 장기간에 걸쳐 다수의 악성코드가 설치되어 있었다는 것은 사이버 킬체인의 각 요소가 제대로 동작하지 않았다는 것을 의미합니다. 즉, 사용자 PC에 악성코드의 최초 설치 이후 내부 정착(Internal Reconnaissance), 거점 확보(Persistence), 횡적 이동(Lateral Movement), 최종적으로 데이터 유출(Data Exfiltration)에 이르기까지 각 단계에서 효과적인 탐지와 차단이 이뤄지지 않았다고 판단됩니다.”

SKT 해킹사태, 정확한 정보 공유 안 해 사건 키워
이번 사태에서 가장 큰 문제는 해킹 사건에 대한 정확한 정보 공유가 이뤄지지 않고 있다는 점이다. SKT는 4월 22일 해킹 사건을 공개하면서 19일 밤 11시 악성코드로 고객 정보가 유출된 정황을 발견했으며, 20일 한국인터넷진흥원(KISA)에 신고했다고 밝혔다. 하지만 나중에 알려진 것에 따르면 4월 18일 해킹 정황을 인지했으며, 19일 자체 분석을 진행하다 20일 KISA에 신고했다. 뿐만아니라, 유출된 개인정보에 대한 분석도 계속 달라졌으며, 유심 보호 서비스와 유심 교체도 원활하게 이뤄지지 않아 사용자들의 원성을 샀다.

이와 관련 ICTK는 “보안 사고는 언제든지 발생할 수 있기에 사고 발생시 관련 내용을 신속하고 정확하게 공유해 대책을 마련해야 한다”면서, “이번에 이러한 부분이 지연되어 결국 개인정보를 제공한 사용자들에게 신뢰를 잃은 것”이라고 설명했다.

그렇다면 보안업계에서는 이번 사건의 실질적 원인을 무엇으로 보고 있을까? 우선 안랩은 “공개된 정보를 기반으로 봤을 때, 이번 사건은 리눅스 기반 서버에 대한 정교한 침투와 내부 은폐가 특징”이라면서, “특히 BPFDoor 계열 악성코드는 방화벽과 보안 솔루션을 우회해 장기간 시스템에 머무를 수 있는 고도화된 위협”이라고 설명했다.

아울러 가장 기본적인 서버 보안이 뚫렸다는 점이 지적됐다. SGA솔루션즈는 “이번 사건은 서버가 해킹돼 백도어가 설치된 후, 해당 취약점을 이용해 허가받지 않은 쉘을 원격으로 실행해 지속적으로 내부 정보를 탈취한 사건”이라고 분석하고, “전통적으로 보안의 기본이 돼야 했을 서버 보안이 미흡했다는 점이 아쉽다”고 말했다.

트렌드마이크로는 “이번 사건의 본질은 리눅스 서버에 침입한 악성코드가 최소 수개월에서 수년에 걸쳐 은밀하게 활동한 점과 해킹그룹이 네트워크 필터링을 우회해 C2 트래픽을 숨겼다는 점, 그리고 23대 이상 서버에 25종의 변종 악성코드가 설치될 만큼 수평 및 측면 이동(Lateral Movement)을 허용했다는 점”이라고 설명했다. 아울러 “초기 ‘침투 차단-가상 패치-실시간 탐지 및 대응-공격표면 위험 관리’로 이어지는 다계층 서버 보안 체계가 부재했기에 대규모 장기 잠복이 가능했다”고 강조했다.

파이오링크도 “이번 사태는 단순한 외부 침입이 아닌 내부망 내 자원 간의 분리와 격리 실패, 그리고 권한 통제 미비에 있다”라면서, “인증 서버가 신뢰 기반의 연동망으로 운영돼 내부에서 발생한 횡적 이동을 제어하지 못한 것이 피해 확산의 주된 원인”이라고 설명했다.

디에스앤텍은 “이번 사고의 핵심은 악성 스크립트 배포를 통한 근본적인 시스템 취약점을 악용한 것으로 보인다”면서, “공격자는 이러한 스크립트를 이용해 권한을 확보한 뒤, 내부 시스템에서 권한을 상승시키고 주요 데이터를 유출했을 것”이라고 설명했다. 또한 “이러한 스크립트에 대한 실시간 모니터링과 정교한 분석이 가능했다면 공격을 조기에 탐지하고 피해 확산을 줄일 수 있었을 것”이라고 조언했다.

소프트캠프는 “많은 기업이 시스템 보안 강화를 위해 사용하는 ‘BASTION HOST’에 보안 취약점이 존재하고, 이를 통해 공격자가 내부 확산이 가능했을 것”이라고 내다봤다. BASTION HOST(VDI, 가상 PC)는 외부에서 내부 네트워크로의 접근을 통제하고 모니터링하는 보안 관문 역할을 하는 서버다.

필상은 악성 URL을 통한 내부자 계정 정보 유출이나 내부 정보 유출 혹은 내외부망 연계 구간의 백도어 침투 공격이 시발점일 수 있다고 설명했다. “악성 URL을 탐지하기 위한 내부 보안 시스템에서 가상머신을 활용해 직접 피싱 사이트 등 해커에게 출발지를 노출해 공격 대상이 되었을 수 있습니다.”

외부 공격으로 내부에 악성코드가 심어진 이후에 일을 지적하는 기업들도 있었다. 넷위트니스는 “전반적인 기업 네트워크 인프라에 대한 실시간 가시성 확보와 공격 경로에 대한 근원적인 파악이 필요하다”면서, “모든 공격은 성공 여부를 떠나 흔적을 남기기에 실시간 가시성을 확보하고 공격의 근본 원인을 파악해야 향후 다른 공격에 대한 사전 대비가 가능하다”고 설명했다.

소프트와이드시큐리티는 “SKT 해킹 사건의 본질은 보안 솔루션의 유무가 아닌, 그것이 실제 위협에 대해 작동했는지 여부”라면서, “보안 솔루션이 실제 공격 시나리오에서 얼마나 효과적으로 작동했는지를 주기적으로 검증하지 않는다면 방어체계는 실질적으로 무력화될 수 있다”고 강조했다.

인스피언은 “광범위한 시스템에 대한 외부 침입으로 인해 일부 시스템의 접근통제가 미흡했고, 접속기록 등을 통한 이상징후를 발견하지 못한 것이 핵심”이라면서, “게다가 데이터가 유출됐어도 암호화되었다면 문제가 없었을 것”이라고 지적했다.

피앤피시큐어는 “그간 국내 기업들은 서버 시스템을 데이터 처리와 보관이 이뤄지는 핵심 IT 자산으로 인식하면서도, 관리 및 운영 측면에서는 주로 서비스 성능과 효율성에만 초점을 맞춰 왔다”면서, “이에 따라 서버 보안에 대한 투자와 정책 수립은 상대적으로 소홀히 다뤄졌고, 잠재적 위험 요소로 누적돼 이러한 해킹 사고로 표출된 것”이라고 지적했다.

▲SKT 해킹사태에 꼭 필요한 보안 솔루션[자료: 각 사, 정리: 시큐리티월드·보안뉴스]

이제는 편의성보다 보안 강화하는 전략 강조돼
이번 SKT 해킹사태 이후 다른 기업이나 기관들은 어떻게 대응하고 있을까? 워낙 SKT의 피해가 큰 탓에 해킹 사건 전 보안에 투자하는 것이 사건 후 대응 및 복구에 드는 비용보다 저렴하다는 것을 알게 된 기업 및 기관들이 보안 사고 방지를 위한 투자에 나서고 있다고 업계에서는 이야기한다. 즉, 사전 대응에 관심을 보이고 있단 설명이다.

디에스앤텍은 “향후 개선을 위한 방향으로 사전 위협 탐지와 예방 메커니즘에 중심을 두는 접근이 고려돼야 한다”면서, “예를 들면, 실행 이전 단계에서 스크립트의 구조적 위험성과 명령어 패턴을 정적·동적으로 분석하고, 이를 통해 우회 기법이나 권한 상승과 같은 비정상적인 행위를 시도하기 전에 미리 탐지할 수 있다”고 설명했다.

또한 제로트러스트(Zero Trust)와 국가망보안체계(N²SF), 양자내성암호 등 새로운 개념의 보안 솔루션에 대한 관심도 높아진 것으로 업계에서는 파악하고 있다. ICTK는 “보안을 강화하기 위해서는 제로트러스트 아키텍처처럼 항상 인증을 요구하는 ‘Never Trust, Always Verify’가 필요한 시점”이라고 강조했다. SGA솔루션즈도 “서버 시스템에서 제공하는 모든 서비스와 사용 목적에 따라 리소스로 구분할 수 있고, 리소스의 보안을 위해 접근하는 사용자와 디바이스를 신뢰할 수 있는 동적 접근제어가 필요하다”면서, “이러한 동적 접근제어는 제로트러스트 아키텍처 구축을 통해 완벽하게 구현할 수 있다”고 설명했다.

해커의 공격 시도와 그에 따른 흔적을 빠르게 파악하고 분석함으로써 사전에 대응할 수 있는 방어체계를 구축하려는 움직임도 보인다. 이를 위해 스크립트의 구조적 위험성과 명령어 패턴을 분석하거나, 기존 솔루션이 제대로 작동하는지를 사전에 파악할 수 있는 새로운 솔루션에 관한 관심도 높아지는 것으로 알려졌다.

이와 함께 단순한 위협 탐지를 넘어 전체 맥락에서의 분석과 정확한 판단을 위한 근거 분석, 여러 솔루션을 유기적으로 결합한 입체적 보안 전략 수립, 그리고 서버 시스템에 대한 강력한 보안 강화 등 보안 정책 강화 등이 언급되고 있다. 또 기업과 기관이 아닌 고객에 대한 보안 강화도 지적됐다.

한편, 발 빠른 보안기업들은 이러한 고객들의 니즈에 대응하기 위해 빠르게 관련 솔루션을 선보이고 있다. 이번 SKT 해킹사태에서 불거진 여러 문제점을 해결할 다양한 솔루션을 선보인 것이다. 각 사마다 추구하는 바가 다르기에 솔루션도 다양하지만, 꼭 필요한 솔루션임에는 분명해 보인다.

▲보안 전문가들이 본 SKT 해킹사태 설문조사[자료: 시큐리티월드·보안뉴스]

보안 전문가들이 본 SKT 해킹사태
그렇다면 실제 보안전문가들은 이번 SKT 해킹사태에 대해 어떻게 생각할까? 시큐리티월드와 보안뉴스는 보안전문가들의 의견을 들어보기 위해 2025년 5월 설문조사를 실시했다. 이번 설문조사에는 총 912명의 보안전문가가 응답했다.

먼저 SKT 해킹사태 이후 SKT의 대응이 적절하게 이뤄졌는지를 물어봤다. 응답자의 42.8%가 ‘매우 부족하다고 생각한다’라고 답했으며, 32.9%는 ‘부족하다고 생각한다’라고 답해 전체의 75.7%가 ‘적절하지 않은 것’으로 응답했다. 다만 15.8%는 ‘보통이다’라고 답했으며, 6.9%는 ‘적절하다고 생각한다’라고 답했다. 또한 1.6%는 ‘매우 적절하다고 생각한다’라고 답했다.

이어 사용 중인 이동통신사의 데이터 보안 수준에 관해 묻자, 44.1%는 ‘보통’이라고 답했다. 또한 26.3%는 ‘신뢰하지 않는다’고 답했으며, 19.7%는 ‘신뢰한다’고 답했다. 이어 6.9%는 ‘전혀 신뢰하지 않는다’고 답했으며, 3.0%는 ‘매우 신뢰한다’고 답했다.

이동통신사의 보안 침해 사건·사고에 효과적으로 대응한다고 생각하는지에 대한 질문에는 36.8%가 ‘그렇지 않다’고 답했으며, 31.6%는 ‘보통이다’라고 답했다. 또한 14.8%는 ‘전혀 그렇지 않다’라고 답해 역시 과반이 넘는 51.6%가 부정적인 답변을 했다. ‘그렇다’고 답변한 사람은 12.5%, ‘매우 그렇다’고 답변한 사람은 4.3%에 달했다.

한편, 이동통신사의 보안 대응책에 대해서도 부정적인 답변이 이어졌다. 사용하고 있는 이동통신사가 최신 보안 기술을 사용한다고 생각하는지 묻자 34.8%는 ‘보통이다’라고 답했지만, 26.3%는 ‘그렇지 않다’고 답했고, 12.2%도 ‘전혀 그렇지 않다’고 답했다. ‘그렇다’고 답변한 사람은 21.4%였고, ‘매우 그렇다’고 답변한 사람은 5.3%였다.

이동통신사가 사이버 보안 위협에 적절히 대비하고 있다고 생각하냐는 질문도 비슷한 답변이 나왔다. 38.2%는 ‘보통’이라고 답변했지만, 30.6%는 ‘그렇지 않다’고 답변했으며, 10.9%도 ‘전혀 그렇지 않다’고 답했다. ‘그렇다’고 답변한 사람은 16.4%, ‘매우 그렇다’고 답변한 사람은 3.9%였다.

끊임없는 보안 위협에 보안 솔루션에 관한 관심 높아져
보안 투자는 단순한 비용이 아닌 기업의 주요 자산과 비즈니스를 보호하기 위한 투자라고 할 수 있다. 또한 일회성 투자가 아닌 지속적이고 역동적인 과정이라는 점을 이식하는 것이 중요하다. 진화하는 위협에 앞서 나가려면 보안 태세를 정기적으로 평가하고 방어체계를 지속적으로 개선하며, 끊임없이 변화하는 위협 환경에 대한 최신 정보를 파악해야 한다고 업계에서는 강조한다.

아울러 안전하다고 믿고 있던 보안 솔루션이 실전에서 무력화되어 피해를 입는다면 그 피해는 고스란히 우리가 입을 것이기에, 반드시 정기적인 검증과 모의 훈련을 통해 보안 체계의 실효성을 확인해야 한다.

다행히 이번 SKT 해킹사태를 계기로 많은 기업과 기관들이 보안에 대한 경각심을 갖고, 새로운 보안 솔루션과 보안 정책에 대한 관심을 보이기 시작했다. 또한 단순히 보안 솔루션을 구축하는 것을 넘어 꾸준한 유지보수와 또 다른 보안 솔루션 도입의 필요성도 깨닫고 있는 것으로 알려졌다. 아울러 위협 탐지 이후 분석과 보고 체계 강화, 위협 시뮬레이션 기반 점검 등 사고 후 역량 확보에도 관심이 높아지고 있다고 업계에서는 보고 있다.

따라서 이번 사태를 계기로 보안업계 역시 산업이 한 단계 발전할 수 있도록 고객에게 꼭 필요한 솔루션을 제대로 공급해 보안을 강화하는 데 일조하는 것이 필요하다.

▲차세대 위협 노출 관리 플랫폼 ‘Cheiron’[자료: 소프트와이드시큐리티]

[제2의 SKT 사태 대응 솔루션 집중분석-1 ‘SOMMA’]
“BPFDoor 이후, 우리 조직은 안전한가?”
차세대 위협 노출 관리 플랫폼 ‘Cheiron’, 공격자의 선제공격을 원천 차단한다

SOMMA(쏘마)의 ‘Cheiron’ 플랫폼은 실제 공격 사례를 바탕으로 공격 행위를 사전에 수행하고 결과를 바탕으로 노출된 공격 면을 관리한다. 최근 사이버 공격자들이 리눅스 시스템의 BPF(Berkeley Packet Filter)를 악용한 ‘BPFDoor’도 Cheiron을 통해 사전에 점검했다면 전파 단계(T1190)에서 대응할 수 있었다는 설명이다.

최신 사이버 위협 정보를 바탕으로 구성되는 공격 시뮬레이션
SOMMA는 최신 사이버 위협 동향을 파악하고 차세대 위협 노출 관리 플랫폼 Cheiron에 반영하는 전략을 실천하고 있다. 이번 사건의 중심인 ‘BPFDoor’는 이미 알려진 악성코드로, Cheiron을 사용하는 고객이라면 사전에 대응할 수 있었을 것으로 SOMMA는 보고 있다.

SOMMA의 노용환 대표는 “Cheiron은 새로운 공격벡터 식별을 위한 시나리오 업데이트를 통해 숨겨진 공격벡터를 찾아내고, 실제 위협이 발생하기 전에 대응할 수 있게 한다”면서, “광범위하고 빈틈없는 공격 벡터에 대한 점검을 수행할 수 있도록 플랫폼을 지속해서 고도화하고 있다”며 새로운 보안 위협에 대응하기 위해서는 꾸준한 연구를 통한 플랫폼 업데이트를 강조했다.

차세대 위협 노출 관리 플랫폼 Cheiron
차세대 위협 노출 관리 플랫폼 Cheiron은 SOMMA의 기술력이 총동원된 보안의 새로운 패러다임이다. 최신 정보 기반의 광범위한 점검 커버리지는 Cheiron 기술의 가장 핵심적인 요소다. 대표적으로 북한, 러시아 등의 치밀한 공격도 Cheiron에서는 클릭 한 번으로 우리 회사에 적용될 수 있는지를 판단할 수 있다. 흔히 ‘Lateral Movement’라고 불리는 공격 또한 Cheiron에서는 시뮬레이션해 볼 수 있는 것이 장점이다. 물론, 사용자 입장에서는 다루기 쉬운 직관적인 인터페이스를 제공한다.

Cheiron은 뛰어난 공격 시뮬레이션만큼 높은 우선순위로 실제와 같은 안전한 시뮬레이션을 제공한다. 모든 공격 시뮬레이션은 조직의 운영 환경에 어떠한 영향도 미치지 않도록 안전한 방식으로 설계한다는 것이 연구진이 가지고 있는 철학이다. Cheiron 실행 후에는 운영 중인 환경 및 시스템에 대한 즉각적인 점검이 가능하다. 또한, 시스템 및 네트워크 리소스 사용을 상황에 맞게 조율하여 성능 저하를 방지하고, 백업/클린업 기능을 통해 원본 데이터를 손상하지 않는 것이 Cheiron이 확보한 기술의 우수성이다.

이미 알려진 BPFDoor와 같은 악성 행위는 Cheiron을 활용했다면 사전에 방지할 수 있는 사고였다. 유사한 보안 사고를 예방하기 위해서는 케이론과 같이 ‘실제 공격과 동일한 시나리오 기반의 자동화된 보안 점검’이 지속적으로 필요하다.

한편, SOMMA는 작년 12월 소프트와이드시큐리티와 총판 계약을 통해 글로벌 시장에 공급하고 있다.

▲싹다잡아[자료: 필상]

[제2의 SKT 사태 대응 솔루션 집중분석-2 ‘필상’]
보안 후진국의 민낯... 스타트업 배제하는 생태계가 위기를 키운다
통신사 해킹 사건이 드러낸 사이버보안의 민낯... “스타트업 외면하면 한국 미래도 없다”

최근 SK텔레콤 해킹 사건은 단순한 통신 사고가 아닌, 한국 사이버보안 산업의 구조적 취약성을 드러낸 대표 사례다. 개인정보는 물론 금융, 건강, 공공 데이터까지 심각한 위협에 노출되고 있으며, 이러한 사고는 반복될 가능성이 높다. 헬스케어, 핀테크, 공공 서비스 등 핵심 산업이 연쇄적으로 무너질 수 있는 상황이지만, 정부와 대기업은 여전히 보안을 ‘수익’이 아닌 ‘비용’ 혹은 ‘면책 수단’으로만 인식한다.

그 결과, 사고 발생 시 근본적인 해결보다 빠른 사과와 언론 대응으로 일관하며, 보안 시스템은 제대로 개선되지 않는다. 이 와중에도 스타트업들은 기술 개발을 멈추지 않았다. 본인이 운영하는 회사는 2021년 보이스피싱과 스미싱 공격에 사용되는 악성 URL을 실시간으로 탐지하는 기술을 완성했고, 한국보다 해외에서 먼저 주목받았다. 퓨리오사AI와 함께 OpenAI가 선정한 ‘협업가능한 스타트업 11곳’에 포함되었으며, 현재 해외 유수 기업들과 NDA 및 기술 도입 협의가 진행 중이다.

반면 국내에서는 “도입 레퍼런스가 없다”, “우리도 비슷한 기술을 준비하고 있다”라는 식의 평가절하를 경험했다. 기술의 우수성보다는 ‘누가 했는가?’가 더 중요했고, 스타트업은 신입사원처럼 성과를 내도 기회를 얻기 어려운 구조에 놓였다. 결국 우리는 정부나 대기업을 설득하기보다 일반 사용자가 직접 체험할 수 있도록 B2C 보안 앱을 출시했다. 사용자가 악성 링크를 받거나 클릭했을 때 실시간 탐지와 경고 기능을 제공한다.

그러나 이 과정에서도 일부 대기업은 스타트업의 기술을 벤치마킹하거나 자체 개발을 추진하며 파트너가 아닌 경쟁자로 인식했다. 이런 구조가 지속된다면 한국은 사이버보안 분야에서도 경쟁력을 잃게 될 것이다. 사이버보안은 정부가 지정한 10대 전략 산업이며, 향후 5년간 700조 원 규모의 시장으로 성장할 것으로 예측된다. 하지만 스타트업이 자랄 수 없는 생태계라면 전략 산업 지정조차 의미를 잃는다. 본인 역시 “사이버보안은 돈이 안 된다”, “망할 것이다”라는 말을 여러 차례 들어야 했다. 이는 업계 다수의 공통된 경험이며, 결과적으로 국내 보안 스타트업은 손에 꼽을 정도로 줄어들었다.

이러한 현실은 AI 인재의 해외 유출과도 연결된다. 사이버보안 역시 스타트업 생태계를 키우지 않으면 같은 길을 걷게 된다. 생성형 AI 시대는 단순한 해킹의 시대가 아니다. AI를 활용한 공격은 날로 정교해지고 있으며, 기존 방식으로는 대응이 어렵다. 스타트업의 창의성과 민첩성이 없다면, 개인정보, 금융, 공공 데이터 모두 위험에 처한다. 보안 없는 데이터 산업은 모래성과 같다. 지금이야말로 스타트업을 무시하지 말고 함께 키워야 할 이유가 분명해졌다.

▲아이씨티케이 보안칩[자료: 아이씨티케이]

[제2의 SKT 사태 대응 솔루션 집중분석-3 ‘ICTK’]
아이씨티케이, 복제 불가 기능(PUF)과 양자내성암호(PQC)를 보안칩에 결합하다
하드웨어인증 기반 제로트러스트

인공지능(AI)과 양자 컴퓨터의 등장은 작가의 그림체 같은 예술적 특징부터 작은 칩에 저장된 개인정보 같은 민감한 정보까지 복제될 수 있다는 위화감을 주고 있다. 이제는 모든 패스워드를 수 초 만에 풀 수 있는 시대에 도달했다는 점에 경이로움과 흥미로움을 느끼면서도 한편으론 이에 대한 두려움이 느껴지는 것은 당연하다. ‘내가 진짜 나’임을 증명하는 것이 더욱더 중요한 세상이 된 것이고, 이에 대하여 아이씨티케이(ICTK)는 하드웨어 신뢰점 요소를 활용한 강력한 보안을 제시한다.

하드웨어 신뢰점을 만드는 VIA PUF
ICTK의 원천 기술인 VIA PUF는 반도체 칩 생산 시 발생하는 미세한 공정편차로 사람의 지문처럼 생성되는 고유한 난수적 특징을 각 칩의 고유값으로 사용한다. 즉, ICTK의 보안칩이 탑재된 기기는 각각의 유일한 신분증을 갖게 되어 보호받을 수 있다. 여기에 미국 표준 NIST PQC를 탑재해 해커들의 HNDL(선 수집, 후 해독) 공격에도 대응할 수 있다.

해킹 방지부터 데이터 보호까지 적용할 수 있는 확장성
ICTK의 보안칩은 유심칩부터 USB까지 다양한 형태로 제작되어 어떤 기기에도 적용이 가능하다. 개개인의 인증 정보와 통신 암호와 키를 보관하는 유심칩에의 적용에 많은 관심이 쏠리는 것은 당연하다. 현재 ICTK의 기술은 LG유플러스에서는 산업용 유심 및 이심(eSIM)으로 도입해 지속적으로 제공되고 있으며, 최근에는 유럽 최대 통신사인 도이치 텔레콤과 협업 프로젝트를 통해 보안 보안칩의 성능이 입증됐다.

이 보안칩이 빛을 발하는 또 다른 분야는 VPN 솔루션이다. ‘큐트러스트넷(qTrustNet)’은 와이어가드 프로토콜 기반 VPN 솔루션으로 서버 접속 시 하드웨어 보안 모듈(HSM) 역할로 단계적 인증 절차를 진행해 데이터의 기밀성과 무결성을 유지한다. 미 인증된 공격자가 대량의 데이터 버퍼를 발생시켜 명령을 실행하는 스택 기반 버퍼 오버플로우와 같은 취약점이 존재하지 않는다.

나아가 VPN으로 연결되는 서버는 양자 컴퓨터의 해킹을 대비한 PQC 보안 솔루션 3종으로 보호된다. PQC CA(디지털 인증 서비스), PQC KMS(키 관리 시스템), PQC 라이브러리의 구성으로 SSL이나 TLS 프로토콜에도 적용이 가능하다. 솔루션을 출시한 ICTK는 기업입장에서 양자보안 도입을 쉽게 하는 데 초점을 두었다. PQC 라이브러리는 기존 시스템과 통합이 쉽도록 API와 SDK 형태로 제공한다.

‘제로트러스트’ 환경 구현을 위한 핵심 기술
ICTK의 기술은 위에 언급한 물리적 복제가 불가능한 보안칩과 양자암호내성 알고리즘, 무결성 검증 가능한 인증 절차, 서버 내 민감정보 암호화를 포괄하는 솔루션으로 보안 대상의 모든 레이어를 다중으로 보호한다. 모든 대상의 신원과 무결성을 확인하는 제로트러스트로의 변화 속에서, ICTK는 PUF와 PQC 기술을 통해 통신 산업의 신뢰성과 지속 가능한 보안 인프라 구축에 기여하고 있다.

▲‘RedCastle’과 ‘vAegis’ 동시 운영 구성도[자료: 에스지에이솔루션즈]

[제2의 SKT 사태 대응 솔루션 집중분석-4 ‘에스지에이솔루션즈’]
시스템 보안의 최강자, 에스지에이솔루션즈
다양한 운영 환경의 보안을 책임지는 통합 IT 보안 기업, 에스지에이솔루션즈

해커의 주목적은 기업의 핵심 자산인 데이터를 탈취하거나, 시스템을 마비시켜 비즈니스에 타격을 주고, 이를 인질로 삼아 금전적인 이득을 취하는 것에 있다. 기업의 주요 정보는 서비스의 주체인 시스템과 서버에 저장해 활용하기 때문에 해커들은 이를 노리고, 서버 시스템의 끊임없이 권한 탈취와 공격 시도를 이어간다. 특히, 클라우드 시대로 전환되며 서버 시스템은 온프레미스, 퍼블릭·프라이빗 클라우드 등 다양한 형태로 분산·운영되고 있으며, 이로 인해 복잡한 환경 구성을 가지게 되었고, 보안의 허점 또한 늘어났다. 해커들은 이러한 취약점을 악용해 서버를 점령하고 서버 내에 가치 있는 정보를 탈취한다. 이처럼 급변하는 환경 속에서 서버 보안의 국내 최강자, 에스지에이솔루션즈의 보안 솔루션이 다시금 주목받고 있다.

전통적인 시스템 보안 솔루션, ‘RedCastle’
에스지에이솔루션즈의 대표 제품인 서버 보안 솔루션인 ‘RedCastle(레드캐슬)’은 20년 넘게 국내 서버 보안 시장에서 독보적인 기능과 안정성을 무기로 제품을 공급하고 있는 ‘커널 기반’ 서버 보안 솔루션이다. 강력한 안정성과 성능을 바탕으로 2024년 기준 공공 조달 시장 서버 보안 시장점유율 60.7%를 기록하며 2년 연속 공공 조달 1위를 차지했다.

RedCastle은 시스템 보안의 기본이자 막강한 보안 통제를 제공하는 ‘커널 기반’ 보안 솔루션이다. △서버에 대한 접근통제 △서버 내 계정에 대한 통제 △서버 내 파일에 대한 접근통제 △서버 내 보안 위반에 대한 모니터링과 감사 기능을 제공한다. 이를 통해 서버에 저장된 중요 데이터와 시스템 자원의 무결성을 보장하며, 보안이 필수적인 중요 서버 및 서버 시스템에 강력한 보안 기능을 제공한다. 기업의 주요 정보가 서버와 시스템에 저장되고 활용된다는 점에서 안전한 IT 보안 환경을 구축하는 데 필요한 보안 솔루션이다.

다양한 사용자 환경에서의 강력한 보안 제공, ‘vAegis’
‘vAegis’는 에스지에이솔루션즈가 제공하는 ‘클라우드 워크로드 보호 플랫폼(CWPP)’ 보안 솔루션이다. 퍼블릭·프라이빗 클라우드뿐 아니라 온프레미스(On-Premise) 환경에서도 안정적으로 운영이 가능하다는 것이 특징이다.

클라우드 특성상 구성이 복잡하고 공격표면이 넓어서 다양한 보안 기능이 필요하다. vAegis는 설치형 보안 솔루션으로 △HOST IPS △방화벽 △멀웨어 탐지 차단 △중요 파일 무결성 검사 및 실행 차단 △애플리케이션 제어 △로그인 통제 및 사용자 인증 △취약점 관리 등 복합적인 보안 기능을 제공한다. 특히, HOST　IPS와　안티 멀웨어 기능은 외부에서 서버 시스템에 유입되는 트래픽을 검사해 1차적으로 서버 내 중요 자산을 보호할 수 있다. 또한 내부 악성코드 탐지 및 실행 차단 기능을 통해 2차 피해를 방지한다.

vAegis도 ‘커널’ 모듈이 탑재되어 있어 RedCastle과 함께 동시 운영이 가능하다. 이를 통해 외부 통제와 내부 접근통제 그리고 악성코드 검사까지 아우르는 강력한 보안 체계를 제공한다. 이를 통해 보다 안전하고 안정적인 보안 환경을 구축할 수 있다.

▲AhnLab EDR에서 탐지한 BPFDoor 악성코드[자료: 안랩]

[제2의 SKT 사태 대응 솔루션 집중분석-5 ‘안랩’]
AhnLab EDR로 탐지한 BPFDoor 악성코드

지난 4월, SK텔레콤(SKT) 다수 고객의 유심 정보가 외부 공격으로 유출되는 사고가 발생했다. 이번 사건은 SKT의 리눅스 기반 서버에 침입한 해커가 BPFDoor 계열 악성코드를 설치해 벌어진 것으로 알려졌다. 해당 악성코드는 보안 탐지를 회피하고 장기간 시스템에 은밀히 존재하며 정보 탈취 및 추가 공격에 활용됐다.

이번 공격에 사용된 BPFDoor는 BPF(Berkeley Packet Filter)의 패킷 필터링 기능을 악용하는 리눅스 백도어 악성코드다. 패킷 필터링 규칙을 추가해 ‘매직 패킷’이라 불리는 공격을 수행하는데, 조작된 특정 패킷이 수신됐는지 검사한 후 악성 행위를 수행한다. 서버 방화벽과 보안 시스템을 우회할 수 있고, 외부 공격자가 직접 시스템에 명령을 전달할 수 있는 리버스 쉘, 바인드 쉘 등의 기능을 제공한다. 중국 기반 APT 그룹 Red Menshen(Earth Bluecrow)이 사용하는 것으로 알려졌다.

2024년 하반기, AhnLab EDR이 탐지했던 BPFDoor
안랩은 지난해 10월, 자사 EDR 솔루션 ‘AhnLab EDR’을 활용해 BPFDoor 계열 악성코드를 탐지하고 분석 내용을 공개했다. AhnLab EDR의 탐지 내역을 보면, △BPFDoor의 자가 복사 경로 △실행 권한 부여 △패킷 수신을 위한 방화벽 설정 변경 △포트 리다이렉트 등 공격에 수반되는 여러 의심스러운 행위 관련 분석 정보와 전후 맥락을 확인할 수 있다.

이번 SKT 공격에 활용된 BPFDoor 악성코드는 세부적인 기능과 행위에서 안랩이 지난해 탐지한 BPFDoor와 몇 가지 차이점이 있지만, 실질적인 기능들은 대부분 유사하다. 안랩은 이러한 BPFDoor 계열 악성코드를 지속적으로 모니터링하고, 대응을 위한 탐지 시그니처를 AhnLab EDR, V3 Net for Linux Server 등 제품에 적용해 고객들을 보호해 오고 있다.

전 세계적으로 우수성을 입증한 AhnLab EDR
BPFDoor와 같은 고도화된 악성코드와 공격 기법을 효과적으로 탐지한 AhnLab EDR은 전 세계적으로 가장 공신력 있는 제품 보안 테스트 중 하나인 ‘마이터 어택 평가(MITRE ATT&CK Evaluation)’에 국내 보안기업으로는 유일하게 4회 연속 참가해 우수성을 입증하고 있다.

특히, 최근 진행된 라운드 6에서는 전 세계 보안기업 중에서도 상위권의 성적을 거뒀다. 주요 랜섬웨어 그룹 클롭(CL0P)과 록빗(LockBit)이 윈도우와 리눅스에 걸쳐 수행하는 실제 공격 기법으로 구성된 평가에서 95%의 탐지율을 기록했다. 뿐만아니라, 탐지에 대한 상세한 분석 정보가 담긴 증적을 제시해 위협의 전체 맥락을 파악하는 역량도 확인했다.

탁월한 역량을 갖춘 고객 친화적 솔루션
AhnLab EDR은 마이터 어택 평가 참여 등 다양한 방법으로 최신 위협에 대한 제품 역량을 철저하게 검증해 최고 수준의 탐지 & 대응 역량을 갖추고 있다. 그 결과, BPFDoor 등 실제로 일어나는 고도화된 공격을 선제적으로 탐지해 대응하는 것이 가능하다. 더 나아가, 안랩은 고객들의 효과적인 위협 대응을 위해 MDR 서비스도 제공하고 있다. MDR 서비스는 자사 위협 전문가들이 탐지된 위협을 능동적으로 분석해 대응 방안을 제시해 고객의 보안 수준을 높이는데 기여한다.

▲트렌드마이크로의 효과적인 서버 보안 전략[자료: 트렌드마이크로]

[제2의 SKT 사태 대응 솔루션 집중분석-6 ‘트렌드마이크로’]
효과적인 서버 보안을 위한 보안 솔루션 전략

많은 기업이 여전히 서버 보안에 대한 충분한 인식과 전략적 접근을 하지 못하고 있다. 클라우드와 온프레미스를 포함한 다양한 환경에서 포괄적이고 일관된 서버 보안 전략을 구축하고 강화해야 한다. 기업은 오늘날 복잡한 하이브리드 서버 환경에서 일관된 보안 전략을 통해 비즈니스 연속성과 안정성을 확보해야 한다.

서버 보안의 중요성 제고 및 기존 보안 개념에 대한 인식의 전환 필요
기업이 서버 보안을 소홀히 하는 주요 이유 중 하나는 내부 네트워크 환경이나 특정 운영 환경이 외부 공격에서 상대적으로 안전하다고 잘못 인식하기 때문이다. 그러나 어떤 환경이든 내부에서 발생하는 위협과 측면 이동(Lateral Movement)을 통한 공격이 가능하기 때문에 철저한 보안 전략은 필수적이다. 다양한 환경에서의 서버 보안 전략 수립은 기업의 핵심적인 보안 과제이다. 서버 보안 전략은 보호(Protection), 탐지와 대응(Detection & Response), 사전 예방 관리(Proactive Management)의 3단계로 구성된다. 보호 단계에서는 안티 멀웨어 및 HIPS(Host-based IPS)를 통해 위협을 사전에 차단하고, 탐지와 대응 단계에서는 EDR(Endpoint Detection and Response)을 통해 위협을 실시간으로 감지하고 대응해야 한다. 또한, ASM(공격표면 위험관리)을 통해 잠재적인 위협을 예측하고 관리하는 사전 예방적 접근법이 중요하다.

호스트 기반 침입 방지 시스템(HIPS)은 서버 보안의 핵심이다. HIPS는 서버 내 각 호스트 단위로 작동하여 취약점을 노린 공격과 측면 이동 공격을 효과적으로 차단한다. 특히 가상 패치를 활용하여 서버 취약점을 즉각적으로 보호함으로써 실제 패치 적용 전까지 중요한 업무 서버의 보안 공백을 최소화할 수 있다. 이는 서버 환경에서 필수적인 보안 요소이며, 기업들이 예상하지 못한 위협에 대응하는 데 있어 매우 중요하다.

전략① 트렌드마이크로 Vision One 엔터프라이즈, 사이버보안 플랫폼의 강점
트렌드마이크로의 Vision One 플랫폼은 진정한 엔터프라이즈 사이버보안 플랫폼으로서 다양한 환경에 최적화된 포괄적인 서버 보안 기능을 제공한다. HIPS 기능은 측면 이동 공격 방어와 가상 패치를 통해 각 서버 환경의 취약점을 효과적으로 방어할 수 있도록 지원한다. EDR 기능은 공격이 이루어지는 과정을 명확하게 분석해 위협을 빠르게 탐지하고 대응한다. CREM 기능은 AI 기술을 통해 공격 가능성을 예측하고 위험을 사전에 평가해 기업의 자산을 보호한다. 또한, 위협 인텔리전스(Threat Intelligence Sweeping)를 통해 최신 위협 동향을 반영한 보안 대응이 가능하다.

전략② 트렌드마이크로 Deep Security, 클라우드 및 데이터센터 환경에 독보적인 강점
트렌드마이크로의 Deep Security는 데이터센터와 클라우드 환경 모두에 최적화되어 있으며 국내 유수의 고객들로부터 신뢰를 받고 있다. 이미 국내 수많은 공공기관과 기업들이 이 솔루션을 활용하여 안정성을 입증했다. Deep Security는 단일 에이전트로 다양한 보안 기능(백신, 방화벽, IDPS, 무결성 검사, 로그 감사, 앱 제어)을 제공하여 하이브리드 서버 환경의 보안을 종합적으로 관리할 수 있게 해준다. 특히 자동화된 가상 패치 기능을 통해 효율적이고 신속한 취약점 대응이 가능하며, 다양한 OS 및 커널 지원을 통해 뛰어난 호환성을 보장한다.

서버 보안 전략은 특정 환경에 국한되지 않고 모든 환경에 걸쳐 일관된 보안을 보장해야 한다. 트렌드마이크로의 Vision One 엔터프라이즈 사이버보안 플랫폼과 Deep Security 솔루션은 이러한 요구사항을 충족하며, 기업이 서버 환경의 안정성과 보안을 동시에 확보할 수 있도록 돕는다. 폭넓은 호환성과 다양한 환경 지원을 통해 기업이 직면한 다양한 보안 도전에 효과적으로 대응할 수 있는 전략을 제공한다.

▲서버 접근통제 보안 솔루션 DBSAFER [자료: 피앤피시큐어]

[제2의 SKT 사태 대응 솔루션 집중분석-7 ‘피앤피시큐어’]
피앤피시큐어 BPFDoor 침입 대응 가이드 – 탐지부터 실행 차단까지

최근 SKT를 겨냥한 대규모 해킹 사건은 기업 내부 서버 보안 체계의 한계를 여실히 드러내며 보안 전략 전반에 근본적인 점검이 필요함을 시사하고 있다. 이번 공격에 사용된 BPFDoor는 리눅스 기반 시스템에 은밀히 잠입해, 네트워크 및 호스트 방화벽을 우회하고 수개월~수년간 탐지를 회피한 뒤 데이터를 유출하는 지능형 백도어 악성코드다.

문제는 BPFDoor가 정상적인 서비스 포트를 사용해 침입하며, 기존 보안 체계로는 이를 식별하거나 차단하기 어렵다는 점이다. 여기에 더해, 포트 노킹, SSH 터널링, iptables NAT 조작, 루프백 우회 등 다양한 방식의 침투 기법이 함께 사용될 수 있어 단일 위협 대응만으로는 부족하다.

이에 따라 피앤피시큐어는 서버 접근통제 보안 솔루션인 ‘DBSAFER AM’과 각 서버에 상주해 실시간 위협 감시 및 제어를 수행하는 ‘ServerAgent’의 결합 구조를 통해 단순한 탐지를 넘어 침입 명령어 자체를 무력화하는 대응 전략을 제시하고 있다. DBSAFER AM은 중앙에서 인증, 권한, 정책 설정을 담당하고, ServerAgent는 실제 서버에서 해당 정책을 기반으로 비정상적인 통신 흐름을 실시간 감시·차단하는 역할을 수행한다.

무료 점검 툴로 사전 진단, 실질적 방어는 DBSAFER로
피앤피시큐어는 누구나 이용가능한 무료 서버 위험 탐지 툴 ‘BPFDoor Threat Detector’를 공개했다. 이 도구는 BPFDoor 및 변종 악성코드 탐지는 물론, BPF 필터 설정 이상, iptables PREROUTING 조작, Port Forwarding/SSH Tunneling 설정 이상과 같은 다양한 위협 요소를 포괄적으로 점검한다. 이 탐지 툴은 사전 진단과 위협 가시화를 위한 도구로, 침입 여부를 빠르게 확인할 수 있다는 점에서 의미가 크다. 하지만 실시간 차단, 경고 알림, 실행 방지 등 능동적 대응은 DBSAFER AM과 ServerAgent가 수행한다. 특히 DBSAFER 이용자에게는 실행 차단+로깅+관리자 알림 기능이 무상 제공될 예정이다.

설치된 BPFDoor조차 ‘실행 불가’로 만드는 DBSAFER
일반적인 보안 도구는 침입 이후의 로그 추적 또는 행위 탐지에 그치지만, DBSAFER AM은 BPFDoor가 활성화되기 위한 ‘매직 패킷’을 원천 차단한다. 피앤피시큐어의 DBSAFER는 서버와 외부 간 모든 통신을 Gateway를 통해 중계하며, 비정상적인 패킷으로 식별된 경우 해당 통신에 필요한 키를 할당하지 않는다. 그 결과, 서버에 BPFDoor가 이미 설치되어 있더라도 명령어가 전달되지 않아 실행조차 불가능하다. 이는 DBSAFER AM이 이미 제공하고 있는 고유의 보안 기능이다.

포괄적 탐지와 대응 – 서버 침입에 대한 실질적 해법
BPFDoor와 같은 공격은 겉으로는 정상 통신처럼 보이기에 네트워크 이상징후만으로는 탐지에 한계가 있다. 따라서 서버 내부에서 직접 동작하는 DBSAFER의 ServerAgent가 주기적으로 위험을 분석하고, 위험 수준을 직관적으로 알리는 기능이 핵심이다. 악성코드는 눈에 띄지 않게 침투하고, 중요한 순간에만 움직인다. 보이지 않는 움직임을 감지하고, 필요시 즉시 제어할 수 있는, 탐지와 차단이 함께 작동하는 대응 체계가 필요하다.

▲Symantec Endpoint Security Complete 콘솔 내 – Incident Prediction 기능 화면 [자료:시만텍]

[제2의 SKT 사태 대응 솔루션 집중분석-8 ‘시만텍’]
브로드컴(시만텍), 업계 최초 AI 기반의 ‘보안 위협 예측(Incident Prediction)’ 신기능 공개
통신사 해킹 사고와 같은 은밀한 위협에 대한 사전 대응 가능

2025년 4월, 국내 대형 통신사에서 발생한 해킹 사고는 BPFDoor 악성코드를 이용한 공격으로 알려졌다. BPFDoor는 Berkeley Packet Filter(BPF) 기능을 악용해 리눅스 커널 내에서 네트워크 패킷을 가로채고 필터링하는 방식으로 동작하는 백도어 악성코드로, 이 방식은 방화벽이나 포트 상태와 관계없이 시스템의 핵심 커널에서 직접 통신을 할 수 있게 해 기존 보안 시스템으로는 탐지가 어렵다.

브로드컴(시만텍)은 이러한 사이버 위협에 대한 대안으로, AI 기반의 혁신적인 위협 예측(Incident Prediction) 기능을 소개한다. Incident Prediction은 세계적 수준의 시만텍 Threat Hunter 팀이 구축한 50만 개 이상의 실제 공격 패턴을 기반으로 훈련된 AI와 머신러닝을 활용해 공격자가 취할 수 있는 행동을 단계별로 예측하고, 그것에 맞게 방어와 차단을 자동으로 수행하는 기능이다. 이를 통해 BPFDoor와 같은 악성코드 공격이 발생하기 전에 다음 단계를 예측해 차단하고, 기업의 방어 시스템을 강화하고, 신속하게 정상 상태로 복구할 수 있게 한다. 이러한 기능은, 기업의 보안팀이 기존의 방법보다 더 빠르고 효과적으로 대응할 수 있게 한다.

사고 예측을 통해 SOC 분석가 및 기타 보안 전문가는 다음을 수행할 수 있다.
·위협 완화 자동화 및 공격자 차단: 과거 공격 패턴을 기반으로, 특정 공격자가 다음에 취할 가능성이 높은 행동을 자동으로 예측한다. 그런 다음 위협 완화 정책을 적용하여 예측된 동작을 차단하고, 공격자가 데이터 암호화 또는 정보 유출이라는 최종 목표를 달성하기 전에 대부분의 공격을 차단한다.
·SOC 분석가의 부담 경감: SOC 분석가가 수동으로 경보를 분류하고, 공격 순서를 분석하고, 완화 전략을 수립할 필요가 없다. 이 모든 과정이 자동으로 처리되므로 분석가는 다른 보안 우선순위에 집중할 수 있다.
·비즈니스 영향 최소화: 사고 예측은 공격자의 구체적이고 세부적인 행동을 분석하여 정상적인 비즈니스 프로세스에 미치는 영향을 최소화한다. 시스템 격리, 네트워크 차단, 사용자 접근통제, 시스템 복구 작업 등 비즈니스에 지장을 줄 수 있는 과도하거나 일반적인 완화 조치는 대부분 불필요하다.
·공격 표면 축소: Symantec Adaptive Protection을 강화하여 발생 빈도가 낮은 애플리케이션과 동작을 식별하고 차단을 권장하여 공격표면을 사전에 줄입니다. 공격자와 그들의 일반적인 공격 기법에 대한 ‘문’을 닫는 데 도움이 됩니다.

합법적인 소프트웨어를 악용한 LoTL 공격 방식이 증가하고 있다. Symantec Threat Hunter Team의 ‘Ransomware 2025: A Resilient and Persistent Threat’ 보고서에 따르면, 거의 모든 랜섬웨어 공격자가 LoTL 공격을 사용한다. 국가 차원의 공격에서도 감시 또는 데이터를 유출하는 데 이를 사용한다. 또한, 대기업만 피해자가 되는 것은 아니다. 중견 기업이 점점 더 표적이 되고 있다. 공격이 발견됐을 때 전체 시스템을 다시 이미징하거나 모든 사용자의 인증 정보를 일괄 변경하는 대신, 보안 전문가는 Incident Prediction을 활용해 공격자의 가장 가능성 높은 다음 행위를 정밀하게 차단함으로써 비즈니스 중단 위험을 줄이고, 공격이 발생할 때 간소화된 사고 대응을 가능하게 함으로써 보안을 보다 세부적으로 제어할 수 있다.

▲소프트캠프 CI[자료: 소프트캠프]

[제2의 SKT 사태 대응 솔루션 집중분석-9 ‘소프트캠프’]
BASTION HOST(VDI, 가상 PC)의 보안 한계를 넘는 현실적 대안, 리모트 브라우저 격리 기술(RBI)
리모트 브라우저 격리 기술(RBI) 기반 SHIELDGate(실드게이트)가 여는 새로운 유지보수 보안 체계

소프트캠프의 리모트 브라우저 격리 기술(RBI) 기반의 SHIELDGate(실드게이트)는 웹 기반의 일회성 컨테이너로 구성된 유지보수 환경을 제공해 기존 VDI 모델의 근본적인 보안 한계를 제거하며, 제로 트러스트 원칙을 바탕으로 한 격리형 접근제어 모델을 구현한다.

BASTION HOST(VDI, 가상 PC) 활용한 시스템 관리의 취약점
많은 기업이 시스템 보안 강화를 위해 BASTION HOST(VDI, 가상 PC) 기반의 유지보수 방식을 채택해 왔다 BASTION HOST는 외부 접속 경로를 통제하고 기록하는 방법으로 오랫동안 활용됐지만, 오늘날 고도화된 사이버 위협과 분산된 IT 환경을 완벽히 대응하기에는 여러 한계가 존재한다. 특히 계정 탈취, 세션 하이재킹, 내부자 위협 등 다양한 공격 시나리오에 취약할 수 있으며, 복잡한 인프라 구축과 운영 부담 또한 점차 심화하고 있다. BASTION HOST(VDI, 가상 PC)를 통해 접근하는 원격 운영체제에는 유지보수 작업에 필요한 다양한 소프트웨어가 설치된다. 이들 중 일부는 외부 공급업체에 의해 제공되며, 악성코드가 포함된 소프트웨어나 업데이트를 통해 공급망 공격의 통로가 될 수 있다. 이는 시스템 전체의 신뢰성을 해칠 수 있는 중대한 보안 위협 대상이 될 수 있다. 해당 환경은 여러 사람이 동일한 원격 자산에 접근하는 구조로 인해, 개별 세션의 일관성을 유지하기 어렵고, 특정 자산에 대해 누가·언제 어떤 방식으로 접근했는지에 대한 통제와 추적이 제한되며, 결과적으로 운영 환경의 무결성과 보안성을 지속적으로 유지하기 어렵다.

리모트 브라우저 격리(RBI) 기술을 기반으로 한 새로운 유지보수 보안 체계
기존 유지보수 방식인 BASTION HOST(VDI, 가상 PC)의 한계가 명확해진 지금, 보다 안전하고 효율적인 유지보수 방식에 대한 필요성이 커지고 있다. 이러한 변화 속에서 주목받는 기술이 바로 리모트 브라우저 격리(RBI, Remote Browser Isolation) 기술이다. 리모트 브라우저 격리 기술은 사용자의 단말에서 직접 시스템에 접근하거나 데이터를 주고받지 않고, 격리된 클라우드 또는 중앙 서버 환경에서 모든 작업이 처리된 후 사용자에게 화면 정보만 전달된다. 즉, 사용자는 화면을 통해 유지보수 작업을 수행하며, 실제 시스템이나 데이터와의 직접적인 연결은 차단되어 보안성이 강화된다.

소프트캠프의 보안 원격 접속 서비스 SHIELDGate는 리모트 브라우저 격리(RBI) 기술을 기반으로, 웹 기반 SSH 터미널(Web-based SSH Terminal), 웹 기반 Telnet 접속(Web-based Telnet) 등 웹 인터페이스를 통한 시스템 접근을 지원한다. 사용자는 별도의 프로그램 설치 없이 웹 브라우저만으로 격리된 환경에서 안전하게 시스템 관리 및 유지보수 작업을 수행할 수 있다. 모든 세션은 중앙 서버 또는 클라우드상에서 격리되어 처리되므로, 원본 시스템과 데이터에 대한 직접 접근 경로가 차단되어 근본적인 보안 위협을 방지할 수 있다. SHIELDGate는 클라이언트 설치 없이 웹 브라우저만으로 접속할 수 있어, 단말 취약성과 설치에 따른 부담을 근본적으로 해소한다. 격리된 일회성 환경에서 모든 작업이 수행되므로 악성코드 감염 및 공급망 공격의 위험도 크게 줄어든다. 특정 컨테이너 환경 내에서만 운영되기 때문에 불필요한 SW 설치 없이도 보안성이 유지된다. 공유 자산을 활용하는 VDI와 달리, SHIELDGate는 매 접속 시 새로운 세션을 생성해 환경 무결성을 보장한다. 이처럼 리모트 브라우저 격리 기술(RBI) 기반의 SHIELDGate는 유지보수 보안을 실질적으로 강화하면서도 운영 편의성을 극대화한 솔루션이다.

▲NetWitness 제품 개요[자료:넷위트니스]

[제2의 SKT 사태 대응 솔루션 집중분석-10 ‘넷위트니스’]
사이버 공격의 근본 원인 파악과, 조기 탐지 및 대응을 위하여 – 넷위트니스(NetWitness)

2025년 4월 대한민국을 강타한 BPFDoor 해킹사태를 예방 및 대응하기 위해 기업 입장에서 사내 보안을 위해 취해야 할 조치는 무엇이 있을까. BPFDoor 악성코드의 소스코드가 이미 GitHub에 공개되었고 파일 이름, 명령어 등의 흔적이 발견되지 않는 변종 BPFDoor 악성코드가 등장하고 있으며, BPFDoor 악성코드는 지금도 전 세계 APT 공격그룹이 만들어 내는 수많은 공격 수단 중 하나에 불과한 것이 현실이다. 이에 대한 시사점은 다음과 같다.

1) 해커는 의도를 가지고 기업을 공격하기에 기존 기업이 도입한 보안 솔루션들을 우회하거나 변종 악성코드를 통해 기업 인프라에 성공적으로 침투하고 있다.

2) 전 세계발 수많은 최신 공격, 알려지지 않은 공격에 빠르게 대응할 필요성이 있다.

즉, 기업 입장에서는 국내뿐 아니라 전 세계 해커그룹들의 침투 시도 및 이미 침투에 성공해 사내 시스템들을 점령하려는 ‘알려지지 않은(unknown)’ 사이버 공격을 조기에, 그리고 사전에 탐지하고 대응해 기업의 비즈니스에 피해를 주지 않도록 조치해야 한다는 것이다.

이를 위해서 전반적인 기업 인프라에 대한 실시간 가시성 확보 및 공격 경로에 대한 근원적인 파악이 필요하다. 넷위트니스(NetWitness)는 기업의 네트워크 인프라에 대한 전반적인 보안 가시성을 제공하고, 실시간 이상/침해행위를 탐지 및 대응하는 전 세계 대표 네트워크 포렌식 및 NDR 솔루션이다. 실시간으로 모든 네트워크 트래픽을 수집하기에, 증거 기반으로 네트워크상 모든 사이버 공격 행위에 대한 가시성 및 공격 경로를 확인 및 재현할 수 있으며, 정탐(True Positive) 및 오탐(False Positive)에 대한 명확한 판단 근거를 제공한다. 모든 네트워크 원본 트래픽에서 실시간으로 메타데이터를 추출하고 정교한 인덱싱(indexing)을 하며, 즉각적으로 위협/침해/비정상 행위 정보를 세분화해 보안 담당자에게 제공하기에, 실시간 공격 및 이상행위에 대한 탐지 및 실시간 대응을 할 수 있다. BPFDoor 악성코드에 대한 최초 감염경로와 네트워크에 대한 행위 및 흔적 역시 넷위트니스가 수집한 네트워크 트래픽 원본 데이터를 통해 실시간 위협/침해/비정상 행위로서 탐지될 수 있다는 것이다.

각 기업의 보안 담당자들은 넷위트니스가 제공하는 위협 탐지 룰(rule) 뿐만 아니라 자사 환경에 맞춰 제작하는 커스텀 룰, 자사가 보유한 기존 위협 인텔리전스 정보(Threat Intelligence) 및 넷위트니스가 제공하는 최신 위협 인텔리전스 정보 등을 다양하게 활용하거나 위협 헌팅을 하면서 국내외 정교한 사이버 공격을 대비하고 있다. 특히 넷위트니스는 전 세계 굴지의 다양한 기관 및 기업들과의 공조를 통해 가장 최신의 위협 정보를 한국 고객에게도 제공하고 있다. 덕분에 다수의 한국 기업 및 기관들이 글로벌 APT 그룹의 공격에 대하여 피해를 입기 전에 빠르게 위협 탐지 및 대응 조치를 통해 피해를 예방하고 있다. BPFDoor 공격 행위를 제어하는 C&C 통신 행위 역시 넷위트니스에서 제공하는 위협 인텔리전스 콘텐츠 및 위협 탐지 룰을 이용해 탐지가 가능하다.

넷위트니스는 미국 국토안보부 산하 사이버안전센터에서 국가 사이버보안을 위해 개발한 제품이 상용화되어, 다수의 글로벌 대기업, 금융기관, 정보기관, 방산업체, 미국 및 동맹국 정부, 군, 국제기구에서 활발히 사용하고 있다. 국내에서는 지난 2012년 처음 도입된 이래로, 보안에 가장 민감한 기업 및 기관들이 꾸준하게 확장 구매하고 애용하는 가장 검증된, 가장 신뢰받는 네트워크 포렌식 솔루션, NDR 솔루션으로 자리매김하고 있다. 넷위트니스는 국내 및 전 세계에서 발생하고 있는 다양한 사이버 공격을 조기 탐지하고, 공격의 근본 원인을 파악함으로써 기업의 네트워크 보안 수준을 견고히 하는데 기여하고 있고, 앞으로도 기여할 것이다.

▲파이오링크 TiFRONT ZT 마이크로세그멘테이션 구성도[자료: 파이오링크]

[제2의 SKT 사태 대응 솔루션 집중분석-11 ‘파이오링크’]
파이오링크 ‘티프론트 ZT’, 마이크로 세그멘테이션으로 내부망 보안 강화
국가망보안체계(N²SF) ‘네트워크 보안’ 요구사항 만족

파이오링크 ‘티프론트(TiFRONT) ZT’는 국가망보안체계(N²SF)에서 요구하는 ‘네트워크 보안’ 사항을 만족시키며, 제로트러스트 보안 모델을 적용한 스위치 기반 보안 솔루션이다. 사용자 기준으로 네트워크를 초세분화(마이크로 세그멘테이션)하고, 최소 권한 원칙에 따라 리소스 접근제어와 내부 확산 공격을 막는다.

최근 발생한 통신사 해킹사태는 단순한 외부 침입의 문제가 아니라, 내부 자원에 대한 분리와 격리, 접근통제가 제대로 작동하지 않았음을 보여준다. 특히 인증 서버가 신뢰 기반 연동망으로 운영돼 횡적 이동을 막지 못해 피해가 커졌다는 분석이 나오면서, 제로트러스트 보안 정책 구현에 마이크로 세그멘테이션이 중요하다는 것을 방증했다.

티프론트 ZT, 마이크로 세그멘테이션으로 접근제어
기존 경계 보안 모델로는 내부 확산 공격을 방지할 수 없으므로 별도의 보안 대책이 필요하다. 파이오링크 ‘티프론트 ZT’는 보안 스위치를 활용해, 네트워크를 사용자 기준으로 세밀하게 분리하고, 리소스 등급별 사용자 접근을 제공하는 ‘마이크로 세그멘테이션’을 구축해 내부망 보안을 강화한다.

기존 네트워크 세분화는 주로 부서별로 네트워크를 나누고, 같은 부서 내 사용자에게 동등한 권한을 부여하는 방식이었다. 이는 공격 발생 시 쉽게 확산할 수 있는 위험을 내포하고 있다.

반면, 티프론트 ZT의 마이크로 세그멘테이션은 사용자 역할과 기기 정보를 기반으로 네트워크를 세분화하고, 최소 접근 권한만 부여하는 방식이다. 세분화 기준은 IP 주소, 스위치 연결 포트, NetBIOS, VLAN, 사용자명, 부서, 직급, 기기 유형, 권한 등 다양하며, 업무 중요도에 따라 자산을 기밀(C)·민감(S)·공개(O) 등급으로 분류해 각 사용자나 기기가 허가된 자산에만 접근하도록 제어한다. 이러한 마이크로 세그멘테이션은 내부 네트워크에서 발생하는 횡적 이동 공격을 차단하고, 데이터 침해 위험도 효과적으로 예방할 수 있다. 일반적으로 마이크로 세그멘테이션은 소프트웨어 정의 네트워킹(SDN) 기술을 이용해 구현하지만, 기술적 복잡성과 초기 도입 비용이 단점으로 지적된다. 하지만 티프론트 ZT는 기존 스위치를 보안 스위치로 교체하는 것만으로 구현할 수 있어 비용 부담을 줄이고, 네트워크 구성 변경이나 에이전트 설치도 필요 없다.

보안 스위치 자체 보안 엔진으로 내부 위협 관리
티프론트 ZT는 보안 스위치에 내장된 다양한 보안 엔진을 통해 내부 네트워크에서 발생하는 각종 위협에 효과적으로 대응한다. 특허받은 독자적인 보안 알고리즘을 활용해 네트워크에서 발생하는 이상 행위와 트래픽 임계치를 분석하고, 확산형 공격이나 패킷 탈취와 같은 유해 트래픽을 실시간으로 차단한다. 또한, 느릿한 활동으로 발견하기 어려운 타깃형 공격이나 알려지지 않은 취약점을 악용한 공격에 대해서도 초기 징후를 포착해 선제적으로 대응할 수 있다.

다양한 보안 솔루션 연동으로 생태계 확장
제로트러스트 보안은 다양한 위치에서의 통합적 제어가 중요하며, 단일 보안 솔루션만으로는 완벽한 구현이 어렵다. 따라서 다양한 보안 제품 간의 연동이 필수다. 티프론트 ZT는 표준 API를 제공하며, 현재 IAM 인증 솔루션을 비롯하여 ZTNA, EDR, SIEM 등 다양한 보안 솔루션과 연동, 제로트러스트 여섯 가지 핵심 요소에 대응하고 있다. 파이오링크는 올해 제로트러스트 시범 사업에 ‘프라이빗 테크놀로지 컨소시엄’의 일원으로 참여하며, 수요기관인 하나은행에 차세대 금융망 보안 모델을 함께 구현할 예정이다.

▲이미지 암호화[자료: 인스피언]

[제2의 SKT 사태 대응 솔루션 집중분석-12 ‘인스피언’]
“암호화 여부가 피해 범위를 갈랐다”
SAP ERP 영역은 피해 없어... 기업 보안 전략에 암호화 중요성 재조명

최근 SK텔레콤 해킹 사건은 기업 정보보호 체계 전반에 경고등을 켰다. 공격자는 여러 서버를 침투해 고객 IMEI, 전화번호 등 민감정보를 확보한 것으로 드러났고, 이 과정에서 암호화되지 않은 데이터가 실제 유출 피해로 이어졌다는 점이 주목받고 있다.

그러나 이번 사건에서 SAP ERP 시스템 등 일부 주요 업무 시스템은 피해 대상에서 제외되었다. 이는 사전에 암호화 등 보안 강화 조치를 적용한 시스템은 실질적인 방어 효과를 발휘했다는 점을 보여주는 대목이다.

업계에 따르면, SK텔레콤은 SAP 시스템 내 재무, 인사, 고객 정보 등의 민감 데이터 보호를 위해 국내 SAP 보안 전문기업 인스피언 암호화 솔루션을 선제적으로 도입해 운영해 왔다. 해당 솔루션은 SAP ERP 구조에 최적화된 형태로, 테이블 단위 암호화, 실시간 키 관리, 접근통제 연동 등의 기능을 제공하며, 외부 침입 시에도 데이터 자체를 무력화할 수 있도록 설계되어 있다.

SAP ERP와 같은 핵심 시스템에는 민감정보가 집중되는 만큼, 사전적인 암호화 조치가 필수적으로 요구된다. 인스피언이 제공하는 SAP 전용 암호화 솔루션은 테이블 및 필드 단위 암호화, 접근통제 연동, 실시간 키 관리 등을 통해 데이터를 안전하게 보호하며, 외부 위협에 대비할 수 있도록 설계되어 있다.

인스피언 관계자는 “이번 사고는 암호화 유무에 따라 피해 수준이 얼마나 달라질 수 있는지를 보여주는 현실적 사례”라며, “SAP 시스템처럼 기업 핵심 정보가 집중된 환경에서는 ‘사고 발생 전’의 구조적 보안이 피해를 결정짓는다”라고 말했다.

인스피언은 SAP 환경에 특화된 암호화 솔루션(EnDB for SAP’와 ‘SecureDB for SAP’) 외에도 개인정보 접속기록 관리(Bizinsider xCon for SAP), 개인정보 분리보관 파기(BizInsider PIM) 등 SAP 전용 보안 체계를 구성할 수 있는 솔루션 포트폴리오를 보유하고 있다. 특히 EnDB for SAP는 별도 시스템 변경 없이 Add-on 방식으로 설치할 수 있어, 기존 업무에 영향을 주지 않고 도입할 수 있다는 점에서 대기업 및 공공기관에 다수 적용되고 있다.

이번 SKT 사례는 단일 시스템의 취약점이 전체 기업 보안의 리스크로 확산할 수 있음을 보여줬다. 그러나 동시에, 암호화된 시스템은 해킹 피해를 실질적으로 방어할 수 있다는 점에서 '보안 전략의 기준'이 달라져야 함을 시사한다.

기업의 데이터 보호는 단순한 규제 대응을 넘어, 고객 신뢰와 직결된 핵심 과제다. 그리고 그 시작점은 데이터를 지키는 가장 근본적인 방법, ‘암호화’다.

▲디에스앤텍 ‘ScriptSafer’[자료: 디에스앤텍]

[제2의 SKT 사태 대응 솔루션 집중분석-13 ‘디에스앤텍’]
스크립트가 무기가 되는 시대, 디에스앤텍 ‘ScriptSafer’로 리눅스 서버를 지켜라
실시간 위협 탐지와 감사 기능으로 스크립트 보안 공백 메운다

최근 발생한 대규모 해킹 사고들은 사이버 위협의 양상이 기존의 정면 침입에서 은밀한 내부 실행 방식으로 변화하고 있음을 보여준다. 특히 리눅스 서버 환경에서는 관리자 또는 내부자의 단 한 줄 스크립트만으로도 시스템 전체가 마비될 수 있어 보안의 최전선은 이제 실행 파일이 아닌 '스크립트 코드' 자체로 이동하고 있다.

리눅스 환경에 최적화된 실시간 탐지 솔루션
이런 흐름 속에서 디에스앤텍은 2024년 5월, 리눅스 기반의 스크립트 위협 탐지 솔루션 ‘ScriptSafer(스크립트세이퍼)’를 출시하며 주목받고 있다. ScriptSafer는 리눅스 서버에서 생성되거나 업로드되는 스크립트 파일을 자동 분석하고, 악성 명령어나 의심스러운 패턴을 실시간으로 탐지한다. 단순한 정적 분석을 넘어, 우회 실행 방식의 스크립트까지 감시하며 명령어 사용 내용, 접속 정보, 계정 정보 등을 정밀하게 기록해 감사 및 사고 추적이 가능하다.

내부자 위협과 공급망 공격까지 선제 대응
최근 보안 사고에서는 스크립트를 통한 권한 상승, 백도어 설치, 자동화 공격 등이 반복적으로 등장하고 있다. ScriptSafer는 이에 대응하기 위해, 위험 명령어를 사전 등록하고, 정책 위반 여부를 자동 판단해 인앱 알림 및 대시보드를 통해 관리자에게 즉시 통보한다. 탐지된 스크립트는 위험도에 따라 ‘매우 높음’부터 ‘매우 낮음’까지 등급이 분류되며, 관리자는 위반 스크립트에 대해 사용자에게 소명을 요청할 수 있다. 또한 사용자 계정, 프로세스 ID, 접속 IP 등 핵심 정보도 함께 수집되어 신속하고 정밀한 원인 분석과 대응이 가능하다.

관리자 중심의 직관적인 웹 기반 운영 환경
ScriptSafer는 웹 기반의 직관적인 사용자 인터페이스(UI)를 제공해, 관리자가 스크립트 다운로드, 로그 확인, 정기 보고서 자동 생성 등의 기능을 편리하게 활용할 수 있도록 지원한다. 특히 일·주·월 단위의 위험 스크립트 분석 보고서는 보안 담당자의 업무 효율성을 크게 향상시킨다는 평가를 받고 있다.

심리적 방어가 중요한 시대, 스크립트 감시가 핵심
현대의 사이버전은 단순한 침투를 넘어 심리적 혼란과 신뢰 저하를 유도하는 인지전으로 진화하고 있다. 공격자는 익명화된 스크립트를 통해 인증 우회, 로그 은폐, 백업 데이터 삭제 등을 조용히 실행하고, 피해자는 무엇이 어떻게 벌어졌는지조차 모른 채 마비된다. ScriptSafer는 공격의 본질을 정확히 간파하고, 실행 전 단계에서 스크립트를 탐지하여 위험 행위를 사전에 식별함으로써, 선제적인 방어체계를 제공한다. 이는 단순한 로그 수집이나 사후 분석에 머물지 않고, 보안의 사각지대로 여겨지던 ‘스크립트 실행 구간’을 실시간 감시함으로써, 차세대 보안 대응 전략의 새로운 기준을 제시한다.

스크립트는 도구이자 무기, 보안의 새로운 프론트라인
디에스앤텍 장경수 대표는 “스크립트는 관리자에게는 유용한 도구이지만, 공격자에게는 강력한 무기”라며, “ScriptSafer는 리눅스 서버 환경에서 스크립트 기반 위협을 선제적으로 감지해, 보안 운영에 실질적인 도움이 되는 솔루션”이라고 강조했다. 또한 “이제는 방화벽이나 안티바이러스만으로는 충분하지 않다. 실행 이전의 감지, 사전 식별, 신속한 대응이 이뤄져야 진정한 보안이 가능하다. ScriptSafer는 스크립트라는 보안의 마지막 무방비 구간을 메우는 해결책이자, 사이버 위협이 고도화되는 시대의 필수 방어선이 될 것”이라고 말했다.

[원병철 기자(boanone@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다