사이버 보안

BPFDoor: 통신 네트워크 자체가 위협이 될 때

2026년 3월 28일5분 읽기

BPFDoor: 통신 네트워크 자체가 위협이 될 때

대부분의 사람들은 자신의 이동통신사가 단순히 A 지점에서 B 지점으로 데이터를 전달하는 중립적인 통로라고 생각합니다. 그러나 BPFDoor라는 도구와 관련된 새롭게 밝혀진 스파이 활동은 그러한 가정이 위험할 정도로 시대에 뒤떨어졌음을 시사합니다. Red Menshen으로 알려진 중국 연계 위협 행위자는 최소 2021년부터 여러 국가의 통신 인프라 내부에 은밀한 백도어를 조용히 심어왔으며, 수백만 명이 의존하는 바로 그 네트워크를 감시 도구로 변환시켜 왔습니다.

이것은 이론적인 위험이 아닙니다. 이는 글로벌 통신의 근간을 표적으로 삼은 현재 진행 중인, 문서화된 정보 작전입니다.

BPFDoor란 무엇이며 왜 그토록 위험한가?

BPFDoor는 탐지하기 극히 어려운 Linux 기반 백도어입니다. 이 도구는 Linux 시스템에 내장된 합법적인 저수준 네트워크 기능인 버클리 패킷 필터링(Berkeley Packet Filtering)을 사용하여 눈에 보이는 네트워크 포트를 열지 않고도 들어오는 트래픽을 모니터링하고 숨겨진 명령에 응답합니다. 의심스러운 열린 포트를 검색하는 전통적인 보안 도구는 아무런 이상을 발견하지 못합니다. BPFDoor가 일반적인 악성코드처럼 작동하지 않기 때문입니다.

바로 이 점이 BPFDoor를 장기 스파이 활동에 매우 효과적으로 만드는 요인입니다. Red Menshen은 서둘러 침입해 데이터를 훔치고 사라지는 방식을 택하지 않았습니다. 이 그룹은 수개월, 수년에 걸쳐 통신사 인프라에 지속적이고 조용한 접근을 유지하며 이 임플란트를 잠복 세포처럼 심어두었습니다. 목표는 단순한 강탈 작전이 아니었습니다. 전략적 인내심을 갖춘 지속적인 정보 수집이었습니다.

누가 피해를 입었으며 어떤 데이터가 노출되었는가?

이 캠페인의 규모는 상당합니다. 한국만 해도 약 2,700만 개의 IMSI 번호가 노출되었습니다. IMSI, 즉 국제 이동 가입자 신원(International Mobile Subscriber Identity)은 SIM 카드에 연결된 고유 식별자입니다. 통신사 인프라와 함께 IMSI 데이터에 접근할 수 있게 되면, 공격자는 잠재적으로 가입자 위치를 추적하고, 통신 메타데이터를 가로채며, 누가 누구와 통화하는지 모니터링할 수 있습니다.

한국 외에도 이 캠페인은 홍콩, 말레이시아, 이집트의 네트워크에도 영향을 미쳤습니다. 통신사들이 정부 기관, 기업 고객, 일반 시민 모두를 위한 라우팅을 처리한다는 점에서, 잠재적인 노출 범위는 특정 사용자 범주에 국한되지 않습니다. 외교 통신, 비즈니스 통화, 개인 메시지 모두 동일한 인프라를 통해 이동합니다.

연구자들에 따르면, 이 캠페인의 초점은 즉각적인 금전적 이익보다는 장기적인 전략적 우위 확보와 정보 수집에 있었습니다. 이러한 관점은 중요합니다. 이 위협이 경보를 울리지 않고 조용히 지속되도록 설계되어 있음을 의미하기 때문입니다.

이것이 여러분에게 의미하는 바

특히 피해 지역에서 주요 통신사의 가입자라면, 불편한 진실은 이것입니다: 여러분은 통신사 자체 네트워크 내에서 자신의 데이터에 어떤 일이 일어나는지 가시성이 거의 없습니다. 통신사가 인프라를 통제합니다. 그 인프라가 심층적인 수준에서 침해되었다면, 여러분의 기기와 웹사이트 사이의 암호화가 모든 것을 보호하지 못할 수 있습니다. 메타데이터, 위치 신호, 통신 패턴은 여러분의 트래픽이 공개 인터넷에 도달하기 전에 네트워크 레이어에서 이미 수집될 수 있습니다.

이것이 대부분의 사이버보안 논의에서 간과되는 부분입니다. 사람들은 기기와 비밀번호 보안에 집중합니다. 물론 이것은 절대적으로 중요합니다. 그러나 여러분이 연결하는 네트워크 역시 보안 태세의 동등한 일부입니다. 그 네트워크가 여러분의 이익과 일치하지 않는 이해관계를 가진 주체에 의해 통제되거나 모니터링된다면, 독립적인 보호 레이어가 필요합니다.

VPN은 여러분의 트래픽이 통신사 네트워크에 진입하기 전에 암호화하고 해당 인프라 외부의 서버를 통해 라우팅함으로써 이 문제를 해결합니다. 통신사 시스템이 침해되더라도, 네트워크 레이어에서 트래픽을 관찰하는 공격자는 실제 통신 내용이나 목적지 대신 VPN 서버로 향하는 암호화된 데이터만 볼 수 있습니다. 모든 문제를 해결하지는 못하지만, 통신사 레벨에서의 수동적 감시에 드는 비용과 어려움을 의미 있게 높입니다.

통신사를 신뢰할 수 없는 인프라로 취급하기

보안 전문가들은 오래전부터 제로 트러스트 원칙에 따라 운영해왔습니다: 합법적으로 보인다는 이유만으로 네트워크의 어떤 부분도 본질적으로 안전하다고 가정하지 말라는 것입니다. BPFDoor 캠페인은 그 원칙이 기업 IT 팀만이 아니라 일반 사용자에게도 왜 중요한지를 실제로 보여주는 사례입니다.

여러분의 통신사는 선의로 운영되고 있으면서도 자신이 알지 못하는 침해된 장비를 보유하고 있을 수 있습니다. 이것이 지능형 지속 위협(APT)의 본질입니다: 네트워크를 책임지는 사람들에게 보이지 않도록 설계되어 있습니다.

hide.me와 같은 VPN을 일상적인 루틴에 추가하는 것은 네트워크 연결을 적절한 의심을 가지고 바라보기 위한 실용적인 조치입니다. 이를 통해 통신사 인프라와 독립적이고, 엄격한 무로그 정책 하에 운영되는 제공업체가 관리하는 암호화 터널을 얻을 수 있습니다. 사용 중인 네트워크 내부에서 어떤 일이 일어나는지 확인할 수 없을 때, 적어도 여러분의 트래픽이 기기를 떠날 때부터 이미 보호된 상태가 되도록 할 수는 있습니다.

암호화가 어떻게 작동하는지, 그리고 왜 네트워크 레벨에서 중요한지에 대한 더 깊은 이해를 위해서는 VPN 프로토콜이 데이터를 처리하는 방식을 살펴보는 것이 좋은 출발점입니다. 통신사가 보는 것과 VPN 제공업체가 보는 것의 차이를 이해하면 앞으로의 디지털 프라이버시에 관한 더 현명한 결정을 내리는 데 도움이 됩니다.

// FAQ

BPFDoor란 무엇이며 어떻게 작동하는가?

BPFDoor는 합법적인 저수준 네트워크 기능인 버클리 패킷 필터링을 사용하여 눈에 보이는 네트워크 포트를 열지 않고도 트래픽을 모니터링하고 숨겨진 명령에 응답하는 Linux 기반 백도어입니다. 전통적인 보안 도구는 일반적으로 의심스러운 열린 포트를 검색하기 때문에, 이로 인해 탐지가 극히 어렵습니다.

BPFDoor 스파이 캠페인의 배후는 누구인가?

Red Menshen으로 알려진 중국 연계 위협 행위자가 통신 인프라 내부에 BPFDoor 임플란트를 심는 것에 대한 책임이 있습니다. 이 캠페인은 최소 2021년부터 활동해왔습니다.

이 캠페인으로 어떤 국가들이 피해를 입었는가?

이 캠페인은 한국, 홍콩, 말레이시아, 이집트의 통신 네트워크에 영향을 미쳤습니다. 한국만 해도 약 2,700만 개의 IMSI 번호가 노출되었습니다.

IMSI란 무엇이며 그 노출이 왜 중요한가?

IMSI, 즉 국제 이동 가입자 신원은 가입자의 SIM 카드에 연결된 고유 식별자입니다. 공격자가 통신사 인프라와 함께 IMSI 데이터에 접근할 수 있게 되면, 잠재적으로 가입자 위치를 추적하고, 통신 메타데이터를 가로채며, 누가 누구와 통신하는지 모니터링할 수 있습니다.

Red Menshen 작전의 주요 목표는 무엇이었는가?

연구자들에 따르면, 이 작전의 초점은 즉각적인 금전적 이익보다는 장기적인 전략적 정보 수집에 있었습니다. Red Menshen은 수개월, 수년에 걸쳐 통신사 인프라에 지속적이고 조용한 접근을 유지하며, 기회주의적 공격자보다는 내부에 심어진 잠복 세포처럼 활동했습니다.