SKT 해킹 프로그램도 이곳에…'깃허브'가 뭐길래

임주형기자

입력2025.05.10 07:30

수정2025.05.12 13:27

시계아이콘01분 36초 소요

숏뉴스

숏 뉴스 AI 요약 기술은 핵심만 전달합니다. 전체 내용의 이해를 위해 기사 본문을 확인해주세요.

불러오는 중...

뉴스듣기 글자크기

세계 최대 소스코드 공유 사이트
데이터 유출한 BPF도어도 이곳에
익명성 이용해 해커들 숨어 들어
보안 관계자들도 깃허브에 의지

SK텔레콤(SKT)의 가입자 유심(USIM) 정보를 유출하는데 활용된 악성코드 'BPF도어'는 오픈소스 프로그램의 소스코드를 공유하고 협업하기 위한 개발자 플랫폼 '깃허브(Github)'에 이미 공개된 상태다. 즉, 누구나 원하면 이 프로그램을 이용해 사이버 공격을 가할 수 있다는 뜻이다. 깃허브는 오픈소스 생태계를 유지하는 핵심 커뮤니티지만, 최근에는 이를 악용하려는 해커 집단과 보안 전문가들의 전장으로 부상했다.

SKT 유심 유출한 BPF도어…'깃허브'에 무료 공유돼

깃허브 로고. 깃허브

BPF도어는 중국계 해커 그룹 '레드멘셴'이 2010년대 후반 즐겨 쓰던 악성 프로그램으로 알려졌다. 2022년 글로벌 컨설팅 기업 PwC의 보고서에서 처음 언급됐다. BPF도어는 서버 네트워크에 일종의 '뒷문'을 심는 악성코드다.

BPF는 본래 원활한 네트워크 운영을 위해 개발된 프로그램이지만, 레드멘셴은 소스코드 일부를 수정해 BPF도어라는 해킹 툴로 변질시켰다. BPF도어는 평소엔 시스템 내부에 잠복해 있다가, 해커가 특정 명령어를 흘려 넣으면 가동돼 중요 데이터를 빼돌린다. 한때 레드멘셴은 BPF도어로 아시아권 은행, 통신 기업, 병원, 정부 기관 등을 곤경에 빠트렸다.

설상가상으로, 2022년 레드멘셴은 BPF도어의 소스코드를 깃허브에 무료로 풀었다. 이제 누구나 깃허브에서 BPF도어를 다운로드받아 똑같은 해킹 범죄를 저지를 수 있다는 뜻이다. 이 때문에 지금은 BPF도어를 이용한 사이버 공격의 주동자를 레드멘셴으로 특정할 수 없게 됐다. 무료 오픈소스라는 깃허브의 특성을 악용한 계책이었다.

오픈소스 핵심 커뮤니티, 해커들의 은신처

레드멘셴의 BPF도어 소스코드가 풀린 뒤로 깃허브엔 관련 샘플이 공유되고 있다. 사진은 2023년 연구용 샘플로 공유된 BPF도어. 깃허브

깃허브는 2008년 설립된 미국의 프로그래밍 관련 커뮤니티 웹사이트로, 이곳에선 누구나 자신이 개발한 프로그램의 소스코드를 무료로 공유할 수 있다. 오늘날 1억5000만명 이상이 프로그래머가 깃허브를 이용하며, 국내에서만 약 233만명의 개발자가 깃허브에 가입된 것으로 추산된다. IT 업계에 미치는 절대적인 영향력 덕분에 2018년 기업 가치 75억달러(약 10조5000억원)를 인정받았고, 같은 해 마이크로소프트(MS)에 인수돼 자회사로 편입됐다.

하지만 오픈소스와 익명성을 보장하는 커뮤니티 운영 방침 때문에 깃허브는 해커들의 은신처로 이용되기도 한다. 깃허브에서 악성코드가 유출되며 막대한 금전 피해가 발생하는 일도 비일비재하다. 지난 2월엔 글로벌 보안 기업 '카스퍼스키'가 깃허브의 한 레퍼지터리(저장소)에서 수백개에 달하는 악성 프로그램을 포착했는데, 조사 결과 해커들은 이미 해당 프로그램을 이용해 48만달러(약 6억7000만원)어치 비트코인 피해를 준 뒤였다.

보안업계도 깃허브 의존…총성 없는 사이버 전장

SKT 해킹 사태.

하지만 깃허브를 섣불리 사이버 범죄의 온상으로 낙인찍을 수도 없는 노릇이다. 해커들이 깃허브를 악용하는 만큼, 악성코드를 방어하는 보안 관계자나 화이트 해커(보안 기업에 고용돼 해킹 범죄를 막는 해커들)들에게도 깃허브는 귀중한 정보 창구이기 때문이다.

새로운 악성코드, 랜섬웨어가 깃허브에 올라오면, 보안 관계자들도 그 소스코드를 샅샅이 뒤지며 잠재적 취약점을 찾느라 분주해진다. 신규 악성코드의 특성이나 주의점을 경고하는 최초 보고도 대부분 깃허브에 가장 먼저 올라온다. 오늘날 깃허브는 해킹 범죄자와 보안 전문가들이 시시각각 충돌하는 총성 없는 전장에 가깝다.

보안 전문가들은 아직 깃허브의 순기능이 역효과보다 더 크다고 판단한다. 보안업계 관계자는 "깃허브가 워낙 방대한 곳이라 정말 위험한 악성코드가 풀릴 때도 있다"면서도 "소수 사례를 뺀 대부분의 악성코드는 연구용으로 정제를 거친 안전한 샘플이고, 보통 백신도 이미 개발한 상태(로 업로드한다)"라고 설명했다.