inlife3031 님의 블로그

GNN(Graph Neural Network)

inlife3031 — Sat, 3 Jan 2026 23:40:26 +0900

# Updated : 2026.01.03 (Gemini3)

<Concept> (개요)

정의: 그래프 구조(Node, Edge)를 입력으로 받아 데이터 간의 복잡한 관계 정보와 인접 노드의 특징을 신경망 기반으로 학습하는 딥러닝 알고리즘입니다.
배경/필요성:
- Problem: 기존 CNN/RNN은 격자형(Grid)이나 시퀀스 데이터 처리에 특화되어 있어, 소셜 네트워크, 화학 분자 구조, 추천 시스템 등 비정형적이고 복잡한 관계 데이터를 표현하는 데 한계가 있었습니다.
- Solution: 노드 간의 연결성(Topology)과 특징량(Feature)을 동시에 보존하면서 저차원 벡터 공간으로 임베딩하는 기술이 필요하게 되었습니다.
핵심 컨셉: Neighborhood Aggregation (Message Passing). 인접 노드로부터 정보를 수집(Aggregate)하고 자신의 상태를 업데이트(Update)하여 국소적 구조 정보를 반영하는 것입니다.

<Rule & Feature> (특징)

주요 특징: Permutation Invariance (순열 불변성). 그래프 내 노드의 순서가 바뀌어도 결과가 동일해야 하며, 가변적인 입력 크기를 수용할 수 있습니다.
메커니즘:
1. Aggregate: 이웃 노드들의 Feature 정보를 집계 함수(Mean, Sum, Max 등)를 통해 수집합니다.
2. Combine: 수집된 이웃 정보와 자신의 현재 정보를 결합하여 새로운 노드 상태를 생성합니다.
기술적 특성: 관계 위주의 추론이 가능하여 데이터 간의 종속성 파악 능력이 우수하며, 전이 학습(Transfer Learning)을 통해 미학습 노드에 대한 유추가 가능합니다.

<Elements> (구성요소)

아키텍처:

GNN(Graph Neural Network)의 핵심 기술 요소를 계층별 및 기능별로 정리한 마크다운 테이블입니다.

계층/구분	핵심 기술 요소	상세 설명 및 역할
Input Data	Adjacency Matrix (A)	노드 간의 연결 관계(Topology)를 나타내는 인접 행렬
	Feature Matrix (X)	각 노드가 가진 고유한 속성값(Feature Vector)을 담은 행렬
Core Operation	Aggregate (집계)	이웃 노드들의 정보를 수집하는 함수 (Mean, Sum, Max, LSTM 등)
	Update (갱신)	집계된 이웃 정보와 자신의 현재 상태를 결합하여 노드 임베딩을 갱신
	Message Passing	에지를 따라 노드 간 정보를 주고받는 전체적인 반복 프로세스
Layer Types	GCN (Convolutional)	주변 노드의 특징값에 가중치를 곱하고 평균을 내어 학습하는 방식
	GAT (Attention)	이웃 노드마다 중요도(Attention Score)를 다르게 부여하여 가중 집계
	GraphSAGE	대규모 그래프 대응을 위해 이웃 노드를 샘플링하여 학습하는 방식
Output Task	Node Classification	개별 노드의 카테고리를 분류 (예: 사용자 성향 예측)
	Link Prediction	두 노드 사이에 에지가 생성될 확률 예측 (예: 친구 추천)
	Graph Classification	그래프 전체의 특성을 분류 (예: 화합물의 독성 여부 판단)
Optimization	Pooling (Readout)	그래프 전체의 표현형을 얻기 위해 노드 정보들을 요약/압축하는 기법
	Dropout/BatchNorm	과적합 방지 및 학습 안정화를 위한 신경망 최적화 기술

표준/프로토콜: 특정 표준은 없으나 PyTorch Geometric(PyG), DGL(Deep Graph Library) 등의 프레임워크가 사실상 업계 표준 라이브러리로 활용됩니다.

<Analysis & Comparison> (비교 및 차이점)

유사 도메인 비교: CNN vs GNN

비교 항목	CNN (Convolutional)	GNN (Graph)
데이터 구조	격자형 (Grid, Image)	비정형 그래프 (Graph, Network)
이웃 관계	고정된 필터 크기 (3x3 등)	가변적 연결 관계 (Degree 기반)
특징	국소적 특징 추출 (Locality)	노드 간의 상호작용 및 관계 학습

장단점 및 Trade-off
- 장점: 복잡한 상호작용 모델링 가능, 뛰어난 설명력(관계 기반).
- 단점/리스크: Over-smoothing 문제(레이어가 깊어질수록 노드 특징이 비슷해짐), 대규모 그래프 학습 시 연산 복잡도 급증.
- Trade-off: 학습의 정교함(Depth)과 계산 자원의 효율성 사이의 균형 필요 (Sampling 기법 활용).

<Transfer & Usage> (적용사례 및 활용방안)

현업 적용 사례:
- 금융: 이상거래탐지(FDS) - 자금 세탁 경로 추적 및 사기 네트워크 탐지.
- 바이오: 신약 개발 - 화합물 분자 구조 간의 결합 가능성 예측.
- 이커머스: 개인화 추천 - 사용자-상품 간의 관계 그래프를 통한 정교한 상품 추천.
활용 시나리오: 대규모 소셜 데이터에서 악성 봇 탐지 시, 개별 행위 분석뿐만 아니라 봇 간의 연결 고리를 GNN으로 학습하여 집단적 이상 징후를 탐지합니다.
기술사적 제언 (고득점 포인트):
1. Scalability 확보: 대규모 그래프 처리를 위한 GraphSAGE 등 Sampling 기반 기법의 고도화가 필수적입니다.
2. Explainable AI (XAI): GNN의 결정 이유를 시각화하는 기술을 결합하여 금융/의료 분야의 신뢰성을 확보해야 합니다.
3. Governance: 그래프 데이터 수집 시 개인정보보호 및 데이터 주권 이슈를 고려한 Federated GNN(연합 학습 기반 GNN) 도입 검토가 필요합니다.

암호문 공격(Ciphertext Attack)

inlife3031 — Sat, 3 Jan 2026 23:18:22 +0900

# Updated : 2026.01.03 (Gemini3)

1. Concept: 암호 분석의 기초 모델

정의
- 암호화된 텍스트(Ciphertext)를 분석하여 평문(Plaintext)을 찾아내거나, 암호화에 사용된 키(Key)를 알아내기 위한 수학적·통계적 시도입니다.
배경/필요성
- 보안성 입증: 새로운 암호 알고리즘의 안전성을 검증하기 위해 공격 모델에 대한 내성이 필수적입니다.
- 취약점 발견: 단순한 무차별 대입(Brute-force)을 넘어 알고리즘의 구조적 결함을 찾기 위해 발전했습니다.
핵심 컨셉
- 공격자의 정보량: 공격자가 평문, 암호문, 암호기(Orale) 등에 얼마나 접근할 수 있느냐에 따라 등급이 나뉩니다.

2. Rule & Feature: 공격 메커니즘

주요 특징
- 공격자는 암호 알고리즘($E$)과 암호문($C$)을 알고 있다는 전제하에, 수학적 분석과 통계적 편향성을 이용합니다.
메커니즘

데이터 수집: 가용 가능한 암호문 및 대응되는 평문 쌍 확보.
패턴 분석: 암호문 내의 빈도수 분석 또는 비트 변화 관찰.
키 유추: 특정 키 후보군을 대입하여 유효한 평문 도출 여부 확인.

3. Elements: 4대 공격 유형 (분류)

아키텍처 (공격 모델 계층)
- 암호문 공격은 공격자가 가진 지식의 수준에 따라 4가지 표준 모델로 구분됩니다.

계층(Level)	공격 모델	상세 설명
Level 1	COA (Ciphertext Only)	오직 암호문($C$)만 가지고 평문이나 키를 추측 (통계적 빈도 분석 등)
Level 2	KPA (Known Plaintext)	일정량의 평문-암호문 쌍($P, C$)을 이미 알고 있는 상태에서 공격
Level 3	CPA (Chosen Plaintext)	공격자가 임의의 평문을 선택하면 그에 해당하는 암호문을 얻을 수 있는 상황
Level 4	CCA (Chosen Ciphertext)	공격자가 임의의 암호문을 선택하면 그에 해당하는 평문을 얻을 수 있는 상황

핵심 기술 요소
- 빈도 분석 (Frequency Analysis): 언어별 알파벳 출현 확률을 이용 (주로 COA에서 활용).
- 전수 조사 (Brute-force): 가능한 모든 키를 대입.
- 차분 분석 (Differential Cryptanalysis): 평문의 변화에 따른 암호문의 변화 형태를 분석 (주로 CPA).
- 선형 분석 (Linear Cryptanalysis): 근사 선형 관계식을 찾아 키를 유추 (주로 KPA).

4. Analysis & Comparison: 공격 강도 비교

유사 도메인 비교

구분	CPA (선택 평문 공격)	CCA (선택 암호문 공격)
공격자 권한	암호화기에 접근 가능	복호화기(Oracle)에 접근 가능
공격 대상	공개키 암호 알고리즘 (RSA 등)	전자서명, 인증된 암호화 모델
난이도	상대적으로 낮음	매우 높음 (강력한 보안 요구)

Trade-off
- 보안 강도를 높이기 위해 복잡한 연산을 추가하면 **성능(Latency)**이 저하되며, 반대로 속도를 중시하면 대수적 공격에 취약해질 수 있습니다.

5. Transfer & Usage: 현업 적용 및 제언

현업 적용 사례
- 랜섬웨어 분석: 유포된 암호문의 패턴을 분석하여 복구 키를 생성하려는 시도 (COA/KPA).
- 사이드 채널 공격 연계: 전력 소모, 전자기파 등을 측정하여 선택 암호문 공격의 단서로 활용.
기술사적 제언
- IND-CCA2 보장: 현대 암호 체계는 가장 강력한 공격 모델인 '적응적 선택 암호문 공격(CCA2)'에 대해서도 통계적 유의미성을 찾을 수 없는 **불가분성(Indistinguishability)**을 만족해야 합니다.
- 양자 내성 암호(PQC) 준비: 양자 컴퓨터의 쇼어(Shor) 알고리즘은 기존 공개키 기반 공격 모델의 전제 조건을 무너뜨리므로, 격자 기반 암호 등 PQC로의 전환 거버넌스가 필요합니다.

MODBUS 프로토콜

inlife3031 — Sat, 3 Jan 2026 23:11:27 +0900

# Updated : 2026.01.03 (Gemini3)

1. Concept (개요)

정의: PLC(Programmable Logic Controller) 간 통신을 위해 개발된 마스터-슬레이브(Master-Slave) 구조의 응용 계층(Layer 7) 메시징 프로토콜입니다.
배경/필요성:
- Problem: 산업 현장의 다양한 제조사 기기 간 상호 운용성 부족 및 고비용의 전용 통신망 필요.
- Solution: 공개 표준화를 통해 단순하면서도 신뢰성 있는 데이터 교환 체계 구축 (사실상 산업용 표준).
핵심 컨셉: "Query & Response". 마스터가 요청하고 슬레이브가 응답하는 단순 명료한 데이터 교환 방식입니다.

2. Rule & Feature (특징)

주요 특징:
- Vendor Agnostic: 특정 하드웨어에 종속되지 않는 개방형 프로토콜.
- Address 기반 관리: 코일(Coil), 레지스터(Register) 등 데이터 주소 번호를 통한 직관적 제어.
메커니즘:
- ADU(Application Data Unit): 통신 매체(Serial/TCP)에 따른 헤더를 포함한 전체 패킷.
- PDU(Protocol Data Unit): 실제 데이터인 Function Code와 Data를 포함한 핵심 단위.
기술적 특성:
- 신뢰성: CRC(Cyclic Redundancy Check) 또는 LRC를 통한 오류 검출.
- 단순성: 오버헤드가 적어 저성능 MCU에서도 원활하게 동작.

3. Elements (구성요소)

아키텍처 및 계층 구조
- 물리 계층: RS-232, RS-485(Serial) 또는 Ethernet(TCP/IP).
- 데이터 모델:
  - Discrete Inputs: 1bit, Read-Only (디지털 입력).
  - Coils: 1bit, Read-Write (디지털 출력/상태 제어).
  - Input Registers: 16bit, Read-Only (아날로그 입력).
  - Holding Registers: 16bit, Read-Write (설정값/파라미터).
핵심 기술 요소

구분	MODBUS RTU (Serial)	MODBUS TCP (Ethernet)
전송 방식	Binary (이진 데이터)	TCP/IP 기반 패킷
에러 체크	CRC (16-bit)	TCP Checksum 사용
식별자	Slave ID (1~247)	Unit ID (IP 주소로 구분)
구조	PDU + CRC	MBAP Header + PDU

4. Analysis & Comparison (비교 및 차이점)

유사 도메인 비교: MODBUS vs CAN Bus
- MODBUS: 마스터 기반의 폴링(Polling) 방식. 구축이 쉽고 범용적이나 실시간성(Real-time) 확보에 한계가 있음.
- CAN Bus: 멀티 마스터 기반의 이벤트 방식. 자동차/항공 등 고신뢰성 및 실시간 데이터 전송에 특화.
장단점 및 Trade-off
- 장점: 구현 비용이 매우 저렴하며, 거의 모든 산업용 Gateway에서 기본 지원함.
- 단점/리스크: 보안 취약성. 기본적으로 암호화나 인증 메커니즘이 없어 스니핑(Sniffing) 및 변조에 매우 취약함.

5. Transfer & Usage (적용사례 및 활용방안)

현업 적용 사례:
- 스마트 팩토리: 센서 데이터(온도, 습도) 수집 및 모터 제어.
- BMS(빌딩 관리 시스템): 전력량계 모니터링 및 조명 제어 시스템 연동.
활용 시나리오: 레거시(Legacy) 장비를 클라우드로 연결할 때, MODBUS-to-MQTT Gateway를 사용하여 데이터를 가공하고 상위 플랫폼으로 전송.
기술사적 제언 (고득점 포인트):
1. Security 강화: 최근 보안 위협 증가에 따라 MODBUS/TCP Security(TLS 적용) 도입 검토 필수.
2. Edge Computing 연계: 데이터 폭증 대응을 위해 엣지 단에서 MODBUS 데이터를 전처리하여 대역폭 최적화 필요.
3. Governance: 비표준 Function Code 사용 자제 및 주소 맵(Address Map)의 문서화를 통한 유지보수 가시성 확보.

디지털 포렌식 > 아티펙트 (Artifact)

inlife3031 — Sat, 3 Jan 2026 22:59:55 +0900

# Updated : 2026.01.03 (Gemini3)

<Concept> (개요)

정의: 운영체제나 애플리케이션을 사용하는 과정에서 시스템에 자동으로 생성되어 남겨지는 디지털 흔적 및 증거 데이터를 의미합니다.
배경/필요성:
- Problem: 안티 포렌식 기술의 발전과 휘발성 데이터의 증발로 인해 직접적인 범죄 증거 확보가 어려워짐.
- Solution: 사용자의 행위(파일 접근, 웹 서핑, USB 연결 등)가 시스템에 남기는 비의도적인 기록을 역추적하여 타임라인 기반의 증거 재구성이 필요함.
핵심 컨셉: "Locard의 교환 법칙" (모든 접촉은 흔적을 남긴다)을 디지털 환경에 적용하여 사용자 행위의 가시성(Visibility)을 확보하는 것.

<Rule & Feature> (특정)

주요 특징:
- 비의도성: 사용자가 인식하지 못하는 사이에 시스템에 의해 자동 생성됨.
- 휘발성/비휘발성 공존: 메모리에 일시 저장되거나(RAM), 디스크에 영구 저장(Registry, Log)됨.
메커니즘: 사용자/시스템 이벤트 발생 → 커널 및 애플리케이션 인터페이스 호출 → 특정 경로(DB, Registry, File)에 데이터 기록.
기술적 특성:
- 무결성: 생성 시점의 타임스탬프 정보 포함.
- 연관성: 서로 다른 아티펙트 간의 교차 검증을 통해 행위의 신뢰성 보장.

<Elements> (구성요소)

아키텍처 및 핵심 기술 요소:

구분	핵심 아티펙트	상세 설명
파일 시스템	MFT, $LogFile	NTFS 파일 시스템의 메타데이터. 파일의 생성/수정/삭제 시간(MAC Time) 기록
OS 운영체제	Registry, Prefetch	시스템 설정값 및 프로그램 실행 이력. 특정 앱의 실행 횟수와 마지막 실행 시점 확인 가능
사용자 행위	LNK, Shellbag	최근 문서 접근 기록 및 폴더 열람 이력. 사용자가 어떤 경로를 탐색했는지 재구성
인터넷/NW	Web Cache, History	브라우저를 통한 웹사이트 방문 기록 및 다운로드 내역. 온라인상의 행적 추적
휘발성 정보	RAM, Swap file	메모리에 상주하는 프로세스, 실행 중인 악성코드, 네트워크 연결 상태 등 실시간 증거

표준/프로토콜: 수집 시 Chain of Custody(증거 관리 연속성) 준수 및 EWF(Expert Witness Format), AFF 등 포렌식 이미지 표준 활용.

<Analysis & Comparison> (비교 및 차이점)

유사 도메인 비교:

비교 항목	디지털 아티펙트 (Artifact)	시스템 로그 (System Log)
개념	시스템 동작 중 부수적으로 남는 흔적	시스템/보안 목적을 위해 명시적으로 남기는 기록
주요 목적	사용자 행위 분석 및 타임라인 복원	침해 사고 모니터링 및 상태 확인
생성 주체	OS 커널, 파일 시스템, 애플리케이션	로깅 서비스 (Syslog, Event Viewer 등)
데이터 예시	Prefetch, LNK, Registry, Thumbnail	보안 로그, 접속 로그, 에러 로그
분석 난이도	높음 (바이너리 구조 해석 필요)	상대적으로 낮음 (텍스트 기반)

장단점 및 Trade-off:
- Pros: 삭제된 행위도 복합 분석을 통해 복원 가능, 법적 증거 능력 확보 용이.
- Cons: OS 업데이트에 따라 구조가 수시로 변경됨(분석 도구의 업데이트 필수).
- Trade-off: 상세한 데이터 수집은 분석의 정확도를 높이나, 개인정보 침해 가능성과 분석 리소스 소모가 비례함.

<Transfer & Usage> (적용사례 및 활용방안)

현업 적용 사례:
- 기업 내부 감사: 퇴사자의 영업비밀 유출 정황 파악(USB 연결 흔적, 클라우드 업로드 기록).
- 침해사고 분석: 악성코드 유입 경로 분석(LNK 파일 분석을 통한 최초 실행지 확인).
활용 시나리오:
1. 타임라인 분석: 모든 아티펙트의 시간 정보를 통합하여 시간대별 행위 재구성.
2. 안티 포렌식 탐지: Wipe 도구 실행 흔적이나 레지스트리 조작 여부를 아티펙트로 역탐지.
기술사적 제언:
- 비정형 아티펙트 대응: 최근 클라우드 및 모바일 앱의 급증으로 인해 파편화된 비정형 아티펙트 추출 기술(SQLite 데이터베이스 분석 등) 확보가 필수적임.
- 법적 거버넌스: 기술적 분석뿐만 아니라 개인정보보호법과의 충돌을 방지하기 위한 '최소한의 수집' 원칙과 절차적 정당성(Warrant) 확보가 고득점의 핵심임.

디지털 포렌식 (Digital Forensics)

inlife3031 — Sat, 3 Jan 2026 22:45:49 +0900

# Updated : 2026.01.03 (Gemini3)

Concept: 개요

정의: PC, 스마트폰 등 디지털 기기에 저장된 데이터를 수집, 복구, 분석하여 법적 증거력을 갖는 자료를 확보하는 과학적 수사 기법입니다.
배경/필요성:
- Problem: 사이버 범죄의 지능화, 데이터의 휘발성 및 위·변조 용이성으로 인해 기존 수사 방식으로는 증거 확보가 어려워졌습니다.
- Solution: 법적 증거 능력을 유지하기 위한 '증거의 무결성' 확보 체계와 과학적 분석 절차의 필요성이 대두되었습니다.
핵심 컨셉: Chain of Custody (증거물 보관 연속성). 증거 수집부터 법정 제출까지 데이터가 변경되지 않았음을 증명하는 것이 핵심입니다.

Rule & Feature: 특징

주요 특징 (5대 원칙):
1. 정당성의 원칙: 적법한 절차(영장 등)를 통해 수집되어야 함.
2. 재현의 원칙: 같은 조건에서 분석 시 동일한 결과가 나와야 함.
3. 신속성의 원칙: 휘발성 데이터 소실 전 신속하게 수집해야 함.
4. 연속성의 원칙: 증거 이동 경로와 담당자가 명확히 기록되어야 함.
5. 무결성의 원칙: 수집 후 데이터가 수정/삭제되지 않았음을 해시(Hash)값으로 증명해야 함.
메커니즘: 사전 준비 → 증거 수집 → 운송 및 보관 → 조사 및 분석 → 보고서 작성의 5단계 절차를 따릅니다.
기술적 특성: 쓰기 방지 장치(Write Blocker) 사용, 이미징(Imaging) 기술을 통한 비트 단위 복제, 안티 포렌식(Anti-Forensics) 대응 기술 등을 포함합니다.

Elements: 구성요소

아키텍처:
- 물리 계층: 저장 매체(HDD, SSD, RAM) 및 네트워크 장비.
- 데이터 계층: 파일 시스템(NTFS, FAT32), 메모리 덤프, 레지스트리.
- 분석 계층: 타임라인 분석, 시그니처 분석, 키워드 검색.
핵심 기술 요소:
- Disk Imaging: 원본 데이터 훼손 방지를 위해 비트 단위로 복제본을 만드는 기술.
- Hashing: MD5, SHA-256 등을 사용하여 데이터의 동일성(무결성)을 입증.
- Slack Space Analysis: 파일 끝부분의 남는 공간에 숨겨진 데이터를 분석.
- Memory Forensics: 실행 중인 프로세스나 암호화 키 등 휘발성 정보 추출.
표준/프로토콜: ISO/IEC 27037 (디지털 증거 식별/수집/보존 가이드라인).

Analysis & Comparison: 비교 및 차이점

유사 도메인 비교: 디지털 포렌식 vs 데이터 복구

구분	디지털 포렌식	데이터 복구
목적	법적 증거 확보 및 무결성 입증	유실된 데이터의 단순 복구 및 가용성 확보
핵심 가치	증거 능력 (무결성, 연속성)	데이터 복구율 (비용 대비 효율)
절차	엄격한 법적 절차 및 문서화 수반	기술적 복구 작업 위주

장단점 분석:
- 장점: 객관적 증거 확보를 통한 범죄 입증, 침해 사고의 근본 원인 파악 가능.
- 단점: 고도의 전문 인력 필요, 대용량 데이터 분석 시 시간과 비용 과다 발생.
Trade-off: 분석의 정밀도 vs 대응 속도. 정밀한 전체 이미징은 시간이 오래 걸려 긴급한 침해 사고 대응(EDR 등) 시에는 선별적 수집(Live Forensics)과 상충될 수 있습니다.

Transfer & Usage: 적용사례 및 활용방안

현업 적용 사례:
- 금융: 이상금융거래 탐지시스템(FDS) 연계 사고 분석, 내부 횡령 적발.
- 제조: 기업 기밀 유출 사고 발생 시 유출 경로 역추적 및 법적 대응.
- 공공: 사이버 테러 대응 및 국가 정보 보안 침해 사고 조사.
활용 시나리오 (침해사고 대응): 악성코드 감염 의심 시, 메모리 포렌식을 통해 실행 중인 악성 프로세스를 식별하고 네트워크 로그와 결합하여 C&C 서버 통신 흔적을 규명합니다.
기술사적 제언:
1. 클라우드 포렌식 강화: 데이터가 분산 저장되는 클라우드 환경에 대비한 논리적 증거 수집 기법 연구가 시급합니다.
2. AI 기반 분석: 폭증하는 데이터량에 대응하기 위해 AI를 활용한 비정상 행위 자동 탐지 및 증거 선별 기술 도입이 필요합니다.
3. 안티 포렌식 대응: 암호화, 스테가노그래피 등 증거 인멸 기술에 대응하는 복호화 및 우회 기술 확보가 거버넌스 측면에서 병행되어야 합니다.

라우팅 프로토콜 (Routing Protocol)

inlife3031 — Sat, 3 Jan 2026 22:24:42 +0900

# Updated : 2026.01.03 (Gemini3)

Concept (개요)

정의: 패킷이 목적지까지 전달되는 최적의 경로를 결정하기 위해 라우터 간에 네트워크 정보를 교환하고 라우팅 테이블을 구성/관리하는 통신 규약입니다.
배경/필요성:
- Problem: 네트워크 규모가 방대해짐에 따라 관리자가 수동으로 경로를 지정(Static Routing)하는 데 한계가 발생하고, 네트워크 장애 시 우회 경로 확보가 어려움.
- Solution: 라우터 간의 지능적인 정보 교환을 통해 토폴로지 변화에 유연하게 대응하고 데이터 전송 효율을 극대화함.
핵심 컨셉: **Path Determination(경로 결정)**과 Switching(전달). '어디로 보낼 것인가(Control Plane)'와 '실제 보내는 동작(Data Plane)'의 분리 및 조화입니다.

Rule & Feature (특징)

주요 특징: Convergence Time(수렴 시간). 네트워크 변화 발생 시 모든 라우터가 일관된 경로 정보를 갖게 될 때까지 걸리는 시간이 핵심 성능 지표입니다.
메커니즘:
1. Neighbor Discovery: 인접 라우터 확인 (Hello 패킷).
2. Topology Database 구축: 경로 정보 수집.
3. Best Path Selection: 알고리즘(Dijkstra, Bellman-Ford 등)을 통한 최적 경로 산출.
4. Routing Table Update: 최종 경로를 테이블에 기록.
기술적 특성:
- Scalability: 계층적 구조(Area, AS)를 통한 대규모 네트워크 지원.
- Adaptability: 링크 단절 등 장애 발생 시 즉각적인 Metric 재계산 및 우회 경로 생성.

Elements (구성요소)

핵심 기술 요소

구분	핵심 기술 요소	상세 설명
운영 범위	IGP (Interior)	동일 AS(Autonomous System) 내부에서 경로 교환 (RIP, OSPF, EIGRP)
운영 범위	EGP (Exterior)	서로 다른 AS 간의 경로 정보 교환 (BGP)
알고리즘	Distance Vector	거리(Hop count)와 방향만 고려 (RIP, IGRP)
	Link State	전체 네트워크 맵(Topology)을 파악하여 최단 경로 계산 (OSPF, IS-IS)
	Path Vector	경로의 속성(Attribute) 정보를 포함하여 루프 방지 (BGP)

표준/프로토콜
- RIPv2: RFC 2453, Distance Vector 기반, 소규모 네트워크용.
- OSPFv2/v3: RFC 2328, Link State 기반, 계층적 구조 지원.
- BGP4: RFC 4271, 인터넷 백본 핵심 프로토콜.

Analysis & Comparison (비교 및 차이점)

유사 도메인 비교: IGP의 핵심 (Distance Vector vs Link State)

비교 항목	Distance Vector (RIP)	Link State (OSPF)
핵심 알고리즘	Bellman-Ford	Dijkstra (SPF)
정보 전송 방식	라우팅 테이블 전체를 주기적 전송	토폴로지 변화 시에만 변경분 전송
수렴 속도 (Convergence)	느림	빠름
자원 소모량	낮음 (CPU/Memory 부담 적음)	높음 (전체 맵 유지를 위해 자원 많이 사용)
제한 사항	Hop Count 제한 (최대 15개)	설계 복잡성 (Area 설계 필요)

Trade-off
- 복잡도 vs 신속성: Link State 방식은 계산 복잡도가 높지만 장애 대응이 빠르고, Distance Vector는 단순하지만 대규모 망에서 루핑(Looping) 위험이 존재합니다.

Transfer & Usage (적용사례 및 활용방안)

현업 적용 사례:
- 기업 내부망 (Campus Network): 안정적인 OSPF를 기반으로 계층적 Area 설계를 통해 트래픽 부하 분산.
- 데이터 센터 (SDN): 전통적인 라우팅 프로토콜 대신 중앙 집중형 컨트롤러가 경로를 결정하는 Software Defined Networking 기술과 접목.
활용 시나리오:
- 이중화 및 장애 대응: VRRP/HSRP와 연동하여 게이트웨이 생존성을 확보하고, 라우팅 프로토콜의 Metric 조정을 통해 Active-Active 부하 분산 구현.
기술사적 제언 (고득점 포인트):
1. SD-WAN으로의 진화: 전통적인 하드웨어 기반 라우팅에서 벗어나, 애플리케이션 가시성을 기반으로 최적의 WAN 경로를 선택하는 지능형 경로 제어 필요.
2. 보안 강화 (Secure Routing): BGP 하이재킹 등 경로 위조 공격에 대비하기 위해 RPKI(Resource Public Key Infrastructure)와 같은 인증 체계 도입 필수.
3. IPv6 전환 가속화: OSPFv3, BGP4+ 등 IPv6를 지원하는 프로토콜로의 점진적 이전 및 Dual-Stack 운영 전략 수립.

프로토콜 (Protocol)

inlife3031 — Sat, 3 Jan 2026 21:51:46 +0900

# Updated : 2026.01.03 (Gemini3)

# Ref : https://developer.mozilla.org/ko/docs/Glossary/Protocol

<Concept> (개요)

정의: 서로 다른 기기나 시스템 간에 데이터를 원활하고 정확하게 주고받기 위해 정의한 통신 규약 및 약속입니다.
배경/필요성:
- Problem: 이기종 장비 간 통신 시 데이터 형식, 속도, 오류 제어 방식이 달라 데이터 왜곡 및 통신 불능 발생.
- Solution: 표준화된 통신 절차를 정립하여 네트워크 상호운용성(Interoperability)을 확보하고 데이터 전송의 신뢰성을 보장.
핵심 컨셉: **Syntax(구문), Semantics(의미), Timing(타이밍)**의 3요소를 통해 통신의 질서를 유지합니다.

<Rule & Feature> (특징)

주요 특징:
- 계층 구조: 복잡한 통신 기능을 분할하여 독립성을 확보(예: OSI 7 Layer, TCP/IP).
- 캡슐화(Encapsulation): 각 계층의 제어 정보를 헤더에 추가하여 하위 계층으로 전달.
메커니즘:
1. 연결 설정: 핸드셰이킹을 통한 세션 확립.
2. 데이터 전송: 흐름 제어 및 오류 제어를 동반한 데이터 이동.
3. 연결 해제: 자원 회수 및 세션 종료.
기술적 특성:
- 신뢰성: 재전송 메커니즘(ARQ)을 통한 무결성 보장.
- 효율성: 세분화(Segmentation) 및 병합을 통한 대역폭 최적화.

<Elements> (구성요소)

아키텍처:
- OSI 7 Layer: 이론적 표준 모델 (물리~응용 계층).
- TCP/IP: 실질적인 산업 표준 모델 (네트워크 인터페이스~응용 계층).
핵심 기술 요소 (프로토콜 3요소):
1. Syntax (구문): 데이터의 형식(Format), 부호화, 신호 레벨 정의.
2. Semantics (의미): 제어 정보에 대한 조정 및 에러 처리를 위한 규정.
3. Timing (타이밍): 통신 속도 정합 및 순서 제어(Flow Control).
표준/프로토콜:
- L3: IP, ICMP, IGMP, ARP.
- L4: TCP, UDP.
- L7: HTTP/3, MQTT, CoAP (IoT 전송 표준).

<Analysis & Comparison> (비교 및 차이점)

유사 도메인 비교: TCP vs UDP

구분	TCP (Connection-Oriented)	UDP (Connectionless)
특징	신뢰성 중시, 3-Way Handshaking	속도 및 효율성 중시
제어	흐름 제어, 혼잡 제어 수행	제어 기능 거의 없음 (Best Effort)
용도	이메일, HTTP, 파일 전송 (FTP)	스트리밍, VoIP, 실시간 게임

Trade-off: 통신의 **신뢰성(Reliability)**을 높이면 오버헤드가 증가하여 **속도(Latency)**가 저하되는 상충 관계가 존재합니다.

<Transfer & Usage> (적용사례 및 활용방안)

현업 적용 사례:
- 금융권: 보안 전송 프로토콜(TLS 1.3)을 통한 트랜잭션 무결성 확보.
- 스마트 팩토리: 저전력·경량 프로토콜(MQTT)을 활용한 IoT 센서 데이터 수집.
활용 시나리오:
- 장애 대응: ICMP 프로토콜을 활용한 네트워크 도달 가능성(Reachability) 체크 및 경로 추적.
- 성능 최적화: 대용량 트래픽 처리 시 HTTP/2의 멀티플렉싱 기능을 활용하여 웹 로딩 속도 개선.
기술사적 제언 (고득점 포인트):
- 향후 프로토콜은 **초저지연(URLLC)**과 지능화가 핵심입니다. 특히 AI 기반의 자동 프로토콜 최적화 기술과 양자 내성 암호(PQC)가 적용된 보안 프로토콜로의 전환에 대한 거버넌스 수립이 필요합니다.

BPFDoor 멀웨어

inlife3031 — Sat, 3 May 2025 13:31:27 +0900

I. 개요

BPFDoor는 주로 리눅스(Linux) 및 솔라리스(Solaris) 시스템을 표적으로 삼는 고도로 은밀한 수동형 백도어 멀웨어입니다.¹ 이 멀웨어의 핵심 특징은 운영체제 커널의 합법적인 기능인 버클리 패킷 필터(Berkeley Packet Filter, BPF) 기술을 악용하여 네트워크 트래픽을 탐지 불가능하게 스니핑하고 명령을 활성화하는 데 있습니다.¹ 이러한 방식은 기존의 방화벽 보안 체계를 효과적으로 우회하며, 멀웨어가 명령 제어(C2) 서버로부터 트래픽을 수신하는 동안 탐지를 피할 수 있게 합니다.²

BPFDoor는 주로 사이버 스파이 활동을 목적으로 사용되며 ³, 중국과 연계된 것으로 의심되는 위협 행위자 그룹인 Red Menshen(다른 이름: Earth Bluecrow, DecisiveArchitect)에 의해 운영되는 것으로 분석됩니다.³ 이 멀웨어는 최소 2018년부터, 혹은 그 이전부터 활동해 온 것으로 추정되며, 수년간 탐지되지 않고 운영되어 왔습니다.² 표적은 전 세계적으로 통신, 정부, 교육, 물류, 금융, 소매 등 다양한 분야에 걸쳐 있으며, 특히 아시아와 중동 지역에서 활동이 두드러지게 관찰되었습니다.³

BPFDoor의 가장 큰 위협은 탐지가 매우 어렵다는 점입니다. BPF를 이용한 커널 수준에서의 동작 방식은 전통적인 포트 스캔이나 방화벽 로그 분석만으로는 탐지가 거의 불가능합니다.² 따라서 이 멀웨어에 효과적으로 대응하기 위해서는 호스트 기반 행위 분석, 커널 수준 가시성 확보, 네트워크 트래픽 심층 분석 등 다층적인 방어 전략이 필수적입니다.

II. 소개

BPFDoor(다른 이름: JustForFun ¹)는 리눅스 및 솔라리스 운영체제를 대상으로 설계된 정교한 백도어 멀웨어입니다.¹ 주요 목적은 감염된 시스템에 대한 장기간의 지속적이고 은밀한 접근 경로를 확보하여 사이버 스파이 활동을 수행하는 것입니다.³ 공격 대상 플랫폼은 x86, x64 등 다양한 아키텍처의 리눅스와 솔라리스 SPARC 시스템을 포함합니다.¹

BPFDoor가 주목받는 주된 이유는 그 뛰어난 은밀성 때문입니다. 이 멀웨어는 최대 5년 이상 탐지되지 않고 활동한 사례가 보고될 정도로 ², 기존 보안 시스템을 회피하는 데 매우 효과적인 기술들을 사용합니다. 핵심 메커니즘은 리눅스 커널의 초기 패킷 필터링 기술인 '클래식 BPF(cBPF)'를 악용하는 것입니다.³ cBPF는 원래 네트워크 트래픽 분석 및 필터링을 위해 개발된 합법적인 기술이지만, BPFDoor는 이를 악용하여 방화벽보다 앞서 네트워크 패킷을 가로채고 특정 '매직 패킷(magic packet)'을 통해 원격 명령을 수신합니다.²

이러한 접근 방식은 BPFDoor가 별도의 네트워크 포트를 열지 않고도 작동할 수 있게 하며 ², 시스템 관리자가 이상 징후를 감지하기 어렵게 만듭니다. 리눅스 및 솔라리스 시스템은 종종 서버 환경에서 중요한 데이터 처리나 인프라 접근 제어에 사용되므로 ³, 이러한 시스템을 장기간 은밀하게 감염시키는 BPFDoor는 심각한 보안 위협으로 간주됩니다. 특히 고가용성이 요구되는 서버 환경을 표적으로 삼는 것은 장기적인 스파이 활동 목표와 일치하며, 이는 공격자가 오랜 기간 동안 가치 있는 정보를 수집하거나 인프라를 악용하려는 의도를 시사합니다.⁶ 최신 eBPF 대신 cBPF를 사용하는 점은 멀웨어의 개발 시점이 비교적 오래되었거나, 공격자가 필요한 기능(패킷 필터링을 통한 활성화)을 구현하는 데 cBPF만으로 충분하다고 판단했을 가능성을 보여줍니다.³ 이는 방어 전략 수립 시 eBPF뿐만 아니라 cBPF 악용 가능성도 고려해야 함을 의미합니다.

III. 위협 행위자 및 표적 분석

BPFDoor 멀웨어는 주로 중국과 연계된 것으로 추정되는 특정 위협 행위자 그룹들과 관련이 있습니다. PwC와 Trend Micro 등의 보안 업체들은 Red Menshen 그룹을 주요 배후로 지목하고 있으며 ³, Trend Micro는 이 그룹을 Earth Bluecrow라는 이름으로 추적합니다.³ 또한 CrowdStrike는 DecisiveArchitect라는 이름으로 유사한 활동을 추적하며 BPFDoor(JustForFun)를 사용한다고 보고했습니다.¹⁵ 이들 그룹의 정교하고 은밀한 작전 방식, 유사한 인프라 표적 등을 고려할 때 UNC3886과 같은 다른 중국 연계 그룹과의 연관성도 제기됩니다.¹⁶ Mandiant는 APT41과 연관된 활동 클러스터가 BPFDoor를 사용한 증거를 관찰했다고 보고하기도 했습니다.¹⁸

그러나 2022년에 BPFDoor의 소스 코드가 온라인에 유출되면서 ⁸, 정확한 배후 추적은 더욱 복잡해졌습니다. 유출된 코드를 이용하여 다른 위협 행위자들이 변종을 개발하거나 사용할 가능성이 있기 때문입니다. 따라서 최근 공격의 배후를 특정 그룹으로 단정하기는 어려우며, 중간 정도의 신뢰도로 기존 그룹(예: Earth Bluecrow)에 의한 활동으로 추정하고 있습니다.¹³

BPFDoor의 표적은 주로 중요 인프라와 관련이 깊습니다. 가장 빈번하게 공격받는 분야는 통신사이며 ³, 이는 통화 상세 기록(CDR)과 같은 민감한 사용자 정보를 탈취하거나 ¹⁵, 통신 인프라 자체를 추가 공격이나 감시 활동에 활용하려는 의도로 해석될 수 있습니다. 통신사는 막대한 양의 통신 데이터와 메타데이터를 보유하고 있으며 국가 핵심 인프라이기도 하므로, 국가 지원 스파이 활동의 주요 표적이 되는 것은 자연스러운 현상입니다.

그 외에도 정부 기관, 교육 기관, 물류 회사, 금융 기관, 소매업체 등이 주요 표적으로 확인되었습니다.³ 지리적으로는 아시아(대한민국, 홍콩, 미얀마, 말레이시아, 베트남, 인도 등)와 중동(이집트, 터키 등) 지역에서 공격이 집중적으로 관찰되었으며 ³, 미국 내 네트워크에서도 활동이 탐지된 바 있습니다.²⁰

특정 인프라 장비도 표적이 되는데, 대만에 위치한 감염된 라우터들이 C2 통신을 중계하는 데 사용된 사례가 보고되었으며 ⁵, 이는 공격자의 실제 위치를 은닉하고 C2 트래픽 차단을 어렵게 만드는 정교한 전술입니다. 심지어 Speedtest 서버 11대가 감염된 사례도 발견되었습니다.²⁰

다음 표는 관찰된 BPFDoor 표적 분야 및 지역을 요약한 것입니다.

분야	관찰된 지역	관련 자료 출처
통신	아시아, 중동	³
정부	아시아, 중동	⁹
교육	아시아, 중동	⁹
물류	아시아, 중동	⁹
금융	아시아, 중동	³
소매	아시아, 중동	³
네트워크 인프라	라우터 (대만), Speedtest 서버	⁵

IV. 공격 체인 분석

BPFDoor 멀웨어 자체는 일반적으로 공격 체인의 초기 침투 단계가 아닌, 탐지 회피 및 지속성 확보를 위한 후반(post-exploitation) 단계에서 사용됩니다.⁶ 즉, 공격자가 이미 다른 수단을 통해 시스템에 초기 접근 권한을 획득한 후, 장기간에 걸쳐 은밀하게 접근을 유지하거나 재진입하기 위한 목적으로 BPFDoor를 설치하는 것입니다. BPFDoor가 발견되었다는 것은 이미 시스템이 상당 수준으로 침해되었음을 시사하며, 따라서 단순히 BPFDoor를 제거하는 것뿐만 아니라 초기 침투 경로와 공격자의 전체 활동 범위를 파악하기 위한 포괄적인 사고 대응(Incident Response)이 필수적입니다.⁶

BPFDoor 배포와 관련된 위협 행위자(Red Menshen, UNC3886, APT41, DecisiveArchitect 등)들이 사용하는 초기 접근 방식은 다양하며, BPFDoor 자체의 기능은 아닙니다. 주로 다음과 같은 방법들이 사용될 수 있습니다:

취약점 악용: 인터넷에 노출된 시스템, 특히 방화벽, VPN 게이트웨이, 가상화 소프트웨어 등 네트워크 및 보안 장비의 제로데이 또는 알려진 취약점을 악용하는 경우가 많습니다.¹ 예를 들어, DecisiveArchitect는 솔라리스 시스템에서 권한 상승을 위해 XScreenSaver 취약점(CVE-2019-3010)을 악용한 것으로 보고되었으며 ¹⁵, UNC3886은 Fortinet 및 VMware 제품의 제로데이 취약점을 활용했습니다.¹⁶ Microsoft Exchange ProxyShell 취약점(CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) 등도 관련 공격에서 언급됩니다.¹⁹
설정 오류 악용: FTP, SSH, RDP 등 외부에 노출된 서비스의 설정 오류나 취약한 관리자 계정 정보를 이용해 침투할 수 있습니다.¹
피싱 및 공급망 공격: 악성 첨부파일이나 링크를 포함한 스피어 피싱 이메일을 보내거나 ¹, 소프트웨어 공급망을 공격하여 악성 코드를 유포하는 방식도 가능합니다.⁵

BPFDoor를 설치하고 정상적으로 작동시키기 위해서는 일반적으로 루트(root) 또는 관리자 수준의 권한이 필요합니다.¹⁰ BPF 필터를 로드하고 방화벽 규칙(iptables)을 수정하는 등의 작업에 높은 권한이 요구되기 때문입니다. 이는 공격자가 초기 접근 후 반드시 권한 상승 단계를 거쳐야 함을 의미합니다. 예를 들어, 웹 취약점을 통해 초기 접근한 경우, 추가적인 로컬 권한 상승 취약점(예: CVE-2019-3010 ¹⁵)을 악용하여 루트 권한을 획득한 뒤 BPFDoor를 배포하는 다단계 공격 시나리오를 예상할 수 있습니다. 따라서 권한 상승을 방지하는 것이 BPFDoor 배포를 막는 중요한 방어 전략이 됩니다.

루트 권한을 확보한 공격자는 BPFDoor 바이너리를 대상 시스템에 업로드하고 실행합니다.¹⁰ 일단 실행되면 BPFDoor는 시스템에 은밀하게 상주하며, 초기 침투에 사용된 취약점이 패치되거나 다른 임플란트가 제거되더라도 공격자가 시스템에 다시 접근할 수 있는 지속적인 통로 역할을 합니다.⁶ 또한, BPFDoor 컨트롤러는 리버스 셸 기능을 제공하여 공격자가 감염된 네트워크 내에서 다른 시스템으로 이동(lateral movement)하거나 추가적인 악성 행위를 수행하는 것을 도울 수 있습니다.³

V. 기술 심층 분석: 핵심 메커니즘

BPFDoor의 핵심적인 작동 방식은 리눅스 커널의 합법적인 기능을 교묘하게 악용하는 데 기반합니다.

버클리 패킷 필터(BPF) 악용

BPF/cBPF 기술: BPF는 운영체제 커널 수준에서 네트워크 패킷을 효율적으로 필터링하기 위해 코드를 실행하는 가상 머신 기술입니다.³ BPFDoor는 주로 초기 버전인 cBPF(classic BPF)를 사용합니다.³
BPFDoor의 활용 방식: BPFDoor는 실행 시 커널에 사용자 정의 BPF 필터(바이트코드 형태)를 로드합니다. 이 필터는 로우 소켓(raw socket)에 연결되어 ², 일반적인 TCP/IP 스택 처리 이전에 네트워크 인터페이스에 도달하는 모든 패킷(이더넷 프레임 헤더 포함)을 감시할 수 있게 합니다.⁶ 로우 소켓(SOCK_RAW, AF_PACKET) 사용은 이러한 저수준 접근을 가능하게 합니다.⁶
배치 이점 (방화벽 우회): 가장 중요한 특징은 이 BPF 필터가 호스트의 로컬 방화벽(예: iptables, netfilter)이 패킷을 처리하기 전에 작동한다는 점입니다.² 이는 방화벽 규칙에 의해 차단될 패킷이라도 BPF 필터 조건(매직 값 존재)을 만족하면 BPFDoor가 해당 패킷을 인지하고 활성화될 수 있음을 의미합니다. 이것이 BPFDoor가 활성화 단계에서 방화벽을 우회하는 핵심 원리입니다.⁴
효율성: BPF는 커널에서 직접 패킷을 필터링하므로 매우 효율적입니다. BPFDoor는 이 덕분에 시스템 CPU 부하를 최소화하면서 필요한 패킷만 선별적으로 처리할 수 있습니다.¹⁰

활성화 및 명령 제어(C2)

매직 패킷 트리거: 로드된 BPF 필터는 들어오는 TCP, UDP, ICMP 패킷 내에서 특정한 '매직(magic)' 바이트 시퀀스를 지속적으로 찾습니다.³ 알려진 매직 값으로는 UDP/ICMP용 0x7255, TCP용 0x5293 등이 있으며 ⁴, 변종에서는 TCP용 0x39393939나 "44 30 CD 9F 5E 14 27 66"과 같은 다른 값들도 사용됩니다.⁴
암호 인증: 매직 패킷을 수신하더라도, 완전한 C2 기능을 활성화하기 위해서는 올바른 암호가 필요합니다. 암호는 매직 패킷 내에 포함되거나 후속 통신을 통해 전달될 수 있습니다.² 유출된 소스 코드에서는 'justforfun', 'socket'과 같은 평문 암호가 사용되었고 ⁷, 일부 최신 변종에서는 암호와 특정 솔트 문자열("I5*AYbs@LdaWbsO")을 결합한 후 MD5 해시값을 계산하여 명령을 구분하는 방식도 사용됩니다.⁷ 공격자는 BPFDoor 컨트롤러 도구를 사용하여 암호를 입력합니다.³
지원 프로토콜: C2 통신은 TCP, UDP, ICMP 프로토콜을 통해 이루어질 수 있어 유연성이 높습니다.³
C2 동작:
- 리버스 셸(Reverse Shell): 감염된 시스템이 공격자의 IP 주소와 포트(매직 패킷이나 컨트롤러 옵션으로 지정됨)로 다시 연결하여 셸을 제공합니다.³ 이 방식은 외부에서 내부로의 연결을 차단하는 방화벽 규칙을 자연스럽게 우회합니다.
- 바인드 셸(Bind Shell): 감염된 시스템이 사용되지 않는 높은 번호의 포트(예: 42391-43391 범위 ¹⁰)에서 셸을 열고 대기합니다. 동시에 iptables를 조작하여, 공격자의 IP 주소로부터 특정 포트(예: 방화벽에서 허용될 수 있는 22번(SSH) 또는 443번(HTTPS) 포트 ¹¹)로 들어오는 트래픽을 이 숨겨진 포트로 리디렉션합니다.³
- 상태 확인/핑백(Pingback): 암호가 틀렸거나 단순히 백도어의 활성 상태를 확인하기 위해, 감염된 시스템이 특정 응답 패킷(예: UDP 데이터 '1')을 보낼 수 있습니다.³
컨트롤러 사용: 공격자는 전용 컨트롤러 도구를 사용하여 BPFDoor 임플란트와 상호작용합니다. 이 도구는 매직 패킷 생성, 암호 입력, 암호화 옵션(예: -c 플래그 ³) 설정, 연결 모드(리버스/바인드, 대상 IP/포트) 지정 등을 처리합니다.³ 컨트롤러는 또한 사용자 정의 매직 시퀀스를 설정하는 기능(예: -f, -x 플래그 ³)도 제공하여 다양한 BPFDoor 샘플과의 호환성을 고려합니다.
암호화: 일부 변종 및 컨트롤러는 C2 통신 암호화를 지원합니다 (RC4 암호화가 언급되기도 함 ¹¹). 암호 자체도 통신 내용을 어느 정도 난독화하는 역할을 합니다.⁹

방화벽 회피 및 상호작용

BPFDoor의 방화벽 관련 동작은 이중적입니다. 활성화 단계에서는 방화벽을 우회하지만, 바인드 셸 설정 단계에서는 로컬 방화벽(iptables)을 조작합니다.

활성화 우회: 앞서 설명했듯이, BPF 필터가 방화벽 규칙 적용 전에 패킷을 검사하므로, 방화벽이 차단하더라도 매직 패킷을 탐지하여 백도어를 활성화할 수 있습니다.³ 이는 진정한 의미의 우회입니다.
iptables 조작 (바인드 셸): 바인드 셸 모드에서는 공격자의 연결을 수신하기 위해 iptables 규칙을 명시적으로 변경합니다.² 구체적으로 /sbin/iptables 명령을 사용하여 공격자 IP 주소로부터의 연결을 허용(-I INPUT... -j ACCEPT)하고, 공격자가 접속하는 특정 포트(예: 22, 443)로 들어오는 트래픽을 BPFDoor가 대기 중인 숨겨진 포트로 리디렉션(-t nat -A PREROUTING... -j REDIRECT --to-ports...)하는 규칙을 일시적으로 추가합니다.⁸ 연결이 성공적으로 수립된 후에는 종종 이 규칙들을 삭제하여 흔적을 지우지만 ¹¹, 리눅스의 상태 기반 연결 추적(stateful connection tracking) 기능 덕분에 기존 연결은 유지되는 경우가 많습니다.⁶ 이는 방화벽 규칙을 우회하는 것이 아니라, 적극적으로 조작하여 원하는 통신 경로를 만드는 행위입니다.

이러한 방화벽과의 이중적인 상호작용은 탐지 전략에 중요한 시사점을 줍니다. 활성화 트리거는 방화벽 로그에 남지 않을 수 있지만, 바인드 셸 설정 시 사용되는 iptables 명령 실행 기록이나 일시적인 규칙 변경은 탐지 단서가 될 수 있습니다. 또한, 암호 사용 및 잠재적인 암호화, 그리고 어떤 IP 주소에서든 활성화될 수 있다는 점 ² 때문에 단순히 출발지/목적지 IP 주소 기반의 네트워크 모니터링만으로는 C2 통신을 안정적으로 탐지하기 어렵습니다. 따라서 암호화되지 않은 트래픽에서 매직 값을 찾기 위한 심층 패킷 검사나 호스트 기반 이벤트와의 연관 분석이 필요합니다.

VI. 기술 심층 분석: 탐지 회피 및 지속성 확보

BPFDoor는 탐지를 피하고 시스템에 오랫동안 머무르기 위해 다양한 기술을 사용합니다.

은닉 기술

프로세스 위장(Process Masquerading): 실행 중인 자신의 프로세스 이름을 합법적인 시스템 데몬처럼 보이도록 변경합니다.³ 이를 위해 prctl 시스템 콜의 PR_SET_NAME 인자를 사용하거나 ²³ 프로세스의 argv 값을 덮어씁니다.¹⁰ 초기 실행 시 kdmtmpflush라는 하드코딩된 이름으로 변경하는 경우가 많으며 ⁶, 이후에는 /sbin/udevd -d, dbus-daemon --system, hald-runner, avahi-daemon: chroot helper 등 미리 정의된 목록에서 무작위로 선택하여 위장합니다.⁷ 이 목록은 변종마다 다를 수 있습니다.⁷
메모리/임시 파일 시스템에서의 실행: 자신을 /dev/shm 디렉토리(RAM 기반 임시 파일 시스템)에 복사하고 그곳에서 실행하는 경우가 많습니다.² 이는 파일 기반의 정적 스캔을 어렵게 하고 디스크에 남는 흔적을 줄입니다.
자가 삭제(Self-Deletion): /dev/shm 등에서 실행될 프로세스를 복제(fork)한 후, 최초 실행된 원본 바이너리 파일을 스스로 삭제하여 분석을 방해합니다.² (단, 일부 최신 변종에서는 이 기능이 제거되었다는 보고도 있습니다 ⁷).
타임스톰핑(Timestomping): 삭제하기 전 바이너리 파일의 접근 및 수정 시간을 과거의 특정 시점(예: 2008년 10월 30일 ²⁰)으로 변경하여 타임라인 기반의 포렌식 분석을 방해합니다.⁶
환경 변수 정리/위장: 실행 중인 프로세스의 환경 변수 정보(/proc/[pid]/environ)를 지우거나 미리 정의된 값으로 채워 넣어 분석 단서를 제거합니다.⁶
리스닝 포트 부재 (수동적 특성): 핵심 백도어는 매직 패킷에 의해 활성화되기 전까지는 특정 포트를 열고 대기(listen)하지 않습니다.² 이 때문에 일반적인 포트 스캔으로는 백도어의 존재를 탐지할 수 없습니다.

지속성 확보 전략

BPFDoor 임플란트 자체는 시스템 재부팅 후에도 살아남는 내장된 지속성 메커니즘을 가지고 있지 않습니다.¹⁰ 특히 /dev/shm과 같은 임시 파일 시스템에서 실행될 경우 재부팅 시 사라집니다.

런타임 지속성 (PID 파일): 실행 중임을 표시하고 중복 실행을 방지하기 위해 PID(Process ID) 파일을 생성하는 경우가 많습니다. 이 파일은 주로 /var/run 디렉토리에 생성되며(예: /var/run/haldrund.pid ⁸, /var/run/initd.lock ²⁷), 변종에 따라 다른 경로를 사용할 수 있습니다.⁷ /var/run 역시 재부팅 시 초기화되는 경우가 많아 영구적인 지속성에는 기여하지 못합니다.
외부 메커니즘 의존: 따라서 재부팅 후에도 BPFDoor가 자동으로 실행되도록 하려면, 공격자는 별도의 지속성 확보 기법을 사용해야 합니다.¹⁰ BPFDoor와 함께 사용될 가능성이 높은 일반적인 리눅스 지속성 기법들은 다음과 같습니다:
- Cron 작업: 시스템 전체(/etc/crontab, /etc/cron.d/ 등) 또는 사용자별 크론탭에 BPFDoor 실행 명령을 등록.¹⁰
- Systemd 서비스/타이머: BPFDoor를 실행하는 systemd 서비스 유닛 파일(.service)이나 타이머 유닛 파일(.timer)을 생성하여 시스템 부팅 시 또는 주기적으로 실행되도록 설정.²⁸
- Init 스크립트: 구형 SysV init 시스템을 사용하는 경우, /etc/init.d/ 디렉토리에 BPFDoor 실행 스크립트를 추가하거나 기존 스크립트를 수정하여 부팅 시 실행되도록 설정.¹⁵
- 기타: 셸 프로필 파일(.bashrc 등) 수정, SSH 키 추가 등 다양한 방법이 가능.³⁰

이처럼 BPFDoor는 은밀한 임플란트 자체와, 상대적으로 탐지될 가능성이 있는 지속성 메커니즘(cron, systemd 등)을 분리하는 전략을 취합니다. 이는 공격자 입장에서 하나의 요소가 탐지되더라도 다른 요소는 살아남아 작전의 회복탄력성을 높이는 효과가 있습니다. 따라서 방어자는 BPFDoor의 런타임 아티팩트와 별개로, 이러한 외부 지속성 확보 기법들을 탐지하고 제거하는 데에도 집중해야 합니다. 또한, 위장된 프로세스 이름과 실제 행위(로우 소켓 사용, BPF 필터 부착, iptables 조작 등) 간의 불일치를 탐지하는 것이 효과적일 수 있습니다. 예를 들어, udevd 프로세스가 외부 네트워크와 통신하거나 로우 소켓을 사용하는 것은 매우 비정상적인 행위로 간주될 수 있습니다.

VII. 변종 및 진화

BPFDoor는 단일 형태의 멀웨어가 아니며, 수년에 걸쳐 다수의 변종이 발견되었습니다.² 보고에 따르면 21가지 이상의 버전이 존재할 수 있습니다.² 이러한 변종들은 기능 및 탐지 회피 방식에서 주목할 만한 진화를 보여줍니다.

BPF 필터 복잡성 증가: 초기 버전(2023년 이전)은 비교적 단순한 30개 명령어 길이의 BPF 필터를 사용했지만, 2023년에 발견된 변종들은 39개(Variant B), 205개(Variant C), 229개(Variant D) 명령어 길이의 더 복잡한 필터를 사용하는 것으로 분석되었습니다.⁴ 필터 복잡성 증가는 분석을 어렵게 하고 탐지 규칙 생성을 방해하려는 의도로 해석될 수 있습니다.
매직 넘버 변경 및 추가: 기존의 매직 넘버(TCP 0x5293, UDP/ICMP 0x7255) 외에 새로운 매직 넘버(예: TCP 0x39393939, 또는 "44 30 CD 9F 5E 14 27 66")가 추가되었습니다.⁴ 이는 특정 캠페인을 위한 것일 수도 있고, 기존 탐지 규칙을 우회하기 위한 목적일 수도 있습니다. 컨트롤러 도구는 사용자 정의 매직 넘버 설정 기능까지 제공합니다.³
명령 메커니즘 변화: 초기 버전에서 사용된 평문 암호('justforfun', 'socket') 방식에서 ⁷, 일부 최신 변종에서는 암호와 특정 솔트("I5*AYbs@LdaWbsO")를 결합한 MD5 해시값을 사용하여 명령을 구분하는 방식으로 변경되었습니다.⁷ 이는 평문 문자열 기반의 탐지를 회피하기 위한 전략입니다.
PID 파일 경로 다양화: PID 파일의 경로가 변종마다 다르게 나타납니다. /var/run/haldrund.pid, /var/run/initd.lock 외에도 특정 IoC 목록에 따라 다른 경로가 사용될 수 있습니다.⁷
프로세스 위장 이름 목록 변경: 위장에 사용되는 가짜 프로세스 이름 목록이 변종별로 차이를 보입니다.⁷
자가 복사/삭제 동작 변경: 안랩에서 분석한 일부 최신 변종에서는 초기 실행 시 /dev/shm으로 자가 복사하고 원본을 삭제하는 단계가 제거된 것으로 보고되었습니다.⁷ 이는 해당 동작이 탐지 지표로 활용되자 이를 회피하거나, 다른 배포 전략(예: 영구 저장 위치에 직접 설치)을 사용하기 때문일 수 있습니다.
특정 환경 표적화 시도: Variant C는 목적지 MAC 주소의 첫 니블(nibble) 값을 확인하는 로직을 추가했는데, 이는 특정 네트워크 카드를 표적으로 삼거나 IPv4/v6 주소 확인 로직의 오류일 가능성이 있습니다.⁴ Variant D는 ICMP 패킷 유형 확인을 더 정교하게 수행합니다.⁴
솔라리스 특화 기능: 솔라리스 시스템에서는 리눅스의 명령줄 위장과 유사한 기능을 구현하기 위해 LD_PRELOAD 환경 변수를 사용하고, 권한 상승을 위해 CVE-2019-3010 취약점을 악용했습니다.¹⁵ 이후에는 리눅스 시스템에서도 LD_PRELOAD를 사용하는 모습이 관찰되었습니다.¹⁵

다음 표는 주요 BPFDoor 변종 간의 특징을 비교한 예시입니다. (세부 정보는 관련 자료 출처 참조)

변종 ID/출처	추정 시기	BPF 복잡성 (명령어 수)	매직 넘버 (TCP/UDP/ICMP 예시)	명령 방식	PID 파일 경로 예시	자가 복사/삭제	기타 특징
Pre-2023/Variant A ⁴	~2022	30	0x5293 / 0x7255 / 0x7255	평문 암호	/var/run/haldrund.pid	예	기본 형태
Variant B ⁴	2023	39	+ 0x39393939 (TCP)	평문 암호	?	예	TCP 매직 넘버 추가
Variant C ⁴	2023	205	Variant B와 동일	평문 암호	?	예	목적지 MAC 주소 니블 확인 추가
Variant D ⁴	2023	229	Variant B와 동일	평문 암호	?	예	ICMP ECHO 확인 강화
안랩 변종 ⁷	?	?	?	MD5 해시	다양 (IoC 기반)	아니오	자가 복사/삭제 제거, MD5 기반 명령 구분
한국 샘플 ⁸	2024년 5월	?	? (justforfun/socket 확인)	평문 암호	/var/run/haldrund.pid	?	특정 위장 이름 목록 사용
DecisiveArchitect Solaris ¹⁵	2019 이후	?	?	?	?	?	LD_PRELOAD 사용, CVE-2019-3010 악용

이러한 진화는 BPFDoor 배후의 위협 행위자들이 지속적으로 탐지를 회피하고 은밀성을 강화하기 위해 노력하고 있음을 보여줍니다. 따라서 방어자는 최신 변종의 특징을 반영하여 탐지 규칙과 전략을 꾸준히 업데이트해야 합니다.

VIII. 탐지 전략

BPFDoor의 고도화된 은닉 기술 때문에 탐지는 매우 어렵지만, 불가능하지는 않습니다. 효과적인 탐지를 위해서는 호스트 기반 분석과 네트워크 기반 분석을 결합하고, 단순한 시그니처 기반 탐지를 넘어 행위 기반 탐지에 집중해야 합니다.

호스트 기반 탐지

EDR/엔드포인트 보안 솔루션: 리눅스/솔라리스 호스트에 평판 좋은 EDR(Endpoint Detection and Response) 및 안티바이러스(AV) 솔루션을 배포하고 최신 상태로 유지하며, 정기적으로 정밀 검사를 수행해야 합니다.¹ 하지만 BPFDoor의 회피 기술 때문에 전통적인 시그니처 기반 AV만으로는 탐지가 어려울 수 있으므로 ¹, 프로세스 행위, 시스템 콜, 네트워크 연결 등을 모니터링하는 EDR의 기능이 더 효과적일 수 있습니다.⁷
프로세스 모니터링: 합법적인 시스템 프로세스 이름(예: udevd, dbus-daemon)으로 위장한 프로세스를 식별하고 ⁸, 해당 프로세스가 비정상적인 행위(예: 예상치 못한 네트워크 연결 시도, 파일 시스템 접근, 자식 프로세스 생성)를 보이는지 감시해야 합니다. 특히 /dev/shm과 같은 임시 디렉토리에서 실행되는 프로세스는 의심 대상으로 간주해야 합니다.⁶ prctl 시스템 콜을 이용한 프로세스 이름 변경 ²³이나, 부모 프로세스가 종료되고 자식 프로세스가 init(PID 1)에 의해 상속되는 방식(프로세스 트리 끊기) ⁶도 탐지 단서가 될 수 있습니다.
네트워크 소켓 분석: 로우 소켓(SOCK_RAW, AF_PACKET)을 열고 있는 프로세스를 식별하는 것이 중요합니다.⁶ 리눅스에서는 lsof -RPnl | grep SOCK_RAW | grep IP ¹⁵, ss -naptu | grep raw, 또는 BPF 필터가 연결된 소켓을 보여주는 ss -0pb ³와 같은 명령어를 사용할 수 있습니다.
BPF 필터 검사: 프로세스가 setsockopt 시스템 콜을 사용하여 소켓에 BPF 필터(SO_ATTACH_FILTER 또는 SO_ATTACH_BPF 옵션)를 부착하는 행위를 모니터링해야 합니다.²¹ Falco와 같은 도구를 사용하여 이러한 행위를 탐지하는 규칙을 설정할 수 있습니다.²¹ 로드된 BPF 바이트코드를 직접 분석하는 것은 전문 지식과 도구가 필요하여 어려울 수 있습니다.⁴
방화벽 규칙 변경 모니터링: iptables 명령 실행, 특히 REDIRECT 또는 PREROUTING 규칙을 추가/삭제하거나 특정 IP에 대한 ACCEPT 규칙을 조작하는 행위를 감시해야 합니다.⁹ 비정상적인 프로세스에 의해 이러한 명령이 실행된다면 더욱 의심스럽습니다.
파일 시스템 아티팩트: 알려진 패턴과 일치하는 PID 파일(예: /var/run/haldrund.pid) 생성을 모니터링하고 ⁷, 크론 작업 디렉토리, systemd 유닛 디렉토리, init.d 디렉토리 등 지속성 관련 위치에서의 파일 생성/수정을 감시해야 합니다.²⁹ 타임스톰핑 행위도 탐지 지표가 될 수 있습니다.⁶
Yara 규칙: 파일 시스템이나 메모리를 스캔하여 BPFDoor의 특정 문자열(암호, 프로세스 이름 등), 코드 패턴, BPF 바이트코드 시퀀스 등을 탐지하는 Yara 규칙을 활용할 수 있습니다. 커뮤니티 저장소에서 관련 규칙을 찾아볼 수 있습니다.³⁶
Sigma 규칙: SIEM 또는 로그 분석 플랫폼에서 BPFDoor와 관련된 행위 패턴(의심스러운 프로세스 실행, iptables 명령, 특정 시스템 콜 등)을 탐지하기 위해 Sigma 규칙을 사용할 수 있습니다. Sigma는 다양한 플랫폼으로 변환 가능한 범용 형식입니다.³⁶ Elastic 등 일부 벤더는 BPFDoor 관련 탐지 규칙을 제공합니다.⁶

네트워크 기반 탐지

어려움: 활성화 단계에서의 방화벽 우회, 지속적인 리스닝 포트 부재, 잠재적인 암호화 사용, 표준 프로토콜(TCP/UDP/ICMP) 사용 등 때문에 네트워크 기반 탐지는 본질적으로 어렵습니다.¹
트래픽 모니터링: 비정상적인 트래픽 급증이나 패턴 변화, 특히 외부로 향하는 트래픽(outbound)을 모니터링하고 평소 트래픽을 기준으로 베이스라인을 설정해야 합니다.¹
IOC 매칭: 알려진 C2 서버 IP 주소나 도메인 정보는 유용할 수 있으나, 공격자가 인프라를 자주 변경하거나 감염된 라우터 등을 사용하므로 ⁵ 신뢰도가 낮을 수 있습니다. 주의해서 사용해야 합니다.⁴
심층 패킷 검사(DPI): C2 트래픽이 암호화되지 않았다면, DPI 기술을 통해 패킷 페이로드 내에서 매직 넘버나 특정 바이트 시퀀스를 탐지할 수 있습니다.⁴ 하지만 이는 상당한 처리 자원을 요구합니다.
Snort/Suricata 규칙: IDS/IPS에서 알려진 매직 값, 특정 프로토콜 이상 징후, BPFDoor C2 통신 패턴 등을 탐지하는 규칙을 구현하고 최신 상태로 유지해야 합니다.³⁶ 변종 출현에 따라 규칙 업데이트가 필수적입니다.
방화벽 로그 분석: BPFDoor가 활성화 시 인바운드 규칙을 우회하더라도, 리버스 셸과 같은 아웃바운드 C2 통신은 방화벽 로그에 기록되거나 차단될 수 있습니다. 특히 의심스러운 국가나 지역으로 향하는 차단된 아웃바운드 트래픽을 모니터링하는 것이 도움이 될 수 있습니다.⁹

스캐닝 도구

Elastic Security Labs에서 제공하는 BPFDoor 스캐너와 같은 전용 도구를 사용하여 네트워크 내 호스트의 감염 여부를 능동적으로 검사할 수 있습니다.⁶ 일부 백신 벤더도 전용 검사 도구를 제공합니다.²⁶

다음 표는 BPFDoor 탐지를 위한 주요 지표들을 요약한 것입니다.

지표 유형	지표 설명	탐지 방법/도구	관련 자료 출처
호스트	프로세스 위장 (예: udevd, dbus-daemon 등)	EDR, 프로세스 모니터링 (이름 + 행위 분석)	⁸
호스트	/dev/shm 등 임시 디렉토리에서 실행	EDR, 프로세스 모니터링, 파일 시스템 모니터링	⁶
호스트	로우 소켓(SOCK_RAW, AF_PACKET) 사용	lsof, ss 명령어, EDR, 시스템 콜 모니터링	⁶
호스트	소켓에 BPF 필터 부착 (setsockopt 사용)	시스템 콜 모니터링 (Falco 등), EDR	²¹
호스트	iptables 명령 실행 (특히 REDIRECT, PREROUTING)	명령어 실행 로깅, EDR, SIEM (Sigma 규칙)	⁶
호스트	특정 경로에 PID 파일 생성 (예: /var/run/haldrund.pid)	파일 시스템 모니터링, EDR	⁷
네트워크/호스트	매직 패킷 시그니처 (예: 0x7255, 0x5293)	DPI, IDS/IPS (Snort 규칙), EDR (네트워크 이벤트 분석)	⁴
네트워크	비정상적인 아웃바운드 트래픽 (패턴, 볼륨)	네트워크 트래픽 분석 (NTA), 방화벽 로그 분석, 베이스라이닝	¹
호스트	특정 명령어 실행 결과 확인	lsof, ss, systemd-analyze verify, iptables -L 등 수동 조사 또는 스크립트	³

결론적으로, BPFDoor 탐지는 전통적인 IOC(IP 주소, 파일 해시 등)에 의존하기보다는, 멀웨어의 핵심 작동 방식과 관련된 행위 지표에 초점을 맞춰야 합니다. BPF 필터 사용, 로우 소켓 생성, iptables 조작, 프로세스 위장과 같은 시스템 메커니즘의 악용을 탐지하는 것이 중요합니다. BPF 바이트코드 분석의 어려움 ⁴ 때문에, 필터 내용을 분석하기보다는 필터를 부착하는 행위 자체나 관련 프로세스의 다른 악성 행위를 탐지하는 데 더 중점을 두어야 할 수 있습니다.

IX. 완화 및 강화 권고 사항

BPFDoor와 같은 정교한 위협에 대응하기 위해서는 다층적인 보안 접근 방식이 필요합니다. 네트워크 및 호스트 수준의 보안 강화와 함께 기본적인 보안 위생 수칙 준수가 중요합니다.

네트워크 보안

방화벽 정책 강화: 엄격한 인바운드(ingress) 및 아웃바운드(egress) 트래픽 필터링 정책을 적용해야 합니다. BPFDoor는 활성화 시 인바운드 필터링을 우회할 수 있지만, 리버스 셸과 같은 아웃바운드 C2 통신은 강력한 이그레스 필터링으로 차단하거나 탐지할 수 있습니다.¹ 방화벽을 사용하여 필요한 트래픽만 허용하도록 제어해야 합니다.¹
지역 기반 차단(Geo-blocking): 업무상 불필요하거나 의심스러운 국가/지역으로의 아웃바운드 통신을 차단하는 정책을 구현합니다.⁹
네트워크 분리(Segmentation): 네트워크를 기능이나 중요도에 따라 분리하여, 특정 호스트가 침해되더라도 공격자가 다른 중요 시스템으로 쉽게 이동(lateral movement)하는 것을 제한해야 합니다.
침입 방지 시스템(IPS): 최신 시그니처를 사용하는 IPS(Snort, Suricata 등)를 활용하여 알려진 BPFDoor 관련 네트워크 패턴이나 악성 트래픽을 탐지하고 차단합니다.³⁸ Trend Micro와 같은 벤더는 자사 제품에 특화된 탐지 규칙을 제공하기도 합니다.³

호스트 보안

취약점 관리 및 패치: 운영체제(리눅스, 솔라리스)와 모든 소프트웨어, 특히 인터넷에 노출된 서비스(웹 서버, VPN 등), 가상화 플랫폼, 보안 장비 등의 보안 업데이트를 신속하게 적용해야 합니다.¹ BPFDoor 관련 공격에서 악용된 것으로 알려진 취약점(예: 솔라리스 CVE-2019-3010 ¹⁵)은 우선적으로 패치해야 합니다. BPFDoor 자체가 후반 단계 도구임을 고려할 때, 초기 침투 경로로 사용될 수 있는 이러한 시스템들의 보안 강화는 BPFDoor 배포를 간접적으로 막는 매우 중요한 예방책입니다.
엔드포인트 보안 강화: 평판 좋은 최신 EDR/AV 솔루션을 모든 엔드포인트에 배포하고, 실시간 감시 및 정기적인 정밀 검사를 수행하도록 설정합니다.¹
최소 권한 원칙: 사용자 계정과 서비스가 작업을 수행하는 데 필요한 최소한의 권한만 갖도록 구성합니다. BPFDoor는 설치 및 실행에 루트 권한을 요구하므로 ¹⁰, 불필요한 루트 접근을 제한하고 권한 상승 시도를 방지하는 것이 핵심적인 방어 수단입니다.
다중 인증(MFA): 가능한 모든 곳, 특히 원격 접근(VPN, SSH 등) 및 관리자 계정에 대해 MFA를 활성화합니다.¹
보안 설정 강화: 시스템 설정을 강화하여 불필요한 서비스나 포트(RDP, FTP, 불필요한 SSH 등)를 비활성화하고 ¹, 사용해야 하는 서비스는 안전하게 구성합니다.
BPF 기능 제한 및 모니터링: AppArmor나 SELinux와 같은 리눅스 보안 모듈(LSM)을 사용하여 특정 프로세스가 로우 소켓을 생성하거나 BPF 필터를 부착하는 것을 제한하는 것을 고려할 수 있습니다.²¹ 커널 Capabilities(예: CAP_NET_RAW, CAP_NET_ADMIN)를 필요한 프로세스에만 부여하고, 시스템 전반의 BPF 사용 현황을 면밀히 모니터링해야 합니다.⁴ 단, 이러한 제한은 tcpdump와 같은 합법적인 네트워크 진단 도구나 모니터링 에이전트의 작동에 영향을 줄 수 있으므로 ⁴, 신중한 정책 설계와 충분한 테스트가 필요합니다. 이는 고급 강화 기법에 해당합니다.

일반적인 보안 위생

정기적인 백업: 중요 데이터는 정기적으로 백업하고, 복구 가능성을 테스트하여 실제 사고 발생 시 시스템을 신속하게 복원할 수 있도록 준비합니다.¹
자격 증명 관리: 강력하고 고유한 암호를 사용하며, 침해 가능성이 있는 모든 자격 증명(사용자 계정, 서비스 계정 암호, SSH 키 등)은 즉시 변경합니다.¹
위협 인텔리전스 활용: BPFDoor의 최신 TTP(전술, 기술, 절차), IOC(침해 지표), 관련 위협 행위자 동향에 대한 정보를 지속적으로 파악하고 방어 전략에 반영합니다.³

X. 사고 대응 지침

BPFDoor 감염이 의심되거나 확인된 경우, 신속하고 체계적인 사고 대응(Incident Response, IR)이 필요합니다.

준비: 사전에 정의된 IR 계획, 필요한 도구(포렌식, 분석 도구 등), 비상 연락망을 준비합니다. 프로세스 실행, 네트워크 연결, 방화벽 명령 실행, 시스템 콜 등 관련 활동에 대한 로깅이 충분히 활성화되어 있는지 확인합니다.
식별: VIII절에서 설명한 탐지 전략을 사용하여 감염 증거를 찾습니다. 알려진 IOC(XII절 참조)를 확인하고, 전용 스캐닝 도구(예: Elastic BPFDoor Scanner ³⁹)를 활용합니다.
격리: 감염이 확인된 호스트는 즉시 네트워크에서 분리하여 추가적인 C2 통신이나 내부 확산(lateral movement)을 방지합니다.¹ 시스템 종료 전에 메모리 덤프, 디스크 이미지 등 증거를 최대한 확보하는 것을 고려합니다.
제거:
- 악성 프로세스 식별 및 종료: PID 파일 정보나 ss -0pb 등의 명령어로 악성 프로세스를 식별하고 강제 종료(kill)합니다.
- 악성 파일 삭제: /dev/shm 또는 다른 위치에 있는 BPFDoor 바이너리, 관련 PID 파일 등을 삭제합니다.¹
- 지속성 메커니즘 제거: 이 단계가 매우 중요합니다. 단순히 BPFDoor 프로세스를 종료하는 것만으로는 재부팅 후 재감염을 막을 수 없습니다. 공격자가 사용한 지속성 메커니즘(Cron 작업, Systemd 서비스/타이머, Init 스크립트 수정 등)을 반드시 찾아 제거해야 합니다.¹ VI절에서 설명한 지속성 기법들을 철저히 조사해야 합니다. BPFDoor는 자체적인 재부팅 지속성 기능이 없으므로 ¹⁰, 이 외부 메커니즘 제거에 실패하면 사고 대응은 무의미해질 수 있습니다.
- 악성 방화벽 규칙 제거: iptables 등에 추가된 악성 규칙이 있다면 제거합니다.
- 기타 악성 코드 제거: 공격자가 BPFDoor 외에 추가로 설치했을 수 있는 다른 멀웨어나 도구들도 식별하고 제거해야 합니다.⁶
복구: 가능한 경우, 감염 전 시점의 신뢰할 수 있는 백업으로부터 시스템을 복원합니다.¹ 운영체제와 모든 소프트웨어를 최신 상태로 업데이트하고 패치합니다.¹ 침해 가능성이 있는 모든 자격 증명(계정 암호, SSH 키 등)을 변경하고 ¹, MFA를 활성화합니다.¹
사후 조치: 초기 침투 경로를 파악하기 위한 근본 원인 분석(Root Cause Analysis)을 수행하고 재발 방지 대책을 마련합니다. 전체 시스템 검사를 다시 실행하고 ¹, 시스템 및 네트워크 로그를 면밀히 모니터링하여 재감염 징후가 없는지 확인합니다. 발견된 IOC와 분석 결과는 내부적으로 공유하고, 필요시 관련 기관이나 위협 정보 공유 커뮤니티와 공유하는 것을 고려합니다. 복잡한 침해 사고의 경우, 전문적인 IR 서비스(예: Palo Alto Networks Unit 42 ⁴²)의 도움을 받는 것이 좋습니다.

BPFDoor가 주로 스파이 활동을 목적으로 정교한 APT 그룹에 의해 사용된다는 점을 고려할 때 ³, 단일 호스트에서의 발견이라도 네트워크 전반에 걸친 광범위한 침해 가능성을 염두에 두어야 합니다. 따라서 사고 대응 범위는 최초 발견된 호스트를 넘어, 네트워크 전체에 대한 위협 탐색(threat hunting)과 관련 시스템 조사를 포함해야 합니다.

XI. 결론

BPFDoor는 리눅스 및 솔라리스 환경을 겨냥한 매우 위험하고 탐지가 어려운 백도어 멀웨어입니다. 핵심적인 위협은 합법적인 커널 기능인 버클리 패킷 필터(BPF)를 악용하여 네트워크 트래픽을 감시하고, 방화벽을 우회하여 외부로부터 명령을 수신하는 능력에 있습니다. 이러한 수동적이고 은밀한 작동 방식은 BPFDoor가 수년간 탐지되지 않고 사이버 스파이 활동에 사용될 수 있게 만들었으며, 주로 중국과 연계된 것으로 추정되는 정교한 위협 행위자들에 의해 운영되어 왔습니다.

프로세스 위장, 자가 삭제, 타임스톰핑 등 다양한 탐지 회피 기술과 결합된 BPFDoor의 작동 방식은 전통적인 시그니처 기반 탐지나 포트 스캔 방식으로는 효과적으로 대응하기 어렵게 만듭니다. 따라서 BPFDoor 위협에 맞서기 위해서는 심층 방어(defense-in-depth) 전략이 필수적입니다. 여기에는 강력한 네트워크 및 호스트 보안 정책 적용, 최신 보안 솔루션(특히 행위 기반 탐지가 가능한 EDR) 활용, 신속한 취약점 관리, 최소 권한 원칙 준수 등이 포함됩니다.

특히, BPFDoor 탐지는 로우 소켓 사용, BPF 필터 부착, iptables 조작, 비정상적인 프로세스 행위 등 핵심적인 작동 메커니즘과 관련된 행위 기반 지표에 초점을 맞춰야 합니다. 또한, BPFDoor 자체가 외부 지속성 메커니즘에 의존한다는 점을 인지하고, Cron, Systemd, Init 스크립트 등 관련 지속성 확보 기법에 대한 탐지 및 제거 노력이 병행되어야 합니다.

BPFDoor는 공격자들이 합법적인 시스템 기능을 악용하여 기존 보안 통제를 우회하는 최신 위협 동향을 보여주는 대표적인 사례입니다. 이 멀웨어는 지속적으로 진화할 가능성이 높으므로, 방어자는 최신 위협 인텔리전스를 주시하고 탐지 및 대응 전략을 끊임없이 개선해야 할 것입니다.

XII. 침해 지표 (Indicators of Compromise, IOCs)

다음은 BPFDoor와 관련하여 보고된 침해 지표(IOC) 목록입니다. 이러한 지표들은 시간이 지남에 따라 변경될 수 있으며, 특히 네트워크 IOC나 파일 해시는 위협 행위자의 인프라 변경이나 소스 코드 유출로 인해 유효성이 떨어질 수 있습니다. 따라서 이 IOC 목록은 보조적인 정보로 활용하고, VIII절에서 설명한 행위 기반 탐지 전략에 더 중점을 두는 것이 권장됩니다.

파일 해시 (MD5, SHA256):

(Securonix 분석 샘플 중 일부 SHA256 ⁹) - 구체적인 해시값은 원문 참조 필요
(AhnLab 공개 IoC MD5 ⁷) - a47d96ffe446a431a46a3ea3d1ab4d6e, 227fa46cf2a4517aa1870a011c79eb54, f4ae0f1204e25a17b2adbbab838097bd, 714165b06a462c9ed3d145bc56054566 (KISA 공개분 인용)
(Genians 분석 샘플 MD5 ⁸) - 4e7e0995dc8cc5c1e8ce7c33dcf3b114
(Trend Micro IOC 목록 ⁴) - 원문 다운로드 링크 참조 필요

파일 경로:

실행 경로 예시: /dev/shm/kdmtmpflush ²
PID 파일 경로 예시: /var/run/haldrund.pid ⁸, /var/run/initd.lock ²⁷, 기타 변종별 경로 ⁷
솔라리스 취약점 악용 관련 경로 예시: /tmp/getuid.so, /usr/lib/secure/getuid.so ¹⁹

프로세스 이름:

초기 위장 이름: kdmtmpflush ⁶
기타 위장 이름 예시: /sbin/udevd -d, /sbin/mingetty /dev/tty7, /usr/sbin/console-kit-daemon --no-daemon, hald-addon-acpi: listening on acpi kernel interface /proc/acpi/event, dbus-daemon --system, hald-runner, pickup -l -t fifo -u, avahi-daemon: chroot helper, /sbin/auditd -n, /usr/lib/systemd/systemd-journald ⁷ (목록은 변종마다 다를 수 있음)

네트워크 IOCs:

C2 IP 주소 예시: 165.232.174[.]130 ⁸ (주의: 매우 동적이며 변경 가능성 높음)

매직 넘버 및 암호:

매직 넘버 예시: UDP/ICMP 0x7255, TCP 0x5293, TCP 0x39393939, "44 30 CD 9F 5E 14 27 66" ⁴
암호/명령 문자열 예시: justforfun, socket, justtryit, justrobot, sockettcp ⁷
MD5 기반 명령 구분용 솔트: "I5*AYbs@LdaWbsO" ⁷

XIII. 참고 자료

BPFdoor threat description - NordVPN, 5월 3, 2025에 액세스, https://nordvpn.com/cybersecurity/threat-center/bpfdoor/
BPFdoor Malware Targets Linux Systems Unnoticed for Five Years - SOCRadar, 5월 3, 2025에 액세스, https://socradar.io/bpfdoor-malware-targets-linux-systems-unnoticed-for-five-years/
BPFDoors Hidden Controller Used Against Asia, Middle East ..., 5월 3, 2025에 액세스, https://www.trendmicro.com/en_us/research/25/d/bpfdoor-hidden-controller.html
Detecting BPFDoor Backdoor Variants Abusing BPF Filters | Trend ..., 5월 3, 2025에 액세스, https://www.trendmicro.com/en_us/research/23/g/detecting-bpfdoor-backdoor-variants-abusing-bpf-filters.html
BPFDoor Malware Detection: Evasive Surveillance Tool Used to Spy on Linux Devices, 5월 3, 2025에 액세스, https://socprime.com/blog/bpfdoor-malware-detection-evasive-surveillance-tool-used-to-spy-on-linux-devices/
A peek behind the BPFDoor — Elastic Security Labs, 5월 3, 2025에 액세스, https://www.elastic.co/security-labs/a-peek-behind-the-bpfdoor
BPFDoor 악성코드 분석 및 안랩 대응 현황 - AhnLab, 5월 3, 2025에 액세스, https://www.ahnlab.com/ko/contents/content-center/35827
BPFDoor 리눅스 악성파일 분석 보고서 - 지니언스, 5월 3, 2025에 액세스, https://www.genians.co.kr/blog/threat_intelligence/bpfdoor
Securonix Threat Labs Initial Coverage Advisory: BPFDoor Global Surveillance Tool Detection and Analysis, 5월 3, 2025에 액세스, https://www.securonix.com/blog/bpfdoor-global-surveillance-tool-detection-and-analysis/
BPFDoor - An Evasive Linux Backdoor Technical Analysis - Sandfly Security, 5월 3, 2025에 액세스, https://sandflysecurity.com/blog/bpfdoor-an-evasive-linux-backdoor-technical-analysis/
A step-by-step BPFDoor compromise | CounterCraft, 5월 3, 2025에 액세스, https://www.countercraftsec.com/blog/a-step-by-step-bpfdoor-compromise/
Red Menshen (Threat Actor) - Malpedia, 5월 3, 2025에 액세스, https://malpedia.caad.fkie.fraunhofer.de/actor/red_menshen
Enhanced Version of 'BPFDoor' Linux Backdoor Seen in the Wild - SecurityWeek, 5월 3, 2025에 액세스, https://www.securityweek.com/enhanced-version-of-bpfdoor-linux-backdoor-seen-in-the-wild/
Trend Micro details BPFDoor controller used in stealthy reverse shell attacks on telecom, finance, and retail - Industrial Cyber, 5월 3, 2025에 액세스, https://industrialcyber.co/ransomware/trend-micro-details-bpfdoor-controller-used-in-stealthy-reverse-shell-attacks-on-telecom-finance-and-retail/
BPFDoor malware uses Solaris vulnerability to get root privileges - Bleeping Computer, 5월 3, 2025에 액세스, https://www.bleepingcomputer.com/news/security/bpfdoor-malware-uses-solaris-vulnerability-to-get-root-privileges/
Cloaked and Covert: Uncovering UNC3886 Espionage Operations | Google Cloud Blog, 5월 3, 2025에 액세스, https://cloud.google.com/blog/topics/threat-intelligence/uncovering-unc3886-espionage-operations
UNC3886: Novel China-Nexus Cyber-Espionage Threat Actor Exploits Fortinet & VMware Zero-Days, Custom Malware for Long-Term Spying | SOC Prime, 5월 3, 2025에 액세스, https://socprime.com/blog/unc3886-novel-china-nexus-cyber-espionage-threat-actor-exploits-fortinet-vmware-zero-days-custom-malware-for-long-term-spying/
Stealth Mode: Chinese Cyber Espionage Actors Continue to Evolve Tactics to Avoid Detection | Mandiant | Google Cloud Blog, 5월 3, 2025에 액세스, https://cloud.google.com/blog/topics/threat-intelligence/chinese-espionage-tactics
Securonix Threat Labs Monthly Intelligence Insights – May, 5월 3, 2025에 액세스, https://www.securonix.com/blog/threat-labs-monthly-intelligence-insights-may/
BPFdoor: Stealthy Linux malware bypasses firewalls for remote access - Cymulate, 5월 3, 2025에 액세스, https://cymulate.com/threats/bpfdoor-stealthy-linux-malware-bypasses-firewalls-for-remote-access/
Breaking down firewalls with BPFDoor (no e!) - How to detect it with Falco | Sysdig, 5월 3, 2025에 액세스, https://sysdig.com/blog/bpfdoor-falco-detection/
Quick and Simple: BPFDoor Explained - The Hacker News, 5월 3, 2025에 액세스, https://thehackernews.com/2022/06/quick-and-simple-bpfdoor-explained.html
Here's a Simple Script to Detect the Stealthy Nation-State BPFDoor - Qualys Blog, 5월 3, 2025에 액세스, https://blog.qualys.com/vulnerabilities-threat-research/2022/08/01/heres-a-simple-script-to-detect-the-stealthy-nation-state-bpfdoor
AhnLab EDR을 활용한 BPFDoor 리눅스 악성코드 탐지 - ASEC, 5월 3, 2025에 액세스, https://asec.ahnlab.com/ko/83742/
BPFDoor (Malware Family) - Malpedia, 5월 3, 2025에 액세스, https://malpedia.caad.fkie.fraunhofer.de/details/elf.bpfdoor
BPFDoor 대응 리눅스 전용 백신 무료 배포 - TACHYON - 보안의 새로운 이름, 타키온, 5월 3, 2025에 액세스, https://tachyonlab.com/kr/popup/BPFDoorVaccine
BPFDoor 변종 발견 및 유형별 BPF 필터 코드 차이점 비교 - TACHYON, 5월 3, 2025에 액세스, https://tachyonlab.com/kr/board/security/read/isarc2/856?category=19&page=1
Working with systemd timers - Dmitry Kudryavtsev - yield code(), 5월 3, 2025에 액세스, https://yieldcode.blog/post/working-with-systemd-timers/
Linux Detection Engineering - A primer on persistence mechanisms — Elastic Security Labs, 5월 3, 2025에 액세스, https://www.elastic.co/pt/security-labs/primer-on-persistence-mechanisms
Linux Persistence Mechanisms and How to Find Them - Security Boulevard, 5월 3, 2025에 액세스, https://securityboulevard.com/2024/10/linux-persistence-mechanisms-and-how-to-find-them/
ATT&CK T1501: Understanding Systemd Service Persistence - Red Canary, 5월 3, 2025에 액세스, https://redcanary.com/blog/threat-detection/attck-t1501-understanding-systemd-service-persistence/
Linux Detection Engineering - A Sequel on Persistence Mechanisms — Elastic Security Labs, 5월 3, 2025에 액세스, https://www.elastic.co/security-labs/sequel-on-persistence-mechanisms
Backdoor:Linux/BPFDoor.C!MTB threat description - Microsoft Security Intelligence, 5월 3, 2025에 액세스, https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Backdoor:Linux/BPFDoor.C!MTB&ThreatID=2147819610
Masquerading: Break Process Trees, Sub-technique T1036.009 - MITRE ATT&CK®, 5월 3, 2025에 액세스, https://attack.mitre.org/techniques/T1036/009/
Hunting for Persistence in Linux (Part 3): Systemd, Timers, and Cron - pepe berba, 5월 3, 2025에 액세스, https://pberba.github.io/security/2022/01/30/linux-threat-hunting-for-persistence-systemd-timers-cron/
JPMinty/Detection_Engineering_Signatures: YARA, SIGMA, SNORT Rules based on Malware Analysis - GitHub, 5월 3, 2025에 액세스, https://github.com/JPMinty/Detection_Engineering_Signatures
Sigma Rules: Your Guide to Threat Detection's Open Standard - Panther | A Cloud SIEM Platform for Modern Security Teams, 5월 3, 2025에 액세스, https://panther.com/blog/your-guide-to-the-sigma-rules-open-standard-for-threat-detection
Understanding Yara, Sigma, and Snort Rules in Cybersecurity - Sharkkcode, 5월 3, 2025에 액세스, https://sharkkcode.github.io/2024/07/06/Understanding-Yara-Sigma-and-Snort-Rules-in-Cybersecurity/
BPFDoor Scanner — Elastic Security Labs, 5월 3, 2025에 액세스, https://www.elastic.co/kr/security-labs/bpfdoor-scanner
BPFDoors Hidden Controller Used Against Asia, Middle East Targets - Trend Micro, 5월 3, 2025에 액세스, https://www.trendmicro.com/ko_kr/research/25/d/bpfdoor-hidden-controller.html
Discover detection rules including Yara, Sigma, and Snort | Feedly, 5월 3, 2025에 액세스, https://feedly.com/new-features/posts/track-detection-rules-across-the-web-with-feedly-ai
Google Threat Intelligence vs. Unit 42 Comparison - SourceForge, 5월 3, 2025에 액세스, https://sourceforge.net/software/compare/Google-Threat-Intelligence-vs-Unit-42/
Incident Response Service - Palo Alto Networks, 5월 3, 2025에 액세스, https://www.paloaltonetworks.com/unit42/respond/incident-response
BPFDoor Malware Evolves – Stealthy Sniffing Backdoor ups its Game | Deep Instinct, 5월 3, 2025에 액세스, https://www.deepinstinct.com/blog/bpfdoor-malware-evolves-stealthy-sniffing-backdoor-ups-its-game
Evasive Linux Malware Detection Video Presentation (BPFDoor) - Sandfly Security, 5월 3, 2025에 액세스, https://sandflysecurity.com/blog/evasive-linux-malware-detection-video-presentation-bpfdoor/
2025 Unit 42 Global Incident Response Report - Palo Alto Networks, 5월 3, 2025에 액세스, https://www.paloaltonetworks.com/resources/research/unit-42-incident-response-report
Threat actors are increasingly trying to grind business to a halt | CyberScoop, 5월 3, 2025에 액세스, https://cyberscoop.com/cyberattacks-business-disruption-2025-unit-42-palo-alto-networks/
Unit 42 - Latest Cybersecurity Research | Palo Alto Networks, 5월 3, 2025에 액세스, https://unit42.paloaltonetworks.com/
Kaspersky Managed Detection and Response vs Unit 42 Managed Detection and Response comparison - PeerSpot, 5월 3, 2025에 액세스, https://www.peerspot.com/products/comparisons/kaspersky-managed-detection-and-response_vs_unit-42-managed-detection-and-response
Must Read - Security Affairs, 5월 3, 2025에 액세스, https://securityaffairs.com/must-read
BlackTech (Threat Actor) - Malpedia, 5월 3, 2025에 액세스, https://malpedia.caad.fkie.fraunhofer.de/actor/blacktech
Turla (Threat Actor) - Malpedia, 5월 3, 2025에 액세스, https://malpedia.caad.fkie.fraunhofer.de/actor/turla
CISA Warns U.S. Federal Agencies of Active Exploitation of NAKIVO Backup Vulnerability, 5월 3, 2025에 액세스, https://www.varutra.com/ctp/threatpost/postDetails/CISA-Warns-U.S.-Federal-Agencies-of-Active-Exploitation-of-NAKIVO-Backup-Vulnerability/
Working with systemd Timers - SUSE Documentation, 5월 3, 2025에 액세스, https://documentation.suse.com/smart/systems-management/html/systemd-working-with-timers/index.html
timb-machine/linux-malware - GitHub, 5월 3, 2025에 액세스, https://github.com/timb-machine/linux-malware
Unveiling Earth Kapre aka RedCurl's Cyberespionage Tactics With Trend Micro MDR, Threat Intelligence, 5월 3, 2025에 액세스, https://www.trendmicro.com/en_us/research/24/c/unveiling-earth-kapre-aka-redcurls-cyberespionage-tactics-with-t.html
Weekly Detection Rule (YARA and Snort) Information - Week 2, March 2025 - AhnLab, 5월 3, 2025에 액세스, https://asec.ahnlab.com/en/86759/
Verifying IoCs with Snort and TraceWrangler | Packet-Foo, 5월 3, 2025에 액세스, https://blog.packet-foo.com/2015/08/verifying-iocs-with-snort-and-tracewrangler/
Initial Access, Tactic TA0001 - Enterprise - MITRE ATT&CK®, 5월 3, 2025에 액세스, https://attack.mitre.org/tactics/TA0001/
Techniques - Cloud Threat Landscape - Wiz, 5월 3, 2025에 액세스, https://threats.wiz.io/all-techniques
Masquerading Attacks Explained - MITRE ATT&CK T1036 - Picus Security, 5월 3, 2025에 액세스, https://www.picussecurity.com/resource/masquerading
attack.execution - Detection.FYI, 5월 3, 2025에 액세스, https://detection.fyi/tags/attack.execution/

<이 글은 Google Gemini의 도움을 받아 작성되었습니다.>

Diskpart를 이용하여 외장하드 또는 USB 포맷하기

inlife3031 — Sat, 15 Mar 2025 19:25:02 +0900

개요

다양한 OS 또는 시스템을 사용하는 과정에서 외장하드 또는 USB가 윈도우의 포맷으로 해결되지 않는 경우 명령 프롬프트(CMD)의 Diskpart를 이용하여 외장하도 또는 USB를 포맷하는 방법을 설명합니다.

진행

1. 명령 프롬프트(CMD)를 관리자로 실행 후 Diskpart 실행

포맷하고자 하는 디스크를 연결합니다. 명령 프롬프트(CMD)를 관리자로 실행한 다음 diskpart 명령을 실행합니다.

### Diskpart 실행 ###
diskpart

2. 포맷하고자 하는 디스크 지정

lisk disk 명령을 실행하여 윈도우에서 식별된 디스크 목록을 확인합니다. 포맷하고자 하는 디스크 번호를 확인한 다음 select disk # 명령으로 선택합니다. 예시에서는 disk 3번을 선택하기 위해 select disk 3 명령을 실행했습니다. list disk 명령을 실행하면 선택된 디스크 좌측에 *로 표시되어 있습니다.

### 디스크 목록 출력 ###
list disk

### 디스크 선택 (예시로 3번 디스크 선택) ###
select disk 3

### 디스크 목록 출력 (선택된 디스크 확인 ###
lisk disk

3. 디스크 초기화 및 포맷

clean 명령을 실행하여 디스크를 초기화한 다음, create partition primary 명령을 실행하여 새로운 파티션을 만듭니다. 파티션 생성이 완료되면 format fs=ntfs quick 명령을 수행하여 포맷을 진행합니다

필요에 따라서 active 명령을 수행하여 파티션을 활성화하고 assign 명령으로 드라이브 문자 할당 후 exit 명령을 수행하여 Diskpart를 종료합니다.

### 디스크 초기화 ###
clean

### 파티션 생성 ###
create partition primary

### NTFS 포맷 ###
format fs=ntfs quick

### 파티션 활성화 ###
active

### 드라이브 문자 할당 ###
assign

### Diskpart 종료 ###
exit

2025년 마이크로(MD)전공 신설 및 신청기간 안내 (3.4~3.10)

inlife3031 — Wed, 5 Mar 2025 01:53:39 +0900

마이크로전공 개요

한국방송통신대학교에서 2025년 신설된 마이크로전공이 신설되었습니다. 「고등교육법 시행령」제12조의2(소단위 전공과정)에 근거하여 일정 기간 동안 적은 학점으로 다양한 전공 분야의 과정을 이수할 수 있는 제도로 복수전공이나 융합전공과는 별도의 전공 과정입니다. 자세한 내용을 알고 싶으신 분은 학교 공지사항을 참조해 주세요 → 공지사항 바로 가기

마이크로전공 유형 및 개설전공

한국방송통신대학교의 마이크로전공은 18학점(3학점의 6개 과목)으로 구성되어 있으며 전공확대형, 전공심화형, 전공연계·융합형이 있습니다. 제도 신설 첫 해인 2025년은 전공확대형과 전공심화형만 개설되었습니다.

유형	개설	참여 학과	학과별 이수 제한 여부	프라임칼리지 학점인정 교과목 포함 여부	비고
전공확대형	2025년	1개	O	X	마이크로전공 주관학과 소속 학생, 복수전공생은 이수 불가
전공심화형	2025년	1개	X	O
전공연계·융합형	예정	2개 이상	X	△	연계·융합교과목은 학부 또는 프라임칼리지에 개설

<표1> 마이크로전공 유형별 특징과 비고

비고에서도 설명된바와 같이 전공확대형은 학생이 소속된 전공 및 복수전공은 신청할 수 없습니다. 예시로 일본학과생의 경우 전공확대형인 일본어문학과 일본지역학은 신청할 수 없습니다. 그 외 다른 마이크로전공은 신청할 수 있습니다. 그 이유는 편성교과목이 학부 6개 교과목으로 지정되어 있기 때문에 마이크로전공 운영 취지에 맞지 않기 때문이라고 생각합니다.

연번	전공명	주관학과	유형	편성교과목 구성	비고
1	영어독서지도	영어영문학과	전공심화	학부 교과목 2과목, 프라임칼리지 학점인정교과목 4과목	2025학년도 1학기*
2	현대중국 지역연구	중어중문학과	전공심화	학부 교과목 5과목, 프라임칼리지 학점인정교과목 1과목(신규개설 1과목 포함)
3	어린이중국어 기초이론	중어중문학과	전공심화	학부 교과목 4과목, 프라임칼리지 학점인정교과목 2과목
4	어린이중국어 심화이론	중어중문학과	전공심화	학부 교과목 4과목, 프라임칼리지 학점인정교과목 2과목
5	일본어문학	일본학과	전공확대	학부 교과목 6과목
6	일본지역학	일본학과	전공확대	학부 교과목 6과목
7	커뮤니케이션 프랑스어	프랑스언어 문화학과	전공확대	학부 교과목 6과목
8	식품창업	생활과학부	전공심화	학부 교과목 4과목, 프라임칼리지 학점인정교과목 2과목(신규개설 2과목 포함)
9	스마트 환경오염관리	보건환경안전학과	전공확대	학부 교과목 6과목
10	건강증진관리	보건환경안전학과	전공심화	학부 교과목 5과목, 프라임칼리지 학점인정교과목 1과목
11	산업안전보건	보건환경안전학과	전공심화	학부 교과목 5과목, 프라임칼리지 학점인정교과목 1과목(신규개설 1과목 포함)
12	상담심리	교육학과	전공심화	학부 교과목 5과목, 프라임칼리지 학점인정교과목 1과목
13	커리어개발 전문가	청소년교육복지 상담학과	전공심화	학부 교과목 3과목, 프라임칼리지 학점인정교과목 3과목(신규개설 3과목 포함)

<표2> 개설 마이크로 전공

마이크로전공 신청

마이크로전공은 학교 홈페이지 로그인 → 학사정보 → MyKnou 학사정보 → 전공 → 마이크로전공 신청/취소에서 진행할 수 있습니다. 마이크로전공은 학기당 1개 전공만 신청 가능하며 전공심화형은 학부기간 내 1회만 신청 가능합니다. 수강 기간은 신청 기간과 별개로 졸업까지 수강하면 됩니다.

복수전공 재학생의 경우 고려사항

마이크로전공이 한국방송통신대학교 재학생들에게 수강과 전공 선택의 폭을 넓혀줄 수 있는 좋은 제도이긴 하지만 복수전공 또는 융합전공 재학생에게는 선택의 폭이 제한적입니다. 그 사유는 졸업필요학점을 기준으로 계산해보면 확인할 수 있습니다.

신입생의 경우, 졸업필요학점은 130학점으로 전공 51학점 이상(유아교육과는 54학점 이상), 교양 24학점 이상이 필요합니다. 복수전공 51학점이 추가로 필요하므로 잔여학점은 4학점으로 타 학과의 마이크로전공 확대형을 희망하는 경우 추가 학점을 취득해야 합니다.

3학년 편입생의 경우, 전공 69학점 이상, 교양 24학점 이상이 필요합니다. 편입 시 인정학점은 전공 30학점, 교양 24학점이 인정되므로 전공 39학점만 필요합니다. 1학기당 총 4학기 신청하는 경우, 학기당 18학점을 신청한다면 72학점을 이수할 수 있으므로 자유롭게 신청 가능한 학점은 33학점으로 복수전공 신청 시, 1학기를 더 신청해야 가능합니다. 따라서 마이크로전공에 투자할 학점이 없습니다. (직전학기에 18학점을 이수하고 이수 성정의 평점 평균이 3.5(B+)인 경우 3학점 초과 이수 대상자는 고려하지 않았습니다.)

복수전공 신청자의 경우, 프라임칼리지를 1과목(3학점)을 추가하여 진행할 수 있는 마이크로전공 심화형의 경우에는 문제가 되지 않습니다.

따라서 마이크로전공 신청을 고려중인 재학생은 제1전공과 여러개의 마이크로전공을 신청할 것인지 제1전공과 복수전공 그리고 마이크로전공 심화형으로 신청할 것인지 고민 후 결정하시면 될 것 같습니다. 전 이미 복수전공을 염두에 둔 편입생이므로 마이크로전공 심화형을 추가하는 것으로 결정했습니다. 다들 즐거운 방송대 생활되세요.