본문 바로가기
AhnLab 칼럼

보안 위협의 중심, 봇넷(BotNet)

by 보안세상 2020. 4. 19.

2007.11.21

 

최근 봇넷(BotNet)이 보안 위협의 중심이 되고 있다. 봇넷이란 봇 악성코드에 감염된 PC들의 집합이다. 대표적인 것이 고전적인 인터넷 채팅 소프트웨어인 IRC(Internet Relay Chat) 기반의 봇넷이다. 봇 악성코드들은 PC를 감염시킨 뒤 봇 제어 서버에서 오는 봇 조종자의 명령에 따라 움직인다. 이렇게 감염된 PC들은 봇 제어 서버를 정점으로 하는 봇넷을 이뤄 봇 조종자의 명령에 따라 다른 컴퓨터를 공격한다.
 
날로 커가는 봇넷의 피해

 

그동안 봇넷은 기업에 큰 피해를 입혀 왔다. 악성 봇이 감염시킬 대상을 찾기 위해 네트워크를 스캔하면서 트래픽을 크게 증가시키기 때문에 네트워크가 매우 느려지거나 장애를 일으켜서 기업에서는 거의 업무를 할 수 없게 된다. 게다가 요즘에는 봇넷이 다른 보안 공격에 악용되면서 그 위험과 피해는 더욱 크게 증가하는 실정이다.

 

봇넷을 통해 악성코드나 스파이웨어가 배포되고, 스팸 메일이 많이 뿌려진다. 특히 봇넷을 통해 이뤄지는 분산서비스 거부(DDoS) 공격의 피해는 매우 크다. 올해 2월에 발생한, 전세계 13개 루트 DNS(도메인 이름 서비스) 서버에 대한 DDoS 공격이나, 작년 하반기부터 늘어나기 시작한 국내 화상 채팅 서비스 등 성인용 서비스 업체들에 대한 공격, 10월에 있었던 게임 아이템 중개 사이트에 대한 공격에 이르기까지 봇넷을 통한 공격은 막강한 위력을 발휘하였다. 봇넷을 이용해 다른 보안 공격을 가하는 ‘복합 공격’이 대중화한 것 같다.

 

국내, 해외 할 것 없이 봇넷이 매우 광범위하게 퍼져 있다. 한국정보보호진흥원(KISA)에서는, 어떤 PC가 봇 제어 서버에 연결하려고 할 때 DNS 서버에서 실제 IP가 아닌 특정 IP를 돌려줌으로써 봇 제어 서버와의 연결을 차단하는 DNS 싱크홀 방식으로 국내 봇에 감염된 PC의 통계를 내고 있는데, 10월 현재 국내 악성 봇 감염율은 11.7%에 이른다.[1]

 

인터넷의 아버지라고 불리우는 구글의 빈트 서브 부사장은 올해 1월 스위스 다보스에서 열린 세계경제포럼에서 봇넷의 확산을 전세계적인 유행병이라고 비유하며 인터넷에 접속하는 6억 대의 PC 중 1억~1억5000만대가 봇넷으로 이용되고 있고, 이 컴퓨터의 이용자들은 대개 봇넷에 참여하기를 원하지 않는 피해자들이라고 밝혔다고 한다.[2]

 

통계나 추정에 따라 편차가 있긴 하지만 전세계적으로 봇에 감염되어 봇넷의 좀비 PC로 활동하는 PC의 수가 매우 많다는 것은 분명해 보인다.

 

봇넷의 진화

 

최근 봇넷의 활동이 국지적으로 출몰하고 몇 시간 또는 며칠 동안만 활동하다가 잠복하는 특징을 띠고 있다. 봇넷에 대한 각 정부 기관이나 보안업체들이 강력하게 차단하고 추적하기 때문에 자신의 목적을 위해 활동한 다음 봇 조종자가 봇의 활동을 중지하는 것이다. 이 때문에 봇넷의 활동을 감지하고 차단하기가 점점 더 어려워지고 있다. 봇넷의 조종자가 체포된 경우도 거의 없다.

 

근래 봇넷은 기술적인 진화를 보이고 있다. 먼저 P2P 방식으로 봇넷을 형성하는 것이 눈에 띈다. 이는 젤라틴 웜(Win32/Zhelatin.worm)에서 쓰고 있는 방식인데[3], 봇 제어 서버 중심으로 봇넷을 형성하는 방식이 봇 제어 서버에 대한 추적과 차단에 취약하다는 점을 보완하기 위한 것으로 생각된다. 지금은 가능성을 검증한 수준이지만, 앞으로 P2P 기반의 봇넷이 일정한 흐름을 이룰 수도 있기에 주목해 볼 필요가 있다.

 

봇넷이 새로운 전파 경로로 이메일이나 메신저를 사용한다는 것도 눈에 띄는 변화이다. 과거의 이메일 웜은 사람이 첨부 파일을 실행시킬 때 이메일 웜을 보내는 방식으로 자신을 확산시켰다. 이런 방식은 안티스팸이나 바이러스월, UTM 같은 네트워크 보안 제품에서 실행 파일이 첨부된 메일을 차단함으로써 무력화되었다. 여기에 대응하여 메일 본문에 링크를 삽입하고, 그것을 사용자가 클릭하게 유도함으로써 웜을 유포하는 방식이 등장한 것이다. 일부 봇넷 역시 이 방식을 이용한다. 그런가 하면 메신저에 링크를 보내고, 이의 클릭을 유도함으로써 봇넷을 전파하는 방법도 사용되고 있다.

 

봇넷이 자신을 방어하기 위한 기술도 진화했다. 파일 은폐, 프로세스 은폐 등 다양한 은폐 기술이나 자신의 삭제를 막는 자기 보호 기술 등은 봇에서 이미 대중화했다. 뿐만 아니라 압축 해제가 어려운 실행압축 도구(packer)를 사용하여 파일 분석을 회피하기도 한다. 봇넷 프로토콜의 분석을 회피하기 위해서 봇 제어 서버와 봇 악성코드 사이의 통신을 암호화하는 방식도 나타났다.

 

봇넷의 규모는 몇십 개에서 몇십만 대의 PC로 이뤄졌을 거라 예상한다. 심지어 메시지랩의 한 연구원은 올해 초부터 유럽을 중심으로 크게 퍼진 스톰 웜이 약 5천만 대 PC를 감염시켰는데, 이 중 200만 대만으로도 슈퍼컴퓨터 상위 500개 시스템과 동등한 계산 능력을 실현할 수 있다고 주장했다.[4] 

 

최근 보안업체들의 보고서나 국제 컨퍼런스에 나온 보안 분석가들의 증언에 따르면 봇넷 프로그램의 소스 코드나 봇넷 자체가 거래되기도 하고, 봇넷 서비스만을 임대해서 사용하기도 한다. 봇넷이 사업화했다는 얘기다. 자본주의 세계의 속성상 사업이 되면서 범인을 잡기 어려운 범죄는 ‘어둠의 비즈니스’로서 번성할 가능성이 높다. 이에 따라 앞으로 ‘봇넷 비즈니스’가 상당 기간 계속되고 커질 것이 우려된다.

 

봇넷의 공격을 막으려면

 

악성 봇들은 기본적으로 윈도 운영체제나 인터넷 익스플로러 취약점을 찾아 다른 컴퓨터로 자신을 복제하기 때문에 PC 사용자들은 봇에 감염되지 않기 위해서는 마이크로소프트의 보안 패치를 언제나 최신으로 업데이트하는 것이 가장 중요하다. 앞에서 언급한 대로 근래 봇들이 메신저나 이메일을 자신의 확산 경로로 삼는 경우도 있다. 이메일이나 메신저에서 알지 못하는 실행 파일이나 압축 파일 등의 첨부 파일을 받아 실행하거나, 호기심에 메일 본문에 있는 링크를 클릭해서 한번쯤 들어가보는 것은 이제 자신의 PC가 봇에 감염되는 위험을 감수해야 하는 일이 되었다. 운이 없으면 호기심 때문에 PC를 포맷하게 되고, 남들을 공격하는 좀비 PC가 된다는 점을 사용자들은 유의해야 한다.

 

통합PC보안 제품을 쓰는 것도 한 가지 방법이다. 요즘 백신 제품들이 봇 파일을 분석하여 그 특성을 찾아 진단하기 때문에 IRC 기반의 봇들을 잘 진단한다. 새로운 고도의 실행압축 도구로 압축된 봇 파일들은 아예 실행압축 자체를 진단하기도 한다. 또한 파일 기반의 진단을 피한 봇이 활동을 시작하면, 통합PC 보안 제품에서는 개인방화벽, 개인IPS 기능을 통해 악성 봇이 봇 제어 서버에 접속하거나 다른 PC의 취약점을 공격하는 네트워크 트래픽을 탐지, 차단할 수 있다.

 

앞으로는 봇넷의 공격을 막기 위해 네트워크 보안 장비들의 역할이 더욱 커질 것으로 예상된다. 기존 보안 장비들은 방화벽이나 IPS 수준에서 네트워크 공격을 막아 왔지만, 이제는 봇과 봇 제어 서버 사이의 통신을 차단하는 것이 기업의 보안을 위해 매우 중요한 과제가 되었다. 이를 위해서는 봇넷 프로토콜을 정확하게 분석하고 봇넷을 추적함으로써 여기에 연결하려는 컴퓨터들을 차단하면서, PC 보안 제품과 연동하여 봇을 제거한다면 기업의 보안 수준을 한층 더 높일 수 있으리라 생각된다.

 

하지만 많은 보안 공격에 대해 아직 완벽한 방패가 나와 있지 않듯이 현 상태에서 봇넷의 공격을 막는 것은 쉽지 않아 보인다. 봇넷이 기술적으로 진화하고 사업화하면서 그 위험성이 커지고 있는 만큼 이의 위험을 인식하고 막기 위해 사회적, 정책적, 보안기술적으로 다방면의 노력이 뒤따라야 할 것으로 보인다.

 

--------------------------------------------------------------------------------

 

[1] 한국정보보호진흥원, 인터넷침해사고 동향 및 분석월보, 2007.10

 

여기에서는 국내 악성 봇 감염율을 전세계 악성 봇 감염 추정 PC 중 국내 봇 감염 PC가 차지하는 비율로 정의한다.

 

[2]  한겨레, 인터넷 미래 최대위협은 ‘봇넷’, 2007.1.26 http://www.hani.co.kr/arti/international/internationalunit/186824.html)

 

[3] 어떤 보안업체들은 젤라틴 웜을 스톰 웜(win32/storm.worm)으로 진단하기도한다.

 

[4] CNET News 2007.9.7 http://www.news.com/8301-10784_3-9774071-7.html


       강은성 상무는 안철수연구소에서 사용자의 IT 자산을 지키는 보람과
       즐거움으로 일하고 있으며, 어린이들도 즐겁게 뛰놀 수 있는 안전하고
       편안한 인터넷 세상을 만드는 꿈을 갖고 있습니다.

[출처] 아이뉴스24 [강은성의 안전한 IT세상] 2007년 11월 21일