• Home>홍보 > 보도자료
치명적인 봇넷의 위험, 알고 계시나요?
작성자 : 관리자
날짜 : 16-08-22 17:17     Hit : 1439    
2010년 7월 7일 18시 00분부터 일부 국가기관과 민간 홈페이지를 대상으로 디도스 공격이 탐지됐다. 정부는 이번 공격에 대해 작년 디도스 대란에 동원됐던 좀비PC가 치료되지 않고 방치됐다가 1년이 지난 시점에서 공격을 재개한 것이라고 밝혔다. 이번호에서는 이러한 좀비PC에 의한 공격의 배후에 있는 ‘봇넷’이란 무엇인지 알아보고 실제 사례를 통해 그 위협에 대해 살펴보도록 한다. 자신도 모르게 가해자가 될 수 있는 ‘좀비PC’ ‘봇넷(Botnet)’이란 봇(Bot)에 감염된 좀비PC들로 구성되는 네트워크를 말한다. 봇넷은 외부 공격자(Bot Master)의 명령에 따라 스팸메일 발송이나 정보 유출, 디도스 공격 등을 수행한다. 만약 자신의 PC가 좀비PC가 되면 자신도 모르게 다양한 사이버 범죄에 가담하게 될 수도 있는 것이다. 그렇다면 좀비PC는 어떤 경로를 통해 감염되는 것일까? PC가 봇넷의 일원이 되기까지의 과정은 다음과 같다. 1. 외부 공격자(Bot Master)는 각 봇을 관리하고 명령을 내리는 ‘C&C(Command and Control)’ 지령서버를 구축한다. 2. 스팸메일이나 악의적인 웹사이트를 통해 불특정 다수의 PC에 봇을 배포해 감염을 시도한다. 3. 사용자가 봇 프로그램을 다운로드해 실행하면 봇에 감염된다. 4. 봇이 C&C서버에 접속함으로써 감염PC(좀비PC)는 봇넷의 일원으로 추가된다. 5. 공격자가 C&C서버에 명령을 내리면 C&C서버는 봇에 명령을 전달한다. 6. 봇은 명령에 따라 다양한 공격을 수행하며 다른 PC로 스캔겙㉮걋?시도한다. 이러한 과정을 보면 봇에 감염된 PC를 왜 ‘좀비PC’라고 부르는지 알 수 있다. 좀비는 타인의 명령에 따라 움직이며 좀비의 습격을 받은 인간은 새로운 좀비가 돼 또 다른 인간을 습격한다. 좀비PC 또한 공격자의 명령에 따라 움직이며 봇에 감염된 PC는 좀비PC가 돼 다른 PC로 감염을 확대해간다. 이 양상이 좀비와 닮았다고 해 ‘좀비PC’라고 부르는 것이다. 그렇다면 봇은 어떻게 PC에 침입하는 것일까? ● 메일의 첨부파일 악용 메일에 봇 프로그램을 첨부해 사용자가 이를 다운로드 하게끔 유도한다. 첨부파일을 열어 실행하는 순간 봇에 감염돼 버리는 것이다. 스팸메일은 최근 이슈가 되는 사건이나 사용자의 관심을 끌만한 내용으로 열람을 유도하며 유명 기업이나 자사에서 온 메일로 가장하는 경우도 있으므로 주의가 필요하다. ● 악성 링크의 클릭 유도 메일이나 인스턴트 메시지에 악성 링크를 기재해 이를 클릭하도록 유도한다. 첨부파일 악용과 마찬가지로 메일의 제목이나 내용을 속이거나 친구에게서 온 메시지처럼 가장해 링크를 클릭하게 만든다. 링크를 클릭하면 봇 프로그램이 다운로드 되거나 피싱 사이트로 연결돼 직접 프로그램을 다운로드하도록 유도된다. ● 봇의 공격 비밀번호 공격이나 취약성 공격을 통해 침입을 시도한다. 취약점을 방치하거나 제로데이 공격(수정패치가 공개되기 전에 취약점을 공격하는 것)을 받으면 봇이 PC에 쉽게 침입할 수 있으므로 평소에 방화벽 같은 보안제품을 도입하거나 적절한 패치관리를 해 둘 필요가 있다. ● 웹페이지 열람에 의한 감염 웹사이트에 악의 있는 스크립트나 웹 브라우저의 취약성을 공격하는 스크립트가 삽입돼 있을 수도 있다. 사용자가 해당 웹사이트에 접속하는 것만으로도 봇에 감염돼 버리는 것이다. ‘의심스러운 사이트에는 접속하지 않기 때문에 괜찮다’라는 의식만으로는 감염을 피하기는 어렵다. 봇이 일반적인 웹사이트를 탈취, 정상적인 페이지에 악의적인 스크립트를 삽입해 감염을 확대하고자 하는 경우도 있기 때문이다. 봇넷의 위협 ● 스팸메일 발송 서버 관리자나 ISP(Internet Service Provider)에 대한 대책이 진행되면서 스팸메일 발송은 더욱 어려워지고 있다. 그러나 봇넷을 사용하면 관리자나 ISP 규제를 벗어나 대량의 스팸메일을 발송할 수 있다. PC 1대가 대량의 스팸메일을 보내면 관리자나 ISP가 쉽게 알아차릴 수 있으나 대량의 좀비PC가 단 몇 통의 스팸메일을 보내는 경우라면 서버나 네트워크에 큰 부하를 주지 않으므로 쉽게 알아차릴 수 없기 때문이다. ● 디도스 공격 타깃이 되는 서버나 네트워크에 대량의 데이터를 전송, 부하를 걸어 서비스를 마비시키거나 시스템을 다운시키는 것을 ‘도스(DoS)’ 공격이라고 한다. ‘디도스(DDoS)’ 공격이란 공격처를 여러 군데로 분산시키는 것을 말한다. 봇에 감염된 수만~수백만 대의 좀비PC가 타깃 머신을 향해 한꺼번에 공격을 시도하면 손쉽게 디도스 공격을 할 수 있다. 이런 디도스 공격을 빌미로 금품을 요구하는 협박 사건도 발생하고 있다. ● 정보 유출 봇은 웜과 트로이목마의 성질을 모두 갖고 있다. 특히 트로이목마는 감염PC의 정보를 빼내 외부로 유출하는 활동을 하기 때문에 봇에 감염되면 PC에서 다루는 각종 개인정보가 외부로 유출될 수 있다. 봇넷 중 최대 규모를 자랑하는 ‘제우스(Zeus)’ 봇넷은 특히 신용카드 번호나 온라인 은행 관련 정보를 수집하는 것으로 유명하다. 유출된 개인정보는 지하 포럼에서 판매되거나 온라인 상의 불법 거래에 이용된다. ● 어플리에이트(Affiliate) 프로그램 악용 어플리에이트 프로그램이란 ‘제휴 판매 프로그램’으로 웹사이트 주인이 다른 상품의 선전을 도와 수익금이나 수수료를 받는 시스템이다. 배너를 클릭하게 해 온라인숍으로 유도하는 구조는 봇넷을 이용한 부정 행위에 알맞은 타깃이 된다. 예를 들어 좀비PC 1대 당 단 1번의 클릭이라고 해도 수만 대의 PC가 접속하면 그 클릭수는 엄청나게 늘어나게 된다. 접속 시간이나 접속처가 각기 다르므로 부정 행위를 한 것인지 알아차리기 어렵다. 봇넷의 위협 - 디도스 공격 ‘도스(DoS, Denial of Service, 서비스 거부)’ 공격이란 특정 사이트에 대량의 트래픽을 일으켜 서버를 다운시키고 정상적인 서비스를 불가능하게 만드는 것을 말한다. 그리고 수많은 공격자를 분산 배치해 동시다발적으로 공격을 일으키는 것이 바로 ‘디도스(DDoS, Distributed DoS, 분산 서비스 거부)’ 공격이다. 2006년부터 성인ㆍ도박 사이트 등 신고가 어려운 사이트를 대상으로 이뤄진 디도스 공격은 2008년에는 P2Pㆍ일반 쇼핑몰ㆍ일반 기업 사이트까지 그 대상이 확대됐으며 최근에는 금융권ㆍ포털 사이트, 심지어 정부 사이트까지 공격하는 등 더욱 대담하고 조직적인 움직임을 보이고 있다. 디도스 공격은 처음에는 자신의 능력을 과시하기 위한 수단으로 이용됐으나 점차 금품 요구나 협박, 시위 등의 목적으로 사용되기 시작했다. 디도스 공격으로 인한 기업 이미지 실추, 고객 이탈, 매출 감소의 피해를 우려하는 기업을 상대로 공격을 한다고 협박하거나 또는 진행 중인 공격을 중단하는 조건으로 금품을 요구하는 것이다. 디도스 공격에는 대량의 트래픽 유발을 위해 수많은 PC가 동원된다. 이 PC들은 공격을 수행하기 위한 멀웨어에 감염돼 있으며 공격자의 명령에 따라 특정 사이트를 향해 일제히 공격을 수행한다. 이 ‘공격을 수행하기 위한 멀웨어’가 바로 ‘봇(bot)’이며 봇에 감염된 PC는 ‘좀비PC’가 된다. 디도스 공격 과정은 다음과 같다. 1. 공격자는 지령을 전달할 C&C 지령서버를 구축하고 다양한 방법으로 PC에 봇을 감염시킨다. 2. 감염된 PC(좀비PC)들은 네트워크를 이뤄 봇넷을 만들고 C&C서버를 통해 공격자의 명령을 전달받는다. 3. 공격자가 디도스 공격 명령을 내리면 봇넷을 이루는 좀비PC들은 명령에 따라 특정 서버에 일제히 공격을 수행한다. 7.7 디도스 대란은 2009년 7월 7일을 기점으로 미국과 국내의 주요 정부기관, 포털 및 은행 사이트 등이 디도스 공격을 받아 일시적으로 서비스가 마비된 사건이다. 공격은 7월 4일, 미국의 주요 사이트를 대상으로 시작됐으며 국내는 7월 7일부터 3일간 주요 정당 및 언론사 사이트, 포털 및 금융기관 사이트 등 총 26군데가 공격을 받았다. 이 공격은 기존의 디도스 방법에서 조금 변형된 형태로 진행됐다. PC에 감염되는 멀웨어에는 공격 대상과 시간을 지정해놓은 스케줄러가 삽입돼 있어 스케줄러에 따라 자동으로 지정된 시간에 특정 사이트를 공격하도록 돼 있었다. 때문에 방어에 있어서 대부분의 디도스 공격을 차단할 수 있는 IP 차단 방식을 사용할 수 없었다. 그 밖에도 여러 사이트를 동시에 공격하고 여러 파일 형태로 기능이 나뉘어 있다는 점 등 상당히 지능화된 공격 수법을 보여준 사건이었다. 얼마 전인 2010년 7월 7일에도 일부 국가기관과 민간 홈페이지를 대상으로 디도스 공격이 탐지됐다. 7.7 디도스 공격이 부활한 것이다. 그러나 이번 공격은 작년에 비해 소규모 수준에 그쳐 접속 서비스 장애를 일으킬 정도는 아니었다. 정부는 이번 공격에 대해 작년 디도스 대란에 동원됐던 좀비PC가 치료되지 않고 방치됐다가 1년이 지난 시점에서 공격을 재개한 것이라고 밝혔다. 좀비PC가 제대로 치료되지 않으면 앞으로도 활동을 계속할 가능성이 있는 것이다. 봇넷의 위협 - 정보 유출 좀비PC가 입는 피해 중 가장 위험한 것은 봇에 의한 정보 유출이라고 할 수 있을 것이다. 봇에 감염되면 PC의 시스템 정보뿐만 아니라 신용카드 번호 및 온라인 은행 관련 정보, 각종 로그인 계정정보, 심지어 기업의 기밀정보나 고객정보까지 유출될 수 있다. 사이트 관리자의 계정정보를 훔치면 손쉽게 기업의 데이터베이스에까지 접근할 수 있다. 한 글로벌 보안업체에 따르면 실제로 2009년에 유출된 개인정보의 60%는 해킹에 의한 것이며 기업들 <


번호 제목 작성자 등록일 조회수
13 정보 탈취 악성코드가 관리자 정보까지 노린다. 관리자 08-22 1425
12 엑스게이트 뉴스레터 제 10호 관리자 08-22 1357
11 제4회 사이버 침해 대응에 따른 Security Fair 관리자 08-22 1419
10 트렌드마이크로 - 625 DDoS 분석 보고서 관리자 08-22 1220
9 2011 대경 정보보호 세미나_06 관리자 08-22 1349
8 2011 대경 정보보호 세미나_05 관리자 08-22 1316
7 2011 대경 정보보호 세미나_04 관리자 08-22 1334
6 2011 대경 정보보호 세미나_03 관리자 08-22 1321
5 2011 대경 정보보호 세미나_02 관리자 08-22 1249
4 2011 대경 정보보호 세미나_01 관리자 08-22 1334
3 새로운 봇넷 `Kneber`의 정체란? 관리자 08-22 1535
2 좀비폰, DDoS 공격에 나서다... 관리자 08-22 1362
1 치명적인 봇넷의 위험, 알고 계시나요? 관리자 08-22 1440
1 2 3 4 5 6 7
and or