정보와 생활/웹과 IT

악성코드와의 전쟁 이번엔 `봇` 경계령

Recruiter 2007. 8. 8. 14:25
유포자가 원격지서 감염된 컴퓨터 조종

마땅한 방어방법 없어 보안업계 골머리


미국에서 유학 중인 안철수 박사가 최근 한국경제신문에 봇의 위험성을 경고하는 이메일을 보내오면서(한경 8월2일자 A14면 참조)'악성 봇'에 대한 관심이 높아지고 있다.

봇은 대체 뭘까.

봇은 바이러스,웜,트로이목마같이 일반에 알려진 악성코드와 달리 은밀한 공격을 하는 것이 특징이다.

악성 봇은 자기복제 능력을 갖는 웜의 특성을 가진 로봇 프로그램의 일종으로 PC가 해커의 악의적 명령을 그대로 수행하게 하는 악성코드다.

봇이 위험한 이유는 DDoS(분산서비스거부공격)의 시발점이 되기 때문이다.

DDoS 공격은 방어방법이 현재로서는 묘연해 보안업계의 골칫거리로 통한다.

실제로 인터넷 서비스 사업자들을 대상으로 한 중국인 혹은 조선족들이 DDoS 공격을 통해 돈을 요구하는 사례가 심심찮게 발견되고 있다.

올해 상반기 한국침해사고대응협의회(CONCERT;회장 정태명)가 주관한 'Concert Forecast 2007' 행사에서는 DDoS 공격의 시발점으로 악성 봇에 감염된 일반 PC가 주로 지목됐다.

한국정보보호진흥원과 CONCERT에서 발표한 내용을 토대로 봇의 특징과 DDoS 공격 실태를 알아보자.



◆봇이란 뭔가

사용자 몰래 PC에 설치되는 백도어(해커가 재침투를 위해 만들어놓은 비밀통로) 프로그램에서 발전한 악성 봇은 AgoBot,IRCBot,rBot,shadoBot 등 명칭과 같이 봇(Bot)이란 접미사가 붙는 모든 종류의 악성코드를 지칭한다.

명칭은 로봇에서 유래했으며 해커 혹은 봇 유포자가 원격지에서 봇 감염 컴퓨터를 조종할 수 있게 한다.

봇넷은 많은 봇 감염시스템들이 명령을 수신할 목적으로 연결돼 있는 네트워크 자체를 의미한다.

보통 봇은 윈도 취약점을 이용하거나 보안패치가 잘 돼 있지 않은 PC를 대상으로 침투한다.

또 자기 자신을 복제하는 악성코드인 웜과 유사하게 자동적으로 전파되는 특징을 갖고 있다.

악성 봇에 감염된 컴퓨터는 DDoS 공격에 이용당하는 것은 물론 스팸메일 발송,개인정보 유출,스파이웨어 및 애드웨어 설치 등에 이용된다.

특히 악성 봇의 프로그램 소스가 해커들 사이에서 공유되거나 거래됨에 따라 수많은 변종이 생기고 있으며 지능화되고 있다는 점이 문제다.

해커는 봇넷 C&C(Command&Control)라는 서버를 구축하고 PC들을 스캐닝한 뒤 취약점이 발견된 PC를 감염시켜 봇넷 C&C의 명령을 받는'좀비 PC'로 만들어 버린다.

최근에는 복잡한 전파방법 대신 MSN 메신저를 통해 간단히 침투하는 방법을 사용하고 있다.

또 운영체제(OS)가 아닌 응용프로그램(애플리케이션:AP)을 이용하는 경우도 증가하고 있다.

바이러스나 웜과 달리 봇에 감염되면 특이한 증상이 없는 것도 봇에 대한 대처를 어렵게 하는 이유다.

거기다 다른 백신 프로그램이나 보안 프로그램을 슬그머니 종료시켜 버리거나 업데이트를 차단하기 때문에 진단이 더욱 어렵다.

봇마스터는 키로깅(keylogging) 기법을 이용해 봇 감염 컴퓨터에서 입력하는 개인정보를 모두 수집할 수 있다.

또한 공격을 당한 PC는 그 순간부터 피해자가 아니라 공격PC(좀비 PC)로 바뀌면서 봇넷 안으로 편입된다.

한국정보보호진흥원은 2004년부터 봇넷 C&C를 탐지하는 팀을 만들어 봇넷 C&C 서버 차단 활동을 벌이고 있다.

2005년까지만 해도 전 세계 봇에 감염된 전체 PC의 18.8%(12개월 평균)가 한국에 있었다는 통계가 발표되기도 했다.

작년에는 12.5%를 기록했지만 여전히 높은 수준이다.

국가정보원 국가사이버안전센터는 최근 펴낸 보고서에서 "수치는 줄어들었지만 봇넷 해커들이 탐지를 회피하기 위해 소규모 봇넷을 운영하거나 중간관리용 봇넷 C&C를 만드는 등 점차 봇넷 공격이 지능화되는 추세"라고 밝혔다.



◆메신저로 히죽거리면서 돈 요구해

CONCERT에 따르면 작년에 주요 사이트에 대한 SQL 인젝션 등 웹해킹을 통한 악성코드 삽입 등의 이슈는 잘 알려졌으나 일부 사이트에 대한 DDoS 공격의 사례는 잘 알려지지 않았다.

주로 중소형 화상채팅 사이트나 성인사이트,특정 사이트와 제휴한 중소형 마케팅 사이트를 중심으로 공격이 이뤄졌기 때문에 외부에 드러나지 않았던 것이다.

CONCERT는 "공격은 주로 중국인이나 조선족에 의해 이뤄진 것으로 보이며 IRC를 통해 공격해 왔기 때문에 역추적이 힘들었다"며 "이들은 공격 전후로 '더이상 공격하지 않을 테니 돈을 내라'는 식의 각종 협박을 해온 것으로 드러났다"고 밝혔다.

CONCERT에 따르면 이들은 대부분 조선족인 것으로 파악되고 있다.

보안비,서버관리소 등 한국 사람이 잘 쓰지 않는 어색한 단어를 쓰는 경우가 많다는 것.

DDoS 공격은 한번 시작되면 밤낮 구분 없이 지속되는 것이 특징이다.

대처할 방법이 마땅치 않은 피해자는 지쳐서 협상을 하거나 돈을 쥐어주는 경우가 대부분이다.

물론 이런 일은 외부에 알려지지 않는다.

이에 대해 CONCERT는 "한번 보안비(?)를 주고 공격을 피해도 얼마 후 더 많은 돈을 요구하며 다시 공격할 수 있으므로 돈을 지불하는 것은 대책이 아니다"며 "해외에서 유입되는 트래픽을 의무적으로 필터링하게 하는 등의 정책이 필요하다"고 지적했다.

또한 "앞으로 청부형 DDoS 사업자가 나타날 가능성도 있다"며 "언제든 발생 가능한 공격에 대해 관련 기관과의 사전 조율 및 사전 모의 훈련,대응시나리오 작성 등 철저한 대비가 있어야 한다"고 덧붙였다.

이해성 기자 ihs@hankyung.com