Breaking
사이버 보안(Cybersecurity)
[구멍 뚫린 사이버 보안]봇넷 군단과 사이버 공격…개념과 대처법은?
2019-05-14 13:00:42
장희주
▲인터넷의 영향력이 넓어짐에 따라 많은 기기가 봇넷 공격에 취약해지고 있다(사진=ⓒ셔터스톡)

[라이헨바흐=장희주 기자] 사이버 테러리스트와 사이버 보안 전문가 사이의 조용한 전쟁이 이어지고 이다. 사이버 보안 전문가들이 보안 조치를 취하면 사이버 테러리스트들이 이를 무력화할 방법을 발명하고 다시 보안 전문가들이 보안을 강화하는 식이다.

사이버 테러리스트들은 봇넷을 만들었다. 봇은 원래 여러 내용을 수집해 사람이 이해하기 쉬운 데이터로 정리하기 위한 도구였다. 그러나 해커들은 이를 이용해 악의적으로 시스템을 조정할 방법을 발견했다.

해커가 봇넷을 사용하는 방법

앞서 언급했듯 봇은 초기에 정보를 더 쉽게 수집하도록 만들어진 도구다. 그러나 해커들은 이 코드를 사용해 돈을 번다. 이들은 웹사이트에 유입되는 트래픽 양과 광고 클릭 수를 이용해 수익을 얻는다.

웹사이트가 검색 엔진 순위에서 높은 위치를 차지하고 유명해지면 더 큰 돈을 벌 수 있다. 따라서 해커들은 봇넷을 확산해 광고 클릭을 유도하고 트래픽을 증가시킨다.

네트워크를 통해 봇넷을 전파하고 특정 웹페이지에 액세스 할 수 있게 한다고 해서 해당 인물이 실제로 클릭을 했는지 여부는 파악하기 어렵다. 한편 피시봇은 이메일을 이용해 사람들을 웹사이트로 끌어들인다.

따라서 봇넷은 단순히 데이터를 도용하는 것이 아니다. 봇넷은 웹사이트 순위에 영향을 미치며 해커들이 빠른 속도로 돈을 벌도록 만든다. 봇넷은 감염된 장치가 스스로를 공격하도록 설정된다.

▲해커들은 봇넷을 사용해 정보를 수집하고 돈을 번다(사진=ⓒ셔터스톡)

봇넷이 여러 개 줄 지어 있는 연결 장치처럼 작동하는 것이 봇넷 군단이다. 이 장치들은 목표를 노린 단일 단위로 작동한다. 따지자면 봇넷은 로봇 군대라고도 볼 수 있다.

봇넷 군단은 모바일 장치, 서버, IoT 장치, PC 및 인터넷에 연결된 모든 장치로 구성된다. 네트워크로 연결된 장치는 봇넷 침투에 취약하며 봇넷에 침투당하면 또 다른 봇넷으로 변한다.

도메인 이름 서버 공급자인 다인(Dyn)의 봇넷 공격에는 10만 개의 장치가 관련돼 있었다. 다인에 따르면 공격 트래픽은 초당 1.2 테라비트였다. 보안 연구원들은 아직 분석을 완료하지 않았는데, 합법적인 트래픽과 공격 트래픽을 구분하는 것이 쉽지 않기 때문이다.

다인의 제품 담당 수석 부사장 스콧 힐튼은 "모든 지역에서 수백만 개의 IP에서 발생하는 공격 및 합법적인 트래픽을 확인했다. 악의적인 공격은 적어도 하나의 봇넷에서 비롯됐으며 재시도로 인해 훨씬 더 큰 엔드포인트 세트가 가짜 지표로 제공됐다"고 말했다.

 

디지털 사용자들과 봇넷

대중들의 특정한 반응을 이끌어내기 위한 봇넷에 대한 '가짜 뉴스'도 확산되고 있다. 봇넷에 대한 문제는 이것이 경제, 여론 조사 및 정부에 영향을 미치고 있기 때문에 보편적인 담론이 됐다.

10년 전 에스토니아에서 발생한 디도스(DDoS) 공격은 봇넷을 사용하는 해커들이 얼마나 지능적이고 광범위한 공격을 펼칠 수 있는지 보여주는 대표적인 사례다. 사이버 범죄자들은 이런 공격 방식으로 국제적 갈등을 일으켰다. 오늘날 대부분의 사람들이 은행 업무, 투표, 의료 기록 보관 등을 온라인으로 수행한다는 사실도 봇넷을 더욱 위험한 존재로 만든다.

미 국토안보부(DHS)는 봇넷 사용자에게 경고하는 내용의 보고서를 발표하고 봇넷 문제가 심각한 현실과 그 중요성을 강조했다. 소비자 기술 협회의 CEO 게리 샤피로는 "봇넷은 계속되는 문제이며 자동화 공격과 연관성이 있다"고 말했다. 미국을 공격하는 봇넷이 미국 외의 국가에서부터 시작된 경우가 많기 때문에 봇넷 군단에 맞서기 위해서는 공공 부문과 민간 부문의 협력이 필수적이다.

봇넷은 대부분의 맬웨어 공격에 존재하며 사이버 범죄자가 위험한 공격을 쉽게 수행하도록 돕는다. 기술은 유용하지만 악의적으로 사용될 수 있는 셈이다.

봇넷이 가장 걱정되는 이유는 범죄자들이 아주 쉽게 봇넷에 접근해 간편한 설정으로 공격을 시행할 수 있다는 것이다. 인터넷 연결과 약간의 돈만 있으면 30분 만에도 봇넷 공격을 시작할 수 있다.

대규모 봇넷은 디도스 공격에 사용된다. 소규모 봇넷은 가상화폐(암호화폐) 채굴장을 공격하거나 스팸 전자 메일을 돌리는 데 쓰인다. 봇넷 군단은 종종 웹사이트를 공격해 트래픽을 늘려 사이트를 다운시킨다.

어떤 경우에는 이 트래픽이 사이트에서 데이터를 추출하거나 다른 버그를 유발하기도 한다. 디도스 공격으로 인해 웹사이트가 느려지거나 종료될 수도 있다. 봇넷이 등장한 초기에는 봇넷의 규모가 컴퓨터 2만 대 정도였는데, 사물인터넷(IoT) 기술이 등장하면서 그 수는 기하급수적으로 증가했다.

가장 큰 봇넷 컨피커는 2009년에 1,500만 대 이상의 컴퓨터를 감염시켰다. 디도스 공격이 시작되면 1,500만 대 컴퓨터가 웹사이트를 다운시킬 수 있다. 미라이 봇넷은 IoT 기기, 라우터, 폐쇄회로 카메라, 디지털 비디오 레코더 등을 공격했다.

미라이 봇넷은 디도스 공격을 위해 만들어진 것이 아니다. 해커포럼의 안나 센빠이라는 사용자가 멀웨어를 만들었고 이것을 컴파일 준비가 완료된 형태로 배포했다. 미라이는 GRE IP 및 GRE ETH(이더넷) 홍수 그리고 SYN, ACK, DNS, UDP 및 STOMP 홍수 등을 만들어낼 수 있다.

결론

IoT 보안은 사전 예방적인 보안 대책일 뿐만 아니라 필수적인 조치다. 높은 수준의 보안 조치가 수행된 기기는 봇넷 공격의 가능성을 줄인다. 또 암호로 기기를 보호하는 것도 좋은 방법이다.

▲모든 디지털 장치 사용자는 자신의 암호 및 모든 개인 정보를 최대한 안전하게 보호해야 한다(사진=ⓒ셔터스톡)
[라이헨바흐=장희주 기자]