2017년 2월 20일 월요일

봇넷의 근본적인 이유와 최근에 다시 이슈가 된 이유

Q: 봇넷이 나타난 것이 꽤 오래 전으로 알고 있습니다. 아직까지도 봇넷의 근본적인 해결이 안되는 이유와 최근에 다시 이슈가 된 이유에 대해 설명 부탁합니다.

봇넷은 90년대초에 EggDrop이라는 것으로 처음 나왔습니다. 그 이후에도 Forbot, PBot, Toxbot 등 많은 변종 봇들이 나타났고 최근에는 그 숫자도 더 늘고 있어 대응에 매우 어려움을 겪고 있습니다. 근본적인 해결이 어려운 이유는 감염만 시키면 타겟팅 된 PC를 손쉽게 제어하면서 다양한 2차 공격을 할 수 있기 때문에 신종 봇들을 계속 만들어내기도 하고 이미 감염된 수많은 좀비 PC들을 한꺼번에 치료할 수 있는 것도 아니기 때문에 감염이 꼬리를 물면서 유지되는 것이지요.
관심도가 떨어진 적도 없지만 최근에 다시 이슈가 되고 있는 이유는 초고속 인터넷 망이 구축되면서 네트워크 속도도 빨라지고 더 많은 PC들이 접속되고 있기 때문입니다. 특히 우리나라처럼 인터넷 망이 우수한 곳에서는 봇넷이 더 많이 활동하고 있다고 봐야 합니다.
봇넷의 주된 확산지였던 이메일 뿐만 아니라 SNS를 통해 더 많은 확산 방법이 생겨나면서 최근의 위험성이 더 강조되고 있습니다. 특히 IoT의 확대로 앞으로 더 큰 걱정인데요. 무제한으로 데이터를 수집하는 창구인 IoT는 기존 기술들에 비해 보안성이 상대적으로 낮아 봇넷의 집중 타겟이 될 수 있습니다.

Q: 봇넷의 주된 공격 방법이 좀비 PC를 이용한 DDoS로 알고 있는데요. 모두 그런 것은 아니지만 DDoS에 대한 대응 방법이 어느 정도 성공을 거둔 사례도 있고 툴도 나와 있는 것으로 알고 있습니다. 다시 봇넷의 심각성이 왜 대두가 되고 있는 것인지 조금 더 자세한 설명 부탁합니다.

네 맞습니다. 이전에 봇넷은 감염된 좀비 PC를 활용해 DDoS나 스팸 발송 등의 공격을 하고 공격과 동시에 봇을 더 확대하는 형태가 일반적이었습니다. 그림2에서 보는 것처럼 감염된 좀비 PC를 C&C 서버를 통해 수시로 제어하면서 다양하고 빈번한 공격이 가능했습니다.

<그림2> 봇넷의 공격 방법
출처: KISA

더보기