봇넷, 주로 기업의 백도어로 사용돼…다양한 피해발생 원인!
[체크포인트코리아 우청하 지사장] 봇넷이 보안관리자들의 가장 큰 보안 문제로 떠오르고 있다. 봇넷은 사이버 범죄자들에 의해 몇천 개에서 백만 개 이상의 시스템에 이르는 많은 곳에서 컴퓨터를 장악하여 데이터 유출, 허가 받지 않은 네트워크에 대한 접속, 디도스 공격, 스팸 배포 등의 불법적인 위험한 일들을 전개하기 위해 사용되고 있다.호주통신미디어청(ACMA)에 의하면 호주에서 작년 11월 하순에 매일 20,873 건의 봇 감염이 나타났으며, 이는 5개월 전 11,650 건에 비해 대폭 증가한 것이라고 밝혔다.
오늘날 봇넷은 주로 기업의 백도어용으로 사용된다. 한번 내부에 진입한 해커들은 그들의 존재가 발견되기 전까지 가능한 많은 정보를 훔치기 위해 레이더를 피해서 은밀하게 머물며 활동한다. 불행하게도 봇넷은 매우 은밀하기 때문에 많은 기업들은 회사의 컴퓨터가 감염된 시점을 인지하기 못한다. 또한, 보안팀은 종종 봇넷이 만드는 위협을 잘 알아차리지도 못한다.
지난 해 말 뉴질랜드 ISP 조사에서 하나의 봇넷이 보고된 적이 있었다. 독립적인 사이버 범죄 감시 단체인 넷세이프(Netsafe)에 따르면 이 봇넷은 55,000대의 뉴질랜드 컴퓨터들을 손상시켰다고 한다. 넷세이프는 인터넷 트래픽 모니터를 통해 봇넷을 포함하여, 뉴질랜드 ISP의 45%에 달하는 손상된 보안 흔적을 찾아냈다. 그리고 55,000개의 감염된 가정용 컴퓨터 대다수는 좀비 봇넷에 의해 연결이 손상된 것을 알지 못했을 것이라고 추측된다.
보안은 온라인 상에서 단돈 500달러에 판매되는 봇 툴킷을 통해 사이버범죄자의 명령에 따라 형태를 변화시킬 수 있다는데 그 위협의 심각성이 높다. 불행하게도 이러한 요소들은 봇넷이 근처에 머무를 수 있다는 것을 말해준다.
봇의 위험
봇넷의 영향력에 대해 이해하는 것은 그것으로부터 비즈니스를 보호하는 방법을 이해하는데 매우 중요하다. 미국의 과학 저널지 뉴사이언티스트(New Scientist)는 지난 해 4백 50만대가 넘는 컴퓨터가 TDL-4에 감염된 윈도우를 구동 중 이라고 밝혔다. 또한 최근 체크포인트 연구소는 거의 절반에 가까운 IT보안 전문가들이 멀웨어 공격의 증가를 경험했다고 밝혔다.
멀웨어는 이제 커다란 비즈니스가 되었으며, 사이버 범죄자들은 더 이상 아마추어가 아니다. 그들은 수백만 달러의 피해를 주는 봇넷을 실행하기 위해 상당한 양의 지식과 시간, 자원을 구축하고 트로이 공격, 스파이웨어, 애드웨어, 봇넷 등 기업들은 다양한 형식의 멀웨어에 직면해 있으며, 이들은 바이러스의 광범위한 보안 위협을 가져온다. 또한, 봇넷은 성질이 다양하고 정상적인 애플리케이션이나 트래픽 패턴을 흉내 낼 수도 있다. 때문에 시그니처에 기반한 안티바이러스 등의 솔루션 혼자서는 대항하기가 어렵다.
봇넷을 어떻게 막을 것인가
이제는 봇넷에 대한 다른 접근이 필요하다. 전통적인 보안 측정법은 대개 이러한 위협들에 대해 제대로 작동하지 못하기 때문에 소프트웨어와 보안 정책 및 조직 내 문화가 강력히 혼합된 다층적인 접근이 감염된 호스트와 원격 운영자 간의 피해를 방지할 수 있다.
첫 번째 단계는 조직의 모든 보안 시스템 게이트웨이로 통합된 안티 봇 소프트웨어 기술을 갖추는 것이다. 봇 공격 방지를 위한 다층적인 접근은 멀웨어의 위협으로부터 보호해준다.
또한 완벽한 봇 공격 방지는 모든 기업 커뮤니케이션 채널이 안전하고 외부 사용자에 차단됐는지 확실하게 해준다. 브라우저 기반의 취약점, 휴대폰 사용, 악성 첨부파일과 이동식 미디어 등 조직의 데이터에 대한 다양한 진입점들 때문에 봇넷의 위협과 그것을 방지하는 방법에 대한 직원 교육은 비즈니스를 보호하기 위한 가장 중요한 방법 중 하나이다.
미래의 봇넷 공격
우리가 특별한 마법을 펼치지 않는 한, 봇넷은 계속해서 발전해 나갈 것이다. 사이버 범죄자들이 생각하고 있는 목표에 대한 이해를 통해 보안관리자는 이러한 공격들에 대해 준비할 수 있을 것이다.
과거 유명한 봇넷은 윈도우 기기에서 구동했지만 이제는 더 이상 리눅스와 맥 시스템도 안전하지 않다. 새로운 봇넷 변종은 플랫폼을 뛰어넘고, 업계에서도 3G 또는 와이파이 네트워크를 사용하여 C&C(Command & Control sever)와 소통하는 애플, 안드로이드 또는 다른 모바일 기반 봇넷 팝업을 더 많이 볼 수 있다.
트위터 등의 소셜 네트워크를 사용하는 직원들은 사이버 범죄자들이 전체 서버를 관리하는 비용을 들이지 않고도 빠르게 근거지를 설정하는 것을 허락해 줄 수도 있다.
불행하게도 봇넷은 고양이와 쥐 게임이다. 새로운 안티 바이러스가 파일 시그니처를 배포할 때마다 멀웨어 생산자는 새로운 변종 멀웨어를 생산한다.
다행히도 경찰과 대기업, 보안 전문가들은 봇 방지에 심각하게 대처하기 시작했다.
C&C 서버들을 가져옴으로써 봇 마스터는 좀비 컴퓨터의 제어권을 잃고 감염 확산을 막을 수 있다. 수천 개의 회사들이 이미 봇넷의 목표가 되고 있지만, 보안관리자들이 조직을 보호하고 봇넷의 확산을 멈출 수 있는 툴이 있다.
안티바이러스를 설치하고 직원들이 이해하고 책임지는 강력한 IT 정책을 보유한다면, 직원들의 소셜미디어 사용이 비즈니스를 위태롭게 하는 것을 방지할 수 있을 것이다.
글. 우청하 체크포인트코리아 지사장
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지