지난 몇 년간 기업과 보안 전문가들의 무력화 노력에도 불구하고 P2P 기반의 봇넷인 켈리호스(Kelihos)가 다시 등장했다. 새롭게 추가된 기능을 통해 자가 생존력이 강화됐으며, 스팸 메일 발송 및 개인정보 수집, 비트코인(Bitcoin) 탈취 등과 같은 방식으로 경제적인 이득을 취하는 것으로 나타났다.
 
켈리호스는 잠재적인 피해자의 IP 주소가 이전에 스팸 메일 발송지 혹은 프록시로 등록된 적이 있는지의 여부를 확인하기 위해 CBL(composite blocking list)을 제공하는 합법적인 무료 보안 서비스를 이용한다. CBL은 스팸 발송 또는 악성코드 배포에 가담한 이력이 있는 IP 주소의 블랙리스트다.

 
보안업체 지스케일러 스레드랩Z(Zscaler ThreatLabZ)의 연구원인 크리스 매넌(Chris Mannon)에 따르면, 이 봇넷은 바라쿠다 네트웍스(Barracuda Networks), 스팸하우스(SpamHaus), 메일-어뷰즈(Mail-Abuse) 및 소포스(Sophos)가 제공하는 IP 차단 목록을 확인하면서 해당 PC의 IP에 대한 평판을 확인한다.
 
만약 IP가 CBL에 등록돼 있지 않으면, 이를 프록시 C&C 서버(command-and-control server) 또는 스팸 봇으로 사용하는 것이다. 그러나 반대로 차단 목록에 있는 경우 효율적으로 동작할 수 있는 다른 IP를 물색한다.
 
뿐만 아니라 켈리호스는 C&C 서버를 자체적으로 두기 보다는 P2P 통신을 이용함으로써 생존 능력을 유지시키고 있다. P2P 기반의 봇넷은 금융 사기, 개인정보 유출 또는 서비스 거부 공격을 수행하는 범죄집단과 스팸 봇들이 선호하는 방식으로, 무력화시키기 어렵다.
 
켈리호스를 비롯해 제로액세스(ZeroAccess)나 제우스(Zeus) 봇넷과 같은 P2P 기반의 봇넷이 확산할 수 있었던 이유 중 하나는 이들이 암호화된 독자적인 프로토콜로 통신해 분석이 어려우며, 해당 IP가 블랙리스트에 해당이 되는지를 판단하기 위해 봇들이 서로 통신을 하며 정보를 공유하기 때문이다.
 
그밖에 무력화 되는 것을 막기 위해 패스트 플럭스(fast-flux) DNS 또는 도메인 생성 알고리즘을 이용하는 봇넷들도 있다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com