봇넷을 통한 사이버 범죄, 작년 한 해 동안 크게 유행해
아마존과 구글, MS의 정상적인 클라우드 서비스에 마련된 C&C 급증
[보안뉴스 문가용 기자] 2017년 한 해 동안 봇넷 운영자 혹은 봇넷 통제 장치가 32% 증가했다. 이는 아마존과 구글의 클라우드 서비스 확대 및 증가와 관련이 있다. 기업들을 위한 클라우드가 사이버 범죄자들을 돕고 있는 형국이라고 한다.
[이미지 = iclickart]
이러한 현상에 대해 보안 업체인 스팸하우스 멀웨어 랩스(Spamhaus Malware Labs)가 ‘2017 봇넷 위협 보고서(2017 Botnet Thret Report)’를 통해 조사, 발표했다. 스팸하우스는 이 보고서 작성을 위해 9500개 이상의 봇넷 C&C 서버를 분석했다고 한다.
현상 1. C&C 서버 운영자의 주요 목적은 봇넷 통제다
멀웨어로 시스템을 감염시킨 공격자에게 있어 C&C 서버는 핵심적인 요소일 수밖에 없다. 멀웨어로 명령을 전달해 실제 악성 행위를 실시해야 하는데, 이 때 C&C 서버가 사용되기 때문이다. C&C 서버가 없다면 멀웨어로 감염시킨 의미가 없다. C&C 서버가 있어 멀웨어를 통해 랜섬웨어가 퍼지고, 스팸 메일이 발송되며, 뱅킹 트로이목마가 설칠 수 있다.
스팸하우스 멀웨어 랩스에 의하면 2017년 동안 발견된 봇넷 대부분(68%)이 C&C 서버를 통해 통제받고 있다고 한다. 이 68%의 특징은 “오로지 봇넷 통제만을 위한 C&C 서버”라는 것이라고 스팸하우스는 추가로 설명한다. C&C 서버가 가지고 있던 다양한 기능성이 일부 ‘봇넷 통제’로 국한되기 시작했다는 것이다.
봇넷을 통한 사이버 공격이 증가했다는 건 무슨 의미가 될까? 가트너의 부회장인 로렌스 오란스(Lawrence Orans)는 “현재 대부분 기업들이 ‘봇넷 공격’이라고 하면 디도스부터 걱정한다”고 말한다. “봇넷 활동에서의 변화는 2016년 후반부부터 눈에 띄기 시작했습니다. 특히 9월과 10월이 주목할 만한 달이었죠. 미라이(Mirai)가 그 때 출현했거든요. 미라이는 사상 최대의 디도스 공격을 일으켰고요.”
현상 2. 유명 클라우드 서비스가 봇넷에 날개를 달고 있다
스팸하우스는 또 다른 트렌드에 주목해야 한다고 말한다. “2017년 동안 봇넷 통제 장치나 운영자가 증가한 것만이 전부가 아닙니다. 이 봇넷들을 통제하기 위한 C&C 서버들이 갑자기 정상적인 클라우드 서비스에서부터 나타나기 시작했다는 게 중요한 문제입니다. 우리가 다 아는 AWS만 해도, 2017년에 303개의 C&C 서버를 호스팅하고 있었어요. 2016년에는 36개에 불과했었는데요. 구글도 사정이 비슷했습니다.”
그러나 오란스는 “이런 현상이 굉장히 새롭거다 대단한 건 아니”라는 의견이다. “C&C 서버가 어디에 있건, 결국 공격을 탐지하고 방어하는 게 중요한데, 클라우드에 있다고 해서 탐지가 덜 되고 더 되는 게 아니기 때문입니다.”
하지만 클라우드 서비스 제공업체에 있어서는 이게 중요한 문제다. 스팸하우스는 “그래서 일부 업체들은 진지하게 대처를 시작했다”고 말한다. “특히 허위로 서비스 가입하는 문제를 방지하기 위해 주류 클라우드 업체들은 심각한 고민을 시작했습니다.”
클라우드에 봇넷 통제 장치가 마련되는 현상을 허위 등록 방지만으로 막을 수 있을까? 스팸하우스는 “클라우드 서비스의 사용자들이 운영하는 서버와 웹사이트를 통해서도 침해가 가능하다”며 “서비스 제공 업체만이 아니라 사용자들도 함께 대처해야만 가능하다”고 지적한다. “클라우드 제공 업체로서는 관리 권한이 없는 서버와 웹사이트가 많은데, 사용자들 중 많은 사람들이 서버와 웹사이트에 소프트웨어 업데이트도 잘 하지 않습니다. 범죄자들은 인터넷을 스캔하여 이러한 취약점들을 금방 찾아낼 수 있습니다.”
현상 3. 금융 산업이 주요 표적이다
2017년에 발견된 봇넷들은 대부분 뱅킹 트로이목마를 퍼트린 것으로 나타났다. 크토닉(Chthonic), 고지(Gozi), 트릭봇(TrickBot), 드리덱스(Dridex), 웜램닛(Worm.Ramnit), 아조럴트(AZORult), 팬더제우스(PandaZeus)가 가장 활발했다. 그 다음으로는 크리덴셜 탈취 멀웨어가 많이 퍼졌다. 로키(Loki), 스모크 로더(Smoke Loader), 뉴트리노(Neutrino) 등으로 대표된다.
오란스는 “2018년에는 IoT 기기들을 통한 봇넷 구성과 사이버 공격이 더 활발해질 것”으로 예상하고 있다. “가전 기기들 대부분 제대로 된 보안 장치를 가지고 있지 않습니다. 해커들에게는 쉬운 표적이죠. 미라이의 예에서 봤듯이 말입니다.”
또한 오란스는 “디도스 공격이 발생했을 때의 대처법을 기업들이 숙지하고 있어야 한다”고 강조한다. “디도스 공격이 들어올 것이 예상되는데, 대처법을 모르고 있다면, 그건 안일한 걸 넘어서서 공격해달라고 요청하는 것과 마찬가지입니다. 누가 고객이나 관계자들에게 어떤 식으로 알릴 것인가, 데이터를 어떻게 보관할 것인가, 복구를 위해 어떤 방법을 가동시킬 것인가 미리 정해두는 게 바로 그 대처법입니다.”
[국제부 문가용 기자(globoan@boannews.com)]
아마존과 구글, MS의 정상적인 클라우드 서비스에 마련된 C&C 급증
[보안뉴스 문가용 기자] 2017년 한 해 동안 봇넷 운영자 혹은 봇넷 통제 장치가 32% 증가했다. 이는 아마존과 구글의 클라우드 서비스 확대 및 증가와 관련이 있다. 기업들을 위한 클라우드가 사이버 범죄자들을 돕고 있는 형국이라고 한다.
[이미지 = iclickart]
이러한 현상에 대해 보안 업체인 스팸하우스 멀웨어 랩스(Spamhaus Malware Labs)가 ‘2017 봇넷 위협 보고서(2017 Botnet Thret Report)’를 통해 조사, 발표했다. 스팸하우스는 이 보고서 작성을 위해 9500개 이상의 봇넷 C&C 서버를 분석했다고 한다.
현상 1. C&C 서버 운영자의 주요 목적은 봇넷 통제다
멀웨어로 시스템을 감염시킨 공격자에게 있어 C&C 서버는 핵심적인 요소일 수밖에 없다. 멀웨어로 명령을 전달해 실제 악성 행위를 실시해야 하는데, 이 때 C&C 서버가 사용되기 때문이다. C&C 서버가 없다면 멀웨어로 감염시킨 의미가 없다. C&C 서버가 있어 멀웨어를 통해 랜섬웨어가 퍼지고, 스팸 메일이 발송되며, 뱅킹 트로이목마가 설칠 수 있다.
스팸하우스 멀웨어 랩스에 의하면 2017년 동안 발견된 봇넷 대부분(68%)이 C&C 서버를 통해 통제받고 있다고 한다. 이 68%의 특징은 “오로지 봇넷 통제만을 위한 C&C 서버”라는 것이라고 스팸하우스는 추가로 설명한다. C&C 서버가 가지고 있던 다양한 기능성이 일부 ‘봇넷 통제’로 국한되기 시작했다는 것이다.
봇넷을 통한 사이버 공격이 증가했다는 건 무슨 의미가 될까? 가트너의 부회장인 로렌스 오란스(Lawrence Orans)는 “현재 대부분 기업들이 ‘봇넷 공격’이라고 하면 디도스부터 걱정한다”고 말한다. “봇넷 활동에서의 변화는 2016년 후반부부터 눈에 띄기 시작했습니다. 특히 9월과 10월이 주목할 만한 달이었죠. 미라이(Mirai)가 그 때 출현했거든요. 미라이는 사상 최대의 디도스 공격을 일으켰고요.”
현상 2. 유명 클라우드 서비스가 봇넷에 날개를 달고 있다
스팸하우스는 또 다른 트렌드에 주목해야 한다고 말한다. “2017년 동안 봇넷 통제 장치나 운영자가 증가한 것만이 전부가 아닙니다. 이 봇넷들을 통제하기 위한 C&C 서버들이 갑자기 정상적인 클라우드 서비스에서부터 나타나기 시작했다는 게 중요한 문제입니다. 우리가 다 아는 AWS만 해도, 2017년에 303개의 C&C 서버를 호스팅하고 있었어요. 2016년에는 36개에 불과했었는데요. 구글도 사정이 비슷했습니다.”
그러나 오란스는 “이런 현상이 굉장히 새롭거다 대단한 건 아니”라는 의견이다. “C&C 서버가 어디에 있건, 결국 공격을 탐지하고 방어하는 게 중요한데, 클라우드에 있다고 해서 탐지가 덜 되고 더 되는 게 아니기 때문입니다.”
하지만 클라우드 서비스 제공업체에 있어서는 이게 중요한 문제다. 스팸하우스는 “그래서 일부 업체들은 진지하게 대처를 시작했다”고 말한다. “특히 허위로 서비스 가입하는 문제를 방지하기 위해 주류 클라우드 업체들은 심각한 고민을 시작했습니다.”
클라우드에 봇넷 통제 장치가 마련되는 현상을 허위 등록 방지만으로 막을 수 있을까? 스팸하우스는 “클라우드 서비스의 사용자들이 운영하는 서버와 웹사이트를 통해서도 침해가 가능하다”며 “서비스 제공 업체만이 아니라 사용자들도 함께 대처해야만 가능하다”고 지적한다. “클라우드 제공 업체로서는 관리 권한이 없는 서버와 웹사이트가 많은데, 사용자들 중 많은 사람들이 서버와 웹사이트에 소프트웨어 업데이트도 잘 하지 않습니다. 범죄자들은 인터넷을 스캔하여 이러한 취약점들을 금방 찾아낼 수 있습니다.”
현상 3. 금융 산업이 주요 표적이다
2017년에 발견된 봇넷들은 대부분 뱅킹 트로이목마를 퍼트린 것으로 나타났다. 크토닉(Chthonic), 고지(Gozi), 트릭봇(TrickBot), 드리덱스(Dridex), 웜램닛(Worm.Ramnit), 아조럴트(AZORult), 팬더제우스(PandaZeus)가 가장 활발했다. 그 다음으로는 크리덴셜 탈취 멀웨어가 많이 퍼졌다. 로키(Loki), 스모크 로더(Smoke Loader), 뉴트리노(Neutrino) 등으로 대표된다.
오란스는 “2018년에는 IoT 기기들을 통한 봇넷 구성과 사이버 공격이 더 활발해질 것”으로 예상하고 있다. “가전 기기들 대부분 제대로 된 보안 장치를 가지고 있지 않습니다. 해커들에게는 쉬운 표적이죠. 미라이의 예에서 봤듯이 말입니다.”
또한 오란스는 “디도스 공격이 발생했을 때의 대처법을 기업들이 숙지하고 있어야 한다”고 강조한다. “디도스 공격이 들어올 것이 예상되는데, 대처법을 모르고 있다면, 그건 안일한 걸 넘어서서 공격해달라고 요청하는 것과 마찬가지입니다. 누가 고객이나 관계자들에게 어떤 식으로 알릴 것인가, 데이터를 어떻게 보관할 것인가, 복구를 위해 어떤 방법을 가동시킬 것인가 미리 정해두는 게 바로 그 대처법입니다.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
