“봇넷, 지금은 아무 영향을 주지 않아도 내일은 우리를 공격할 것”

이 글의 제목처럼 ‘왜 봇넷(botnet) 문제에 관심을 가져야 하는가’라는 질문을 종종 받게 된다. 간단히 답해보자면, 봇넷의 공격은 오늘 당장 본인에게 아무 영향도 주지 않을 수 있지만 바로 내일이라도 우리는 봇넷의 공격을 받을 수 있으며, 또한 이를 퇴치하고자 하는 노력은 본인만을 위한 것이 아니라 우리 모두를 위한 것이기 때문이다.

봇넷의 공격에 대해 안일한 태도를 갖는 것은 마치 주위에서 빈번히 일어나고 있는 범죄 활동을 인지했음에도 불구하고, 자신에게 직접적인 피해가 없다는 이유로 적극적인 대응을 하지 않는 것과 같다. 이는 또한 굶주린 악어를 보고도 자신은 잡아먹히지 않겠지 하며 못 본체 하는 것과 다름없는 위험한 발상이다.

지난 7월 한국과 미국의 정부 웹사이트에 큰 타격을 입힌 DDoS 공격을 통해 우리는 가까스로 봇넷 공격의 위험을 인식하게 되었으며, 또한 향후에도 언제든지 더욱 심각한 수준의 공격을 받을 수 있음을 깨닫게 되었다.

봇넷이란 무엇이며, 봇넷 감염 과정은 어떻게 진행되는가?
봇넷이란 무엇인지 간단히 살펴보자. 봇넷의 봇(bot)은 로봇(robot)의 줄임말로 감염된 PC(맥 컴퓨터 포함)를 가리키며, 이들 컴퓨터에는 원격 액세스 트로이목마(RAT)가 이미 설치되어 있다. 트로이목마가 일단 설치되면, 해당 컴퓨터는 제3자의 통제하에 놓이게 되며, 더 이상 기존 사용자의 소유라 볼 수 없다.

한 범죄자가 많은 수의 컴퓨터를 감염시켜 통제 권한을 갖게 되는 경우를 ‘봇넷을 구성’했다라고 한다. 봇넷은 다음의 항목과 같은 금전적 이익을 취하거나 손해를 끼치기 위해 사용된다.

▲ 스팸 메일 전송
▲ 다른 컴퓨터를 공격하여 봇넷에 추가
▲ 훔친 개인정보, 신용카드 번호 및 은행계좌 정보를 활용한 절도 행위
▲ 피해 컴퓨터의 사용자에게 가짜 백신 소프트웨어 판매
▲ 무차별 DDoS 공격

봇넷에 감염·추가되는 대표적인 경로는 악의적인 웹 사이트를 방문한 경우이다. 일부 웹사이트의 경우, 컴퓨터의 취약한 소프트웨어를 고의적으로 악용하여 봇넷에 감염·추가되도록 조종한다. 이러한 방식을 드라이브-바이(drive-by) 다운로드(사용자의 동의 없이 또는 사용자 모르게 은밀히 발생되는 다운로드)라고 부른다.

다른 악의적인 웹사이트에서는 소프트웨어처럼 보이는 무언가를 설치하도록 속이기도 한다. 이러한 방식을 소셜 엔지니어링(Social Engineering)이라고 부르며, 가장 일반적인 형태 두 가지를 들자면 다음과 같다.

▲ 가짜 코덱 : 어떤 비디오를 보려고 할 때, 웹사이트에서 시청을 위해선 새로운 코덱을 설치해야 한다고 요구한다. 때로 Active X 컨트롤인 경우도 있고, 어도비 플래시(Adobe Flash) 업데이트인 경우도 있다.
▲ 가짜 백신 소프트웨어 : 가장 일반적인 공격 방식으로 우리가 거의 매일 접하고 있는 공격의 형태이다. 이 방식은 광고 네트워크의 배너 광고를 포함해 거의 모든 웹사이트에서 발생할 수 있다. 다시 말해, 웹사이트에서 배너 광고를 보기만 하는데도 갑자기 가짜 백신 소프트웨어가 등장할 수 있다는 것이다. 전 세계 거의 모든 웹사이트에서 나타날 수 있다고 봐야 한다. 가짜 백신 소프트웨어 공격은 동일한 방식으로 전개된다. 스캔(검사)을 진행하고 있는 듯이 현재 컴퓨터를 스캐닝(검사)하고 있으며, 다양한 악성 코드를 발견했다고 하지만  실제로는 애니메이션, 즉 지어낸 그림을 표시하고 있는 것이다. 검사가 끝나면 최신 스파이방지 프로그램을 설치해 모두 제거하라고 요구하며, 만약 사용자가 이 가짜 백신 소프트웨어 설치에 동의하는 경우, 봇넷에 감염·추가된다. 더 나아가 완벽한 보안 서비스 제공을 위해 정식 등록을 하라는 안내가 나온다. 그 후 등록을 빙자해 신용카드 번호를 입력하고 ‘사용료(License)’로 50달러를 지불하라고 요구할 것이고, 이러한 과정이 끝나면 컴퓨터 백신 치료가 완료되었다는 안내가 나온다. 보기엔 그럴 듯한 과정이지만, 실제로 사용자의 컴퓨터는 봇넷에 감염되었으며, 신용카드 번호마저 노출된 것이다.

이러한 범죄자들을 ‘데이터 스내처(Data Snatcher)’라고 부르는데, 말 그대로 데이터를 훔치는 것이 목적인 범죄자들이다.

봇넷이 이처럼 위험하다면, 왜 봇넷에 대한 조치가 없는 것인가?
이 질문은 아주 좋은 질문으로, 대답은 간단히 말해 관심을 갖는 사람이 많지 않기 때문이다. 인터넷 서비스 제공업체의 경우, 가입자의 시스템에서 봇을 모두 제거할 수 있다. 하지만 이로 인한 비용 부담 때문에 하지 않는다.

백신 개발 업체의 경우, AVG처럼 일부 업체는 무상으로 소프트웨어를 제공해 누구든 제대로 된 백신 프로그램을 사용할 수 있도록 노력하고 있지만, 여전히 백신 소프트웨어를 이용하지 않는 사용자가 부지기수이다. 그렇다면 결론은, 관심을 갖는 사람이 많지 않다는 것이다.

따라서 이 문제의 해결은 이 글을 읽고 있는 독자들에게 달려 있는 것이다. 그럼 어떻게 이 봇넷의 위협에서 벗어날 수 있을까?

먼저 정품 Windows를 사용하는 것이다. 정품 Windows가 아닌 경우, 마이크로소프트가 매달 제공하는 패치를 이용할 수 없으며, 패치를 이용할 수 없다는 것은 이미 해킹을 당했거나 공격 사이트로 자동 이동되는 사이트에 방문할 경우, 컴퓨터가 봇넷에 감염·추가될 가능성이 매우 높다는 것을 의미한다. 사실 마이크로소프트는 불법 복제 Windows의 분포도와 봇넷 분포도를 포개보면 두 분포도가 꼭 들어맞는다고 지적하고 있다.

두 번째는 어도비 제품과 같은 일반적인 응용 프로그램을 최신 상태로 유지하는 것이다.

세 번째는 AVG처럼 무료 백신 소프트웨어를 설치하는 것이다.

네 번째는 전용 웹 스캐너를 설치하는 것이다. 예로, 링크스캐너(LinkScanner)를 들 수 있으며, 무료로 제공되고 있다.

마지막으로 가장 중요한 것이 주변의 친구는 물론 가족 모두에게 위의 방식을 적용하도록 권장하는 것이다. 우리 주변의 범죄 예방을 위해서는 항상 경각심을 가지고, 방범 순찰을 하는 것이 효과적이라는 것은 잘 알고 있듯이, 인터넷 생활을 할 때 또한 이러한 주의 사항을 인지하고 미리 예방하자.

[글 : 로저 톰슨(Roger Thompson) AVG 테크놀로지스 최고연구책임자]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>