2010년 7월 7일 18시 00분부터 일부 국가기관과 민간 홈페이지를 대상으로 디도스 공격이 탐지됐다. 정부는 이번 공격에 대해 작년 디도스 대란에 동원됐던 좀비PC가 치료되지 않고 방치됐다가 1년이 지난 시점에서 공격을 재개한 것이라고 밝혔다. 이번호에서는 이러한 좀비PC에 의한 공격의 배후에 있는 ‘봇넷’이란 무엇인지 알아보고 실제 사례를 통해 그 위협에 대해 살펴보도록 한다.
자신도 모르게 가해자가 될 수 있는 ‘좀비PC’
‘봇넷(Botnet)’이란 봇(Bot)에 감염된 좀비PC들로 구성되는 네트워크를 말한다. 봇넷은 외부 공격자(Bot Master)의 명령에 따라 스팸메일 발송이나 정보 유출, 디도스 공격 등을 수행한다. 만약 자신의 PC가 좀비PC가 되면 자신도 모르게 다양한 사이버 범죄에 가담하게 될 수도 있는 것이다.
그렇다면 좀비PC는 어떤 경로를 통해 감염되는 것일까? PC가 봇넷의 일원이 되기까지의 과정은 다음과 같다.
 
1. 외부 공격자(Bot Master)는 각 봇을 관리하고 명령을 내리는 ‘C&C(Command and Control)’ 지령서버를 구축한다.
2. 스팸메일이나 악의적인 웹사이트를 통해 불특정 다수의 PC에 봇을 배포해 감염을 시도한다.
3. 사용자가 봇 프로그램을 다운로드해 실행하면 봇에 감염된다.
4. 봇이 C&C서버에 접속함으로써 감염PC(좀비PC)는 봇넷의 일원으로 추가된다.
5. 공격자가 C&C서버에 명령을 내리면 C&C서버는 봇에 명령을 전달한다.
6. 봇은 명령에 따라 다양한 공격을 수행하며 다른 PC로 스캔겙㉮걋?시도한다.

이러한 과정을 보면 봇에 감염된 PC를 왜 ‘좀비PC’라고 부르는지 알 수 있다. 좀비는 타인의 명령에 따라 움직이며 좀비의 습격을 받은 인간은 새로운 좀비가 돼 또 다른 인간을 습격한다. 좀비PC 또한 공격자의 명령에 따라 움직이며 봇에 감염된 PC는 좀비PC가 돼 다른 PC로 감염을 확대해간다. 이 양상이 좀비와 닮았다고 해 ‘좀비PC’라고 부르는 것이다.
그렇다면 봇은 어떻게 PC에 침입하는 것일까?
● 메일의 첨부파일 악용
메일에 봇 프로그램을 첨부해 사용자가 이를 다운로드 하게끔 유도한다. 첨부파일을 열어 실행하는 순간 봇에 감염돼 버리는 것이다. 스팸메일은 최근 이슈가 되는 사건이나 사용자의 관심을 끌만한 내용으로 열람을 유도하며 유명 기업이나 자사에서 온 메일로 가장하는 경우도 있으므로 주의가 필요하다.
● 악성 링크의 클릭 유도
메일이나 인스턴트 메시지에 악성 링크를 기재해 이를 클릭하도록 유도한다. 첨부파일 악용과 마찬가지로 메일의 제목이나 내용을 속이거나 친구에게서 온 메시지처럼 가장해 링크를 클릭하게 만든다. 링크를 클릭하면 봇 프로그램이 다운로드 되거나 피싱 사이트로 연결돼 직접 프로그램을 다운로드하도록 유도된다.
● 봇의 공격
비밀번호 공격이나 취약성 공격을 통해 침입을 시도한다. 취약점을 방치하거나 제로데이 공격(수정패치가 공개되기 전에 취약점을 공격하는 것)을 받으면 봇이 PC에 쉽게 침입할 수 있으므로 평소에 방화벽 같은 보안제품을 도입하거나 적절한 패치관리를 해 둘 필요가 있다.
● 웹페이지 열람에 의한 감염
웹사이트에 악의 있는 스크립트나 웹 브라우저의 취약성을 공격하는 스크립트가 삽입돼 있을 수도 있다. 사용자가 해당 웹사이트에 접속하는 것만으로도 봇에 감염돼 버리는 것이다. ‘의심스러운 사이트에는 접속하지 않기 때문에 괜찮다’라는 의식만으로는 감염을 피하기는 어렵다. 봇이 일반적인 웹사이트를 탈취, 정상적인 페이지에 악의적인 스크립트를 삽입해 감염을 확대하고자 하는 경우도 있기 때문이다.

봇넷의 위협
● 스팸메일 발송
서버 관리자나 ISP(Internet Service Provider)에 대한 대책이 진행되면서 스팸메일 발송은 더욱 어려워지고 있다. 그러나 봇넷을 사용하면 관리자나 ISP 규제를 벗어나 대량의 스팸메일을 발송할 수 있다. PC 1대가 대량의 스팸메일을 보내면 관리자나 ISP가 쉽게 알아차릴 수 있으나 대량의 좀비PC가 단 몇 통의 스팸메일을 보내는 경우라면 서버나 네트워크에 큰 부하를 주지 않으므로 쉽게 알아차릴 수 없기 때문이다.
● 디도스 공격
타깃이 되는 서버나 네트워크에 대량의 데이터를 전송, 부하를 걸어 서비스를 마비시키거나 시스템을 다운시키는 것을 ‘도스(DoS)’ 공격이라고 한다. ‘디도스(DDoS)’ 공격이란 공격처를 여러 군데로 분산시키는 것을 말한다. 봇에 감염된 수만~수백만 대의 좀비PC가 타깃 머신을 향해 한꺼번에 공격을 시도하면 손쉽게 디도스 공격을 할 수 있다. 이런 디도스 공격을 빌미로 금품을 요구하는 협박 사건도 발생하고 있다.
● 정보 유출
봇은 웜과 트로이목마의 성질을 모두 갖고 있다. 특히 트로이목마는 감염PC의 정보를 빼내 외부로 유출하는 활동을 하기 때문에 봇에 감염되면 PC에서 다루는 각종 개인정보가 외부로 유출될 수 있다. 봇넷 중 최대 규모를 자랑하는 ‘제우스(Zeus)’ 봇넷은 특히 신용카드 번호나 온라인 은행 관련 정보를 수집하는 것으로 유명하다. 유출된 개인정보는 지하 포럼에서 판매되거나 온라인 상의 불법 거래에 이용된다.
● 어플리에이트(Affiliate) 프로그램 악용
어플리에이트 프로그램이란 ‘제휴 판매 프로그램’으로 웹사이트 주인이 다른 상품의 선전을 도와 수익금이나 수수료를 받는 시스템이다. 배너를 클릭하게 해 온라인숍으로 유도하는 구조는 봇넷을 이용한 부정 행위에 알맞은 타깃이 된다. 예를 들어 좀비PC 1대 당 단 1번의 클릭이라고 해도 수만 대의 PC가 접속하면 그 클릭수는 엄청나게 늘어나게 된다. 접속 시간이나 접속처가 각기 다르므로 부정 행위를 한 것인지 알아차리기 어렵다.

봇넷의 위협 - 디도스 공격
‘도스(DoS, Denial of Service, 서비스 거부)’ 공격이란 특정 사이트에 대량의 트래픽을 일으켜 서버를 다운시키고 정상적인 서비스를 불가능하게 만드는 것을 말한다. 그리고 수많은 공격자를 분산 배치해 동시다발적으로 공격을 일으키는 것이 바로 ‘디도스(DDoS, Distributed DoS, 분산 서비스 거부)’ 공격이다. 2006년부터 성인ㆍ도박 사이트 등 신고가 어려운 사이트를 대상으로 이뤄진 디도스 공격은 2008년에는 P2Pㆍ일반 쇼핑몰ㆍ일반 기업 사이트까지 그 대상이 확대됐으며 최근에는 금융권ㆍ포털 사이트, 심지어 정부 사이트까지 공격하는 등 더욱 대담하고 조직적인 움직임을 보이고 있다.
디도스 공격은 처음에는 자신의 능력을 과시하기 위한 수단으로 이용됐으나 점차 금품 요구나 협박, 시위 등의 목적으로 사용되기 시작했다. 디도스 공격으로 인한 기업 이미지 실추, 고객 이탈, 매출 감소의 피해를 우려하는 기업을 상대로 공격을 한다고 협박하거나 또는 진행 중인 공격을 중단하는 조건으로 금품을 요구하는 것이다.
디도스 공격에는 대량의 트래픽 유발을 위해 수많은 PC가 동원된다. 이 PC들은 공격을 수행하기 위한 멀웨어에 감염돼 있으며 공격자의 명령에 따라 특정 사이트를 향해 일제히 공격을 수행한다. 이 ‘공격을 수행하기 위한 멀웨어’가 바로 ‘봇(bot)’이며 봇에 감염된 PC는 ‘좀비PC’가 된다. 디도스 공격 과정은 다음과 같다.
 
1. 공격자는 지령을 전달할 C&C 지령서버를 구축하고 다양한 방법으로 PC에 봇을 감염시킨다.
2. 감염된 PC(좀비PC)들은 네트워크를 이뤄 봇넷을 만들고 C&C서버를 통해 공격자의 명령을 전달받는다.
3. 공격자가 디도스 공격 명령을 내리면 봇넷을 이루는 좀비PC들은 명령에 따라 특정 서버에 일제히 공격을 수행한다.

7.7 디도스 대란은 2009년 7월 7일을 기점으로 미국과 국내의 주요 정부기관, 포털 및 은행 사이트 등이 디도스 공격을 받아 일시적으로 서비스가 마비된 사건이다. 공격은 7월 4일, 미국의 주요 사이트를 대상으로 시작됐으며 국내는 7월 7일부터 3일간 주요 정당 및 언론사 사이트, 포털 및 금융기관 사이트 등 총 26군데가 공격을 받았다.
이 공격은 기존의 디도스 방법에서 조금 변형된 형태로 진행됐다. PC에 감염되는 멀웨어에는 공격 대상과 시간을 지정해놓은 스케줄러가 삽입돼 있어 스케줄러에 따라 자동으로 지정된 시간에 특정 사이트를 공격하도록 돼 있었다. 때문에 방어에 있어서 대부분의 디도스 공격을 차단할 수 있는 IP 차단 방식을 사용할 수 없었다.
그 밖에도 여러 사이트를 동시에 공격하고 여러 파일 형태로 기능이 나뉘어 있다는 점 등 상당히 지능화된 공격 수법을 보여준 사건이었다.
얼마 전인 2010년 7월 7일에도 일부 국가기관과 민간 홈페이지를 대상으로 디도스 공격이 탐지됐다. 7.7 디도스 공격이 부활한 것이다. 그러나 이번 공격은 작년에 비해 소규모 수준에 그쳐 접속 서비스 장애를 일으킬 정도는 아니었다.
정부는 이번 공격에 대해 작년 디도스 대란에 동원됐던 좀비PC가 치료되지 않고 방치됐다가 1년이 지난 시점에서 공격을 재개한 것이라고 밝혔다. 좀비PC가 제대로 치료되지 않으면 앞으로도 활동을 계속할 가능성이 있는 것이다.

봇넷의 위협 - 정보 유출
좀비PC가 입는 피해 중 가장 위험한 것은 봇에 의한 정보 유출이라고 할 수 있을 것이다. 봇에 감염되면 PC의 시스템 정보뿐만 아니라 신용카드 번호 및 온라인 은행 관련 정보, 각종 로그인 계정정보, 심지어 기업의 기밀정보나 고객정보까지 유출될 수 있다. 사이트 관리자의 계정정보를 훔치면 손쉽게 기업의 데이터베이스에까지 접근할 수 있다. 한 글로벌 보안업체에 따르면 실제로 2009년에 유출된 개인정보의 60%는 해킹에 의한 것이며 기업들 중 75%가 2009년에 사이버 공격을 경험했다고 한다.
유출된 개인정보는 다른 사이버 범죄에 이용될 수 있으며 도난당한 신용카드 정보는 범죄자가 물건을 사는 데 사용될 수도 있다. 수많은 개인정보는 비싼 가격에 거래되기도 하며 훔친 고객 데이터를 빌미로 기업에 협박을 하는 경우도 있다.
개인정보를 유출하는 대표적인 봇넷 ‘제우스(Zeus)’는 특히 신용카드 번호 및 온라인 은행 관련 정보를 수집하는 것으로 유명하다. 제우스 봇넷의 감염 경로를 살펴보면 다음과 같다. 침입 시도 방법은 스팸메일의 첨부파일, 악성 링크, 악성 웹사이트 방문 등 앞서 설명한 것과 같이 다양하다. 그 과정은 다음과 같다.
 
1. 유명 사이트에서 온 것처럼 가장한 스팸메일이 발송된다.
2. 스팸메일 안의 링크를 클릭하면 피싱 사이트로 연결된다.
3. 개인정보를 입력하도록 유도되며 로그인하면 악성 파일 다운로드처로 리다이렉트된다.
4. 사용자는 필요한 파일이라고 생각, Zbot을 다운로드해 실행한다.
5. Zbot은 감염PC(좀비PC)에 머무르면서 리모트 사이트에 접속해 파일을 다운로드 한다. 다운로드한 파일에는 업데이트판 카피의 다운로드처, 개인정보 감시 및 수집을 위한 웹사이트 리스트, 수집한 정보의 전송처 등의 정보가 포함돼 있다.
6. Zbot은 파일에 저장돼 있는 웹사이트에 사용자가 접속하기를 기다린다.
7. 사용자가 해당 웹사이트에 접속하면 Zbot은 사용자명이나 비밀번호 같은 입력정보를 기록해 리모트 서버로 전송한다.

봇넷 대책
봇에 감염되면 개인정보를 도난 당하는 피해자가 됨과 동시에 디도스 공격에 가담하게 되는 공범자, 가해자 또한 될 수 있다. 때문에 자신의 PC가 좀비PC가 되지 않도록 평소에 기본적인 보안 수칙을 잘 지켜 감염을 예방하는 것이 중요하다.
사용자는 다음과 같은 보안 수칙을 지켜야 한다. 
안티 바이러스 제품을 설치해 항상 최신 버전으로 업데이트하고 실시간 검사 기능을 켜둔다. 운영체제의 보안패치를 최신으로 유지해 취약점을 통한 감염을 예방한다. 로그인 계정의 비밀번호를 자주 변경한다. 이메일 확인 시 발신자가 불분명하거나 의심스러운 파일이 첨부돼 올 경우에는 메일을 삭제한다. 메신저 사용 시 메시지에 URL이나 파일이 첨부돼 올 경우 함부로 클릭하거나 실행하지 않는다. 상대가 직접 보낸 것이 맞는지 확인한다. PtoP 프로그램 사용 시 파일을 다운로드할 때는 반드시 보안제품으로 검사한 후 사용한다. 웹 서핑 시 보안경고 창이 뜰 경우 신뢰할 수 있는 기관의 서명이 있는 프로그램에만 설치를 동의한다. 외부 침입자가 내 시스템을 불법으로 사용하지 못하도록 공유 권한을 ‘읽기’로 설정한다. 사용한 후에는 공유를 해제한다. 정품 소프트웨어를 사용한다. 불법 소프트웨어를 사용할 경우, 제공되는 패치를 적용할 수 없기 때문에 취약점을 통해 봇이 쉽게 PC에 침입할 수 있다. 개인 방화벽을 사용해 외부에서 들어오는 통신을 검사한다. 이러한 기본적인 보안 수칙을 지킴으로써 봇의 감염을 어느 정도는 예방할 수 있다. 그러나 봇의 침입을 100% 막을 수 있다고 장담할 수는 없다. 봇은 다양한 방법으로 탐지를 회피하며 기존의 안티 바이러스 제품은 신종ㆍ변종의 수많은 봇을 다 따라잡지 못하기 때문이다.
안티 바이러스 제품은 기존의 바이러스 탐지 방법과 마찬가지로 봇의 특징을 뽑아낸 패턴파일을 사용해 봇을 탐지한다. 그러나 봇은 아종ㆍ변종이 출현하는 속도가 매우 빠르기 때문에 패턴파일의 작성이 이 속도에 미치지 못한다. 또 봇은 자신을 압축하거나 암호화해 코드 해독을 어렵게 만들고 방화벽 및 보안 소프트에 관련된 프로세스를 강제 종료시켜 자신의 탐지 및 삭제를 회피한다. 어떤 봇은 Windows 기동 시 자신이 자동 실행되도록 레지스트리 값을 변경하고 정규 시스템 프로세스에 자신의 프로세스를 삽입해 시스템에 상주한다. 자신이 작성한 폴더나 파일을 은폐할 수 있는 루트킷 기능을 갖추고 있는 것도 있어 보안패치를 적용하고 있다고 해도 안티 바이러스 제품을 가동하고 있다고 해도 안심할 수만은 없다.

트렌드 마이크로의 ‘좀비PC 탐지 및 치료 솔루션’
트렌드 마이크로의 ‘좀비PC 탐지 및 치료 솔루션(Threat Management Solution)(TMS)’은 디도스 공격 및 정보 유출을 유발하는 ‘봇(Bot)’을 탐지하고 자동으로 치료하는 데 특화된 장비다. 최신 바이러스 백신으로 업데이트하는데도 좀비PC의 피해가 생기는 이유는 좀비PC에 침입한 ‘봇’이 기존의 바이러스와는 달리 네트워크 통신을 통해 활동하거나 다른 프로그램이 구동할 때 편승해 활동하기 때문에 일반적인 바이러스 스캔 방식으로는 탐지가 어렵다는 데 있다. 또한 탐지를 하더라도 많은 사용자의 PC를 일일이 대응하기가 어려워 봇의 치료 또한 어려운 과제였다.
트렌드마이크로 솔루션은 사용자 PC에 설치된 에이전트 프로그램을 통해 중앙에서 자동으로 봇을 제거하는 특징을 갖고 있다. 특히 사용자 PC에 설치되는 치료 솔루션은 시스템 리소스를 거의 차지하지 않으며 타 백신 프로그램들과 충돌 사례가 없음은 물론 오진의 경우에도 일선 관리자들이 조치를 취할 수 있도록 설계돼 있다.
<글 : 한국트렌드마이크로 마케팅팀>

[월간 정보보호21c 통권 제120호(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>