IRC 봇넷이 사라진 이유 : 쉬운 파해법과 한정된 통신 채널
은둔 고수처럼 새로운 기술 익혀 다시 세상에 나타나다

[보안뉴스 문가용] 최근 보안 벤더인 지스케일러(Zscaler)에서 IRC 봇넷이 가파른 수준까지는 아니지만 꾸준히 성장하고 있다는 연구 결과를 발표했다. 예전 그대로의 모습이 아닌, 추가 기능까지 생긴 채 아직까지도 위협적인 존재감을 과시하고 있다는 게 이번 연구의 결론으로 알려졌다.      

지스케일러는 올해 자사가 운영하는 클라우드 샌드박스로부터 접수된 네 가지 새로운 IRC 봇넷을 집중 파헤쳤다. 이 네 개의 봇넷은 각각 도크봇(DorkBot), IRCBot.HI, 레이지봇(RageBot), 포픽스(Phorpiex)라고 명명됐다. 이 중 가장 눈에 띄는 건 도크봇이었다고 한다.

물론 이 네 가지 IRC 봇넷이 만든 페이로드는 전체 봇넷 페이로드에 비해 굉장히 미미한 양에 불과하다. 그렇지만 한 봇넷이 가진 ‘위험한 정도’는 페이로드의 용량만으로는 측정할 수가 없다는 게 지스케일러의 디렉터인 디픈 데사이(Deepen Desai)의 설명이다. 여기엔 봇넷의 활동 영역도 중요하게 작용하는데, 미국, 독일, 인도가 가장 많은 IRC 봇넷 공격에 노출된 것으로 드러났다.

“C&C 통신 채널도 다양하고 통신은 많은 부분 암호화됐으며 봇넷 자체도 엄청나게 발달한 지금과 같은 시대에 이미 오래 전에 씨가 말랐어야 정상인 IRC에 근거한 봇넷 페이로드가 꾸준히 발견되고 있으며 실제로 효력을 발휘한다는 건 놀라운 일입니다.” 데사이의 설명이다.

IRC 봇넷은 90년대와 2000년대 초반에 엄청나게 유행했다. 그리고 그 수가 급격하게 줄어들어갔다. IRC 봇넷은 대부분 미리 설정된 IRC 서버와 채널을 통해 원격 조정이 가능하도록 감염된 시스템들로 구성되었다. 이런 식의 구성은 효율성이 높긴 하지만 대신 그 감염된 시스템의 사용자 한 사람이 IRC 서버를 없애거나 IRC 통신 채널을 블록하는 등 딱 한 지점에서만 이상이 일어나도 쉽게 작동이 멈추곤 했었다.

그래서 2007년 IRC 봇넷의 수가 전 세계에 수천 개 정도로 줄었을 때 한 봇넷의 수명은 평균 2개월에 불과했다. 망가지기가 정말 쉬웠던 그 구조적 한계 때문이었다. 그리고 바로 이 이유 때문에 해커들이 IRC 봇넷을 버리고 C&C 통신 채널을 찾기 시작했던 것이다. 그런데 이번에 실시한 연구 결과를 보니 IRC 봇넷 역시 진화를 거듭하고 있었다.

그렇다면 IRC는 어떤 추가 기능을 덧입게 되었을까? 여러 가지가 있지만 IRC 봇넷을 운영하는 자들은 최근 여러 개의 서버와 채널을 두고 C&C 용도로 사용하는 법을 익혔다. 그렇기 때문에 예전처럼 한 지점 무너진 걸로 전체 봇넷이 다운되는 일은 없어졌다. IRC가 외면 받은 가장 큰 이유가 사라진 것이다.

또한 호스트와 C&C 서버 간 IRC 통신을 전부 암호화할 수도 있게 되었다. 새 C&C 정보 등이 포함된 새 페이로드는 미리 설정된 URL에서 주기적으로 다운로드가 되기 때문에 최신 안티바이러스 및 멀웨어 감지 툴을 우회하는 것도 가능해졌다.

이게 다가 아니다. IRC 봇넷들은 파일 인젝션, P2P 애플리케이션, 인스턴트 메시지 등 여타 다른 봇넷들에서 사용되는 감염법 및 증식법을 사용할 수도 있게 되었다. 심지어 휴대용 저장소를 통한 감염도 가능해졌다. 또한 공격의 가짓수도 늘어나 이제는 DoS 공격, 로그인 정보 탈취, 기타 민감한 정보 탈취 등의 기능도 가지고 있다. IRC, 이제 다시 염려가 시작될 때다.
@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>