봇넷이란?
봇넷("로봇 네트워크"의 줄임말)이란 한 공격자가 제어하는 멀웨어에 감염된 컴퓨터 네트워크를 말합니다. 이 공격자는 "봇 허더(bot-herder)"라고 합니다. 봇 허더의 통제권 범위에 속하는 각각의 컴퓨터를 봇이라고 합니다. 공격자는 한 개의 중심 지점에서 봇넷에 포함된 모든 컴퓨터를 지휘해 잘 조율된 범죄 행위를 동시에 수행하게 할 수 있습니다. 봇넷은 규모(대다수가 봇 수백만 대로 구성됨)가 크기 때문에 공격자가 이전에 멀웨어를 가지고는 할 수 없었던 대규모 작업을 수행할 수 있습니다. 봇넷은 원격 공격자 한 사람이 통제하기 때문에, 감염된 컴퓨터가 즉각적으로 업데이트를 수신해 동작을 변경할 수 있습니다. 따라서 봇 허더는 자기 봇넷의 몇몇 구간에 대한 액세스 권한을 암시장에 내놓고 임대하여 상당한 금전적 이득을 취하기도 합니다.
보편적인 봇넷 작업의 예를 들면 다음과 같습니다.
- 이메일 스팸 – 요즘은 이메일이 구식 공격 벡터로 여겨지지만, 스팸 봇넷은 규모가 최상위급으로 큽니다. 주로 각 봇에서 엄청난 수로 스팸 메시지(멀웨어를 포함할 때도 많음)를 보내는 데 쓰입니다. 예를 들어 Cutwail 봇넷은 하루에 최대 740억 개의 메시지를 보낼 수 있습니다. 또한 봇넷에 더 많은 컴퓨터를 모집하기 위해 봇을 퍼뜨리는 데도 쓰입니다.
- DDoS 공격 – 봇넷의 엄청난 규모를 활용해 표적 네트워크나 서버에 요청을 퍼부어 과부하를 유발해 원래 사용자가 액세스할 수 없게 만듭니다. DDoS 공격은 사적인 동기나 정치적 동기를 가지고 기업을 노리기도 하고, 공격을 멈추는 대가로 금전을 갈취하는 것을 목표로 삼기도 합니다.
- 금융 침해 – 기업에서 직접 자금을 훔치기도 하고 신용카드 정보를 빼내기도 하는 등 구체적인 목표를 염두에 두고 특수 설계한 봇넷이 포함됩니다. ZeuS 봇넷과 같은 금융 봇넷은 매우 짧은 기간 안에 여러 기업에서 수백만 달러를 훔쳐 내는 공격을 수행하기도 했습니다.
- 표적화 침해 – 특정 고부가가치 시스템을 침해하려고 특수 설계한, 다소 규모가 작은 봇넷입니다. 공격자가 봇넷을 통해 네트워크에 침입해 깊이 침투할 수 있습니다. 이러한 침해는 공격자가 대상 기업의 가장 귀중한 자산을 노리기 때문에 기업에 치명적입니다. 이러한 자산으로는 재무 데이터, 연구 개발, 지식 재산, 고객 정보 등이 대표적입니다.
봇넷은 봇 허더가 자신의 C2(Command and Control) 서버로부터 무방비한 수신자에게 봇을 보내서 만듭니다. 이 과정에서 파일 공유, 이메일, 소셜 미디어 애플리케이션 프로토콜이나 여타 봇을 중개자로 이용합니다. 수신자가 자기 컴퓨터에서 악성 파일을 열면 봇이 C2에 보고하고, 그러면 봇 허더가 감염된 컴퓨터에 명령을 전달할 수 있습니다. 아래에 이러한 관계를 다이어그램으로 나타내 보았습니다.
봇과 봇넷에는 고유한 기능적 특성이 많아 장기적인 침입에 적합합니다. 봇 허더는 봇을 업데이트해 원하는 작업을 바탕으로 기능 전체를 완전히 바꿀 수도 있고, 표적 시스템의 변동이나 보호 조치에 따라 적응할 수도 있습니다. 또한 봇은 소속 봇넷의 다른 감염된 컴퓨터를 통신 채널로 활용할 수도 있습니다. 따라서 봇 허더에게 거의 무한대에 가까운 통신 경로를 제공하여 선택지가 바뀌는 대로 적응하고 업데이트를 제공해 줍니다. 이것을 보면 알 수 있듯이 감염이 가장 중요한 단계입니다. 기능과 통신 방식은 나중에 필요에 따라 얼마든지 변경할 수 있기 때문입니다.
봇넷은 최신 멀웨어 중에서도 가장 정교한 유형으로, 정부 기관, 기업과 개인 모두에게 막중한 사이버 보안 우려를 유발하는 존재입니다. 초기 멀웨어는 단순히 스스로 감염되고 자기 복제하는 독립된 에이전트 한 무리에 불과했다면, 봇넷은 중앙에서 조율하며 네트워크로 연결된 애플리케이션으로 네트워크를 활용해 힘을 얻고 회복력을 확보합니다. 감염된 컴퓨터가 원격 봇 허더의 통제권 아래 들어가므로, 봇넷의 효과는 단순히 악성 실행 가능한 프로그램 하나가 침투한 것이 아닌 네트워크 내부에 악성 해커가 하나 들어온 것에 가깝습니다.