IoT / 보안

“봇넷 없는 세상은 불가능한가” 봇넷의 정의와 단시일 내의 근절이 어려운 이유

Maria Korolov | CSO 2017.12.11


봇넷 지압 작전 성공 사례
봇넷을 추적하여 차단시키고 그 제작자를 체포하는 데 성공한 사례도 없지는 않다. 일례로 지난 봄 관계 당국은 웨일댁 봇넷 및 캘리호스 스팸 봇넷을 만든 해커 피터 세베라 레바쇼프를 검거했다. 마이어스는 “그는 스페인에서 휴가를 보내던 중 체포됐다. 미 법무부와 FBI 그리고 스페인 경찰 당국의 협조가 있었기에 가능한 일이었다. 이 과정은 실제로 긴밀한 국제적 공조를 필요로 했다. 뿐만 아니라 봇넷을 와해시키기 위해서는 고도의 기술적 전문성이 요구됐다. FBI를 보조하기 위해 우리는 관련 기술 전문가를 알래스카로 보내야 했다”고 말했다.

봇넷은 그 생성 방식에 따라 와해시키기 쉬울 수도, 어려울 수도 있다. 전문가들은 봇넷의 암호학적 혹은 기타 다른 취약점을 찾아내 이를 와해시킨다. 하지만 해당 봇넷의 제작자를 잡지 못하는 이상 결국 이들이 이러한 취약점을 다시 보완할 것이고 봇넷은 분명 되살아 나게 된다.

마이어스는 “켈리호스 봇넷의 경우 무려 다섯 번 가량을 와해시켰다. 그렇지만 봇넷 제작자가 체포되지 않았기 때문에 짧게는 수 시간 이내로 자유롭게 보완하여 부활하곤 했다. 몇 번의 시도 끝에 우리는 봇넷 제작자를 잡지 않는 이상 이런 노력은 밑 빠진 독에 물 붓기와 다름 없음을 알게 됐다”고 설명했다.

또 다른 희소식은 법률 진행 당국이 ESET, 마이크로소프트와 협력해 지난 주에만 464개의 봇넷을 찾아내 처리했다는 것이다. 이들은 총 80여 군의 악성코드를 보유하고 있었으며, 1,214개의 C&C 도메인과 관련되어 있었다.

ESET에 따르면, 이 해킹 그룹은 2011년 결성되어 다크 웹을 통해 안드로메다(Andromeda0, 가마루이(Gamarue) 혹은 워초스(Wauchos) 등으로 알려진 레디투고(ready-to-go) 봇넷 키트를 판매해 온 것으로 알려져 있다. 이들 봇넷은 한달에 110만 개 이상의 시스템을 감염시켰다.

ESET의 악성코드 연구원 진이안 부틴은 “규제 당국에서는 2015년 이 봇넷을 향한 반격을 시작했다. 이런 작전에는 시간이 오래 걸린다. 이 기간 동안 보안 팀들은 수천 개의 안드로메다 샘플을 분석했다”라면서, “샘플링 분석 결과 우리는 이 작전이 모든 안드로메다 봇넷 와해로 이어졌다고 믿게 됐다”고 말했다. 하지만 봇넷 키트가 거래되는 시장이 다크 웹 등 언더그라운드 포럼인 만큼 누군가가 또 다시 새로운 안드로메다 봇넷을 만들어 낼 가능성도 배제할 수 없다고 덧붙였다.

리코디드 퓨처(Recorded Future)의 다른 연구팀도 봇넷이 완전히 사라졌는가에 대해서는 회의적이다. 이 회사의 보안 분석가인 알렉스 솔라드는 “안드로메다 배포에는 여러 독립적 집단들이 개임되어 있다. 앞으로도 한동안은 봇넷 활동이 계속될 것이라 생각한다. 물론, 지속적인 지원이 없는 상황에서 더 넓게 확산되지는 못할 것이다”라고 말했다.

솔라드는 벨라구스가 여전히 러시아와 탄탄한 관계를 유지하면서도 국제 범죄 수사에 적극적으로 참여 중이라고 말했다. 벨라루스는 또한, 구 소비에트 연방 국가들 중 컴퓨터 범죄에 가장 무거운 형벌을 선고하고 있다.

리코디드 퓨처는 봇넷 공격을 주도한 자의 신원도 알아냈다. 야렛 세르게이 그리고르비치 또는 Ar3s로도 알려진 이 남성은 안드로메다 봇넷의 제작자이면서 데미지랩(DamageLab) 포럼의 관리자로도 오랫동안 활동했다. ESET의 부틴은 체포 당한 장본인이 그리고르비치였는가를 확인할 수 없으며, 경찰 당국 역시 피 체포자의 신원을 공개하지 않았다고 전했다.

봇넷, 영구적인 솔루션이 나오려면 아직 멀었다
문제는 아직까지 봇넷 제작자들 중 실제 체포된 사례가 소수에 그친다는 것이다. 마이어스는 “러시아 해커인 예브게니 보가체프는 2014년 6월 발생한 게임오버 제우스(Gameover Zeus) 공격의 범인으로 지목 당한 바 있으나, 아직도 러시아 어딘가에 있을 것이라 추측만 할 뿐 검거되지 않았다. 사실 봇넷 제작자들은 체포 당할 걱정을 크게 하지 않아도 된다. 예를 들어, 러시아에서 봇넷 공격을 감행할 경우, 러시아 시스템만 타깃으로 삼지 않으면 피해국이 그를 상대로 법 집행을 할 방법이 없기 때문이다”라고 설명했다.

결국 봇넷 문제를 영구적으로 해결하기 위해서는 기술적인 문제 외에도 사이버 범죄 퇴치를 위한 국제적 공조가 필수다. 그러나 이러한 수준의 협력은 적어도 가까운 시일 내에 현실화 되기엔 어려워 보인다. 아이오액티브(IOActive)의 자문 서비스 책임자인 대니얼 마이슬러는 “봇넷은 우리 사회 내부에 존재하는 취약성 및 범죄의 동기로 인해 이제 막 새롭게 등장하느 사회 악이다. 우리가 이러한 사회적 이슈들을 해결하지 않는 이상 봇넷이나 기타 유사한 취약점을 노린 범죄들은 언제고 새롭게 등장할 수 있다”고 말한다.

국제 규모의 사이버범죄 수사 공조 시스템 외에도 전자 기기 제조사들에 대한 통실된 규제가 가능해야 한다. 최소한 사물 인터넷 기기 제작에 있어서 만큼은 최소한의 보안 조치라도 취하도록 해야 한다. AI 사이버 보안 스타트업인 재스크(Jask)의 보안 연구 책임자 로드 소토는 “기업에 대한 이러한 규제 역시 국경을 넘어 전 세계적으로 통일되어야 한다. 현재는 이러한 기기 제조에 대한 규제가 느슨한 국가들에서 제작된 저렴한 사물 인터넷 기기들이 다른 국가의 시장에서 자유롭게 거래되고 있다”고 말한다.

그러나 전 세계 모든 국가와 관련 산업계가 협력해서 이러한 규제를 일사 분란하게 이행하는 일은 현실적으로 불가능해 보인다. 인캡슐라(Incapsula)의 상품 책임자 이갤 지프만은 “현실적으로 볼 때, 산업채 규제와 법률을 통해 봇넷을 진압하려는 시도는 앞으로 지역적, 혹은 국가적 단위로만 가능할 것”이라고 말했다.

즉, 개별 국가 차원에서 그 국가 내에서는 봇넷의 성장 및 확산 속도를 늦출 수 있다고 해도, 다른 국가에서 일어나는 일까지 규제하는 데에는 한계가 있다는 것이다.

지프만은 “인터넷에는 국경이 없다. 이는 앞으로도 한동안은 전 세계 온라인 커뮤니티와 디지털 기업들이 봇넷 공격의 위협에서 완전히 안전할 수 없음을 뜻한다”고 말했다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.