봇넷은 사이버 범죄자가 제어하는 감염된 장치들의 네트워크입니다. 본 가이드는 봇넷의 작동 방식, 사이버 공격에서의 활용 방법, 그리고 보안에 미치는 위협을 살펴봅니다.
봇넷 생성 및 관리 방법과 탐지·방지 전략을 알아보세요. 봇넷에 대한 이해는 조직이 네트워크를 보호하고 위험을 완화하는 데 필수적입니다.
사이버 보안에서 봇넷이란 무엇인가?
봇넷은 공통된 유형의 악성코드에 감염된 장치를 탈취하여 악의적인 행위자들이 대규모 사기 및 사이버 공격을 자동화하는 데 사용하는 네트워크입니다. 봇넷에 속한 개별 장치는 "봇" 또는 "좀비"로 불리며, 각 봇넷을 운영하는 악의적인 행위자는 "봇 허더"라고 합니다.
감염된 장치, 즉 봇에는 개인용 컴퓨터, 서버, 모바일 장치 및 사물인터넷(IoT) 장치가 포함될 수 있습니다. 오늘날 대부분의 봇넷은 단일 봇 허더가 수백만 개의 봇을 제어하여 하나의 중앙 지점에서 대규모 공격을 수행할 수 있게 합니다.
개별 위협 행위자 또는 소규모 해커 팀은 봇넷을 활용해 기존보다 훨씬 대규모의 공격을 실행할 수 있습니다. 적은 비용과 시간 투자로 봇넷은 널리 접근 가능할 뿐만 아니라 기존 공격 방식보다 효율적입니다. 악의적 행위자는 봇넷에 속한 모든 컴퓨터에 동일한 명령을 동시에 실행하도록 지시함으로써, 대상 네트워크를 마비시키거나 악성코드를 주입하거나 인증 정보를 탈취하거나 CPU 집약적 작업을 수행하도록 설계된 공격을 성공적으로 발동할 수 있습니다.
봇넷은 원격 공격자에 의해 제어되기 때문에, 소유자는 자신의 기기가 봇넷의 일부라는 사실을 대개 인지하지 못합니다. 대부분의 경우 봇넷은 악성 행위자들이 악성 소프트웨어(악성코드)를 가능한 한 많은 인터넷 연결 장치에 퍼뜨리는 악의적인 행위자들에 의해 형성됩니다. 웜처럼 전파 가능한 특성과 결합될 경우, 일부 봇넷은 동일한 네트워크상의 다른 기계까지 감염시킬 수 있어 자율적인 확장 능력과 위협 행위자들에게 무한한 기회를 제공합니다.
때로는 봇넷이 구축된 후, 봇넷 운영자는 다크 웹이나 암시장에서 다른 악의적 행위자들에게 봇넷 통제 능력을 판매하거나 임대하기도 합니다. 어느 쪽이든, 봇넷은 일반적으로 DDoS 공격, 대량 이메일 스팸 공격, 표적 침입 또는 금융 침해 형태로 인터넷 전반에 걸쳐 조정된 공격을 수행하는 데 사용됩니다.
봇넷의 작동 방식
봇넷 악성코드는 특정 개인이나 기업을 표적으로 삼기보다는 가능한 한 많은 기기를 감염시키도록 설계됩니다. 봇넷에 연결된 기기가 많을수록 자동화된 작업을 실행하는 데 필요한 컴퓨팅 파워와 기능이 더 커집니다. 의심을 피하기 위해 봇넷은 일반적으로 감염된 장치 자원의 일부만 사용하고 백그라운드에서 실행됩니다.
봇 허더는 파일 공유, 이메일, 소셜 미디어 애플리케이션 프로토콜을 통해 악성 파일을 전송하거나 다른 봇을 중개자로 활용하여 봇넷을 생성할 수 있습니다. 악성 파일이 실행되면 악성 코드가 기기를 감염시켜 컴퓨터가 봇 허더에게 보고하도록 지시합니다. 이에 따라 봇 허더는 감염된 기기에 명령을 내릴 수 있으며, 표적 시스템이 마련한 대응 조치에 대응하여 봇의 전체 기능을 변경하도록 업데이트할 수도 있습니다.
장치는 펌웨어, 웹사이트 및 애플리케이션의 취약점을 통해서도 감염될 수 있습니다. 일부 봇넷은 특정 소프트웨어 버그에 취약한 네트워크 내 모든 장치를 감염시키기 위해 웜형 코드를 사용합니다. 구형 펌웨어를 패치하지 않은 채 운영하는 기업용 IoT 기기는 특히 이러한 감염 경로에 취약합니다.
봇 허더가 충분한 수의 봇을 성공적으로 감염시키면 다음 단계는 동원입니다. 봇 허더는 감염된 기기에 명령이나 업데이트를 전송하고, 봇들은 해당 지시를 실행합니다.
봇넷의 유형
일반적으로 봇허더가 봇넷을 제어하기 위해 사용하는 구조는 두 가지 유형이 있습니다. 첫 번째는 봇허더와 봇넷 내 각 장치 간 직접 통신이 이루어지는 중앙 집중식 모델입니다. 두 번째는 봇넷 장치 간 다중 연결을 가진 분산형 시스템입니다.
중앙 집중식 클라이언트-서버 모델
1세대 봇넷은 일반적으로 클라이언트-서버 모델로 운영됩니다. 즉, 하나의 명령 및 제어(C&C) 서버가 전체 봇넷을 운영합니다. 그러나 중앙 집중식 모델은 구조가 단순하기 때문에 단일 장애 지점에 더 취약합니다.
가장 흔히, C&C 통신 채널은 인터넷 릴레이 채팅(IRC) 또는 HTTP 봇넷 형태를 취합니다.
- 인터넷 릴레이 채팅(IRC) 봇넷: 초기 봇넷 중 일부는 미리 구성된 IRC 서버와 채널을 사용하여 봇을 원격으로 제어합니다. 이러한 유형의 공격은 일반적으로 낮은 대역폭을 필요로 하며, 신원을 숨기고 탐지를 피하기 위해 간단한 통신 방법을 사용합니다.
- HTTP 봇넷: 웹 기반 봇넷은 봇 허더가 HTTP 프로토콜을 사용하여 봇에 명령을 전송하고 활동을 정상적인 웹 트래픽으로 위장할 수 있게 합니다. 이 유형의 공격에서 봇은 새로운 업데이트와 명령을 수신하기 위해 주기적으로 서버를 방문합니다.
분산형, 피어 투 피어(P2P) 모델
신세대 봇넷은 주로 피어 투 피어(P2P) 모델을 사용하며, 이는 봇들이 C&C 서버와의 직접적인 접촉 없이도 서로 명령과 정보를 공유할 수 있게 합니다. IRC 또는 HTTP 봇넷에 비해 구현이 더 어렵지만, P2P 봇넷은 단일 중앙 집중식 서버에 의존하지 않기 때문에 더 탄력적입니다.
P2P 모델에서는 각 봇이 클라이언트와 서버의 역할을 모두 수행하여 장치 간에 정보를 공유하고 업데이트합니다.
봇넷 공격의 유형
봇넷은 봇 허더들이 여러 유형의 봇넷 공격을 실행하는 데 사용됩니다. 일부 공격은 다른 공격보다 더 흔하거나 정교하지만, 모든 유형의 봇넷 공격은 사이버 보안에 심각한 위협을 가합니다.
피싱 공격
다른 유형의 사회공학적 공격과 달리 피싱은 순수한 양에 초점을 맞춥니다. 공격자는 일반적으로 가능한 한 많은 수신자에게 피싱 이메일을 발송하여 단 한 명이라도 사기에 속아 넘어가기를 기대합니다. 피싱 공격은 초기 노력이나 투자가 거의 필요하지 않으면서도 공격자에게 막대한 수익을 가져다줄 수 있습니다.
봇넷의 힘을 등에 업은 피싱 공격은 끝없이 이어지는 이메일 수신함까지 도달할 수 있습니다. 또한 봇넷은 광범위하게 퍼져 있고 자동화되어 있기 때문에 피싱 캠페인을 차단하는 것은 매우 어렵습니다.
분산 서비스 거부(DDoS) 공격
분산 서비스 거부(DDoS) (DDoS) 공격은 봇넷이 실행하는 가장 흔한 공격 유형 중 하나입니다. DDoS 공격에서 봇넷은 표적 서버나 애플리케이션에 압도적인 수의 요청을 보내서 이를 다운시킵니다. 수천 또는 수백만 대의 기기가 동시에 단일 서버에 연결을 시도하면, 서버는 들어오는 패킷 요청을 처리할 수 없게 되어 오프라인 상태가 되어 진정한 고객이 이용할 수 없게 됩니다.
봇넷이 실행한 DDoS 공격의 대표적인 사례가 여러 건 있습니다. 가장 성공적인 사례 중 하나는 미라이(Mirai) 악성코드로, 제작자 "Anna Senpai"는 악성 소프트웨어의 소스 코드를 해커 포럼(Hackforums) 웹사이트에 공개해 악명을 떨쳤습니다.
공개된 코드는 보안 카메라, 프린터, 라우터 등 Linux IoT 기기 보안 카메라, 프린터, 라우터 및 기타 인터넷 연결 기기를 감염시키기 위해 설계된 복제 봇넷을 생성하는 데 사용되었습니다. 또한 이 악성코드는 독립 보안 블로거 브라이언 크렙스가 공개한 Github에 대한 이전 DDoS 공격 및 DNS 공급업체 Dyn의 배후에 있는 두 명의 개인을 폭로한 후에도 이 악성코드는 사용되었습니다.
봇넷 기반 DDoS 공격은 의도된 표적 외에도 사용자에게 심각한 문제를 야기합니다. 대부분의 웹사이트는 외부 인터넷 서비스 제공업체(ISP)나 Akamai, 클라우드플레어, 패스트리 등과 같은 외부 인터넷 서비스 제공업체(ISP)나 콘텐츠 전송 네트워크(CDN)에 의해 호스팅되기 때문에, DDoS 공격은 한 번에 여러 고객에게 영향을 미칠 수 있습니다.
브라이언 크렙스(Brian Krebs)에 대한 공격의 경우, 아카마이는 다른 고객들을 서비스 거부로부터 보호하기 위해 그의 웹사이트를 중단할 수밖에 없었습니다.
금융 정보 유출봇넷은 기업 자금과 신용카드 정보를 직접 탈취하는 데에도 사용될 수 있습니다. 봇넷은 키로깅이나 스크린샷 캡처 등 다양한 방법으로 금융 정보를 수집한 후, 수집된 정보를 봇넷 운영자의 원격 서버로 전송합니다. 경우에 따라 금융 정보는 상당한 대가를 받고 암시장에서 거래되기도 합니다.
가장 악명 높은 금융 침해 봇넷 중 하나인 GameOver Zeus 악성코드 은 피싱 이메일을 통해 단기간에 여러 기업으로부터 수백만 달러를 직접 탈취한 주범이었습니다.
백도어 봇넷
백도어 봇넷은 감염된 장치를 통해 다른 장치를 감염시켜 봇넷에 추가함으로써 봇 허더가 제어할 수 있도록 합니다. 다른 유형의 봇넷 공격과 마찬가지로, 백도어 봇넷은 일반적으로 사용자가 모르는 사이에 악성코드를 설치하는 것으로 시작됩니다.
그러나 다른 봇넷 악성코드와 달리 백도어 봇넷은 탐지하기 어려운 "뒷문"을 통해 시스템에 침투합니다. 봇넷은 사용자의 개입 없이도 자동으로 보안 조치를 우회할 수 있으므로 반드시 사용자의 허가를 필요로 하지 않습니다.
표적 침입
표적 침입은 일반적으로 조직의 특정 고가치 시스템이나 네트워크를 침해하기 위해 설계된 소규모 봇넷에 의해 실행됩니다. 일단 내부로 침투하면 공격자는 기업 시스템 깊숙이까지 침투하여 가장 가치 있는 자산에 접근할 수 있습니다.&
이러한 유형의 공격은 조직의 시스템 및 네트워크에 접근하기 위한 전반적인 캠페인이나 시간에 따른 일련의 시도 중 하나로 수행될 수 있습니다. 표적 침입 배후의 봇 운영자들은 일반적으로 장기간에 걸친 캠페인을 수행하고, 공격 대상의 방어 체계에 대응하기 위해 공격 방법을 적응·조정·개선할 수 있는 추가적인 전문성과 자원을 보유하고 있습니다.&
원격 데스크톱 프로토콜(RDP) 공격
원격 데스크톱 프로토콜(RDP) 서버는 장치가 직접 접촉 없이 다른 장치나 네트워크에 연결할 수 있도록 합니다. 봇넷이 RDP 서버를 공격하면 조직 전체로 쉽게 확산되어 네트워크에 연결된 모든 장치나 다른 장치를 감염시킬 수 있습니다.
원격 근무로의 전환과 함께 RDP 봇넷 공격은 점점 더 보편화되었으며, 주로 자격 증명 스터핑, 무차별 대입 공격, 악성 코드를 통해 실행됩니다.
크리덴셜 스터핑
크리덴셜 스터핑 공격은 데이터베이스나 도난당한 크리덴셜(예: 비밀번호 및 사용자 이름) 목록을 여러 계정에 대해 테스트하여 일치하는 항목을 찾는 방식으로 설계되었습니다. "목록 정리" 또는 "침해 재현"으로도 알려진 이 공격은 봇넷에 의해 자동화되어 매일 수천만 개의 계정을 테스트할 수 있습니다.
보안 수준이 낮은 웹사이트는 종종 자격 증명 스터핑 공격의 표적이 되며, 이는 일반적으로 강력하고 고유한 비밀번호 사용으로 방지할 수 있습니다.
봇넷을 예방, 탐지 및 차단하는 방법
봇넷은 현재 존재하는 가장 정교한 악성코드 유형 중 하나로, 정부, 기업 및 개인 모두에게 막대한 사이버 보안 위협을 가합니다. 인터넷에는 수많은 봇넷이 존재하며, 이들 중 상당수는 새로운 취약점과 보안 결함에 대응하여 지속적으로 변이하고 있어 각 봇넷은 다른 모든 봇넷과 상당히 다를 가능성이 높습니다.
어렵긴 하지만, 봇넷 공격이 돌이킬 수 없는 피해를 입히기 전에 이를 탐지하고 방지할 수 있는 몇 가지 방법이 있습니다.
1. 예방
봇넷 악성코드가 기기를 감염시키는 것을 막는 것이 봇넷 공격으로부터 기기를 보호하는 가장 확실한 방법입니다. 조직과 개인은 다음과 같은 조치를 취할 수 있습니다:
- 소프트웨어를 최신 상태로 유지하세요
- 네트워크상의 비정상적인 활동을 주의 깊게 관찰하세요
- 로그인 실패 시도를 추적하세요
- 의심스러운 링크를 클릭하지 마세요
- 알려지지 않은 발신자의 이메일이나 알려진 발신자로부터 온 의심스러운 이메일은 열지 마세요&
- 안전한 비밀번호 생성(필요 시 새 비밀번호 생성)
- 고급 사이버 보안 소프트웨어 사용
2. 탐지
봇넷 악성코드가 컴퓨터 시스템에 침투한 경우, 이를 최대한 빨리 탐지하는 것이 중요합니다. 사용자는 다음 사항을 확인할 수 있습니다:
- 웹 서버 CPU 부하가 비정상적으로 높은 경우
- 과도한 메모리 사용량
- 비정상적인 트래픽 패턴
- 과도한 네트워크 트래픽으로 인한 네트워크 차단
방화벽 제어는 네트워크 전반의 봇넷 통신 탐지에도 유용할 수 있습니다. 그러나 봇넷 감염에 대한 가장 효과적인 억제책은 악성코드 페이로드가 장치에서 실행되는 것을 방지할 수 있는 강력한 행동 기반 AI 보안 솔루션입니다.
3. 대응 조치
불행히도, 일단 봇넷이 침투하여 혼란을 일으키기 시작하면 대처하기가 훨씬 더 어렵습니다. 이 시점에서 사용자는 네트워크를 중단하고, 모든 비밀번호를 변경하며, 심지어 컴퓨터 시스템을 복구해야 할 가능성이 높습니다.
좋은 소식은 복구를 훨씬 더 관리하기 쉽게 만드는 소프트웨어 솔루션이 존재한다는 점입니다. EDR 보호 기능을 엔드포인트에 EDR 보호 기능을 적용하고 조직 네트워크 내 모든 장치에 대한 완전한 가시성을 확보하는 것이 봇넷 공격을 예방하고 탐지하는 최선의 방법입니다. 이를 통해 공격이 시작되기 전에 차단할 수 있습니다.
FAQs
봇넷 자체는 단순히 컴퓨터 네트워크입니다. 봇넷 운영자가 장치 소유자의 명시적 동의를 받아 제어하는 한 불법적인 요소는 없습니다. 예를 들어 연구자들은 연구 목적으로 자체 '봇넷 실험실'을 구축할 수 있습니다.
그러나 봇넷이 주로 수행하는 활동은 대개 불법입니다. 타인의 컴퓨터에 악성코드를 설치하는 행위는 형사 범죄로 간주됩니다. 장치를 다른 불법 활동에 동원하는 행위 역시 불법이므로, 법 집행 기관에 적발될 경우 봇넷 운영자는 여러 혐의로 기소될 수 있습니다.
봇넷은 일반적으로 이메일로 전송된 링크를 통해 열려진 악성코드를 통해 다운로드됩니다. 대부분의 봇넷 운영자는 발각되지 않고 익명성을 유지하기를 원하기 때문에 피싱 이메일이 실패할 경우 다른 감염 방법을 사용할 수 있습니다.
"봇넷을 차단하는 것은 어려울 수 있습니다. 해커와 봇넷 운영자는 기존 보안 솔루션을 우회할 새로운 방법을 끊임없이 모색하며, 최종 사용자는 인간이기 때문에 실수를 저지를 가능성이 있습니다.
봇넷을 차단하는 가장 좋은 방법은 처음부터 기기가 감염되는 것을 방지하는 것입니다. 이는 가장 진보된 사이버 보안 솔루션만이 제공하는 기능입니다.
"