봇넷이란? | 봇넷 공격 탐지 및 방어

봇넷이란?

봇넷은 각각 하나 이상의 봇을 실행하고 있는, 인터넷에 연결된 여러 개의 디바이스(스마트폰이나 IoT 디바이스 등)로 구성됩니다. 봇넷 소유자는 커맨드 앤 컨트롤(C&C) 소프트웨어로 봇넷을 조종하여 대규모 자동화가 필요한 다양한 (악의적인) 활동을 수행합니다. 봇넷 소유자가 수행하는 활동의 예는 다음과 같습니다.

  • 예정에 없는 애플리케이션 다운타임을 유발하는 DDoS(Distributed Denial of Service) 공격
  • 유출된 인증 정보 목록을 검증(인증 정보 스터핑 공격)하여 계정 탈취
  • 웹 애플리케이션 공격을 통한 데이터 유출
  • 공격자에게 디바이스 및 디바이스의 네트워크 연결에 대한 액세스 제공
사이버 범죄자들이 다양한 용도를 위해 봇넷을 대여받는 사례가 점점 늘어나고 있습니다. 이는 인터넷을 이용하는 각종 기업에 상당한 위협으로 작용합니다. 즉, 공격자들은 이제 스스로 봇넷을 만들 필요가 없이 다른 사람이 만든 봇넷을 간편하게 사용할 수 있게 되었습니다.

봇넷은 몇 개의 봇으로 구성되는가?

각 봇넷을 구성하는 봇의 개수는 모두 다르며, 봇넷 소유자가 보안이 취약한 디바이스를 감염시키는 능력에 따라 달라집니다. 다음은 몇 가지 예입니다.

미라이 봇넷

Akamai는 미라이 봇넷이 발견된 2016년 9월 당시 미라이 봇넷 공격을 가장 먼저 당한 표적 중 하나였습니다. Akamai 플랫폼을 대상으로 계속해서 공격이 이루어졌지만, Akamai는 공격을 막아내는 데 성공했습니다. Akamai의 연구 결과를 보면 미라이 역시 다른 봇넷과 마찬가지로 DDoS의 범용화에 기여하고 있다는 사실을 알 수 있습니다. 미라이 봇넷의 C&C 노드 중 다수가 특정 IP를 대상으로 "전용 공격"을 감행하는 것을 관측할 수 있었고, 그보다 많은 수가 "요금 지불식(pay-for-play)" 공격에 가담하고 있었습니다. 이때 미라이 C&C 노드는 잠시 동안 IP를 공격하고 소강상태로 접어든 뒤 다시 부상하여 다른 표적을 공격하는 것이 관측되었습니다. 여기에서 미라이 봇넷에 대해 자세히 알아보십시오.

피봇 멀웨어

Akamai는 2017년 2분기 들어 관측된 가장 강력한 DDoS 공격의 기반으로서 새롭게 부상한 피봇(PBot) 디도스 멀웨어가 이러한 현상에 크게 기여했다고 분석합니다. 피봇은 공격자들이 이십여 년 전에 발표된 PHP 코드를 사용하여 대규모 DDoS 공격을 발생시키는 데 사용하는 공격 기법입니다. 공격자들은 소규모 DDoS 봇넷을 생성하여 75Gbps 규모의 DDoS 공격을 성공적으로 일으켰습니다. 흥미로운 점은 이러한 피봇 봇넷이 상대적으로 적은 400개의 노드로 구성되어 있으면서도 상당한 양의 공격 트래픽을 생성할 수 있었다는 것입니다. 여기에서 피봇 멀웨어에 대해 자세히 알아보십시오.

봇넷으로부터 보호하기

봇넷은 봇넷 소유자의 C&C 하에 있는 인터넷에 연결된 디바이스 집합이라는 사실을 이해하는 것이 중요합니다. 따라서 봇넷은 다양한 공격을 실시하는 데 사용될 수 있으며, 이러한 공격마다 서로 다른 종류의 보호가 필요할 수 있습니다. Akamai는 봇넷을 탐지하고 그로부터 기업을 보호하는 몇 가지 클라우드 보안 솔루션을 제공합니다. 봇넷 소유자가 수행하는 활동의 예는 다음과 같습니다.