봇넷
봇넷(botnet)이란 로봇(Robot)과 네트워크(Network)를 합성한 단어로서, 악성 소프트웨어인 봇(bot)에 다수의 컴퓨터들이 네트워크로 연결되어 있는 형태를 말한다.
목차
개요[편집]
악성 소프트웨어인 봇에 감염된 다수의 컴퓨터들이 네트워크로 연결되어 있는 형태를 봇넷이라 하며, 이것을 자유자재로 통제하는 권한을 가진 봇마스터에 의해 원격 조종된다. 봇넷은 1993년 에그드롭(EggDrop)으로 처음 나온 이후 Forbot, PBot, Storm Bot 등 진화한 봇들이 출현했으며, 주로 DDoS 공격이나 개인정보 수집, 스팸메일 전송, 피싱과 같은 사이버 공격 행위에 이용되고 있다. [1]
역사[편집]
- 1988년 : 로버트 모리스 주니어가 최초로 웜 개발에 성공했다. 웜은 자가복제 가능하며, 감염된 PC와 연결된 네트워크를 통해 전파된다.
- 1999년 : IRC 통신을 통해 감염된 PC로 명령 받는 최초의 악성코드인 Sub7과 Preetty Park이 개발됐다.
- 2004년 : 팻봇(Phatbot, Agobot)은 Agobot의 변종으로써, IRC 대신 P2P를 사용한 최초의 봇넷이다.
- 2006년 : 제우스(Zeus, Zbot)악성코드가 처음 출현했다. 공격자들은 이를 악용해 금융정보를 탈취하고, 감염된 PC들을 좀비 PC로 만들었다.
- 2008년 : 그럼 봇넷(Grum)은 매일 399억통의 스팸메일을 발송했으며, 같은 해 스톰 봇넷(Storm)이 출현했다.
- 2010년 : Zeus의 코드가 악성코드로 포함되어 범죄 조직원들에게 판매되었으며, Waledac 봇넷은 MS의 적극적인 대응으로 사라졌다.
- 2011년 : 게임오버 제우스 봇넷이 P2P 프로토콜과 C&C 서버를 사용하여 통신하기 시작했다. 또한, 2011년 3월 Tustock 봇넷이 소멸한 후, 스팸메일의 수량이 30% 감소했다.
- 2012년 : 러시아, 우크라이나, 파나마 및 네덜란드의 공조 결과로 그럼(Grum) 봇넷이 사라졌다.
- 2013년 : 최초 안드로이드 봇넷인 MisoSMS가 발견되었다. 또한, FBI와 민간 기업의 협력으로 많은 Citadel 봇넷이 사라졌다.
- 2014년 : 미국의 사법부와 다양한 국가의 사법기관이 게임오버 제우스 봇넷에 대응하기 위해 공조한 사실이 밝혀졌다.
- 2016년 : 최초로 사물인터넷을 이용한 봇넷이 등장했다. [2]
프로토콜[편집]
봇마스터는 봇넷 디바이스들에게 명령을 내리기 위해 C&C 서버를 운영하고 있으며, 제3자에게 들키지 않도록 특정 프로토콜을 사용한다. C&C서버와 통신하는 봇넷 프로토콜은 4가지 방식이 있다. [3]
IRC[편집]
IRC 기반 봇넷은 다른 방식에 비해 보안성은 상대적으로 떨어지지만, 가장 보편적으로 사용되고 있는 방식이다. IRC를 통해 비밀 채널을 생성하여 사용한다. 디도스 공격용 봇넷인 경우, IRC 채널 방식을 선호한다.
HTTP[편집]
HTTP 기반 봇넷은 정상적인 HTTP 웹 트래픽 속에 섞여 발각되지 않도록 하는 방식이다. HTTP 통신인 경우, 도메인 생성 알고리즘(DGA; Domain Generation Algorithm)을 사용하여, 도메인 주소로 C&C 서버가 노출되는 것을 방지한다. 또한, IP 주소가 노출되지 않도록 도메인 주소에 다수의 IP 주소를 시간 간격을 두고 매핑시켜 놓는 패스트 플럭스 DNS(Fast flux DNS 기법)를 사용한다.
P2P[편집]
P2P 기반 봇넷은 각 노드가 C&C 서버 기능을 수행한다. 각 노드는 연결되는 상대 피어들에 대한 IP주소를 가지고 있어야 한다. 새로 감염되는 디바이스가 연결해야 하는 IP주소를 얻기 위해서는 악성코드 실행 시, 특정 서버에 접속하여 IP주소를 가져와야 한다.
Tor[편집]
토르(Tor) 네트워크에서 제공하는 서비스를 이용하여 C&C 서버를 운영한다. C&C 서버의 IP 주소가 노출되지 않도록 하기 위함이며, 제우스 트로잔 봇넷(Zeus Trojan Botnet)이 토르 방식을 사용한다. [4]
구성[편집]
봇넷은 악성코드에 감염된 디바이스와 인터넷을 통해 상호 연결된 네트워크로 구성되어 있다. 일반적으로 범죄행위에 사용되며 최대 백만대의 좀비 디바이스를 포함할 수 있으며, 매일 최대 600억개의 스팸메일을 발송할 수 있다.
- 봇넷 컨트롤러
봇넷을 컨트롤하는 공격자는 원격에서 C&C서버 혹은 특정한 좀비 디바이스에 명령을 전달한다.
- C&C 서버
공격자의 명령과 컨트롤을 맡는 서버다. 좀비 디바이스에 명령을 전달하고, 좀비 디바이스로부터 정보를 수신하는 역할을 한다.
- P2P 봇넷
P2P 봇넷은 분산식 좀비 디바이스 네트워크를 사용하며 주로 봇넷을 보호하고 네트워크가 끊기는 것을 방지하기 위해 사용한다. P2P 네트워크는 C&C 서버를 포함할 수도, 그렇지 않을 수도 있으며, 특정하거나 랜덤하게 설계할 수 있다.
- 좀비 디바이스
좀비 디바이스는 봇넷 중 인터넷을 통해 연결되어 있는 각각의 디바이스를 말한다. 주로 PC에 해당되었으나, 최근에는 스마트폰, 태블릿, IoT 등으로 확대되고 있다.
사물인터넷(IoT) 보안[편집]
인터넷에 연결된 사물이 실시간으로 상호 소통하는 IoT 기술은 기업 성장을 견인하고 개인의 삶의 질을 향상시키는 핵심 미래 동력이 될 것으로 기대를 모으고 있다. 전 세계적으로 IoT 기술 도입이 급격히 증가함에 따라, 자율주행자동차를 비롯한 다양한 IoT 기기와 네트워크, 플랫폼을 노린 보안 위협은 날로 높아지고 있는 추세다. 리서치 전문 기관 가트너에 따르면, 국내 사물인터넷 시장은 2020년까지 연평균 38.5%의 고성장을 거듭될 전망이다. 그리고 이러한 상황 속에서 사물인터넷 기기를 노리는 보안 위협에 대해 파악할 필요가 강조되고 있다.
- IoT 영역별 보안 공격
IoT 영역 설명 IoT 보안 공격 IoT 기기 센서와 통신기능이 내장되어 자동으로 데이터를 주고받는 물리적 기기
( 와이파이 라우터, 커넥티드카, 스마트 냉장고, 스마트 TV 등 )
취약점 발굴, 펌웨어 공격, 공급망 공격, 비인가 기기를 통한 공격, IoT 기기 봇넷화 IoT 네트워크 기기-기기간, 기기-사용자간 통신을 지원
스푸핑, 스니핑, 중간자공격 IoT 서비스 IoT 서비스를 제공하기 위한 웹사이트, 애플리케이션 및 모바일 웹 애플리케이션 해킹, 비인가 사용자 접속, 무차별 대입 공격(brute force attack)
- IoT 보안사고 발생 주요 원인 [5]
기간 구분 피해 현황 발생 원인 2004년 11월 해킹된 CCTV 및 IP카메라 영상제공 사이트 발견 7만 3천개의 CCTV를 해킹하여 실시간으로 보여주는 사이트 공개
(국내 위치한 CCTV 6천개 포함)
접근계정 관리미흡 2015년 9월 백도어가 내장된 CCTV 발견 중국에서 수입된 일부 가정용 CCTV에 제조사가 숨겨놓은 백도어(원격 접속 프로그램) 발견 디바이스 취약점 2016년 9월 미라이 봇넷(Mirai Botnet) Telnet, SSH 포트가 오픈되어 있는 IoT 디바이스에 Brute Force(Default ID/Password)를 통해 접근
HTTP와 TCP, UDP Flood로 세 가지의 공격 유형으로 디도스 공격 가능
메모리 스크래핑 재부팅 방지기능 탑재, 미라이 봇넷을 이용하여 KrebsonSecurity(2016.09)
OVH, Hosting(2016.09), DYN(2016.10) 디도스 공격접근계정 관리미흡 2017년 3월 취약한 와이파이 캠(WIFI CAM) 정보공개 354 벤데사에서 1,200개 이사 브랜드로 판매되고 있는 중국 무선 웹캠 버그 공개
쇼단(Shodan.io)에서 18만 5천개 이상의 취약한 웹캠 목록 공개
디바이스 취약점
미라이 봇넷[편집]
2016년 10월, 미국 동부 지역 마비 사태를 일으키며 많은 사람들에게 IoT 보안에 대해 경각심을 불러 일으킨 미라이 봇넷(Mirai Botnet) 디도스 공격이다. 공격자는 다수의 IoT 기기를 악성코드 미라이에 감염시켜 디도스 공격용 봇 역할을 하게 만들었다. 공격자들은 대부분의 주요 웹 사이트가 사용하는 도메인 이름 시스템(DNS; Domain Name Service)서비스 업체인 딘(Dyn)을 다운시켜 결과적으로 트위터, 넷플릭스, 페이팔 등의 서비스에 대한 접근을 차단했다. [6] 미라이 봇넷에 대해 자세히 보기
사토리 봇넷[편집]
미라이 봇넷의 변종인 사토리 봇넷(Satori Botnet)은 2017년 11월 최초로 발견되었다. 국내 가정용 공유기의 취약점을 이용해 4만여 대를 해킹, 5월에는 최소 24만 대 이상의 공유기를 감염시켰다. 이로 인해 개인 CCTV 해킹으로 인한 사생활 침해가 심각한 문제로 떠올랐다.
예방 및 대응[편집]
- 예방
- MS 등 운영체제(OS) 제조업체나 보안기관에서 제작한 안전가이드를 준수한다.
- Windows XP 사용자의 경우, 개인 방화벽, 악성코드 다운로드 예방 등 다양한 보안기능을 가진 서비스팩2(SP2)를 설치해 보안을 강화한다.
- 주기적으로 바이러스 백신 업데이트를 하고 점검한다.
- 개인용 방화벽을 사용한다.
- 인터넷이나 로컬 네트워크로부터 감염 시스템 연결을 차단한다.
- PC에 저장된 주요 정보(은행, 신용카드 정보 등)는 즉시 해당 기관에 통보하여 조치한다.
- 네트워크 지연, 대량의 트래픽 급증 등은 악성 소프트웨어 존재 가능성이 있으므로 보안 장비 및 네트워크 장비의 로그나 시스템을 분석하고 주기적으로 확인한다.
- 패킷 스니퍼를 이용해 네트워크 트래픽 내용을 분석하여 감염된 네트워크 시스템을 탐지 및 격리시킨다.
- 대응
- 네트워크 격리
-악성코드에 감염된 시스템을 네트워크로부터 격리시킴으로써 봇의 확산을 차단한다.
- 데이터 보존
- 감염된 시스템과 침입차단시스템, 메일서버, IDS, DHCP 서버, 프락시 서버 등과 같은 관련 시스템들의 데이터 및 로그를 보존한다.
- 피해범위 파악
- 네트워크 패킷 스니퍼를 통한 데이터 수집으로 봇에 감염된 시스템의 수를 파악해 피해 범위를 파악한다.
- 침해사고대응팀, 수사기관 등 관련 기관에게 연락하고 조속히 처리한다. [7]
각주[편집]
- ↑ DB 포탈사이트 , 〈악성코드를 이용한 봇넷 공격〉, 《한국데이터산업진흥원》 2018-08-14
- ↑ 알약 , 〈2016 봇넷 연구 보고서〉, 《EST security 알약 블로그》 2017-01-23
- ↑ 임선희, 조재익, 이병길 〈비정상도메인 분류를 위한 DNS 쿼리 기반의 주성분 분석을 이용한 성분추출〉, 《정보처리학회 논문지/컴퓨터 및 통신 시스템 제1권 제1호》 2012-10
- ↑ AEP코리아네트 〈Botnet(봇넷)Attack(공격)〉, 《네이버 블로그》 2012-10
- ↑ 김미희 스타, 〈IoT 보안위협에 따른 대응방안〉, 《이글루시큐리티 블로그》, 2017-06-07
- ↑ 한국인터넷진흥원(KISA), 〈IoT기기를 대상으로 한 미라이 봇넷(Mirai Botnet) 주의〉, 《무한 조합의 무한 다양성》 개인 블로그, 2016-10-25
- ↑ 한국정보보호진흥원(KISA)〈[file:///C:/Users/c577/Desktop/TR-2004-020_bot%20(1).pdf 악성 Bot 특성 분석을 통한 탐지 및 대응책]〉, 《인터넷침해사고대응지원센터(KISC)》 , 2004-12-20
참고자료[편집]
- DB 포탈사이트 〈악성코드를 이용한 봇넷 공격〉, 《한국데이터산업진흥원》 2018-08-14
- 알약 〈2016 봇넷 연구 보고서〉, 《EST security 알약 블로그》 2017-01-23
- 임선희, 조재익, 이병길 〈비정상도메인 분류를 위한 DNS 쿼리 기반의 주성분 분석을 이용한 성분추출〉, 《정보처리학회 논문지/컴퓨터 및 통신 시스템 제1권 제1호》 2012-10
- AEP코리아네트 〈Botnet(봇넷)Attack(공격)〉, 《네이버 블로그》 2012-10
- 김미희 스타, 〈IoT 보안위협에 따른 대응방안〉, 《이글루시큐리티 블로그》, 2017-06-07
- 한국인터넷진흥원(KISA) 〈IoT기기를 대상으로 한 미라이 봇넷(Mirai Botnet) 주의〉, 《무한 조합의 무한 다양성》 개인 블로그, 2016-10-25
- 한국정보보호진흥원(KISA) 〈[file:///C:/Users/c577/Desktop/TR-2004-020_bot%20(1).pdf 악성 Bot 특성 분석을 통한 탐지 및 대응책]〉, 《인터넷침해사고대응지원센터(KISC)》 , 2004-12-20
같이 보기[편집]