봇넷 편집하기

이동: 둘러보기, 검색

경고: 로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다. 로그인하거나 계정을 생성하면 편집자가 아이디(ID)으로 기록되고, 다른 장점도 있습니다.

편집을 되돌릴 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 저장해주세요.
최신판 당신의 편집
1번째 줄: 1번째 줄:
'''봇넷'''<!--봇 넷, 봇네트-->(botnet)<!--botnet, Bot net-->이란 [[로봇]](Robot)과 [[네트워크]](Network)를 합성한 단어로서, 악성 소프트웨어인 [[봇]](bot)에 다수의 컴퓨터들이 네트워크로 연결되어 있는 형태를 말한다.
+
'''봇넷'''<!--봇 넷, 봇네트-->(botnet)<!--botnet, Bot net-->이란, 로봇(Robot)과 네트워크(Network)를 합성한 단어로, 악성 소프트웨어인 [[봇]](bot)에 다수의 컴퓨터들이 네트워크로 연결되어 있는 형태를 말한다.
  
 
==개요==
 
==개요==
17번째 줄: 17번째 줄:
 
*2016년 : 최초로 [[사물인터넷]]을 이용한 봇넷이 등장했다. <ref> 알약 , 〈[https://blog.alyac.co.kr/939 2016 봇넷 연구 보고서]〉,  《EST security 알약 블로그》 2017-01-23</ref>
 
*2016년 : 최초로 [[사물인터넷]]을 이용한 봇넷이 등장했다. <ref> 알약 , 〈[https://blog.alyac.co.kr/939 2016 봇넷 연구 보고서]〉,  《EST security 알약 블로그》 2017-01-23</ref>
  
 +
P2P봇넷.png
 
==프로토콜==
 
==프로토콜==
 
[[파일:IRC봇넷.png|썸네일|200픽셀|'''중앙 집중형 구조''']]
 
[[파일:IRC봇넷.png|썸네일|200픽셀|'''중앙 집중형 구조''']]
48번째 줄: 49번째 줄:
 
;좀비 디바이스
 
;좀비 디바이스
 
좀비 디바이스는 봇넷 중 인터넷을 통해 연결되어 있는 각각의 디바이스를 말한다. 주로 PC에 해당되었으나, 최근에는 스마트폰, 태블릿, IoT 등으로 확대되고 있다.  
 
좀비 디바이스는 봇넷 중 인터넷을 통해 연결되어 있는 각각의 디바이스를 말한다. 주로 PC에 해당되었으나, 최근에는 스마트폰, 태블릿, IoT 등으로 확대되고 있다.  
 +
  
 
==사물인터넷(IoT) 보안==
 
==사물인터넷(IoT) 보안==
53번째 줄: 55번째 줄:
 
인터넷에 연결된 사물이 실시간으로 상호 소통하는 IoT 기술은 기업 성장을 견인하고 개인의 삶의 질을 향상시키는 핵심 미래 동력이 될 것으로 기대를 모으고 있다. 전 세계적으로 IoT 기술 도입이 급격히 증가함에 따라, 자율주행자동차를 비롯한 다양한 IoT 기기와 네트워크, 플랫폼을 노린 보안 위협은 날로 높아지고 있는 추세다. 리서치 전문 기관 [[가트너]]에 따르면, 국내 사물인터넷 시장은 2020년까지 연평균 38.5%의 고성장을 거듭될 전망이다. 그리고 이러한 상황 속에서 사물인터넷 기기를 노리는 보안 위협에 대해 파악할 필요가 강조되고 있다.  
 
인터넷에 연결된 사물이 실시간으로 상호 소통하는 IoT 기술은 기업 성장을 견인하고 개인의 삶의 질을 향상시키는 핵심 미래 동력이 될 것으로 기대를 모으고 있다. 전 세계적으로 IoT 기술 도입이 급격히 증가함에 따라, 자율주행자동차를 비롯한 다양한 IoT 기기와 네트워크, 플랫폼을 노린 보안 위협은 날로 높아지고 있는 추세다. 리서치 전문 기관 [[가트너]]에 따르면, 국내 사물인터넷 시장은 2020년까지 연평균 38.5%의 고성장을 거듭될 전망이다. 그리고 이러한 상황 속에서 사물인터넷 기기를 노리는 보안 위협에 대해 파악할 필요가 강조되고 있다.  
  
;IoT 영역별 보안 공격
 
:{|class=wikitable width=1200
 
!align=center|'''IoT 영역'''
 
!align=center|'''설명'''
 
!align=center|'''IoT 보안 공격'''
 
|-
 
|align=center|'''IoT 기기'''
 
|align=lcenter|센서와 통신기능이 내장되어 자동으로 데이터를 주고받는 물리적 기기<br>
 
( [[와이파이 라우터]], 커넥티드카, 스마트 냉장고, 스마트 TV 등 )
 
|align=center|취약점 발굴, [[펌웨어 공격]], 공급망 공격, 비인가 기기를 통한 공격, IoT 기기 봇넷화
 
|-
 
|align=center|'''IoT 네트워크'''
 
|align=center|기기-기기간, 기기-사용자간 통신을 지원<br>
 
(블루투스, [[지그비]], [[쓰레드]] 등의 근거리 통신망이 주로 사용된다.)
 
|align=center|[[스푸핑]], [[스니핑]], [[중간자공격]]
 
|-
 
|align=center|'''IoT 서비스'''
 
|align=center|IoT 서비스를 제공하기 위한 웹사이트, 애플리케이션 및 모바일
 
|align=center|웹 애플리케이션 해킹, 비인가 사용자 접속, 무차별 대입 공격(brute force attack)
 
|}
 
  
;IoT 보안사고 발생 주요 원인 <ref name="IoT보안"> 김미희 스타, 〈[http://www.igloosec.co.kr/BLOG_IoT%20%EB%B3%B4%EC%95%88%EC%9C%84%ED%98%91%EC%97%90%20%EB%94%B0%EB%A5%B8%20%EB%8C%80%EC%9D%91%EB%B0%A9%EC%95%88?searchItem=&searchWord=&bbsCateId=17&gotoPage=2#1 IoT 보안위협에 따른 대응방안]〉, 《이글루시큐리티 블로그》, 2017-06-07</ref>
+
 
 +
;IoT 보안사고 발생 주요 원인
  
 
:{|class=wikitable width=1200
 
:{|class=wikitable width=1200
97번째 줄: 80번째 줄:
 
|align=center|[[미라이 봇넷]](Mirai Botnet)
 
|align=center|[[미라이 봇넷]](Mirai Botnet)
 
|align=center|Telnet, SSH 포트가 오픈되어 있는 IoT 디바이스에 Brute Force(Default ID/Password)를 통해 접근<br>
 
|align=center|Telnet, SSH 포트가 오픈되어 있는 IoT 디바이스에 Brute Force(Default ID/Password)를 통해 접근<br>
[[HTTP]]와 [[TCP]], [[UDP Flood]]로 세 가지의 공격 유형으로 디도스 공격 가능<br>
+
HTTP와 TCP, UDP Flood로 세 가지의 공격 유형으로 디도스 공격 가능<br>
 
메모리 스크래핑 재부팅 방지기능 탑재, 미라이 봇넷을 이용하여 KrebsonSecurity(2016.09)<br>
 
메모리 스크래핑 재부팅 방지기능 탑재, 미라이 봇넷을 이용하여 KrebsonSecurity(2016.09)<br>
 
OVH, Hosting(2016.09), DYN(2016.10) 디도스 공격
 
OVH, Hosting(2016.09), DYN(2016.10) 디도스 공격
108번째 줄: 91번째 줄:
 
|align=center|디바이스 취약점
 
|align=center|디바이스 취약점
 
|}
 
|}
 +
  
 
===미라이 봇넷===
 
===미라이 봇넷===
 
2016년 10월, 미국 동부 지역 마비 사태를 일으키며 많은 사람들에게 IoT 보안에 대해 경각심을 불러 일으킨 [[미라이 봇넷]](Mirai Botnet) 디도스 공격이다. 공격자는 다수의 IoT 기기를 악성코드 [[미라이]]에 감염시켜 디도스 공격용 봇 역할을 하게 만들었다. 공격자들은 대부분의 주요 웹 사이트가 사용하는 [[도메인 이름 시스템]](DNS; Domain Name Service)서비스 업체인 딘(Dyn)을 다운시켜 결과적으로 트위터, 넷플릭스, 페이팔 등의 서비스에 대한 접근을 차단했다. <ref> 한국인터넷진흥원(KISA), 〈[https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=24663&queryString=cGFnZT0xJnNvcnRfY29kZT0mc2VhcmNoX3NvcnQ9a2V5d29yZCZzZWFyY2hfd29yZD0lRUIlQUYlQjglRUIlOUQlQkMlRUMlOUQlQjQrJUVCJUI0JTg3JUVCJTg0JUI3 IoT기기를 대상으로 한 미라이 봇넷(Mirai Botnet) 주의]〉,  《무한 조합의 무한 다양성》 개인 블로그, 2016-10-25</ref>  {{자세히|미라이 봇넷}}
 
2016년 10월, 미국 동부 지역 마비 사태를 일으키며 많은 사람들에게 IoT 보안에 대해 경각심을 불러 일으킨 [[미라이 봇넷]](Mirai Botnet) 디도스 공격이다. 공격자는 다수의 IoT 기기를 악성코드 [[미라이]]에 감염시켜 디도스 공격용 봇 역할을 하게 만들었다. 공격자들은 대부분의 주요 웹 사이트가 사용하는 [[도메인 이름 시스템]](DNS; Domain Name Service)서비스 업체인 딘(Dyn)을 다운시켜 결과적으로 트위터, 넷플릭스, 페이팔 등의 서비스에 대한 접근을 차단했다. <ref> 한국인터넷진흥원(KISA), 〈[https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=24663&queryString=cGFnZT0xJnNvcnRfY29kZT0mc2VhcmNoX3NvcnQ9a2V5d29yZCZzZWFyY2hfd29yZD0lRUIlQUYlQjglRUIlOUQlQkMlRUMlOUQlQjQrJUVCJUI0JTg3JUVCJTg0JUI3 IoT기기를 대상으로 한 미라이 봇넷(Mirai Botnet) 주의]〉,  《무한 조합의 무한 다양성》 개인 블로그, 2016-10-25</ref>  {{자세히|미라이 봇넷}}
  
[[파일:미라이봇넷공격.jpg|썸네일|가운데|700픽셀|'''미라이 봇넷 공격 시나리오(출처: 이글루시큐리티)''']]
+
 
 +
[[파일:미라이봇넷공격.jpg|썸네일|가운데|700픽셀|'''미라이 봇넷 공격 시나리오(출처: 이글루시큐리티) ''']]
  
 
===사토리 봇넷===
 
===사토리 봇넷===
129번째 줄: 114번째 줄:
 
* 네트워크 지연, 대량의 트래픽 급증 등은 악성 소프트웨어 존재 가능성이 있으므로 보안 장비 및 네트워크 장비의 로그나 시스템을 분석하고 주기적으로 확인한다.
 
* 네트워크 지연, 대량의 트래픽 급증 등은 악성 소프트웨어 존재 가능성이 있으므로 보안 장비 및 네트워크 장비의 로그나 시스템을 분석하고 주기적으로 확인한다.
 
* [[패킷 스니퍼]]를 이용해 네트워크 트래픽 내용을 분석하여 감염된 네트워크 시스템을 탐지 및 격리시킨다.
 
* [[패킷 스니퍼]]를 이용해 네트워크 트래픽 내용을 분석하여 감염된 네트워크 시스템을 탐지 및 격리시킨다.
 +
  
 
;대응  
 
;대응  
142번째 줄: 128번째 줄:
  
 
* 침해사고대응팀, 수사기관 등 관련 기관에게 연락하고 조속히 처리한다. <ref> 한국정보보호진흥원(KISA)〈[file:///C:/Users/c577/Desktop/TR-2004-020_bot%20(1).pdf  악성 Bot 특성 분석을 통한 탐지 및 대응책]〉,  《인터넷침해사고대응지원센터(KISC)》 , 2004-12-20 </ref>
 
* 침해사고대응팀, 수사기관 등 관련 기관에게 연락하고 조속히 처리한다. <ref> 한국정보보호진흥원(KISA)〈[file:///C:/Users/c577/Desktop/TR-2004-020_bot%20(1).pdf  악성 Bot 특성 분석을 통한 탐지 및 대응책]〉,  《인터넷침해사고대응지원센터(KISC)》 , 2004-12-20 </ref>
 +
  
 
{{각주}}
 
{{각주}}
150번째 줄: 137번째 줄:
 
* 임선희, 조재익, 이병길 〈[http://210.101.116.28/W_files/kiss9/52809214_pv.pdf 비정상도메인 분류를 위한 DNS 쿼리 기반의 주성분 분석을 이용한 성분추출]〉,  《정보처리학회 논문지/컴퓨터 및 통신 시스템 제1권 제1호》 2012-10  
 
* 임선희, 조재익, 이병길 〈[http://210.101.116.28/W_files/kiss9/52809214_pv.pdf 비정상도메인 분류를 위한 DNS 쿼리 기반의 주성분 분석을 이용한 성분추출]〉,  《정보처리학회 논문지/컴퓨터 및 통신 시스템 제1권 제1호》 2012-10  
 
* AEP코리아네트 〈[https://blog.naver.com/aepkoreanet/221532280623 Botnet(봇넷)Attack(공격)]〉,  《네이버 블로그》 2012-10  
 
* AEP코리아네트 〈[https://blog.naver.com/aepkoreanet/221532280623 Botnet(봇넷)Attack(공격)]〉,  《네이버 블로그》 2012-10  
* 김미희 스타, 〈[http://www.igloosec.co.kr/BLOG_IoT%20%EB%B3%B4%EC%95%88%EC%9C%84%ED%98%91%EC%97%90%20%EB%94%B0%EB%A5%B8%20%EB%8C%80%EC%9D%91%EB%B0%A9%EC%95%88?searchItem=&searchWord=&bbsCateId=17&gotoPage=2#1 IoT 보안위협에 따른 대응방안]〉, 《이글루시큐리티 블로그》, 2017-06-07
 
 
* 한국인터넷진흥원(KISA) 〈[https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=24663&queryString=cGFnZT0xJnNvcnRfY29kZT0mc2VhcmNoX3NvcnQ9a2V5d29yZCZzZWFyY2hfd29yZD0lRUIlQUYlQjglRUIlOUQlQkMlRUMlOUQlQjQrJUVCJUI0JTg3JUVCJTg0JUI3 IoT기기를 대상으로 한 미라이 봇넷(Mirai Botnet) 주의]〉,  《무한 조합의 무한 다양성》 개인 블로그, 2016-10-25
 
* 한국인터넷진흥원(KISA) 〈[https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=24663&queryString=cGFnZT0xJnNvcnRfY29kZT0mc2VhcmNoX3NvcnQ9a2V5d29yZCZzZWFyY2hfd29yZD0lRUIlQUYlQjglRUIlOUQlQkMlRUMlOUQlQjQrJUVCJUI0JTg3JUVCJTg0JUI3 IoT기기를 대상으로 한 미라이 봇넷(Mirai Botnet) 주의]〉,  《무한 조합의 무한 다양성》 개인 블로그, 2016-10-25
* 한국정보보호진흥원(KISA) 〈[file:///C:/Users/c577/Desktop/TR-2004-020_bot%20(1).pdf 악성 Bot 특성 분석을 통한 탐지 및 대응책]〉,  《인터넷침해사고대응지원센터(KISC)》 , 2004-12-20
+
* 한국정보보호진흥원(KISA)〈[file:///C:/Users/c577/Desktop/TR-2004-020_bot%20(1).pdf 악성 Bot 특성 분석을 통한 탐지 및 대응책]〉,  《인터넷침해사고대응지원센터(KISC)》 , 2004-12-20
  
 
==같이 보기==
 
==같이 보기==

위키원에서의 모든 기여는 다른 기여자가 편집, 수정, 삭제할 수 있다는 점을 유의해 주세요. 만약 여기에 동의하지 않는다면, 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다 (자세한 사항은 위키원:저작권 문서를 보세요). 저작권이 있는 내용을 허가 없이 저장하지 마세요!

취소 | 편집 도움말 (새 창에서 열림)