DHC 기법 이용한 P2P 봇넷, 비정상 활동 파악도 힘들어

P2P(Peer to Peer)는 사용자의 PC가 서로 직접적인 정보를 공유하는 기술이다. 이런 P2P는 현재 MP3나 영화 등 파일공유에 많이 쓰이고 있다. 하지만 DDoS 공격에 이용되는 봇넷이 이런 P2P 기술을 이용할 경우 그 전파속도와 위력이 배가될 수 있다.

미네소타 대학의 김용대 교수는 카이스트(KAIST) 문지 캠퍼스에서 개최된 ‘DDoS 공격과 방어에 대한 국제 워크숍’에 참가해 P2P를 이용한 봇넷과 차단 기술에 대해 소개했다.

2007년 미국과 유럽을 휩쓴 스톰 웜(Storm Worm)은 P2P 기술을 이용한 봇넷으로 P2P에 많이 이용되는 당나귀(eDoneky) 프로토콜을 이용했다. 김용대 교수는 “다행인지 몰라도 스톰 웜의 경우 체계적으로 설계된 P2P의 형태를 띠고 있지는 않고 있어 방어가 가능했다”며 “하지만 향후 제대로 된 P2P 설계를 통한 봇넷 악성코드가 나타난다면 방어가 쉽지 않을 것”이라고 말했다.

특히 넵스터와 같은 중앙집중관리 방식 P2P가 아닌 DHT(Distributed hash table) 공유 방식의 P2P 기술이 봇넷 설계에 이용하게 되면 아주 심각한 공격이 나타날 수 있다고 설명한다. 그리고 만약 체계적인 DHT 방식 P2P 설계에 의한 봇 디자인이 나타난다면 비정상 적 트래픽 활동 파악이 쉽지 않다고 말한다. 이 경우 봇이 서로 인증하기 때문에 외부에서 차단하는 것은 매우 어렵다고 덧붙였다.

DHT 방식의 P2P기술은 DHT를 이루고 있는 노드 수에 영향을 받지 않고 확장할 수 있다는 특징을 가지고 있다. 그리고 DHT 시스템 내부에 노드가 추가되거나 오동작을 하더라도 전체의 기능에 영향을 끼치지 않는다는 장점을 가지고 있다. 따라서 DHT 방식의 P2P가 적용된 봇넷에 대한 방어는 매우 까다롭다고 설명한다.

김 교수는 이런 DHT 방식 P2P 봇넷에 대비한 방어 방법에 대해서도 의견을 제시했다. 그가 제시한 방법은 P2P 봇넷을 외부적인 차단으로 해결할 것이 아니라 내부적으로 침투해 분석하는 방법이다. 가령 새로운 P2P 봇넷을 확인 했을 경우, P2P의 한 노드로 참여해 다른 봇처럼 똑같이 통신함으로써 정보를 수집하는 방법이라고 볼 수 있다.

그는 “일단 P2P 악성코드 샘플이 확보된다면 리버스엔지니어링을 이용해 봇넷의 일원이 된 후 분석과 역공격을 통해 봇넷을 무력화 할 수 있다”며 “이 경우 봇넷을 만든 해커가 오히려 역공격에 방어해야하는 상황이 연출 될 수 있다”고 말했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>