악성코드 전파의 숙주로 악용되는 좀비 PC가 유독 한국에서 크게 확산된 것으로 나타나 대응책 마련이 시급하다는 지적이 대두되고 있다.

지난달 29일 카이스트(KAIST) 문지 캠퍼스에서 개최된 ‘DDoS 공격과 방어에 대한 국제 워크숍(DDoS A&D)’에서 웬케 리(Wenke Lee) 조지아 공대 교수는 ‘봇넷 감지 및 맬웨어 분석에 대한 연구’를 주제로 발표했다.

리 교수는 "DDoS 공격이 봇넷을 통해 이뤄지기 때문에 봇넷이 사이버 위협들 중 가장 큰 위협요소"라고 지적했다. 그의 연구 결과에 따르면, 인터넷 이용자들의 10%가 좀비 PC인 것으로 드러났다. 공격자들은 각각의 좀비 PC 간의 네트워크를 형성하고, 이 네트워크를 이용해 동시다발적인 공격을 시도하고 있어 강력한 파워를 지니게 된다고 설명했다. 즉 네트워크가 공격의 플랫폼이 되고 있다는 주장이다.

그는 “DNS 모니터링 솔루션을 통해 봇넷을 탐지하고 제거할 수 있는 방법을 연구한 결과 이들의 패턴을 파악할 수 있었다”며 “네트워크를 보호하기 위해서는 이와 같이 봇넷의 비정상적인 움직임을 간파하고 분석할 필요가 있다”고 말했다. 그는 또 “봇넷은 인터넷을 기반으로 기하급수적으로 증가하고 있어 봇이 빠르게 확산되는 방식에 대해서 연구가 이뤄지고 있다”고 덧붙였다.

한편 리 교수는 “많은 네트워크 정보를 취합해 본 결과, 대부분의 봇넷이 한국에 있다는 것을 발견했다”고 말했다. 전 세계적으로 좀비 PC가 지역별로 균등하게 분포돼 있는 반면 한국에는 너무 많이 몰려 있다는 지적이다.

따라서 그는 “봇넷이 특정언어에 초점 맞춰졌을 수도 있다고 추측해 볼 수 있으나 한국의 봇넷이 합법적인 도메인을 통해 확산되고 있어 분석이 쉽지 않다”며 “이런 추측은 블랙리스트에 올라온 IP들이 한국이 많이 포진돼 있다는 것을 기반으로 하고 있다”고 밝혔다.

이에 따라, 리 교수는 “다양한 접근 방식으로 봇넷을 모니터링하고 연구해야 하며, 이를 위해 지역별로 정보보안 센터를 구축 한 후 보안 상황을 교환해 데이터를 분석하는 것이 중요하다”며 “각 국가별로 이런 센터를 만들어 신속한 정보 공유와 피드백을 활용해야 한다”고 주장했다.

[호애진 기자(is@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>