[보안뉴스] 트위터를 DDoS 공격 서버로 만들어주는 트위터 봇 생성 툴이 진화해 보급되고 있는 것으로 파악됐다. 특히 이런 툴은 기술적인 지식이 없는 이른바 컴맹도 DDoS 공격자로 만들어주기 때문에 유포 및 악용에 대한 대책이 필요해 보인다.

트위터 봇 생성툴은 특정 트위터 계정으로 명령할 수 있는 DDoS 악성코드를 생성해주는 프로그램이다. 이렇게 생성된 악성코드는 감염된 PC를 좀비PC로 만들며, 공격자는 트위터에 접속해 공격명령 글을 남김으로써 DDoS 공격을 지휘할 수 있다.

DDoS 공격에 트위터를 이용하는 이유는, 트위터가 공격자의 입장에서 매우 안전한 공격 장소이기 때문이다. 일반적인 DDoS 공격은 공격명령서버(C&C서버)에 접속해 공격을 명령하기 때문에, 공격명령서버를 찾아 차단하면 공격을 멈출 수 있고 접속한 IP를 추적하면 공격자의 실마리를 찾는 것도 가능할 수 있다.

그러나 트위터를 공격명령서버로 이용하면 공격자를 찾기 매우 힘들어진다. 트위터는 수많은 사람들이 많은 글을 실시간으로 전송하기 때문에 공격자를 찾기란 모래사장에서 바늘 찾기보다 힘들기 때문이다. 더불어 트위터는 스마트폰을 이용해 와이파이(WiFi)나 3G 같은 무선 환경에서 접속하는 경우가 많기 때문에 공격자의 트위터를 찾더라도 공격자까지 추적하는 것은 불가능하다.

따라서 이런 툴들은 분별력이 부족한 청소년들에 의해 악용 될 경우 큰 혼란을 초례할 수 있다는 지적이 나오고 있다. 트위터 봇 생성툴은 구글 검색을 이용하면 청소년들도 충분히 찾을 수 있기 때문이다. 게다가 업계에 따르면, 청소년 가입자가 많은 폭파 커뮤니티들은 이미 DDoS 공격툴을 무불별하게 이용한 사례가 있는 것으로 전해지고 있다. 폭파 커뮤니티는 사설게임이나 특정 커뮤니티를 노려 공격함으로써 성취감이나 이익을 얻는 누리꾼 무리들이다.

최근 보안뉴스에 새로운 버전의 트위터 봇 생성 툴 ‘T봇(가칭)’에 대한 제보가 들어왔다. 유명한 트위터 봇 생성툴의 3 버전으로 보이는 이 프로그램은, 현재 국내에서 정확한 진단명(백신업체에서 정한 바이러스 이름)이 없다. 국내 안티바이러스 백신은 단 한 제품을 제외하고 진단이 안 되고 있으며, 그 한 제품 역시 진단은 되지만 정확한 진단명은 없기 때문이다.

T봇을 제보한 박지훈씨는 “트위터를 이용한 DDoS 공격은 매우 위험하지만 트위터 봇 생성툴을 이용하면 쉽게 악성코드를 만들고 공격을 시도할 수 있다”면서 “이런 위험성에도 불구하고 국내에서는 아직까지 트위터봇에 대한 위험성이 많이 알려지지 않고 있다”고 강조했다.

보안 전문가들은 트위터 봇의 차단하는 것은 매우 어렵다고 이야기 한다. 일단 트위터 봇은 생성툴로 쉽게 만들 수 있기 때문에 악성파일이 빠르게 늘어나고 있으며, 봇과 명령 서버 트위터는 밀집된 데이터 속에서 쉽계 숨어있을 수 있다. 게다가 최근 악성코드의 경향에 따라 지속적으로 변종을 만들고 있기 때문에 백신업체들의 탐지 및 대응이 매우 느린 상황이다.

보안업계의 한 전문가는 “트위터 봇을 차단하기 위해서는 기술적인 방법으로는 계속 해당 샘플들을  수집해 명령체계 분석하고 네트워크에서 명령어들의 교류를 찾아 차단하는 방법과 트위터 사이트에 접속한 프로그램을 파악해 관련 프로그램이 아닌 경우 차단하는 방법이 있다”면서 “그보다 더 효율적인 방법은 트위터 자체적으로 명령어에 대한 분석시스템을 도입해 공격자 의심 트위터의 경우 모니터링 하는 방법을 도입하는 것이 필요하다”고 조언했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>