인터넷 서비스 제공업체의 보안능력 믿을만하지 못해

미국 : 봇넷 호스팅 1위, 봇넷 피해 2위, 중국도 피해 높아

[보안뉴스 문가용] 세상에서 가장 많은 악성 서버 운영 국가는 어디일까? 미국이다. 동시에 그런 악성 서버들이 가장 많이 공격하는 나라 순위에서 미국은 2위를 기록하기도 했다. 레벨 3 커뮤니케이션즈(Level 3 Communications, 이하 레벨3)에서 새로 발간한 보고서에서 나온 내용 일부다. 레벨3은 1000개의 C&C 서버들과 피해 시스템 혹은 네트워크 간 일어나는 통신들을 면밀히 관찰했다.

관찰 결과, C&C 서버의 60%가 기업 네트워크를 겨냥한 악성 커뮤니케이션에 활용되었다는 것을 알아낼 수 있었다. 이런 사실을 모르거나 제거할 방법이 없어서 그대로 놔두면 사업운영 자체에 큰 타격을 입히며 데이터 자산을 파괴하는 것도 가능했다고 레벨3은 보고했다.

또한 레벨3은 멀웨어 배포와 피싱 공격에 사용되는 봇넷들과 평범한 디도스 공격에 사용되는 봇넷들을 관찰하기도 했다. 이런 봇넷들은 평균 1700개의 호스트들을 감염시켰으며 여러 가지 이유로 없어지기까지 38일 동안 활동한 것으로 드러났다. C&C 서버당 피해자의 평균 수는 1월 3763명에서 3월 338명으로 크게 줄어들었다. 이는 해당 기간 동안 봇넷을 겨냥한 보안업계의 활동 때문인 것으로 분석됐다.

이런 악성 공격자들은 피해자의 인프라까지도 활용하는 모습을 보였다. 특히 피해 기업 및 조직의 클라우드 기술을 공격자들도 일부 활용해 멀웨어를 퍼트리는 것이 여러 차례 목격되었다고 한다. 그것도 실제 사원 및 조직원의 아이디와 비밀번호로 접속해 이런 짓을 한 경우가 대부분이었다. 이는 클라우드 서비스 제공업체에서 새로운 계정을 생성할 때 인증이나 보안을 위해 거의 아무 것도 하지 않는 관행이 부추긴 결과이기도 하다는 게 레벨3의 분석결과이다.

미국이 봇넷의 호스팅 국가로서도 최고, 봇넷의 피해 국가로서도 최고 중 하나로 꼽힌 건 미국의 네트워크 인프라가 봇넷 활동에 굉장히 적합하기 때문이다. “일단 C&C 서버가 활용되려면 인프라의 크기 자체가 방대해야 합니다. 그것이 첫 번째 조건입니다.” 레벨3의 크리스 리흐터(Chris Richter)의 설명이다. “또한 이런 방대한 네트워크가 사이버 범죄자들이 주로 노리는 산업 및 공공 부문과 가까이에 있거나 해커 자신들과 가까이 있다면 금상첨화입니다.”

의외의 사실 하나는 보통 해킹 활동을 꾸준히 하는 중국 역시 봇넷에 의해 상당히 많은 피해를 입었다는 것이다. 2015년 1사분기 동안 중국 내에 있는 고유 IP 주소 중 532000개가 C&C 서버의 통제 아래 있었다는 것이 드러났다. 같은 항목에서 미국은 528000개를 기록했다. 그밖에 노르웨이, 스페인, 우크라이나가 뒤를 이었다.

“중요한 건 이런 자료를 가지고 각각의 봇넷이 가지고 있는 ‘목적’과 ‘동기’를 파악하는 것입니다. 또한 지금 우리 서버가 이런 종류의 봇넷에 감염이 된 상태인지 아닌지 알아내야 합니다. 알아낸 경우 대처가 의외로 대단히 어렵지는 않습니다.” 가장 간단한 대처법은 감염이 의심되는 시스템에서 이메일을 사용하지 못하도록 차단하는 것이다.

“이번 보고서를 발간한 가장 큰 목적은 기업들 네트워크에 뭔가가 숨어있을 경우가 굉장히 높다는 겁니다. 특히 인터넷 서비스 제공업체의 경우 C&C를 판별하지도 않고, 판별한다고 해서 자발적으로 차단시키지도 않습니다. 그걸 기업들은 알아야 해요.” 또한 이번 보고서 덕분에 보안전문 기업이 일반 기업과 어떤 면에서 더 공조해야 하는지도 더 분명하게 드러났다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>