| 봇에 의한 좀비 PC 확산...목표는 돈 | 2006.12.14 | |
PC 취약점을 파고드는 악성 봇 프로그램 원격 조정으로 좀비 PC 이용해 공격 국내에서는 게임 계정 탈취를 위해 주로 사용
지난 2000년 2월, 캐나다 해커인 마피아보이(Mafiaboy)가 봇을 이용해 감염된 좀비PC들을 원격 조정해 CNN닷컴과 아마존닷컴, 이베이(eBay), 델 컴퓨터, 그리고 기타 대형 사이트들에 엄청난 트래픽으로 공격을 해 마비시킬 것을 지시해 수많은 사이트들이 곤욕을 치룬 사건이 있었다. 이처럼 누군가에 의해 조종되는 수만대의 컴퓨터 그룹을 봇 네트워크라고 부른다. 특히, 오늘날처럼 인터넷으로 모든 PC가 연결된 상태에서는 대부분의 PC가 봇 네트워크의 일부가 될 수 있다. 일부 해커들은 자신들의 좀비PC를 가지고 치열한 공방전을 치루는 경우도 있다고 한다. 지오트 바이러스 분석실 안창용 팀장은 “봇 중에서도 가장 악명 높은 봇은 바로 백도어 IRC 봇이다. 이 봇의 감염은 취약점을 통해 이루어지고 있으며, 각 개인의 PC 보안상태의 취약점이나 OS의 취약점을 파고들어 감염시킨다. IRC 봇에 감염된 PC, 즉 좀비PC는 악의적인 공격자가 특정 명령을 내리게 되면 그 공격 명령에 따라 공격을 감행하게 되며, 좀비 PC의 수가 많으면 그 피해는 엄청나다”고 밝혔다. 봇은 자체적으로 취약점이 있는 PC를 자동으로 찾아내 감염을 시키기 때문에 좀비 PC는 문어발식으로 계속 확장되고 있으며, 이에 대한 명확한 해결책도 아직 없는 상황이다. 즉, 네트워크에 존재하는 수많은 컴퓨터들은 각기 다른 취약점들을 가지고 있으며, 봇은 이 취약점들을 통해 감염되고 있다. 그래서 제어 방법도 각양각색인 것으로 알려져 있다. 전문가들은 “공격자들은 봇 네트워크를 원격으로 조정하며, 항상 새로운 기능을 추가할 수 있다. 그래서 업그레이드 된 봇 프로그램을 언제 어디서나 좀비 PC에 주입할 수 있으며 상용되는 안티바이러스와 악성코드 치료 툴들을 피해 봇 프로그램을 실행할 수 있다”고 밝혔다. 또, 안창용 팀장은 “봇은 자기 자신을 확산시키기 위해 인식하고 있는 취약점들을 계속해서 업그레이드 시키고 있다. 악의적 공격자가 추가하는 것이다. 그래서 봇은 더욱 강력해지고 보안 솔루션들을 피해 다니기 때문에 탐지하고 삭제하는 것이 불가능한 상황”이라고 강조했다. 한편, 그는 “최근 바이러스 분석실에서 분석한 결과 유명 신문사 사이트에서 봇이 감염된 것이 발견됐다. 이럴 경우 사내 모든 PC는 좀비 PC라고 봐야 한다. 그리고 그 사이트에 접속한 네티즌 PC도 위험할 수 있다”고 경고했다. 또 다른 관계자는 “만약, 수 만개의 좀비 PC가 악의적인 공격자에 의해 감염속도가 엄청난 ‘플래시 웜’을 뿌린다면 몇 십분 안에 인터넷은 마비될 것이다. 하지만 최근 공격자들은 금전을 노리고 있기 때문에 이렇게 무모한 장난은 치지도 않고 별 필요성을 느끼지 못하고 있다”고 밝혔다. 즉, 악의적 해커들이 좀비 PC를 계속해서 확산시켜 나가는 주요 원인은 바로 돈을 벌기 위한 수단들을 확대시켜 나가는 것이다. 특히, 국내에서는 게임 관련 아이디와 패스워드를 갈취하기 위한 수단으로 봇 프로그램을 사용하는 경우가 많다. 좀비,PC를 통해 취약한 사이트를 공격해 게임 계정을 가져올 수 있는 악성,프로그램을 뿌릴 수 있다. 악의적인 봇 프로그램에 의한 좀비,PC들의 공격에 대한 피해를 최소화하기 위해서는 PC 보안상태를 최상으로 유지하는 것이 중요하다. 윈도우 운영체제에 존재하는 기능만 가지고도 상당수의 악성 봇을 예방할 수 있다고 전문가들은 말하고 있다. 운영체제를 이용한 방어 기법은 보안뉴스 기사에 간략하게 소개하고 있으니 참고 하면 된다. (IPsec 이용한 보안: www.boannews.com/media/view.asp?idx=4659&kind=1) [길민권 기자(reporter21@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
||
 |
