• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

더 똑똑해진 봇넷, ‘하이브넷’이 다가오고 있다 2018.02.19

대량 데이터 학습이 가능해 스스로 공격할 수 있는 하이브넷
공격 효율 높여줘 피해자 기하급수적으로 늘 것 예상돼

[보안뉴스 문가용 기자] 요 몇 년 동안 이뤄진 기술적 발전 중 괄목할 만한 것이 있다면 인공지능을 통해 미래를 예측하는 소프트웨어 시스템이 나타나기 시작했다는 것이다. 특히 최근에는 떼 지능 혹은 군 지능(Swarm Intelligence)이라는 기술을 사용해, 전문지식만으로 구성된 엄청난 크기의 데이터베이스를 다량으로 소화하는 알고리즘도 등장했다. 그래서 소프트웨어의 예측력은 더 정확해지고 있다.

[이미지 = iclickart]


그러나 좋은 소식 뒤에는 항상 나쁜 소식이 따르는 법. 이 기술을 착하고 선량한 사람들만 사용하는 건 아니다. 최근 보안 업체 포티넷(Fortinet)은 ‘인공지능을 갖춘’ 똑똑한 봇넷들이 아파치 스트러츠(Apache Struts) 프레임워크의 취약점을 반복적으로 익스플로잇하는 것을 발견한 바 있다고 발표했다. 아파치 스트러츠 취약점은 작년 에퀴팩스 사건의 핵심 요소였던 것으로, 공격자들은 이 취약점에 대한 공략을 자동화시켜버린 것이다.

보안 전문가들은 봇넷이 곧 하이브넷(hivenet)으로 대체될 것이라고 예견하고 있다. 하이브넷이란 피어(peer) 기반의 자가 학습이 가능한 봇넷으로, 인간의 개입을 최소화한 상태로 취약점을 익스플로잇 한다. 침해된 기기들이 군집해 있는, 기존의 봇넷과 형태는 다르지 않지만 거기에 상기한 스웜 기술을 덧입어 훨씬 효율적인 공격을 하는 것이다. 전통적인 봇넷이 사람의 명령을 기다렸다면, 하이브넷은 스스로 결정을 내리고 혼자서 공격을 감행한다.

하이브넷의 출현이 가능한 건 ‘군 지능’이라고 불리는 기술의 출현 때문이다. 이전보다 훨씬 많은 기기들을 침해해 거느릴 수 있게 되었으니, 공격자들이 이러한 기회를 활용하지 않을 이유가 없다. 하이브넷은 한 번 발동이 걸리면 기하급수적으로 침해된 기기의 수를 늘려갈 것이며, 피해자의 수는 더 가파른 성장곡선을 그릴 것으로 예상된다.

자꾸만 반복되는 감염
하이브넷의 출현이 걱정되는 건, 이미 우리가 똑같은 봇넷의 공격에 자꾸만 당하고 있기 때문이다. 포티넷의 보안 전문가들은 “연구와 조사 결과, 많은 조직들이 같은 봇넷의 공격에 여러 번 당하는 것으로 나타났다”고 밝히며 “아직 그 정확한 이유는 알 수 없다”고 설명한다. “공격 혹은 피해에 대해 제대로 이해하지 못했거나, 수사 타이밍에 맞게 봇넷이 잠깐 휴지기에 들어가서 파악하는 데 실패한 것이 원인일 수 있습니다.”

그러니 하이브넷이라는 효율 좋은 대규모 자동 공격 시스템이 등장하면, 무참히 당할 수밖에 없는 게 지금의 상태라고 볼 수 있다. 그러나 “클라우드 서비스를 활용해 여러 거래나 정보 교환을 하고 있는 조직이라면, 다음 수칙들을 지킴으로써 하이브넷이나 봇넷으로부터의 위협을 어느 정도 줄일 수 있다”고 한다. 그 수칙이란 다음과 같다.

1) 기기들의 목록화 작업을 실시하라. 보유 중인 자산들을 전부 파악하고, 이들을 접근 허용 기능 유무에 따라 분류한다. 인증 절차 없이 접근할 수 있는 기기와 그렇지 않은 기기를 구분해놓으라는 것이다. 그래야 어떤 기기를 보호해야 하고, 그 보호의 현황이 어떤지 한 눈에 알 수 있다.

2) 권한을 제한하라. 실제 관리자 권한을 가지고 있는 사용자가 누구인지 전부 파악하고, 제한해야 한다. 아무나 관리자가 되어서는 안 된다.

3) 애플리케이션의 사용 역시 제한하라. 업무에 반드시 필요한 애플리케이션만 네트워크 내에 존재하도록 해야 한다. 그리고 ‘허용된’ 애플리케이션들은 항상 업데이트와 최신화에 신경 쓴다.

4) 사이버 ‘위생’을 실천한다. 새롭게 출현한 위협이나 공격 기법을 파악하는 건 보안 담당자들 대부분의 주특기다. 이것에 더해 ‘과거에 우리 조직 내에 있었던 공격’ 역시 면밀히 알고 있어야 한다. 과거의 기록을 통해 어떤 면이 취약하고, 그러므로 어디에 더 신경을 써야 하는지 파악 가능하기 때문이다.

또한 불필요한 장비나 애플리케이션을 지속적으로 모니터링해 삭제하고, 공개된 취약점에 대한 패치를 제 때 적용하며, 일반 직원들을 대상으로 한 교육도 주기적으로 실시해야 한다. 이는 재미있는 작업은 아니다. 그러나 가장 중요할 수 있다.

글 : 데렉 맨키(Derek Manky), Fortinet
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>