정보보호 관련 칼럼을 쓰려고 앉았을 때, 나는 무엇을 써야 할지 당혹스러웠다. 주제가 부족하기 때문이 아니라 오히려 선택할만한 것이 너무 많았기 때문이다. 보안이나 외국의 기업 동향에 대해 써달라고 요청 받았지만 한국의 네트워크가 발전되어있기 때문에 한국이 직면한 문제들은 다른 나라들이 앞으로 직면하게 될 문제의 전형이 되기 때문이다. 그래서 적당한 주제를 찾기가 어려웠다. 그래도 결국 나는 한국의 보안 이슈와도 관련 있으면서 이야기할만한 가치가 있는 매우 흥미로운 것을 찾은 것 같다.

2007년 6월 13일, FBI는 봇넷을 붕괴 및 해체시키고 봇넷 실행자들을 처벌하기 위해 진행 중인 사이버 범죄 작전 ‘오퍼레이션 봇 로스트(Operation Bot Roast)’의 첫 번째 결과를 발표했다.

미국 내 백만 대의 컴퓨터가 훼손되었고 FBI는 그 소유자들과 접촉하고 있는 중이며 미국 내에서 3명이 체포됐다는 내용이었다. 2007년 11월 29일 FBI는 추가 8명의 기소와 뉴질랜드 경찰과의 공조로 정예 국제 봇넷 코딩 그룹의 주모자로 알려진 18세 뉴질랜드 소년을 체포했다고 발표했다. 또한 봇넷에 의한 경제적 손실은 2천만 달러에 달한다고 발표했다.

오퍼레이션 봇 로스트의 결과는 중요하고 놀라운 일이다. 봇넷 실행자나 감염된 컴퓨터를 찾는 것은 몹시 어렵고 봇넷 실행자를 체포한 것은 이번이 처음이기 때문이다. 봇넷을 컨트롤 하려면 봇넷 실행자는 인터넷에 접속만 할 수 있으면 되고 연달아 다량의 시스템을 차례로 로그인 할 수 있으며 또한 전 세계 어디에나 위치할 있기 때문에 그들을 찾는 것은 극도로 어렵다.

게다가 감염된 컴퓨터들은 가짜 소스 IP 주소로 공격을 하기 때문에 감염된 컴퓨터들의 위치 추적은 매우 어렵다. 그래서 이 작전의 성공적인 실행을 위해 국제 사회와 인터넷서비스업체들을 포함한 업게 파트너들로 이루어진 관련자들과 협력자들 모두의 엄청난 노력이 요구됐다. 무엇보다 인내심과 끈기가 필요했다.

봇넷은 무엇이고 왜 걱정해야 하는가?

봇넷은 훼손된 컴퓨터 집단으로, 좀비로도 알려져 있으며 대개 범죄 목적으로 실행자의 원거리 명령과 컨트롤에 놓인 PC, 노트북, 심지어 서버를 의미한다. 문제는 그러한 훼손된 시스템의 소유자들은 그들의 시스템이 봇넷의 일부라는 것을 모를 뿐만 아니라, 자신들의 시스템이 손쉽게 범죄 활동에 사용될 수 있다는 것을 모른다는 것이다.

왜냐하면 그들의 컴퓨터는 조금 느려지기는 해도 정상적으로 작동하는 것처럼 보이기 때문이다. 이것은 당신은 전혀 모르는 사이에 당신의 컴퓨터가 봇넷 피해자가 되어 당신의 신원과 재정 정보를 훔치거나 스팸이나 피싱 이메일을 보낼 수 있고 또한 DoS/DDoS 공격을 내보내거나, 혹은 당신의 네트워크 내의 취약성을 스캔하거나, 사기를 저지르거나, 아니면 스파이웨어와 맬웨어를 살포하는데 사용될 수도 있다는 것을 의미한다.

봇-허더로 또한 알려진 봇넷 실행자는 범죄를 저지르기 위해 자신의 컨트롤 하에 좀비를 사용할 수 있을 뿐만 아니라, 다른 범죄를 저지르기 위해 최고 입찰자에게 봇넷의 ‘시간(time)’을 임대할 수도 있다. 조직화된 범죄처럼 들리지 않는가? 계속 이야기해보자.

어떻게 시스템이 감염되거나 손상되는가?

대개 봇넷 실행자들은 사용자 모르게 작동하는 소프트웨어인 맬웨어라 불리는 것으로 시스템을 감염시키기 위해 사용자의 행동에 의존한다. 사용자가 해킹된 웹사이트 링크나 팝업 메시지를 클릭 했을 때 맬웨어는 프로그램의 실행을 전혀 보이지 않으면서 시스템의 백그라운드에 다운로드 될 수 있다.

사용자가 알지 못 하게 다운로드 되고 설치되는 이러한 유형의 인스톨은 또한 “드라이브 바이 다운로드”로도 알려져 있다. 이것은 사용자가 알고 있는 사람으로부터의 이메일 내에 첨부된 것을 실행시킴으로써 발생할 수도 있고 사용자가 인터넷이나 P2P 애플리케이션에서 다운 받은 것에서 나타날 수도 있다.

때때로 맬웨어 작성자는 맬웨어와 P2P 애플리케이션 파일의 인스톨을 다시 패키징하는데 P2P 애플리케이션이 설치되는 동안 맬웨어도 동시에 설치된다. 그들은 OS와 애플리케이션의 보안 구멍을 익스플로이트하기 때문에 특히 윈도우즈 시스템 해적판처럼 패치 되지 못 한 시스템들은 가장 감염 위험이 높은 상태로 가동된다.

심지어 방화벽과 IPS, 또는 안티바이러스 소프트웨어가 있는 시스템들조차 안전하지 못하다. 방화벽은 정상 트래픽처럼 보이는 것에 대해서는 무용지물이고 맬웨어는 안티바이러스 소프트웨어의 감지를 피하도록 암호화되어 있을 수 있으며 직원들이 바이러스나 맬웨어를 USB드라이브와 같은 이동식 저장 장치로 가지고 올 수도 있고 IPS와 안티바이러스 소프트웨어가 새로운 맬웨어에 대한 서명을 가지고 있지 않을 수도 있기 때문이다.

ZDNet은 안티바이러스 소프트웨어가 악성코드를 20%만 감지할 수 있고 팬더랩(PandaLab)은 지난 7년 사이 악성코드가 25,000%나 늘어났다고 보고한다. 게다가 내부에서 발생되는 그러한 공격은 대개 감지되지 않는데 WAN 방화벽이나 IPS와 같은 주변 기반 보안이 WAN으로부터 들어오는 트래픽만 체크하기 때문이다.

 

특히 주변 기반 보안은 다른 내부의 감염된 시스템으로부터 내부 시스템이나 서버로의 공격에 대해 무용지물이다. 필자가 알기로는 어느 회사에서 누군가가 아웃바운드WAN 링크를 채우고 다른 시스템들이 외부에 닿는 것을 차단시켰는데 가짜 랜덤 소스 IP주소를 사용하고 있었기 때문에 범인의 위치를 정확히 찾아낼 수 없었던 경우도 있었다. 패턴이 보이는가? 핵심은 사용자들로부터 숨는 것이다. 사용자들이 모르게 설치되고 작동된다. 그리고 내부에서 발생된 공격은 훨씬 더 파괴적인 결과를 낼 수 있다.

 

좀비 컨트롤은 어떻게 행해지는가?

일단 감염되면 맬웨어는 사용자가 모르게 작동한다. 사용자로부터 숨기 위해 어떤 맬웨어는 심지어 인터넷 익스플로러 프로세스를 사용하기도 한다. 그것은 백그라운드에서 IRC 서버로 연결해서 한 개, 혹은 그 이상의 채널에 합류한다.

봇넷 사용자가 누구인지에 따라, 혹은 맬웨어 작성자가 누구든지 그것은 다른 채널에 접속할 것이다. 그 다음에  이러한 맬웨어는 손상된 시스템으로부터 특정한 정보를 보내거나 특정한 명령을 따르도록 프로그램 된다.

대부분의 봇넷 실행자들은 법을 피하기 위해 할 수 있는 것은 무엇이든 한다. 그들은 위치 추적을 더욱 어렵게 하기 위해 다중 홉 연결을 사용한다. 또한 그들은 노트북이나 인터넷 접속만 있으면 어디서든 컨트롤 할 수 있는 좀비를 사용할 수도 있다.

최근 산 호세 머큐리 뉴스(San Jose Mercury News)는 모든 사이버 범죄자는 매우 조직화되었고 능률적인 기계처럼 작동한다고 보도했다. 보안 업계가 피싱의 마이크로소프트라고 부르는 록 피시(Rock Phish)라는 이름의 대표적인 단체는 러시아에 위치해있다. 록 피시는 고작 2년 전에 나타났지만, 전 세계적인 피싱 방법으로 사용되며 1년에 1억 달러 이상을 벌어들인다.

그것은 법령을 피하기 위해 고안된 매우 복잡한 과정으로 피싱 이메일 보내고 자금을 모은다. 범죄를 저지르기 위해 물리적인 장소가 필요한 전통적인 범죄와 달리, 사이버 범죄자들은 손가락 끝으로 원거리에서 수천, 수백만의 사람들을 공격 할 수 있다. 또한, 불안정한 정부와 미약한 법 집행은 종종 그들이 수월하게 국경 뒤로 숨을 수 있게 해준다.

한국에 내재된 의미

가장 발전된 네트워크와 더불어 가장 높은 광통신망 시장 점유율로 네트워크를 통해 제공되는 서비스에 상당히 의존하고 있는 한국에 내재된 의미는 다른 어느 나라보다 훨씬 심각하다.

 

최근 한국 출장에서 필자는 DoS/DDoS 공격 문제를 가지고 있는 많은 잠재 고객들과 대화를 나눴다. 필자가 수집한 정보에 따르면 대부분의 공격은 대역폭 파일링 공격(bandwidth-filling attack)이었고 복잡한 공격이 아니어도 공격의 홍수에 빠지게 된다.

 

그저 큰 사이즈의 패킷을 다중 소스에서 아주 높은 속도로 보내기만 하면 된다. TCP든 UDP든 컨텐츠가 무엇이든 상관없다. 거기에 스위치(switch)나 라우터(router)도 압박하고 싶으면 패킷 사이즈를 작게 하여 고 비율로 보내면 된다.

이론적으로 10기가 트래픽을 발생시키기 위해서는 단 100개의 컴퓨터에서 100메가비트(Mbps)만큼의 트래픽을 발생시키면 된다(100x100Mbps=10000Mbps=10Gbps). 만일 미국 내 백만 개(FBI 보고 기준) 모두가 좀비공격을 위해 사용될 경우, 그들이 단지 트래픽을 10 Kbps 속도로 트래픽을 발생시키면 10Gbps의 결집된 트래픽이 된다(1Mx10Kbps=10Gbps).

시만텍은 중국은 약 1.4M, 한국은 90K의 좀비를 가지고 있다고 추정하므로 한국의 모든 좀비가 공격을 할 경우 좀비는 오직 111Kbps속도의 트래픽을 발생하면 10Gbps의 집결된 트래픽이 된다. 한국의 일반 사용자가 100Mbps의 인터넷 연결을 가지고 있다면 111Kbps의 트래픽은 오직 0.1%만 차지할 뿐이며, 그렇기 때문에 공격자를 찾는 것은 매우 어렵다.

최근 한국 내 DoS/DDoS 공격 고조는 의심할 바 없이 봇넷으로 인해 발생된 것이며 트래픽 총계의 규모로 판단하건대 대부분 국내에서 발생된 것이다. 인터넷으로 통하는 길이 정크로 가득 찼다면 소비자들이 실행하는 그 어떠한 솔루션도 문제를 해결할 수 없다. 그 누구도 정크가 역류하는 파이프를 통해서 접근할 수 없다. 이것은 엄청난 경제적 손실을 수반하며 특히 한국처럼 발달된 나라에서는 심각한 국가적인 이슈 또한 내포한다.

에스토니아와 같이 또 다른 높은 수준의 인터넷 연결 국가는 최근 빈번한 DoS/DDoS 공격을 당하고 있으며 그 공격은 정부 사이트와 은행들을 대상으로 한다. 만일 한국 정부 사이트가 엄청난 양의 DoS/DDoS 공격을 내보내고 서비스를 제공하지 못 한다면 어떤 일이 일어날까? 에스토니아는 그 공격을 러시아 탓으로 돌리고 있지만, 날조된 가짜 소스 IP 주소 때문에 그 주장을 증명하기는 어렵다. 다음 세계 대전은 사이버 공간 내에서 발발할 것이라는 견해까지 돌고 있다.

이 문제의 유일한 효과적인 해결책은 정부와 서비스 공급자에서부터 웹사이트 소유자와 PC 사용자를 포함한 엔드 유저에 이르기까지 모든 사람들을 필요로 한다. 정부는FBI와 같은 국제 법 집행부와 협력해 적극적으로 사이버 범죄자들과 싸워야 할 뿐만 아니라, 봇넷 실행자들을 처벌해야만 한다. 또한 서비스 공급자들과 협력하여 좀비들을 파악하고 좀비 소유자들을 공지 하여야 한다.

서비스 공급자들은 위협에 대해 그들의 네트워크를 끊임없이 모니터 해야 하며, 새로운 공격을 인지하기 위해 SANS 인터넷 스톰 센터(http://isc.sans.org) 와 같은 국제기구와 협력하여 새로운 공격을 탐지하며 공격의 소스를 확인하고 차단해야만 한다. 웹사이트 소유자들은 신중할 필요가 있으며 공격을 완화하기 위한 그들만의 기술적인 솔루션을 배치해야만 한다. 끝으로 PC 사용자들은 항상 최신 보안 패치를 설치해야 하고 안티 바이러스와 개인 방화벽을 가동시키고 의심스러운 웹사이트나 이메일에 대해 주의해야 한다.

인터넷은 이제 우리의 삶을 유지시키고 개선시키기 위해 존재하기 때문에 사이버 범죄에 대한 어려운 싸움 또한 존재할 수밖에 없다. 그 싸움은 결코 쉽지 않을 뿐만 아니라, 네트워크의 발달과 더 많은 서비스가 제공되고 네트워크 스피드가 증가할수록 더욱 악화될 것이다.

<글: 정양섭 기가핀네트웍스(GigaFin Networks)제품 매니저>

 

[월간 정보보호21c 통권 제89호(info@boannews.com)]

             

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>