봇넷의 의미와 봇넷 해킹 유형
봇은 사람의 개입 없이 다양한 작업을 수행하도록 설계된 프로그램입니다. 최근 많은 관심을 받고 있는 챗GPT도 봇의 일종이지요. 하지만 누군가 봇을 마음대로 조종할 수 있다면 어떤 일이 일어날까요? 해커는 봇넷 구축을 통해 더 많은 디바이스에 침투하여 대규모 사이버 공격을 시작하고 전체 네트워크를 다운시킬 수 있습니다. 이 글에서는 봇넷(botnet)의 의미와 작동 원리를 살펴보겠습니다.
봇넷의 정의와 작동 원리
‘로봇 네트워크’의 줄임말인 Botnet, 즉 봇넷이란 해커의 명령을 수행하는 감염된 디바이스의 대규모 집합입니다. 이런 감염된 장치를 ‘좀비’라고 부릅니다. 컴퓨터, 태블릿, 라우터 또는 스마트폰이 특정 멀웨어에 감염되면 다른 디바이스로 확산되어 봇넷이 더욱 커질 수 있습니다. 모든 악성 활동은 보이지 않는 곳에서 이루어지기 때문에 대부분의 경우 사용자는 운영 체제에 문제가 있다는 사실을 알지 못합니다.
해커는 봇넷을 사용하여 범죄 활동을 극대화하고 가능한 한 많은 악의적인 행동을 수행합니다. 한 명의 해커가 한 대의 디바이스에 의존해 피해를 입히고 돈을 버는 데는 한계가 있습니다. 하지만 봇 네트워크가 있다면 훨씬 더 큰 규모의 공격을 수행할 수 있습니다.
시스템 취약점을 찾아 봇넷을 만드는 해커를 봇 무리를 이끄는 자, 즉 ‘봇 허더(Bot Herder)’라고 합니다. 범죄자들은 때때로 자신의 ‘무리’를 다른 해커에게 빌려주기도 하므로, 직접 공격을 시작하지 않더라도 봇을 유지하고 확장하면 수익을 얻을 수 있습니다.
봇넷의 유형
클라이언트-서버 모델
이 모델에서는 봇 마스터 역할을 하는 하나의 서버가 네트워크를 설정하고 운영합니다. 공격자는 모든 작업을 조율하고 감염된 디바이스와의 통신을 유지합니다. 각 봇은 제어 센터에 연결하여 지시를 받고 새로운 명령을 실행합니다. 그러나 봇 마스터는 쉽게 탐지되어 서버가 종료될 수 있습니다.
피어-투-피어 모델
피어-투-피어(Peer-to-peer), 흔히 P2P라고 불리는 유형의 봇넷은 분산형이므로 운영을 담당하는 중앙 서버가 없습니다. 각 봇은 명령 및 제어 센터와 클라이언트 역할을 모두 수행할 수 있습니다. 일부 봇을 막는 데 성공하더라도 전체 운영에는 영향을 미치지 않습니다. P2P 봇넷은 싸우기가 훨씬 더 어렵고 그 뒤에 숨어 있는 공격자를 찾기가 어려울 수 있습니다.
일반적인 봇넷 공격
다시 말하자면 봇넷은 인터넷에 연결된 장치의 그룹으로, 각 장치가 하나 이상의 봇을 실행합니다. 봇넷은 분산 서비스 거부 공격을 수행하고, 데이터를 훔치고, 스팸을 보내고, 공격자가 디바이스 및 연결에 액세스할 수 있도록 허용하는 데 사용될 수 있습니다. 소유자는 명령 및 제어 소프트웨어를 사용하여 봇넷을 제어할 수 있습니다.
예를 들어, 광고 사기 봇넷은 시스템의 웹 브라우저를 사용하여 사기 트래픽을 특정 온라인 광고로 전환하는 악성 소프트웨어로 사용자 PC를 감염시킵니다. 하지만 봇넷은 자신의 존재를 숨기기 위해 운영 체제(OS)나 웹 브라우저를 완전히 제어하지 않기 때문에 장치가 봇넷에 감염을 당해도 사용자는 시스템의 경고를 받지 못합니다.
디도스(DDos) 공격
분산 서비스 공격에서 해커는 특정 웹사이트, 서버 또는 네트워크를 표적으로 삼아 봇 군대를 투입합니다. 봇은 트래픽으로 네트워크를 막아 서비스를 중단시키고 실제 사용자의 액세스를 거부합니다. 공격자가 DDoS 공격을 수행하는 이유로는 여러 가지가 있습니다:
- 비즈니스 라이벌의 서비스 방해
- 정치 캠페인 방해
- 사적인 복수심
- 핵티비즘(정치적 의제 또는 사회 변화 촉진)
- 국가 간 사이버 전쟁
- 금전적 이익
한 예로, 2020년 호주의 여러 은행과 금융 기관이 몸값을 지불하지 않으면 디도스 공격을 하겠다는 협박 이메일을 받았습니다. 이러한 유형의 위협은 인터넷에 의존하는 많은 대형 조직에서 흔히 볼 수 있는 일이 되었습니다. DDoS 공격으로 웹사이트나 애플리케이션이 다운되면 매분마다 수백만 달러의 매출 손실이 발생할 수 있습니다.
국내의 경우도 문제가 심각합니다. 2023년에 대한민국 경찰청에서 발표한 ‘사이버범죄 트렌드’에 따르면 최근 국내 주요 사이버테러 사건은 전국 PC방 DDoS 공격, 국회의원실·기자 사칭 악성 이메일 유포, 가상자산거래소 해킹, 아파트 월패드 해킹 등 정보시스템 공격이 주를 이뤘다고 합니다.
경찰청 사이버수사국은 다크 웹, 가상자산, 디도스(DDoS) 공격을 시급하게 해결해야 할 ‘3대 사이버테러수사 역점과제’로 선정, 관련 대응기술 및 수사기법 고도화를 위해 ‘사이버 범죄플랫폼 대응 TF’를 구성·운영해 다크웹·디도스 근원지 추적기술을 우선 확보하기로 했습니다.
해당 보고서에서 경고하고 있는 공격을 피하기 위해서는 VPN을 사용하는 것이 효과적이며 특히 국내 사용에 적합한 한국 VPN을 사용하는 것이 좋습니다.
피싱 공격
해커는 피싱 이메일을 사용하여 랜섬웨어 공격을 수행하고, 스팸을 퍼뜨리고, 개인 정보를 훔치거나, 심지어 봇 군단에 디바이스를 추가합니다.
사이버 보안 전문가들은 매일 30억 개 이상의 가짜 이메일이 전 세계로 전송되고 있으며, 이는 봇넷 없이는 불가능한 일이라고 말합니다.
무차별 대입 공격
해커는 봇넷을 사용하여 브루트 포스라고 불리는 무차별 비밀번호 대입 공격을 수행하여 사설 네트워크에 침입할 수 있습니다. 봇넷은 일반적으로 사용되는 비밀번호의 조합을 시도하고 그 결과를 관제 센터에 보고할 수 있습니다.
내 컴퓨터가 봇넷의 일부인지 확인하는 방법
때로는 컴퓨터가 ‘좀비’로 변했는지 알아차리기 어려울 수 있습니다. 하지만 다음과 같은 징후가 나타나면 주의를 기울여야 합니다:
- 기기의 속도가 느려지고 평소보다 자주 충돌이 발생함
- 의심스러운 이메일이 연락처 목록으로 전송됨
- 컴퓨터를 종료하는 데 시간이 오래 걸리거나 컴퓨터를 끄는 데 문제가 있음
- 새 시스템 업데이트를 다운로드할 수 없음
- 인터넷 연결 속도가 느려짐
- 설치한 기억이 없는 의심스러운 프로그램이 장치에서 실행됨
봇넷을 통한 멀웨어 감염을 방지하는 5가지 방법
- 소프트웨어를 정기적으로 업데이트하세요. 해커는 항상 네트워크와 연결된 장치를 감염시킬 소프트웨어 취약점을 찾고 있습니다. 운영 체제와 앱을 제때 업데이트하면 피해자가 될 위험을 줄일 수 있습니다.
- 의심스러운 링크를 클릭하지 마세요. 피싱은 일반적으로 멀웨어를 퍼뜨리고 컴퓨터를 ‘좀비’로 만드는 데 사용되므로 모든 링크를 철저히 검토하는 것이 좋습니다. 해커는 정부 기관이나 잘 알려진 회사를 사칭하여 사용자가 자신의 합법성을 믿도록 속일 수 있습니다.
- 바이러스 및 위협 방지Pro 기능을 사용하세요. 이 기능은 사이버 위협이 디바이스에 실제 피해를 입히기 전에 무력화합니다. 또한 멀웨어가 포함된 파일을 식별하고, 악성 웹사이트로 이동하는 것을 차단하며, 트래커와 방해가 되는 광고를 즉시 차단합니다.
- 비밀번호 위생을 실천하세요. 모든 계정에 동일한 비밀번호를 사용하지 마세요. 라우터와 IoT 장치(스마트 프린터, 홈 보안 시스템 등)의 기본 비밀번호를 변경하세요. 대문자와 소문자, 숫자 및 특수 기호가 포함된 비밀번호를 사용하는 것이 좋습니다. 모든 계정에서 보호를 강화하려면 NordPass와 같은 비밀번호 관리자를 사용하는 것을 고려하세요.
- VPN을 사용하세요. VPN (가상 사설망)은 인터넷 트래픽을 암호화하여 아무도 사용자의 온라인 활동을 볼 수 없도록 합니다. 범죄자들은 종종 보안되지 않은 라우터를 사용하여 가짜 Wi-Fi 핫스팟을 통해 또는 홈 네트워크를 직접 타겟팅하여 연결된 장치를 멀웨어로 감염시킵니다. 하나의 NordVPN 계정으로 라우터를 포함하여 최대 6개의 장치를 보호하고 봇넷에 추가될 위험을 줄일 수 있습니다.