‘로봇 네트워크’의 줄임말인 Botnet, 즉 봇넷이란 해커의 명령을 수행하는 감염된 디바이스의 대규모 집합입니다. 이런 감염된 장치를 ‘좀비’라고 부릅니다. 컴퓨터, 태블릿, 라우터 또는 스마트폰이 특정 멀웨어에 감염되면 다른 디바이스로 확산되어 봇넷이 더욱 커질 수 있습니다. 모든 악성 활동은 보이지 않는 곳에서 이루어지기 때문에 대부분의 경우 사용자는 운영 체제에 문제가 있다는 사실을 알지 못합니다.
해커는 봇넷을 사용하여 범죄 활동을 극대화하고 가능한 한 많은 악의적인 행동을 수행합니다. 한 명의 해커가 한 대의 디바이스에 의존해 피해를 입히고 돈을 버는 데는 한계가 있습니다. 하지만 봇 네트워크가 있다면 훨씬 더 큰 규모의 공격을 수행할 수 있습니다.
시스템 취약점을 찾아 봇넷을 만드는 해커를 봇 무리를 이끄는 자, 즉 ‘봇 허더(Bot Herder)’라고 합니다. 범죄자들은 때때로 자신의 ‘무리’를 다른 해커에게 빌려주기도 하므로, 직접 공격을 시작하지 않더라도 봇을 유지하고 확장하면 수익을 얻을 수 있습니다.
이 모델에서는 봇 마스터 역할을 하는 하나의 서버가 네트워크를 설정하고 운영합니다. 공격자는 모든 작업을 조율하고 감염된 디바이스와의 통신을 유지합니다. 각 봇은 제어 센터에 연결하여 지시를 받고 새로운 명령을 실행합니다. 그러나 봇 마스터는 쉽게 탐지되어 서버가 종료될 수 있습니다.
피어-투-피어(Peer-to-peer), 흔히 P2P라고 불리는 유형의 봇넷은 분산형이므로 운영을 담당하는 중앙 서버가 없습니다. 각 봇은 명령 및 제어 센터와 클라이언트 역할을 모두 수행할 수 있습니다. 일부 봇을 막는 데 성공하더라도 전체 운영에는 영향을 미치지 않습니다. P2P 봇넷은 싸우기가 훨씬 더 어렵고 그 뒤에 숨어 있는 공격자를 찾기가 어려울 수 있습니다.
다시 말하자면 봇넷은 인터넷에 연결된 장치의 그룹으로, 각 장치가 하나 이상의 봇을 실행합니다. 봇넷은 분산 서비스 거부 공격을 수행하고, 데이터를 훔치고, 스팸을 보내고, 공격자가 디바이스 및 연결에 액세스할 수 있도록 허용하는 데 사용될 수 있습니다. 소유자는 명령 및 제어 소프트웨어를 사용하여 봇넷을 제어할 수 있습니다.
예를 들어, 광고 사기 봇넷은 시스템의 웹 브라우저를 사용하여 사기 트래픽을 특정 온라인 광고로 전환하는 악성 소프트웨어로 사용자 PC를 감염시킵니다. 하지만 봇넷은 자신의 존재를 숨기기 위해 운영 체제(OS)나 웹 브라우저를 완전히 제어하지 않기 때문에 장치가 봇넷에 감염을 당해도 사용자는 시스템의 경고를 받지 못합니다.
분산 서비스 공격에서 해커는 특정 웹사이트, 서버 또는 네트워크를 표적으로 삼아 봇 군대를 투입합니다. 봇은 트래픽으로 네트워크를 막아 서비스를 중단시키고 실제 사용자의 액세스를 거부합니다. 공격자가 DDoS 공격을 수행하는 이유로는 여러 가지가 있습니다:
한 예로, 2020년 호주의 여러 은행과 금융 기관이 몸값을 지불하지 않으면 디도스 공격을 하겠다는 협박 이메일을 받았습니다. 이러한 유형의 위협은 인터넷에 의존하는 많은 대형 조직에서 흔히 볼 수 있는 일이 되었습니다. DDoS 공격으로 웹사이트나 애플리케이션이 다운되면 매분마다 수백만 달러의 매출 손실이 발생할 수 있습니다.
국내의 경우도 문제가 심각합니다. 2023년에 대한민국 경찰청에서 발표한 ‘사이버범죄 트렌드’에 따르면 최근 국내 주요 사이버테러 사건은 전국 PC방 DDoS 공격, 국회의원실·기자 사칭 악성 이메일 유포, 가상자산거래소 해킹, 아파트 월패드 해킹 등 정보시스템 공격이 주를 이뤘다고 합니다.
경찰청 사이버수사국은 다크 웹, 가상자산, 디도스(DDoS) 공격을 시급하게 해결해야 할 ‘3대 사이버테러수사 역점과제’로 선정, 관련 대응기술 및 수사기법 고도화를 위해 ‘사이버 범죄플랫폼 대응 TF’를 구성·운영해 다크웹·디도스 근원지 추적기술을 우선 확보하기로 했습니다.
해당 보고서에서 경고하고 있는 공격을 피하기 위해서는 VPN을 사용하는 것이 효과적이며 특히 국내 사용에 적합한 한국 VPN을 사용하는 것이 좋습니다.
해커는 피싱 이메일을 사용하여 랜섬웨어 공격을 수행하고, 스팸을 퍼뜨리고, 개인 정보를 훔치거나, 심지어 봇 군단에 디바이스를 추가합니다.
사이버 보안 전문가들은 매일 30억 개 이상의 가짜 이메일이 전 세계로 전송되고 있으며, 이는 봇넷 없이는 불가능한 일이라고 말합니다.
해커는 봇넷을 사용하여 브루트 포스라고 불리는 무차별 비밀번호 대입 공격을 수행하여 사설 네트워크에 침입할 수 있습니다. 봇넷은 일반적으로 사용되는 비밀번호의 조합을 시도하고 그 결과를 관제 센터에 보고할 수 있습니다.
때로는 컴퓨터가 ‘좀비’로 변했는지 알아차리기 어려울 수 있습니다. 하지만 다음과 같은 징후가 나타나면 주의를 기울여야 합니다: