컴퓨터를 좀비로 만드는 ‘봇’ 극성
트렌드마이크로(www.trendmicro.co.kr 지사장: 함재경)은 최근 미국과 유럽을 중심으로 전세계적으로 원격 조종되는 좀비 컴퓨터 수치가 지난해 9월에 비해 23.5배가 증가했다고 발표했다.
트렌드마이크로의 신종 네트워크 바이러스 발생시 신속한 대응을 위해 아웃브레이크 솔루션센터인 TrendLabs(필리핀 마닐라 소재) 에 따르면 최근 봇에 감염된 컴퓨터 수치가 급격히 증가한 것으로 보고되고 있다.
이 보고서는 지난해 9월에 TrendLabs가 겨우 17개의 봇 프로그램을 감지한 반면, 올해 9월 한달동안에는 그 수치가 400개로 증가했다.
이는 해커가 네트워크를 조종함으로써 파급될 수 있는 위험 수위가 날로 증가하고 있다는 것을 의미한다.
좀비 컴퓨터(Zombie computer)란 용어는 봇 원격 제어 프로그램에 의해 감염되어 원격 해커의 명령에 따라 제어되는 시스템을 말한다.
시스템이 봇 프로그램에 의해 감염되어 소위 ‘좀비 네트워크’ 또는 ‘봇넷(Botnet)’이라 불리는 공격자에 의해 원격 제어되는 경우 해당 시스템은 스팸 메일 전달은 물론 분산 서비스 거부(DDOS) 공격과 새로운 공격 소스 코드를 위한 실행 장치 역할을 담당하게 된다(봇 - 정의 참조).
이와함께 TrendLabs는 9월에 트로이 목마 프로그램이 계속 증가하여 전체 바이러스 감염의 45%를 차지했다고 보고하고 있다.
백도어 프로그램(백도어는 기본적으로 원격 액세스 트로이 목마에 해당)이 이 수치에 포함될 경우 9월에 트로이 목마가 전체 바이러스 감염의 61%를 차지하는 셈이다.
9월에 출현한 Troj_Small.EJ 바이러스가 감염 시스템의 툴바에 광고 소프트웨어를 설치하는 것 못지 않게 더욱 우려할만한 것은 이러한 트로이 목마의 대부분이 금융 정보를 빼내기 위한 공격에 관여하고 있다는 점이다.
특히 초고속 인터넷망을 갖추고 방화벽이 설치되지 않은 모든 PC는 해커의 공격에 노출될 위험이 매우 높다.
이와함께 보안이 취약한 컴퓨터는 이보다 훨씬 더 쉽게 봇넷/좀비 네트워크의 일부가 될 수있다.
트렌드마이크로는 모든 사용자가 정기적으로 소프트웨어 패치를 적용하는 것은 물론 Windows 설치 후 Windows 업데이트 사이트 <http://windowsupdate.microsoft.com/>;를 방문하는 것과 같이 정기적으로 모니터링하는 습관의 중요성을 강조했다.
한국트렌드마이크로 이상규 부장은 “해외에서는 특히 금융권을 중심으로 개인정보를 빼내기 위한 좀비 컴퓨터 발생함에 따른 중요 정보 유출 사례가 급증하고 있다”며 “국내에서도 봇 프로그램 등에 대한 대비책 마련 및 주의해야 한다”고 말했다.
*봇 - 정의
봇(bot)이란 원격 제어 프로그램을 설명하기 위한 용어로서 로봇(robot)이란 단어에서 유래한 용어다.
해커는 이미 알려진 보안 결함을 이용하여 원격으로 시스템을 제어할 목적으로 봇을 사용한다.
해커는 간단히 봇 프로그램에 명령을 내림으로써 감염된 모든 컴퓨터가 다른 취약 시스템을 지속적으로 검색하도록 지시할 수 있으며 그 다음 해커는 해당 프로그램을 반복 복제하기 때문에 취약 시스템은 봇/좀비 네트워크의 일부로 종속된다.
일반적으로 봇은 IRC 채널을 통해 감염된 시스템을 제어한다.
봇을 사용하면 원격으로 제어되는 좀비 컴퓨터가 특정 웹사이트를 공격하거나 다른 취약 시스템을 검색하도록 명령을 내릴 수 있다.
해커는 프로그램의 CD 암호를 쉽게 도용하고, 시스템 작동을 중지시키며, 데이터를 다운로드/업로드하고, 개방된 포트를 검색하거나 다른 백도어 프로그램을 사용하여 시스템을 감염시킬 수 있다.
해커가 이런 식으로 제어되는 수천대의 컴퓨터를 사용하여 좀비 네트워크 또는 봇넷을 형성할 경우 분산 서비스 거부 공격이나 기타 다른 종류의 공격을 감행함으로써 더욱 심각한 문제가 발생할 수 있다.
또한 이러한 컴퓨터가 불법적인 스팸 메일 제작자의 통제 하에 놓이게 될 경우 가짜 이름으로 메일을 발송하는 매개체 역할을 담당하게 된다.
해커가 컴퓨터를 공격할 수 있는 기회가 계속 주어지는 한 이러한 봇/좀비는 시스템에 몰래 상주하며 해커의 명령에 따라 움직이게 된다.
*기타 용어 설명 : DDOS(Distributed Denial of Service : 분산 서비스 거부 공격) 은 DOS 공격을 보다 효과적이며 강력하게 공격하기 위한 방법으로 사용한다. 분산 서비스 거부 공격은 서비스 거부 공격의 추적이 용이하지 않게 하며 더욱 강력한 공격을 취할 수 있다. 먼저 목표를 공격하기 위한 타인의 시스템을 공격하여 시스템을 장악한 후 최대한 시스템 관리자에게 들키지 않도록 하고 실제 목표로 하는 시스템을 공격하기 위한 프로그램을 설치하게 된다.
또한 공격 유형을 알 수 없고 추적이 불가능하게 공격시 사용하게 될 명령들은 암호화 방법 등을 동원한다.. 여기서 사용되는 프로그램은 패킷을 암호화하게 되므로 일반적인 스니퍼나 IDS (Intrusion Detection System : 침입탐지 시스템 ) 운영시에도 이것이 암호화되어있기 때문에 정상적인 패킷으로 인식한다. 따라서 공격자는 일정 시간에 미리 확보한 서버의 프로그램을 이용하여 명령을 전달함으로써 추적이 용이하지 않은 상황을 만들어 시스템을 확보한 개수에 비례하여 목표가 되는 시스템을 강력하게 공격할 수 있게 된다. 따라서 사전 준비 완료 후 단시간에 시스템을 강력하게 공격하여 서비스가 불가능하도록 만드는 것이다.
웹사이트: http://www.trendmicro.co.kr
연락처
트레이 이지영 722-7697
-
2006년 12월 21일 11:22