|
봇과 바이러스의 차이
1) 웜 / 트로이목마 / 봇
웜은 네트워크를 통해 PC에 침입해 자기자신을 늘려간다. 봇 또한 네트워크를 통해 감염활동을 펼친다. 그러나 봇은 웜과 달리 외부 공격자의 명령에 따라 움직인다. 이는 트로이목마 대부분이 갖고 있는 기능으로 외부와 통신하기 위한 뒷문을 만들어 PC 내의 정보를 외부로 전송하거나 외부에서 PC를 제어할 수 있게 만든다.
이처럼 봇은 웜과 트로이목마의 악질적인 부분을 함께 갖추고 있다.
2) 수많은 변종이 존재
봇이 기존의 바이러스와 크게 다른점은 아종, 변종이 매우 많다는 점이다. 그 이유는 무엇일까?
3) 바이러스 작성 의도의 변화(‘목적’에서 ‘수단’으로)
봇이 기존의 바이러스 위협과 크게 다른 점은 프로그램이나 공격수법의 변화가 아니라 바이러스를 작성하는 인간의 ‘의도’가 변한 것에 있다고 할 수 있다.
원래 컴퓨터 바이러스는 바이러스 작성 자체나 유행시키는 것을 목적으로 해왔다. 바이러스 제작자는 자기과시욕을 만족시키기 위해 바이러스를 만들고 자신이 작성한 바이러스가 유행하는 것을 즐긴다. 자신의 힘으로 전세계를 떠들석하게 해보고 싶거나 아무도 만든 적이 없는 바이러스를 작성해 자신의 스킬을 과시하고 싶거나 또는 해커 커뮤니티에 협력하고 싶은 목적으로 바이러스를 만드는 것이다. 바꿔 말하면 바이러스를 작성해 유행시키는 것 자체가 목적인 것이다.
그러나 이런 바이러스 제작자의 성격이 변하기 시작했다. 봇넷을 조종하는 공격자의 목적은 봇 작성 자체나 유행, 봇넷의 구축이 아니다. 봇넷을 컨트롤함으로써 가능해지는 디도스(DDoS) 공격이나 정보유출, 스팸메일 발송 등은 모두 ‘금전적인 보수’로 연결된다. 바이러스 활동과 금전은 언뜻 보기에는 큰 관계가 없는 것처럼 보인다. 그러나 피싱에 의한 각종 개인정보 유출이 문제가 되고 있듯이 개인정보나 기업의 기밀정보, 고객정보는 쉽게 돈이 된다.
스팸메일 업자는 돈을 지불해서라도 스팸메일을 대량으로 발송할 수 있는 메일 서버망을 구축하고 싶어한다. 경쟁상대의 온라인숍을 도스(DoS) 공격으로 다운시키는 데 돈을 지불하는 업자도 있으며 특정 기업에 도스 공격을 행한다는 협박으로 금전을 갈취하는 케이스도 보고되고 있다. 이처럼 봇은 금전적인 보수를 위해 언더그라운드의 요구에 따라 진화해왔다. 바이러스 제작자에게 바이러스는 ‘목적’에서 ‘수단’으로 변했다고 할 수 있다.
봇이 발달한 이유 : 훌륭한 도구로서의 봇
바이러스가 목적에서 수단으로 변하면서 바이러스는 하나의 도구가 됐다. 도구는 쓰기 쉬운 것이 제일이며 그만큼 많이 사용된다. 그런 면에서 봇은 훌륭한 도구이며 그만큼 많이 발달한 것을 알 수 있다.
기존의 바이러스는 일단 네트워크로 흘러나가 공격을 시작하면 기본적으로 바이러스 제작자의 컨트롤을 벗어났다. 그러나 봇은 외부 공격자와 통신하면서 공격자의 컨트롤을 받는다. 인간의 컨트롤을 받는다는 것은 도구로서 중요한 점이다.
공격자는 봇과의 통신으로 감염 PC에 업데이트 모듈이나 기타 멀웨어를 보내 이미 확립한 봇넷의 전체 기능을 업데이트할 수도 있다. 이런 유연성도 봇이 도구로서 훌륭한 점이라고 할 수 있다. 봇이 도구로서 사용된다는 것은 봇의 명칭에서도 알 수 있다. 앞서 설명했듯 ‘봇(bot)’이라는 명칭은 ‘로보트(robot)’에서 유래됐다. 로보트에는 인간의 컨트롤을 받아 수족이 돼 일한다는 이미지가 있다. 사실 최초의 봇은 지금과 같은 존재는 아니었지만 현재의 봇은 이러한 로보트의 기능과 일치한다는 생각이 든다.
인터넷뱅킹 정보 및 계좌정보를 유출하는 ‘제우스봇’
이러한 설명을 바탕으로 봇 중에서도 가장 악질적인 것으로 유명한 ‘제우스봇’에 대해 살펴보자. ‘제우스봇’은 2005년 말 처음 발견됐으며 ‘Z봇’ 또는 ‘Kneber’ 등으로도 불린다. 제우스봇은 사용자의 키 입력정보를 기록해 인터넷뱅킹 거래 관련 주요정보나 계좌정보를 유출하기 위한 목적으로 활동한다. 소셜 네트워크 서비스 로그인 정보나 이메일 계정도 수집한다.
제우스 봇넷은 인터넷 상의 가장 큰 봇넷으로 간주되며 제우스 봇넷에 의해 해킹된 컴퓨터만 수백만 대(미국에서만 약 360만 대)에 이른다고 한다. 감염규모로는 전세계 196개국 2,411개의 조직이 제우스 봇넷에 감염된 것으로 추정된다. 2009년 6월에는 제우스 봇넷이 각종 기업 웹사이트의 FTP 계정 8만 8,000개를 탈취한 것이 밝혀졌으며 같은해 10월 28일에는 페이스북에 150만 개의 피싱 메시지를 전송, 11월에는 버라이존 무선사업부의 이메일을 통해 900만 개의 피싱 이메일을 발송하기도 했다. 최근에는 ‘Kneber’라는 변종이 은행 사이트를 주목표로 활발히 활동하고 있다.
제우스봇은 유명 기업을 사칭한 스팸메일이나 악성 웹사이트를 통해 PC에 침입한다. 그 감염경로는 다음과 같다.
이러한 제우스봇은 지하 경제에서 700달러 내외로 구입할 수 있으며 툴킷을 사용해 간단한 조작만으로 봇을 만들 수 있다. 제우스봇은 안티 바이러스 소프트웨어에 탐지되지 않게 하기 위해 바이러스 코드를 암호화하거나 압축해 코드의 형태를 바꾸는데 툴킷 중에서는 이러한 압축형식이나 암호형식을 선택할 수 있는 것도 있다.
실제 제우스봇 툴킷 화면을 살펴보자. Options 메뉴를 통해 reports 폴더 및 Encrytion key(암호화 키)를 설정할 수 있는 것을 알 수 있다. 또한 Summary 메뉴를 통해 설치된 봇의 접속정보를 알 수 있으며 Bots 메뉴에서는 해당 봇의 상세정보를 확인할 수 있다. 봇이 사용자의 메일계정 정보 등을 기록해 공격자 서버로 전송하면 공격자는 툴킷을 통해 그 로그를 확인할 수 있다.
이러한 툴킷을 사용해 전세계 수많은 바이러스 제작자들이 수백만 개의 제우스봇 변종을 만들고 있는 것이다. 따라서 기존의 시그니처 방식만으로는 이런 변종을 모두 탐지하기란 거의 불가능하며 행위 기반 보안방식 및 중앙 관리 방식 같은 기술 등을 통해 알려지지 않은 봇까지 탐지하고 자동으로 제거, 치료하는 보안대책이 필요하다.
좀비PC 탐지 및 치료 솔루션
트렌드마이크로의 ‘좀비PC 탐지 및 치료 솔루션(Threat Management Solution)(TMS)’은 디도스(DDoS) 공격 및 정보유출을 유발하는 ‘봇’을 탐지하고 자동으로 치료하는 데 특화된 장비다. 최신 바이러스 백신으로 업데이트하는데도 좀비PC의 피해가 생기는 이유는 좀비PC에 침입한 ‘봇’이 기존의 바이러스와는 달리 네트워크 통신을 통해 활동하거나 다른 프로그램이 구동할 때 편승해 활동하기 때문에 일반적인 바이러스 스캔방식으로는 탐지가 어렵다는 데 있다. 또한 탐지를 하더라도 많은 사용자의 PC를 일일이 대응하기가 어려워 봇의 치료 또한 어려운 과제였다.
트렌드마이크로 솔루션은 사용자 PC에 설치된 에이전트 프로그램을 통해 중앙에서 자동적으로 봇을 제거하는 특징을 갖고 있다. 특히 사용자 PC에 설치되는 치료 솔루션은 시스템 리소스를 거의 차지하지 않으며 타 백신 프로그램들과 충돌 사례가 없음은 물론 오진의 경우에도 일선 관리자들이 조치를 취할 수 있도록 설계돼 있다.
<글 : 한국트렌드마이크로 마케팅팀>
[월간 정보보호21c 통권 제119호(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
|