돈 시겔의 <신체강탈자의 침입>이란 영화에선 평온하게 살고 있던 사람들이 정신이 이상한 좀비로 등장한다. 외계에서 날아온 이상한 꽃씨가 발아해 마을에 점점 퍼지며 그 꽃이 사람들이 잠 잘 때마다 신체를 복사해 온 마을을 위협한다. 이 테마를 리메이크 한 최근 영화 프란시스 로렌스의 <나는 전설이다> 역시 좀비를 다룬 영화다. 이상 바이러스에 감염되어 전 인류가 변종 인류로 변해 버렸고 유일한 생존자 로버트 네빌(윌 스미스)만이 인류를 구하기 위해 고군분투하는 모습을 그린다. 그렇게 우리는 영화와 같은 픽션의 세계에서 많은 좀비를 만난다. 하지만 그것이 정말 픽션에 불과한 것일까? 아니다. 지금 우리가 살고 있는 바로 이 현실에서도 우리네 삶과 지능을 위협하고 있는 좀비가 곳곳에 도사리고 있다. 상상 속, 픽션의 세계에서만 가능한 줄 알았던 좀비의 공격을 우리도 모르는 사이에 받고 있다는 얘기다. 물론 영화에서처럼 인류 전체를, 인간 자체를 공격하는 좀비는 아니다. 현실에서 우리가 받고 있는 좀비의 공격은 악성 봇과 같은 악성 프로그램에 의해 감염된 컴퓨터로부터 침입이다. 요즘 같이 이메일이 보편화되어 있고, 하루라도 인터넷 검색을 하지 않으면 입안에 가시가 돋을 지경에서는 직접적인 신체강탈자의 침입이 아닐지라도 그 위험도는 가히 무시할 수 없다.
도대체 좀비PC가 뭐길래?
무시무시한 위험을 지닌 좀비PC는 도대체 무엇인가? 좀비PC란 로봇 프로그램의 일종인 악성 봇에 감염되어 사용자 자신도 모르게 다양한 불법 행위에 악용되는 PC를 일컫는다. 그렇다면 나도 모르는 사이 내 PC를 좀비로 만들어버리는 악성 봇은 무엇인가? 악성 봇이란 사용자 몰래 일반 PC에 설치되는 백도어 프로그램에서 발전한 것으로 Agobot, IRCBot, rBot 등 bot이라는 접미사가 붙는 모든 종류의 악성코드를 지칭하는 것으로 기존의 바이러스나 웜과는 그 성격이나 공격 양태가 훨씬 더 지능적이다.
봇(bot)이란 용어는 로봇(Robot)에서 비롯된 로봇 프로그램의 일종으로 해커 혹은 봇 유포자가 원격지에서 봇에 감염된 시스템을 조정할 수 있음을 의미한다. 즉, 봇은 일반 PC를 해커가 마음대로 조정할 수 있어 신체를 강탈당한 좀비로 만들어 버린다는 것이다.
일반적으로 윈도우 시스템의 취약점을 악용하는 악성 봇은 웜처럼 자동으로 전파되며, 대개 악성 봇에 감염된 PC는 특정 사이트의 서비스 거부공격을 비롯해 불법 프로그램을 유포하거나, 스팸메일 발송, 개인정보 유출, 애드웨어 및 스파이웨어 설치하는데 악용된다.
무엇보다 악성 봇에 대한 우려의 목소리가 높은 것은 악성 봇 프로그램의 소스가 해커들 사이에서 공유되거나 제작자간에 거래됨에 따라 수많은 변종이 양산돼 사용자가 적절한 대응책을 마련하는데 어려움이 있다는 점이다.
좀비PC 이용한 DDoS 공격 기승
그 대표적인 예가 그간은 아이템 거래나 P2P 사이트에 집중됐었으나 최근 들어 일반 사이트로 확산되고 있는 분산서비스거부(DDoS : Distributed Denial of Service) 공격이다. DDoS 공격은 공격 목표 호스트로 대량의 네트워크 트래픽을 생성시켜 대상호스트의 네트워크 서비스기능을 일시적 또는 완전히 정지시키는 공격유형인 일반적인 DoS(Denial of Service) 공격보다 훨씬 더 강력한 파괴력을 가진 공격 유형으로 DoS 공격을 하나가 아닌 여러 개의 호스트가 담당한다는 데 그 차이가 있다. 즉, DDoS 공격은 하나가 아닌 다양한 호스트에서 IP망을 통해 특정 서버에 다량의 트래픽을 보내는 방식으로 해당 서버를 다운시키거나 네트워크를 마비시켜 서비스를 중단시킨다. 쉽게 말해 대량의 트래픽을 유발해 해당 네트워크를 마비시키는 수법으로 정보를 빼내는 것을 목적으로 하는 해킹과는 또한 무관하다. 일례로 약 1,000대의 좀비 PC가 동시에 해커의 DDoS 공격명령을 받아 특정 사이트로 공격을 시도할 경우, 중소규모의 네트워크는 마비되고 그 사이트 역시 서비스 장애가 발생하게 된다. 더욱이 1대의 봇넷 서버에 1,000대 이상의 좀비PC가 연결될 수 있어 서버 한대의 위력은 어마어마하다고 할 수 있다. 특히 이들은 금전을 노리고 특정 사이트를 계속 공격하는 경우가 많고 범죄조직에 의해 구체적으로 자동화되고 있는 실정이어서 그 피해는 갈수록 더 커지고 있다. DDoS 공격은 천재지변과 같은 불가항력적이라 해도 과언이 아닐 정도다.
좀비PC를 이용한 DDoS 공격 개요도 <출처: KISA>
악성 봇, 어떻게 작동되나?
이처럼 어마 어마한 피해를 낳는 악성 봇은 어떻게 작동되는 것일까? 해커에 의해 제작된 악성 봇은 윈도우와 같은 운영체제의 취약점을 가진 PC나 바이러스 백신 등이 설치되지 않은 PC를 대상으로 삼는다.
해커는 Botnet C&C(Command & Control)라는 서버를 구축한 후 악성 봇에 감염될 PC를 스캐닝해 이중 취약점 패치가 이뤄지지 않았거나, 바이러스 백신 프로그램이 설치되지 않은 PC를 감염시켜 BotNet C&C의 명령 즉, 해커의 명령을 받는 ‘좀비 PC’를 만든다.
특히 최근에는 복잡한 전파방법을 이용하기보다는 MSN과 같은 인스턴트 메신저를 이용해 봇을 전파하거나 운영체제가 아닌 응용 프로그램의 취약점을 이용하는 경우가 늘고 있다. 일례로 ip.js, w.js, 0,js, 1.js, fuckjp.ks, fuckjp.js 등의 파일이 DDoS 공격에 악용된 바 있어 일부 ISP에서는 해당 IP 자체를 차단하기도 했다. 뿐만 아니라 최근에는 하나의 취약점을 이용한 전파방법에서 진화해 동시에 몇 개의 취약점을 사용해 전파하는 등 보다 지능화되는 추세를 보이고 있다.
특히 갈수록 더욱 진화되는 봇의 공격. 그렇다면 빨리 감지해 내어 치료하면 되는 것 아닐까. 단순하게 생각하면 그렇다. 하지만 악성 봇의 공격의 심각한 문제로 대두될 수밖에 없는 또 하나의 문제는 그 공격양상의 파괴력이 어마 어마하다는 것 외에도 감염 여부를 쉽게 알아내기가 힘들다는데 있다. 많은 사용자들은 PC에 악성 봇에 감염됐다면 바이러스나 웜처럼 컴퓨터 사용자들이 감염사실을 쉽게 인지할 수 있을 것이라고 여기지만 최근의 악성 봇은 일반적인 웜이나 바이러스에 감염 후 나타나는 증상인 사용자 PC 사용과정에서의 속도 저하나 접속 장애 등의 문제를 일으키지 않는다. 따라서 일반 사용자들이 봇의 감염 여부를 알아내기란 좀처럼 쉽지 않다. 내PC가 좀비인지 아닌지 자체를 판단하기가 어렵다는 얘기다. 더욱이 최근에는 악성 봇이 백신 프로그램이나 다른 보안 프로그램을 공격해 강제 종료시키거나 백신 프로그램의 업데이트를 차단함으로써 자신의 존재를 은폐하기도 해 사용자에게 위협적인 존재가 되고 있다.
자칫하면 내 PC가 좀비로
자칫하면 내PC가 내가 남에게 피해를 주는 좀비로 둔갑한다는 것이다. 그런데 도대체 감염된 PC들은 어디에 어떻게 악용되는 것일까? 가장 쉽게 악용되는 경우는 개인정보다. 감염된 PC를 봇 제작자인 해커는 마음대로 조정할 수 있기 때문에 사용자가 아이디와 비밀번호 등 개인정보를 입력할 경우, 봇 제작자가 Key Logging 기능을 통해 손쉽게 개인정보를 수집할 수 있다. 비단 해커의 개인정보 불법 수집뿐만이 아니라 봇에 감염된 PC는 불법 프로그램을 유포하거나 스팸메일을 발송하는 역할을 수행할 수도 있으며, 이로 인해 해당 시스템과 시스템이 속한 네트워크에는 부하가 발생해 장애가 유발된다. 물론 이 순간부터 감염된 PC는 피해자의 입장이 아닌 제3의 공격용 PC로 말 그대로 좀비가 되어 버린 것이다.
특히, 피해자 PC에서 공격자 PC로 변화된 좀비PC의 가장 큰 문제는 앞서도 언급한 그 파괴력이 일반적인 DoS 공격에 비해 훨씬 더 큰 DDoS 공격에 악용된다는 점이다. 더욱이 DDoS 공격 수위는 갈수록 높아지고 있지만 아직까지 고가의 보안장비 구축 외에는 뚜렷한 해결책이 없는 상황에서 봇에 감염된 좀비PC의 증가는 가장 큰 위협 요소가 되고 있다.
마이크로소프트사의 보안게시판
그렇다고 두 손 놓고 당하고만 있어야 하는 것인가? 좀비가 되지 못하게 하는 면역체를 갖는 방법은 없는 것일까? 악성 봇의 감염으로부터 자신의 PC를 보호하는 가장 효과적인 방법은 운영체제의 보안패치를 최신의 유지하는 것이다. 악성 봇 프로그램들은 운영체제의 보안상의 취약점을 이용하고, 백신이 없는 PC를 좀비로 만드는 경우가 많기 때문에 보안 상의 오류를 복구해주는 보안패치를 수시로 확인하여 최신의 상태를 유지해 주어야 한다. 또한 백신 프로그램을 설치하고 이에 대한 정기적인 업데이트를 실시하는 것 또한 중요하다. 사용자가 악성 봇으로부터 자신의 PC를 보호하는 대처방안이 비교적 간단한 것처럼 보이지만 이런 손쉬운 대응과 예방이 없다면 한 순간에 내 PC가 남의 PC의 신체를 강탈하는 좀비가 될 수 있음을 잊지 말고 항상 보안패치 프로그램이나 백신 자동 업데이트를 생활화하도록 하자.@
[저자]신선자 IT칼럼니스트
[안철수연구소 2008-05-28] | |
