▒ 웜의 특성을 가진 로봇 프로그램의 일종인 악성 봇은 PC가 해커의 악의적인 명령을 수행하도록 하는 악성 프로그램 중 하나입니다.


악성 봇에 감염될 경우, 사용자도 모르게 자신의 PC가 다양한 불법 행위에 악용되는데, 이런 악성 봇의 감염으로부터 자신의 PC를 보호하는 가장 효과적인 방법은 운영체제의 보안 패치를 최신의 상태로 유지하는 것입니다.
악성 봇에 대한 대처방안이 비교적 간단한 것처럼 보이지만, 이런 손쉬운 대응이 없다면 어떤 문제가 발생할 수 있는지 알아보도록 하지요.


◈ 악성 봇(Bot)이란 무엇인가요?


사용자 몰래 일반 PC에 설치되는 백도어(용어설명) 프로그램에서 발전한 악성 봇은 Agobot, IRCBot, rBot 등의 이름에서도 알 수 있듯, bot이라는 접미사가 붙는 모든 종류의 악성코드를 지칭하고 있습니다.
기존의 바이러스나 웜 등의 용어와 구분되는 ‘bot’은 로봇(Robot)에서 비롯된 것으로, 해커 혹은 봇 유포자가 원격지에서 봇에 감염된 시스템을 조정할 수 있다는 의미를 갖고 있습니다. 즉, 봇은 일반 PC를 해커가 마음대로 조정할 수 있도록 만드는 로봇 프로그램이라고 볼 수 있습니다.


일반적으로 윈도우즈 시스템의 취약점을 악용하는 악성 봇은 웜처럼 자동으로 전파되는 특징을 가지고 있으며, 대개 악성 봇에 감염된 컴퓨터는 특정 사이트의 서비스 거부공격을 비롯해 불법 프로그램을 유포하거나, 스팸메일 발송, 개인정보 유출, 애드웨어 및 스파이웨어 설치하는데 악용됩니다.
무엇보다 악성 봇에 대한 우려의 목소리가 높은 것은 악성 봇 프로그램의 소스가 해커들 사이에서 공유되거나 제작자간에 거래됨에 따라 수많은 변종이 양산돼 사용자가 적절한 대응책을 마련하는데 어려움이 있다는 점입니다.


◈ 악성 봇(Bot) 이렇게 작동됩니다


해커에 의해 제작된 악성 봇은 윈도우즈와 같은 운영체제의 취약점을 가진 PC나 바이러스 백신 등이 설치되지 않은 PC를 대상으로 삼게 됩니다.
해커는 Botnet C&C(Command & Control)라는 서버를 구축한 후 악성 봇에 감염될 PC를 스캐닝해 이중 취약점 패치가 이뤄지지 않았거나, 바이러스 백신 프로그램이 설치되지 않은 PC를 감염시켜 BotNet C&C의 명령 즉, 해커의 명령을 받는 ‘좀비 PC’를 갖게 됩니다.


특히 최근에는 복잡한 전파방법을 이용하기보다는 MSN 등과 같은 인스턴트 메신저를 이용해 봇을 전파하거나 운영체제가 아닌 응용 프로그램의 취약점을 이용하는 경우도 증가하고 있는 것으로 알려져 있습니다.
또 하나의 취약점을 이용한 전파방법에서 진화해 동시에 몇 개의 취약점을 사용해 전파하는 등 보다 지능화되는 추세를 보이고 있다는 점이 특징입니다.


지능화되는 봇에 대해 많은 사용자들은 PC에 악성 봇에 감염됐다면 바이러스나 웜처럼 컴퓨터 사용자들이 감염사실을 인지할 수 있을 것이라고 생각하지만, 최근의 악성 봇은 일반적인 웜이나 바이러스에 감염 후 나타나는 증상인 사용자의 PC 사용과정에서의 속도 저하나 접속 장애 등의 문제를 일으키지 않기 때문에 일반 사용자들이 봇의 감염여부를 알아내기란 어렵다는 것이 전문가들의 공통된 의견입니다.
또 최근에는 악성 봇이 백신 프로그램이나 다른 보안 프로그램을 공격해 강제 종료시키거나 백신 프로그램의 업데이트를 차단함으로써 자신의 존재를 은폐하기도 해 사용자에게 위협적인 존재가 되고 있습니다.


◈ 자칫하면 나의 PC가 남을 공격하는 PC가 됩니다


그렇다면 이렇게 감염된 PC들은 과연 어떻게 악용될까요?
가장 쉽게 생각할 수 있는 것으로 로봇 기능을 가진 봇의 특성 상 감염된 PC의 사용자가 아이디와 비밀번호 등 개인정보를 입력할 경우, 봇 제작자가 Key Logging 기능을 통해 손쉽게 수집할 수 있다는 점입니다.


비단 해커의 개인정보 불법 수집뿐만이 아닙니다.
봇에 감염된 PC는 불법 프로그램을 유포하거나 스팸메일을 발송하는 역할을 수행할 수도 있으며, 이로 인해 해당 시스템과 시스템이 속한 네트워크에는 부하가 발생해 장애를 유발하기도 합니다.
물론 이때부터 봇에 감염된 PC는 더 이상의 피해자의 입장이 아닌 제3의 공격용 PC가 되는 시점이기도 합니다.


특히, 피해자 PC에서 공격자 PC로 변화된 PC의 가장 큰 문제는 DDoS 공격에 악용된다는 점이지요.
현재까지 DDoS 공격에 대한 뚜렷한 대응방안이 없는 상황에서 봇에 감염된 PC, 즉 좀비 PC의 증가는 사이트를 운영하는 관리자들에게는 큰 위협이 될 수밖에 없습니다. 일례로 약 1,000대의 좀비 PC가 동시에 해커의 DDoS 공격명령을 받아 특정 사이트로 공격을 시도할 경우, 중소규모의 네트워크 및 시스템을 갖춘 사이트는 서비스 장애가 발생할 수밖에 없게 됩니다.
더욱 우려스러운 사실은 1대의 BotNet C&C 서버에 5,000대 이상의 감염 PC가 연결되기는 등 한 대의 서버로도 충분히 많은 PC를 제어할 수 있다는 것이죠.


악성 봇의 위험성 잘 아셨지요? 지금부터라도 사용하고 계신 PC 운영체제의 보안 패치를 최신의 상태로 유지하세요!


<출처> 정보통신부, 2007. 12. 12

Posted by TopARA
,