[펌] 봇넷/DDoS/컨피커, 그 다음은?

아버네트웍스 보안연구 매니저

“DDoS 공격, 한국만의 위협 아니다”
“DNS 기술 이용하는 컨피커C, 정리 끝났다”

반가운 얼굴을 만났다. 지난해 ISEC 2008 강연을 위해 한국을 처음 방문했던 정보보안 연구의 권위자 호세 나자리오(Jose Nazario) 박사가 지난달 개최된 “2009 Hacking Defence & Conference”의 기조연설을 위해 두 번째로 한국을 방문했다. 본지는 현 봇넷 조망에 대해 발표한 호세 나자리오 박사를 만나 봇넷과 DDoS 공격에서부터 컨피커에 이르기까지 최근의 보안 위협에 대해 포괄적으로 살펴봤다. 한편 컨피커 워킹 그룹(Conficker Working Group)의 일원으로 활동하고 있는 그는 본지와의 인터뷰에 앞서 KISA 연구원들과 컨피커에 관한 미팅을 갖기도 했다.

해외 기사를 검색하다보면 몇 번이고 그 이름을 보게 되는 아버네트웍스(Arbor Networks)의 보안연구 매니저 호세 나자리오 박사는 특히 DDoS 공격, 봇넷, 웜, 소스코드분석 툴, 데이터 마이닝 등에 관한 연구로 전 세계 인터넷 트렌드 연구에 상당한 영향을 끼치고 있다. 또한 블랙햇(Blackhat)을 비롯해 CanSecWest, PacSec, NANOG 등 전 세계 수많은 컨퍼런스의 강연자로 초청받고 있는 그는 국내에서 개최된 이번 해킹대회에서 DDoS 봇넷, 스파이웨어 봇넷, 그리고 컨피커에 관한 기조연설을 했다.


이번 해킹 대회에서 발표한 기조연설 “The botnet landscape”에 대해 간단히 말해 달라.

2009년 중반에 접어들고 있는 현재의 봇넷 조망에 관해 발표했다. 특히 현재 확인되고 있는 봇넷의 종류와 변화, 그리고 그에 대해 우리가 어떻게 지속적으로 대응할 필요가 있는지에 관한 전반적인 내용을 설명하고자 했다. 몇 년 전만 해도 대부분의 봇넷은 IRC와 일부 코드베이스들을 기반으로 했다. 그러나 현재 HTTP를 이용하는 봇넷이 나타나고 있으며 더욱 더 많은 봇넷들이 자체 프로토콜을 이용하고 있다. 또한 봇넷이 단지 DDoS나 소프트웨어 설치에 이용되고 있을 뿐만 아니라 종종 스팸이나 정보 탈취의 목적으로 이용되고 있음이 확인되고 있다.


최근 세계적인 DDoS 공격 트렌드나 특징이 있다면?

과거와의 가장 큰 변화는 무엇인가? 작년 혹은 재작년부터 보다 교묘한 공격자들이 ISP 업체들과 운영업체들의 핵심 장비를 공격해 사용자들과 주요 e-상거래 업체들에 대한 서비스 불능을 유발하고 있다. 그들은 또한 주요 호스팅 업체들과 클라우드 공급업체들을 공격하고 있어 수많은 사용자들에게 영향을 끼치게 된다.

공격자 메소드(attacker method) 또한 변화하고 있다. 상당수 공격이 피해자의 광대역을 차지하도록 고안된 브루트 포스 플러드(brute force flood)를 여전히 이용하고 있다. 그러나 또한 공격자들은 애플리케이션 리소스를 소모하는 애플리케이션 메소드로 피해자의 서버를 공격하고 있는 것으로 확인됐다. 이것은 백엔드 데이터베이스 서버 등 전체 서비스 인프라스트럭처에 영향을 끼칠 수도 있다. 이러한 공격은 특별히 빠른 속도가 필요한 것도 아니며 특히 정상 클라이언트와 구별하기가 어려운 점이 특징이다.


이에 대응하기 위해서는 무엇이 필요한가?

성공적인 DDoS 완화를 위해서는 최소 두 가지가 필요하다. 우선 특정한 트래픽을 차단하기 위한 정확하고 통찰력 있는 애플리케이션 레이어 필터링이 필요하다. 둘째 ISP를 통한 고속 필터링 업스트림으로 트래픽이 고객의 네트워크를 다 차지하기 전에 그 트래픽을 차단하는 것이다. 이와 같은 방법은 공격을 막을 뿐만 아니라 고객들에 대한 서비스 손실을 최소화할 수 있게 해준다.


국내에서는 한국이 유난히 DDoS 공격에 노출되어있다는 의견도 있는데, 이에 대해 어떻게 생각하는가?

한국뿐만 아니라 거의 모든 국가들이 DDoS 공격의 위험에 처해있다. DDoS 공격자들의 구미를 당기는 것은 e-가버먼트(e-government), ISP 인프라스트럭처, e-상거래 사이트, 호스팅(포르노나 게임, 또는 도박 사이트를 호스팅하는) 업체, 사람들의 참여도가 높은 유명 포럼 등 외에도 상당히 많다. 이와 관련해 한국의 수많은 온라인 서비스와 엄청난 온라인 이용자들이 한국을 DDoS 공격에 취약하게 만든다고 할 수 있다. 공격자들은 자신들이 사용자 경험에 영향을 끼칠 수 있다는 것을 알고 있으며 공격을 통해 피해자들로부터 금품을 갈취할 수 있다는 것도 알고 있기 때문에 이러한 공격이 많이 발생하고 있다. 아울러 한국에 가해지고 있는 대부분의 공격이 중국 봇넷으로부터 발생한 것이라는 한국의 주장은 사실이라고 볼 수 있다. 전 세계 트래픽을 모니터링하고 있는 우리(아버네트웍스)가 중국 봇넷과 한국 트래픽을 모니터링 한 결과에 따르면 수많은 중국 봇넷이 한국 사이트를 공격하고 있는 것으로 확인되고 있다.

그러나 한국만이 유독 DDoS 공격의 타겟이 되고 있는 것은 아니다. 미국에서도 은행 등을 대상으로 하는 DDoS 공격이 발생하고 있으며 이미 금품을 요구하는 DDoS 공격도 있었다. 그러나 현재 미국에는 인터넷 금융 거래(Financial Transaction)에 관한 엄격한 제재(strict rules)가 있어 대부분의 관련 사이트들은 버퍼 오버플로우를 완전히 제거한(clean) 상태다.

페이팔(Paypal) 등은 매우 구미가 당기는 타겟이기 때문에 금품을 요구하는 공격을 받기도 했지만 이제는 그에 대한 대책을 충분히 세워놓고 있다. DDoS 공격으로 서비스 제공을 하지 못하게 되는 것은 그들 자신의 사업에 심각한 문제가 될 수 있기 때문이다.


DDoS 공격에 대한 대응과 관련해 한국의 기업들 또는 보안 담당자들에게 조언해준다면?

공격 받을 것을 우려하고 있다면 ISP 업체의 DDoS 공격 방어 대책에 대해 확인하는 것이 가장 중요하다. 즉, 그들이 DDoS 공격 방어 서비스를 제공하고 있는지, 대응 시간은 얼마나 걸리는지, 또 공격이 가해지는 동안 당신의 온라인 비즈니스가 안전하게 지켜질 수 있는지 등을 확인해야만 한다.


최근에는 맥 운영체제를 노리는 맬웨어가 맥 봇넷을 구축했다는 보도도 있었는데?

HTTP와 기타 자체 프로토콜을 이용한 봇넷의 변화가 나타나고 있다고 언급한 바와 같이 봇넷은 스팸 소프트웨어 설치뿐만 아니라 정보 탈취 소프트웨어 등과 같은 공격에 이용되고 있다. 봇넷은 그야말로 공격자들을 위한 서비스 툴이 되었다. 그러나 맥(Mac) OS X 봇넷은 대부분 개념증명(PoC : proof of concept) 정도의 수준이며 일반 PC 봇넷에 비해서는 아주 극히 일부 이용자들만이 맥 봇넷으로 이용되고 있음을 확인했다. 특히 맥 OS X 봇넷 소프트웨어는 사용자에 의해 설치되어야만하기 때문에 루트 패스워드를 입력해야만 한다. 이 때문에 대개 사용자가 인식하지 못 한 상태에서 설치되는 PC 봇넷에 비해 맥 봇넷이 생성되기는 훨씬 어렵다.


컨피커워킹그룹에서 활동하고 있는 것으로 아는데 단체의 목적, 그리고 성과에 대해 말해 달라.

개체수 뿐만 아니라 언론의 관심이라는 측면에서 볼 때 컨피커는 최근 몇 년간 있었던 웜 중에 가장 심각한 웜이다. 나는 4~5개월 동안 매일 반나절을 컨피커와 관련된 일로 보내고 있다. 나를 포함한 컨피커 워킹 그룹(Conficker Working Group)의 멤버들은 이 봇넷을 조사하고 감염된 네트워크를 정화하기 위해 매우 분주하게 보내고 있다.

컨피커 워킹 그룹은 컨피커에 대응하기 위해 MS를 비롯해 시만텍, F-시큐어, 아버네트웍스 등 IT 및 보안 기업들과 쉐도우서버 파운데이션(Shadowserver Foundation), 그리고 개인 연구자들이 모인 단체다. 처음에는 장난삼아 컨피커 카발(Conficker Cabal, 컨피커 결사대)라고 이름 붙이기도 했지만, 이제는 컨피커 워킹 그룹이라고 부른다. 컨피커 워킹 그룹은 컨피커 웜이 P2P를 이용해 통신하는 방법 등에 관해 연구하고 있고 이러한 호스트를 식별하기 위한 센서를 배포해왔으며 보고서를 작성하고 있다. 특히 우리는 현재 사용자 PC의 컨피커 웜 제거라는 더 큰 과제와 대면하고 있으며, 상당히 어려운 일임에도 불구하고 전 세계 대부분의 컨피커 웜 감염자들과 컨택하기 위해 노력하고 있다. 그러나 DNS를 이용하는 컨피커C는 현재 깨끗이 정리됐다고 자신할 수 있다. 특히 컨피커C가 이용한 도메인에는 .kr이 상당히 많았기 때문에 우리는 한국의 이용자들에게 닿기 위해 최선의 노력을 기울이고 있다. 한편, 컨피커 배후세력과 관련해 우리는 일부 의심되는 배후는 추측하고 있으나 아직 정확하게는 알지 못 한다.


앞서 언급한 내용 외에 올해 가장 큰 보안 위협 또는 이슈가 될 것이 있다면?

페이스북이나 트위터와 같은 소셜 네트워킹 사이트들은 유럽과 북미 지역에서 가장 큰 위협이 되고 있다. 트위터 사이트 자체를 공격하거나 그 이용자들에 대한 직접적인 공격이라기보다는 그러한 사이트를 통한 스팸, 악성코드, 그리고 피싱 공격 등이 문제가 된다. 즉, 스팸이 이메일을 이용했던 것과 마찬가지로 이제는 소셜 네트워킹을 이용하고 있다. 스패머들과 악성코드가 이러한 사이트를 이용해 전파를 시도하고 있는 만큼 한국에도 이 같은 문제가 곧 발생할 것이라고 생각한다. 특히 사용자들은 이러한 네트워크 내에서 자신들을 보호하는 방법을 아직 모르고 있는 반면, 공격자들은 이들 사이트가 사용자들을 공격하기 위한 새로운 땅(fresh ground)이라는 것을 잘 알고 있다는 것이 문제다.
 
한편 기업의 경우, 경기 침체 속에서 보다 적은 인력과 장비 예산으로 기업의 데이터와 인프라스트럭처를 보호하는 것이 가장 큰 어려움이 될 것으로 생각된다. 모든 이들이 ‘더 적게’들여 ‘더 많이’ 얻기 위해 애쓰고 있다. 우리 모두는 우리의 네트워크를 안전하게 유지하기 위해, 또 지금 해야만 하는 일을 하기 위해 잘 훈련받고 의견을 교환하도록 해야만 한다고 생각한다. 이것은 특히 그 어느 때보다 지금과 같이 힘든 시기에 더욱 중요한 일이다.

글 : 김동빈 기자(foreign@boannews.com)

[월간 정보보호21c 통권 제106호 (info@boannews.com)]