공격자가 원격조정할 수 있는 좀비PC를 양산하는 봇(Bot)은 오늘날 전사회적인 골칫거리가 되고 있다. 개인정보 유출은 물론 대형 봇넷을 활용한 서비스거부 공격으로 막대한 피해가 양산되고 있기 때문이다. 보안전문기업 파이어아이(www.fireeye.com)가 가상화 기술을 기반으로 개발한 하드웨어 일체형 어플라이언스 타입의 안티 봇넷 솔루션 파이어아이 봇월은 알려지지 않은 악성코드에 의한 봇까지 탐지, 분석함으로써 봇에 감염돼 사이버 공격자의 조종을 받는 좀비PC를 차단한다. 청심IT가 국내에 공급하는 ‘파이어아이 봇월4200’은 사이버 위협의 근본 원인인 봇을 차단할 수 있다는 점에서 주목된다. <편집자>
청심IT(www.cheongshimit.com)가 전략적으로 공급하고 있는 ‘파이어아이 봇월4200(FireEye Botwal 4200)’은 각종 보안사고의 근본 원인으로 지적되는 봇(Bot) 감염을 차단하기 위한 솔루션이다. 보안전문기업 파이어아이(www.fireeye.com)가 가상화 기술을 기반으로 개발한 하드웨어 일체형 어플라이언스 타입의 안티 봇넷 솔루션 파이어아이 봇월은 파이어아이의 버추얼빅팀(Virtual Victim) 기술을 기반으로 알려지지 않은 악성코드에 의한 봇까지 탐지, 분석함으로써 봇에 감염돼 사이버 공격자의 조종을 받는 좀비PC를 차단하게 된다.
DDoS 방어, 봇 근절이 최선책 공격자에 의해 원격 조종되는 좀비PC를 양산하는 봇은 각종 사이버 위협의 원인으로 지적돼 왔다. 특히 다수의 좀비PC를 보유한 봇넷을 이용, 대량의 트래픽을 발생시켜 특정 웹 사이트를 마비시키는 분산서비스거부(DDoS) 공격은 금전적 이익을 목표로 한 협박 수단으로 이용되면서 커다란 사회적 문제로 대두되고 있다.
사이버 범죄자들은 DDoS 공격을 무기로 기업을 협박하고 있으며, 요구에 응하지 않는 기업에게는 대량의 DDoS 공격을 통해 웹 사이트를 마비시킴으로써 막대한 피해를 유발하고 있다. 이러한 DDoS 공격을 방어하기 위해 안티DDoS 솔루션이 등장하고 있지만, 더 많은 좀비PC 확보를 통해 점점 더 대형화하는 DDoS 공격을 방어하기에는 한계가 지적되는 것도 사실이다.
전문가들은 DDoS 공격에 의한 피해를 근본적으로 막기 위해서는 DDoS 공격의 기반인 봇 확산을 차단해야 한다고 말한다. 하지만 구글의 조사 결과에 따르면, 전세계적으로 악의적인 해커에 의해 조정이 가능한 좀비PC는 약 1억5000만대에 이르며, 매년 9만종 이상의 신종 또는 변경 악성코드에 의해 새로운 감염 PC를 기하급수적으로 증가시키고 있다고 보고될 정도로 봇은 기승을 부리고 있다.
파이어아이 봇월은 공격자에 의해 조종되는 좀비PC 양산의 원인인 봇을 차단, 봇넷의 형성을 근절시킨다는 점에서 의미가 있다. 파이어아이 봇월4200은 네트워크 미러링이나 TAP을 이용해 오프라인 모드로 설치, 네트워크상에 전송되는 트래픽을 실시간 캡처한 후 가상 머신이 캡처된 트래픽 안에 악성코드 포함 여부를 조사해 악성코드에 감염된 봇 PC를 발견한다. 이어 이러한 봇 PC를 조종하는 원격지의 제어 서버(C&C)를 찾아내 더 이상 해커가 C&C에 의해 봇 PC를 원격제어 하지 못하도록 함으로써 봇넷의 형성을 근본적으로 차단하게 된다.
가상 머신으로 악성코드 완벽 대처 파이어아이 봇월의 동작 방식은 크게 ▲트래픽 캡처 후 다양한 분석 방법을 통해 이상트래픽을 감지하는 단계와 ▲가상머신을 통해 감지된 이상 트래픽을 분석·대응하는 단계로 구분할 수 있다.
우선 첫 번째 단계에서는 트래픽 미러링 또는 TAP을 이용해 트래픽을 캡처, 소스에 의한 플로우별로 트래픽을 재정돈한 후 이상트래픽 감지(Anomaly Detection)엔진에 의해 의심스러운 트래픽들을 분류하는 작업을 수행한다. 운영체제의 취약점이나 웹 또는 브라우저의 취약점을 이용한 악성코드가 포함된 것으로 추정되는 의심스러운 트래픽 분류에는 파이어아이의 시그너처 엔진, 휴리스틱(Heuristic) 엔진, 어노멀리(Anomaly) 엔진 등 다양한 기술이 사용된다. 파이어아이는 시그니처로 MAX(Malware Analysis & Exchange) 네트워크를 통해 전세계에서 수집된 이상트래픽 정보를 활용 한다.
첫 번째 단계에서 발견된 의심 트래픽들은 파이어아이 봇월4200 어플라이언스에 내장된 다수의 가상머신에 전달된다. 가상머신들은 해당 트래픽을 실제 PC와 동일한 환경에서 재현, 의심 트래픽 안에 악성코드 존재와 악성코드 동작 방법 등을 파악하게 된다. 이를 통해 파이어아이 봇월은 감염된 PC와 악성코드를 배포하는 사이트, 그리고 감염된 좀비PC를 원격에서 제어하는 C&C 서버를 탐지하고, C&C 서버와 좀비PC 간 통신을 차단함으로써 감염된 PC가 더 이상 원격조종되는 좀비PC로 활동하지 않도록 예방하게 된다.
김재균 청심IT 본부장은 “파이어아이 봇월 제품을 통해 내부 컴퓨터가 해커에 의해 원격지에서 조정돼 개인정보 유출, 내부 주요 기밀자료 유출, 특정 사이트 DDoS 공격 및 스팸 발송 등의 다양한 사이버 범죄에 악용되는 것을 사전에 예방할 수 있다”며 “국내 봇 탐지 솔루션 시장을 확산시켜 데이터, 지적재산, 네트워크 리소스 등을 위협으로부터 보호하는 안전하고 깨끗한 네트워크 환경을 보장받을 수 있도록 앞장서겠다”고 밝혔다.
한편 청심IT는 지난 6월 한 달간 봇 진단 신청을 받아 기업의 봇 현황을 분석하고, 분석 결과를 피드백하는 컨설팅 이벤트를 실시했다. |