최근 몇 년 동안 봇넷은 점점 더 정교해졌습니다. 오늘날 봇넷은 대규모 DDoS 공격을 시작하고, 감염된 컴퓨터에서 데이터를 훔치고, 새 컴퓨터를 맬웨어로 감염시킬 수도 있습니다.

웹 사이트, 이메일 서버 또는 모든 유형의 온라인 서비스를 실행하는 경우 봇넷의 공격에 대해 걱정해야 합니다. 이 가이드는 이러한 유형의 공격으로부터 보호하는 방법을 알려줍니다.

봇넷 공격이란 무엇입니까?

봇넷 공격은 악의적인 행위자가 제어하는 인터넷 연결 장치 그룹이 수행하는 일종의 사이버 공격입니다. 봇넷 자체는 단순히 장치의 네트워크입니다. 사이버 범죄자가 네트워크에 맬웨어를 주입하여 사이버 공격을 시작하는 데 사용되는 집합체로서 제어할 때입니다. 봇넷 공격은 스팸 전송, 민감한 정보 도용, 기밀 정보 손상, 광고 사기 지속 또는 더 위험한 DDoS 공격에 사용될 수 있습니다.

봇 공격 대 봇넷 공격

봇넷 공격은 보다 일반적인 "봇 공격"의 특정 유형으로 간주될 수 있습니다. 봇 공격은 웹 사이트, 애플리케이션 또는 장치를 변조하기 위한 자동화된 웹 요청을 사용하는 사이버 공격입니다.

봇 공격은 처음에는 단순한 스팸 작업으로 시작되었지만, 사용자를 속이거나 조작하기 위해 본질적으로 더 복잡하게 발전했습니다. 그 이유 중 하나는 봇킷으로 알려진 봇 구축용 오픈 소스 도구의 가용성입니다. 일반적으로 온라인 또는 다크 웹에서 무료로 제공되는 이러한 봇킷은 웹사이트 스크래핑, 계정 탈취, 양식 제출 남용, DDoS 공격을 포함한 봇넷 공격 생성을 위해 사용될 수 있습니다.

봇넷 공격은 어떻게 작동합니까?

봇넷 공격은 사이버 범죄자가 보안을 손상시켜 장치에 대한 액세스 권한을 얻는 것으로 시작됩니다. 트로이 목마 바이러스 주입이나 기본적인 사회 공학 전술과 같은 해킹을 통해 이를 수행할 수 있습니다. 그런 다음 장치에 대규모 공격을 수행하도록 명령하는 악성 소프트웨어를 사용하여 이를 제어합니다.

때로는 범죄자가 봇넷을 사용하여 공격을 시작하지 않고 대신 네트워크에 대한 액세스 권한을 다른 위협 행위자에게 판매할 수 있습니다. 그런 다음 이러한 제3자는 자신의 필요에 따라 봇넷을 “좀비” 네트워크로 사용할 수 있습니다. 예를 들어, 스팸 캠페인을 지휘할 수 있습니다.

다양한 유형의 봇넷

봇넷 공격은 사용하는 방법과 도구에 따라 다를 수 있습니다. 때로는 이러한 봇넷은 공격하지 않고 해커가 사기 및 랜섬웨어 공격과 같은 보조 캠페인을 시작하는 경로가 되기도 합니다. 일반적인 공격 유형 중 일부는 다음과 같습니다:

• DDoS(Distributed Denial-of-Service) 공격: 서버를 충돌시키기 위해 봇이 보낸 웹 트래픽으로 서버에 과부하를 가하는 방식으로 작동하는 유형의 봇넷 공격입니다. 이 서버 작동 중단 시간은 추가 봇넷 기반 공격을 시작하는 데도 사용할 수 있습니다.

• 피싱 공격: 종종 조직 직원의 주요 정보를 추출할 목적으로 실행됩니다. 예를 들어, 조직 내에서 신뢰할 수 있는 소스를 모방하여 사람들을 속여 로그인의 세부 사항, 금융 정보 및 신용 카드 정보와 같은 기밀 정보를 공개하도록 대량 이메일 스팸 캠페인을 고안할 수 있습니다.

• 무차별 암호 대입 공격: 강제로 웹 계정을 침해하는 프로그램을 포함합니다. 사전 공격 및 크리덴셜 스터핑을 사용하여 취약한 사용자 암호를 악용하고 데이터에 액세스합니다.

어떤 시스템 및 장치가 가장 위험합니까?

봇넷 공격과 같은 사이버 범죄가 뉴스가 될 때, 손상은 일반적으로 손상된 컴퓨터 또는 서버의 수로 설명되지만, 개별 시스템만 감염될 수 있는 것은 아닙니다. 인터넷에 연결된 모든 장치는 봇넷 공격에 취약합니다.

사물인터넷(IoT)의 성장으로 그 어느 때보다 많은 장치가 인터넷에 연결되어 공격 벡터 가능성이 증가했습니다. 심지어 현관이나 뒤뜰을 감시하는 무해해 보이는 무선 CCTV 카메라도 손상되어 봇넷 맬웨어가 네트워크에 진입할 수 있는 진입점을 열 수 있습니다. 특히, 새로운 IoT 장치가 잘못 구성된 보안 설정으로 제공되는 경우 문제가 더 악화될 수 있습니다.

봇넷 공격 탐지

봇넷 공격은 장치가 손상되었을 때 사용자가 인식하지 못하는 경우가 많기 때문에 탐지하기 어려울 수 있습니다. 일부 봇넷은 명령 및 제어 모델에서 각 봇을 제어하는 중앙 서버로 설계되었습니다. 이러한 봇넷에 대한 공격을 탐지하기 위한 중요한 단계는 해당 중앙 서버를 찾는 것입니다.

정적 분석 기술은 감염된 시스템을 찾는 데 유용합니다. 이는 장치가 프로그램을 실행하지 않을 때 실행되며, 명령 및 제어 서버를 찾기 위한 맬웨어 서명 및 기타 의심스러운 연결을 찾는 것과 관련됩니다.

더 많은 리소스가 있는 경우 행동 또는 동적 분석도 사용될 수 있습니다. 여기에는 로컬 네트워크의 포트를 스캔하고 IRC(Internet Relay Chat)와 관련된 비정상적인 트래픽 및 활동을 찾는 것이 포함됩니다.

바이러스 백신 소프트웨어는 봇넷 공격을 어느 정도 감지할 수 있지만 감염된 장치를 확인하지 못할 수 있습니다. 또 다른 흥미로운 방법은 허니팟을 사용하는 것으로, 이는 가짜 침투 기회를 통해 봇넷 공격을 유도하는 가짜 시스템입니다.

Mirai 봇넷과 같은 대규모 봇넷의 경우 ISP가 협력하여 트래픽 흐름을 감지하고 봇넷 공격을 중지하는 방법을 찾을 수 있습니다. 보안 회사와 협력하여 네트워크에서 손상된 다른 장치를 식별할 수 있습니다.

봇넷 공격을 방지할 수 있습니까?

봇넷 공격을 방지하는 것은 수년에 걸쳐 더 어려워졌습니다. 주요 도전 과제 중 하나는 다양한 장치의 확산이며, 종종 고유한 보안 설정을 가진 다양한 장치가 쉽게 이용 가능해지면서 공격 발생 전에 이를 모니터링하고 추적하며 방지하는 것이 어렵습니다. 그러나 특정 조치를 통해 봇넷 공격을 방지할 수 있습니다:

• 모든 시스템을 최신 상태로 유지: 봇넷은 네트워크의 패치되지 않은 취약점을 이용하여 보안 시스템을 침투할 수 있습니다. 이를 방지하기 위해 시스템을 최신 상태로 유지하고 새 업데이트를 사용할 수 있는 즉시 설치하는 것이 중요합니다.

• 기본적인 사이버 보안 모범 사례 채택: 모든 장치에서 기본 보안 위생을 따르는 것이 봇넷 공격을 방지하는 데 중요합니다. 복잡한 암호를 사용하고 피싱 이메일 및 의심스러운 첨부 파일에 대해 직원들을 교육하는 것이 포함됩니다.

• 기계에 대한 액세스 제어: 강력한 암호와 다단계 인증을 사용하여 시스템에 대한 액세스를 제한하고, 필요가 있는 사람에게만 접근권을 제공합니다. 이는 봇넷 공격을 특정 장치 그룹에 격리하여 처리하는 데 도움을 줄 수 있습니다.

• 분석 솔루션을 사용하여 네트워크 트래픽 모니터링: 봇넷 공격을 사전에 방지하기 위해 고급 분석 기술을 사용하여 트래픽 흐름, 사용자 접근 및 데이터 유출을 모니터링하는 것이 중요합니다. Mirai 봇넷은 공격자가 안전하지 않은 연결 장치를 이용하여 좀비 컴퓨터로 변환한 한 사례입니다.

봇넷 공격을 완화하는 방법

최선의 예방 조치도 때로는 봇넷 공격에 의해 극복될 수 있습니다. 네트워크에서 이를 감지할 시점에는 이미 늦었고 결과적으로 네트워크 기능이 손상될 수 있습니다. 이러한 시나리오에서는 이러한 공격의 영향을 완화하는 것이 가장 좋은 방법입니다. 이는 발생할 손상을 줄이는 것을 의미합니다.

• 중앙 서버 비활성화: 명령 및 제어 모델로 설계된 봇넷의 경우, 중앙 자원이나 서버를 식별하면 봇넷을 비활성화할 수 있습니다.

• 바이러스 백신 실행 또는 장치 재설정: 손상된 개별 컴퓨터의 경우, 바이러스 백신 소프트웨어를 사용하거나 시스템 소프트웨어를 다시 설치하거나 시스템을 재포맷하여 제어를 되찾는 것이 목표가 되어야 합니다. IoT 장치의 경우, 봇넷 공격을 완화하기 위해 펌웨어를 플래시하고 공장 초기화를 완료해야 합니다.

봇넷 공격 FAQ

해커가 봇넷을 사용하는 이유는 무엇입니까?

해커는 봇넷을 사용하여 한 번에 많은 수의 컴퓨터를 공격합니다. 봇넷은 단일 공격자가 원격으로 제어하는 손상된 컴퓨터의 네트워크입니다. 이러한 시스템은 바이러스, 웜, 트로이 목마, 스파이웨어, 애드웨어 및 루트킷과 같은 맬웨어에 감염되었습니다. 맬웨어가 컴퓨터를 감염시키면 스팸 메시지를 보내거나 데이터를 도용하거나 기타 악의적인 활동을 수행합니다. 봇은 자동으로 반복 작업을 수행하도록 설계된 자동화된 프로그램입니다.

DoS 공격과 봇넷 공격의 차이점은 무엇입니까?

서비스 거부 (DoS) 공격은 웹 사이트에 과도한 요청을 보내 웹 사이트에 대한 접근을 방해하거나 차단하는 악의적인 활동 유형입니다. 봇넷은 이러한 공격을 수행하기 위해 해커가 제어하는 컴퓨터의 네트워크입니다. 봇넷은 전 세계에 퍼져있는 수천 대의 컴퓨터로 구성될 수 있지만, 작업의 배후에 있는 해커의 목표는 컴퓨터를 제어하고 이를 사용하여 다른 컴퓨터 시스템에 DoS 공격을 시작하는 것입니다.

DoS 공격을 방지하기 위해 항상 웹 서버 소프트웨어가 정기적으로 업데이트되고 갑작스러운 수요 증가를 처리하기 위한 충분한 대역폭이 있는지 확인해야 합니다.

봇 허더란 무엇입니까?

봇 허더는 봇넷으로 사용할 취약한 컴퓨터를 찾아 장악하는 위협 행위자/해커입니다. 그들은 장치를 제어할 목적으로 이러한 컴퓨터에 악성 소프트웨어를 설치한 다음 공격 봇넷으로 사용합니다. 이 네트워크는 그들의 "무리"입니다. 일부 봇넷 유목민은 자신의 무리를 다른 사이버 범죄자에게 임대하기도 합니다.