해커의 도구가 된 내 컴퓨터 ‘봇넷·좀비PC’ [보안TMI]

보이지 않는 공격, IoT·클라우드로 확장
‘봇넷 임대’ 확산에 공격 진입 장벽 낮아져

IT조선은 독자들이 이해하기 어려웠던 보안 용어와 개념을 보다 쉽게 풀어 설명하는 '보안TMI(Too Much Information)' 코너를 새롭게 마련했습니다. 매주 주제를 선정해 개념은 물론 기사에 담지 못했던 배경과 맥락까지 짚어드립니다. 독자들이 보안 관련 뉴스를 보다 명확하게 이해할 수 있도록 돕겠습니다. [편집자 주]

컴퓨터로 게임이나 동영상 재생 같은 무거운 작업이 아닌 웹 서핑만 하고 있는데도 갑자기 속도가 느려지거나 팬 소리가 커지는 경우가 있다. 이때 작업 관리자를 확인해보면 중앙처리장치(CPU) 사용률이나 메모리 사용량이 높게 유지되는 경우를 발견할 수 있다.

단순히 컴퓨터의 성능이 좋지 못하거나 냉각 팬에 먼지가 쌓여 발열이 제대로 해소되지 않아 발생하는 문제일 수 있지만, 최악의 경우 외부에서 내 컴퓨터의 자원을 이용하고 있는 상황일 수 있다. 바로 내 PC가 '봇넷(Botnet)'에 속해 '좀비PC'가 된 것이다.

악성코드에 감염된 '좀비PC'를 네트워크로 묶은 '봇넷'으로 공격을 수행하는 해커를 표현한 이미지 / 챗GPT 생성

봇넷은 악성코드에 감염된 기기들이 하나의 네트워크로 묶여 외부 명령에 따라 움직이는 구조를 말한다. 이 안에 포함된 개별 기기를 좀비PC라고 부른다. 사용자는 아무런 프로그램도 실행하지 않았지만, 감염된 기기는 외부 서버의 명령을 받아 동작한다. 봇넷은 수천, 수만대가 동시에 같은 지시를 수행하면서 하나의 공격 인프라처럼 동작한다.

감염 경로는 무료 프로그램이나 불법 소프트웨어를 설치하는 과정에서 악성코드가 함께 설치되는 경우가 많다. 이메일이나 메신저로 전달된 문서 파일을 열었다가 감염되기도 한다. 보안 설정이 취약한 서버나 공유기, CCTV 같은 IoT 장비 등이 주요 감염 대상이 된다.

한 번 악성코드에 감염되면 기기는 외부의 C2(Command & Control; 명령·제어) 서버와 연결된다. 이후 공격자가 명령을 내리면 대기 중이던 기기들이 동시에 반응해 행동을 시작한다. 특정 웹사이트로 접속 요청을 보내거나, 스팸 메일을 발송하거나, 계정 공격을 시도하는 등의 작업이 이뤄진다. 이는 디도스(DDoS) 공격의 기반이 되기도 한다. 수많은 기기가 동시에 트래픽을 보내면서 특정 서비스를 마비시키는 수법이다.

다만 봇넷의 활용은 디도스 공격에 그치지 않는다. 감염된 기기의 자원을 이용해 암호화폐를 채굴하거나, 정상 사용자처럼 로그인 요청을 보내는 계정 공격에도 활용된다. 최근에는 눈에 띄는 공격 대신 장기간 조용히 자원을 사용하는 방식이 늘고 있다.

공격 방식뿐 아니라 운영 구조 측면의 변화도 주목된다. 과거에는 공격자가 직접 기기를 다수 감염시켜 봇넷을 구축해야 했지만, 최근에는 봇넷을 임대해 사용하는 형태가 확산된 것으로 알려졌다. 일정 비용만 지불하면 이미 구성된 봇넷을 이용할 수 있어 공격 진입 장벽이 낮아졌다.

봇넷의 규모도 커졌다. 개인 PC뿐 아니라 IoT 기기, 클라우드 서버까지 포함되면서 동원 가능한 자원이 크게 늘었다. 동시에 C2 서버 구조도 분산되면서 탐지와 차단이 어려워지는 추세다.

개인 사용자 입장에서 봇넷과 좀비PC의 가장 큰 문제는 감염 사실을 알아차리기 쉽지 않다는 점이다. 기기가 다소 느려지는 정도 외에는 눈에 띄는 변화가 없는 경우가 많다. 이 때문에 오랜 시간 공격에 동원되면서도 인지하지 못하는 사례가 적지 않다.

좀비PC가 되지 않기 위해서는 운영체제와 소프트웨어를 최신 상태로 유지하고, 출처가 불분명한 프로그램 설치를 피하는 것이 중요하다. 공유기나 IoT 장비의 기본 비밀번호를 변경하는 것도 필요하다. 기업 환경에서는 외부와의 비정상 통신을 탐지해 차단하는 체계가 요구된다.

정종길 기자
jk2@chosunbiz.com