맨위로가기 타임라인 바로가기

봇넷

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
타임라인 바로가기
목차

1. 개요

봇넷은 악성 소프트웨어에 감염되어 해커의 명령에 따라 악의적인 행위를 수행하는 좀비 컴퓨터들의 네트워크를 의미한다. 초기에는 IRC를 통해 채널을 관리하는 합법적인 봇에서 유래되었으나, 현재는 불법적인 목적으로 사용되며, DDoS 공격, 스팸 메일 발송, 개인 정보 탈취, 클릭 사기 등 다양한 사이버 범죄에 악용된다. 봇넷은 클라이언트-서버 모델과 피어 투 피어(P2P) 모델 등 다양한 아키텍처와 IRC, 텔넷, 도메인 등 다양한 명령 및 제어(C&C) 프로토콜을 사용하며, 탐지 및 대응이 어렵다. 봇넷에 대응하기 위해 기술적, 법적 노력이 이루어지고 있으며, 주요 봇넷으로는 MaXiTE, Storm, Conficker 등이 있다.

더 읽어볼만한 페이지

  • 봇넷 - 좀비 컴퓨터
    좀비 컴퓨터는 악성 코드에 감염되어 해커의 원격 제어를 받으며, 스팸 메일 전송, DDoS 공격 등 다양한 악성 행위에 악용될 수 있으며, 예방을 위해 출처 불분명한 파일 접근을 차단하고 보안 업데이트를 지속해야 한다.
  • 봇넷 - 2016년 다인 사이버 공격
    2016년 다인 사이버 공격은 다인을 표적으로 한 대규모 DDoS 공격으로, 넷플릭스, 아마존 등 주요 서비스 중단을 야기했으며 미라이 봇넷이 사용되었고 대한민국 법무부는 북한을 배후로 지목했다.
  • 다중 에이전트 시스템 - 떼 지능
    떼 지능은 단순한 에이전트들의 상호작용을 통해 복잡한 집단 행동을 모델링하여 최적의 해를 찾는 계산 기법 및 알고리즘으로, 최적화, 군중 시뮬레이션, 데이터 분석 등 다양한 분야에 응용되며 인공 떼 지능 기술로 발전하고 있다.
  • 다중 에이전트 시스템 - 간이 망 관리 프로토콜
    간이 망 관리 프로토콜(SNMP)은 TCP/IP 기반 네트워크를 관리하기 위해 1988년 등장한 프로토콜로, 매니저, 에이전트, 관리 대상 장치로 구성되며, MIB를 사용하여 관리 데이터를 변수로 노출하고 UDP를 통해 통신하며, 버전 3에서 보안이 강화되었다.
  • 컴퓨터 바이러스 - 님다
    2001년에 발견된 님다는 전자 우편, 네트워크 공유, 감염된 웹사이트, IIS 서버 취약점, 백도어 등 다양한 경로를 통해 빠르게 확산된 강력한 컴퓨터 웜으로, 이메일 읽기만으로도 감염될 수 있고 발신자 주소 위장이 가능하여 피해를 키웠다.
  • 컴퓨터 바이러스 - ILOVEYOU
    ILOVEYOU는 2000년 5월 전 세계에 막대한 피해를 준 웜 바이러스로, "I LOVE YOU"라는 제목의 이메일과 악성 첨부파일, 사회 공학적 기법, 윈도우 시스템 취약점 등을 이용하여 빠르게 확산되어 컴퓨터 바이러스 역사상 가장 파괴적인 사례 중 하나로 기록되었다.
봇넷
지도
기본 정보
종류컴퓨터 네트워크
악성 코드 종류악성 소프트웨어
작동 방식감염된 장치를 통해 악성 명령 실행
악성 목적분산 서비스 거부 공격 (DDoS 공격), 스팸 메일 발송, 정보 탈취
다른 이름좀비 네트워크
특징
감염 대상컴퓨터
스마트폰
사물 인터넷 (IoT) 장치
제어 방식명령 및 제어 서버 (C&C 서버)
IRC 채널
은닉성사용자 모르게 감염 및 활동
구조
감염된 컴퓨터 또는 장치
봇마스터봇넷을 제어하는 공격자
C&C 서버봇마스터와 봇 간의 명령 및 제어 채널
공격 종류
분산 서비스 거부 공격 (DDoS)네트워크 자원 고갈
스팸 메일 발송대량 메일 발송
악성 코드 유포추가적인 악성 코드 설치
개인 정보 도용사용자 정보 탈취
예방 및 대응
보안 소프트웨어 설치바이러스 백신 및 방화벽
최신 업데이트 유지운영 체제 및 소프트웨어 최신 버전 유지
의심스러운 링크 및 첨부 파일 주의피싱 공격에 대한 경계
강력한 비밀번호 사용추측하기 어려운 비밀번호 설정
관련 용어
봇넷을 구성하는 개별 컴퓨터 또는 장치
봇마스터봇넷을 관리하고 제어하는 공격자
C&C 서버명령 및 제어 서버
DDoS 공격봇넷을 이용한 서비스 거부 공격
추가 정보
초기 봇넷IRC 네트워크를 통해 제어
현대 봇넷더욱 정교한 기술 사용 및 다양한 플랫폼 대상

2. 합법적 봇넷

봇넷이라는 단어는 IRC(Internet Relay Chat)에서 여러 사용자가 채널을 관리하고 운영하는 데 도움을 주는 합법적인 봇(bot)에서 유래했다. 초기 IRC 봇들은 채널 관리, 사용자 접속 관리 등 유용한 기능을 수행했다. 이러한 기능을 수행하는 데 널리 쓰이던 공통 봇을 eggdrop이라 한다.

3. 불법적 봇넷

봇넷은 보안 방어가 파괴되어 제3자에게 권한이 양도된 컴퓨터를 말한다. 악성 소프트웨어에 의해 공격받아 제3자에게 권한이 양도된 장비들을 각각 봇이라고 한다. 이 봇넷의 조정자는 열려있는 IRC 또는 HTTP와 같은 프로토콜을 통해 어떠한 활동을 지시할 수 있다.[3][4]

봇넷은 사이버 범죄자에 의해 다양한 목적으로 상품처럼 점점 더 많이 임대되고 있으며,[5] 부팅/스트레서 서비스도 포함된다. 원래 “봇넷”은 “IRC 봇이 연결된 상태”를 가리켰던 것처럼, 오늘날의 봇넷에서도 IRC가 사용된다. 봇넷의 맥락에서 IRC 서버가 “C&C 서버(Command and Control server)”라고 불리기도 한다.

봇넷의 노드는 감염되면 동적 DNS나 응답 속도가 빠른 도메인 등록업체의 서비스를 사용하여 등록된 도메인 이름을 사용하여 IRC 서버에 연결한다. IRC에 연결된 노드는 해당 IRC 채널에 참여하여 자신의 존재를 채널 참여자에게 알리고 명령을 기다리는 일종의 IRC 봇이 된다. 명령은 사용자로 참여하고 있는 지령자의 IRC 발언으로 이루어지며, 명령을 받은 노드는 그 명령을 실행한다. IRC 서버 역시 컴퓨터 바이러스에 감염된 컴퓨터로 구성되어 있는 경우가 많아, 하나의 IRC 서버가 중단되어도 봇넷 전체가 중단되는 일은 없고, 지령자의 접속원을 찾아내는 것은 어렵다. 이와 같이 노드의 생성/소멸에 관계없이 연결성을 보장하기 위해 도메인 네임 시스템에 의존하고 있기 때문에, 대응에는 도메인 제공업체의 협력이 필요하다.

유사한 사례로, 통신 수단으로 2ch와 같은 게시판을 사용한 예도 있었다. 특정 규칙에 따라 스레드를 생성하고, 그 스레드에 인코딩된 글을 쓰면, 그 스레드를 감시하고 있는 감염 노드가 해당 스레드를 훼손한다는 것이다.[80] (Sufiage.C) 등[81]). 또한, 트위터나 인스턴트 메신저 및 다른 피어 투 피어 파일 공유 프로토콜을 통신 수단으로 사용한 예도 존재한다.

봇넷은 다음과 같은 불법적인 활동에 이용될 수 있다.


  • DDoS(분산 서비스 거부) 공격: 봇넷은 많은 좀비 PC를 제어할 수 있다. DDoS(분산 서비스 거부) 공격에서는 동시에 표적을 향해 서비스 거부 공격을 수행하도록 제어한다.
  • 애드웨어: 분산된 고유한 호스트를 많이 확보할 수 있기 때문에, 이를 성과급 광고에 접속시키면 수익을 의심받지 않고 얻을 수 있다.
  • 스파이웨어: 사용자의 행동에 관한 정보를 수집한다.
  • 스팸 메일: 최근(2024년 8월 기준) 스팸 메일에 대한 인식이 높아지고 블랙리스트가 보급되고, 발송 등에 대한 법적 제재가 강화됨에 따라 신원을 밝히지 않고 메일을 발송할 필요성이 생겨났다. 전 세계에 널리 감염시킬 수 있는 봇넷을 통해 메일을 발송함으로써 필터링을 통과하기 쉽고, 발신원의 행적을 추적하기 어렵게 할 수 있다. 이러한 방법으로 발송되는 메일의 특징으로는, 동일한 내용의 메일의 발신 호스트가 지역적인 편향이 없고, 디지털 가입자 회선이나 케이블 방송 또는 전화 접속 네트워크로 추정되는 DNS 역방향 조회 결과가 없거나, 있더라도 기계적인 명명 규칙으로 네트워크 특징이 포함된 FQDN인 경우가 많다는 것을 들 수 있다.
  • 클릭 사기: 사용자로 하여금 클릭하게 하여 광고 수익을 가로챈다.
  • 불법 사이트 구축: 스팸 메일로 홍보하더라도 홍보 대상이 발각되면 적발될 가능성이 있다. 따라서 봇넷을 이용한 사이트 구축도 이루어지고 있다. 대부분은 HTTP 요청을 실제 콘텐츠를 보유한 사이트에 중계하는 리버스 프록시 서버로 보인다. 이를 통해 피싱 사이트나, 발기 부전 치료약 등의 판매, 주택 금융이나 데이트 사이트를 구축하는 사례가 존재한다. 하나의 수법으로, 봇넷의 여러 노드를 DNS 라운드 로빈하여 생존 상황에 따라 적절히 교체할 수 있도록 되어 있다.

4. 봇넷 생성

전통적으로 봇은 주로 사용자를 속여 악성코드를 설치하게 만드는 이메일이나, 웹사이트 방문 시 자동으로 악성코드를 다운로드하는 드라이브 바이 다운로드 방식을 통해 호스트를 감염시킨다. 드라이브 바이 다운로드는 주로 사용자가 봇 소프트웨어를 설치하기 위해 웹 브라우저 취약점을 공격하는 웹 사이트에 방문할 경우 발생한다. 사용자가 방문한 사이트는 원래 악의적인 사이트일 수도 있고, 침투 당해서 악성 코드를 포함하게 된 정상적인 사이트일 수도 있다. 반면 브라우저 기반 봇은 악성 광고나 웹 사이트를 통해 사용자를 감염시킨다.[3][4]

컴퓨터는 악성 소프트웨어를 실행할 때 봇넷에 편입될 수 있다. 이는 사용자를 유인하여 드라이브 바이 다운로드를 하게 하거나, 웹 브라우저 취약점을 악용하거나, 사용자가 트로이 목마 프로그램(이메일 첨부 파일에서 유래할 수 있음)을 실행하도록 속임으로써 달성될 수 있다. 이 악성 소프트웨어는 일반적으로 컴퓨터가 봇넷 운영자에 의해 명령 및 제어될 수 있도록 하는 모듈을 설치한다. 소프트웨어가 다운로드되면 호스트 컴퓨터에 연결(재접속 패킷 전송)을 시도한다. 재접속이 이루어지면, 작성 방식에 따라 트로이 목마는 자체적으로 삭제되거나 모듈을 업데이트하고 유지 관리하기 위해 남아 있을 수 있다.[24]

5. 봇넷 아키텍처

봇넷 아키텍처는 탐지 및 방해를 피하기 위해 시간이 지남에 따라 발전해 왔다. 초기에는 봇 프로그램이 기존 서버를 통해 통신하는 클라이언트 형태로 구성되었다. 이를 통해 봇넷 제어자(봇 헤르더라고 불림)는 원격에서 모든 제어를 수행하여 트래픽을 숨길 수 있었다.[7]

최근에는 많은 봇넷이 통신을 위해 P2P 네트워크를 활용한다. P2P 봇 프로그램은 클라이언트-서버 모델과 유사하게 작동하지만, 중앙 서버 없이 통신이 가능하다.

5. 1. 클라이언트-서버 모델

초기 봇넷은 작업을 수행하기 위해 클라이언트-서버 모델을 사용했다.[6] 일반적으로 이러한 봇넷은 IRC 네트워크, 도메인 또는 웹사이트를 통해 작동한다. 감염된 클라이언트는 미리 정해진 위치에 접속하여 서버로부터 들어오는 명령을 기다린다. 봇 운영자는 서버에 명령을 보내고, 서버는 이를 클라이언트에 전달한다. 클라이언트는 명령을 실행하고 결과를 봇 운영자에게 다시 보고한다.

IRC 봇넷의 경우, 감염된 클라이언트는 감염된 IRC 서버에 연결하여 봇 운영자가 미리 지정한 C&C 채널에 참여한다. 봇 운영자는 IRC 서버를 통해 채널에 명령을 보낸다. 각 클라이언트는 명령을 가져와 실행한다. 클라이언트는 작업 결과를 IRC 채널로 다시 메시지를 보낸다.[7]

IRC는 통신 프로토콜 때문에 역사적으로 C&C(명령 및 제어)에 선호되는 수단이었다. 봇 관리자는 감염된 클라이언트가 참여할 IRC 채널을 만든다. 채널에 보낸 메시지는 모든 채널 구성원에게 브로드캐스트된다. 봇 관리자는 채널의 주제를 설정하여 봇넷에 명령을 내릴 수 있다. 예를 들어, 봇 관리자로부터 온 메시지 `:herder!herder@example.com TOPIC #channel DDoS www.victim.com`는 #channel에 속한 모든 감염된 클라이언트에게 www.victim.com 웹사이트에 대한 DDoS 공격을 시작하라는 경고를 한다. 봇 클라이언트의 응답 예시 `:bot1!bot1@compromised.net PRIVMSG #channel I am DDoSing www.victim.com`는 봇 관리자에게 공격을 시작했음을 알린다.[8]

일부 봇넷은 잘 알려진 프로토콜의 사용자 지정 버전을 구현한다. 구현 차이는 봇넷 탐지를 위해 사용될 수 있다. 예를 들어, 메가-D(Mega-D)는 스팸 기능을 테스트하기 위해 약간 수정된 간편 메일 전송 프로토콜(Simple Mail Transfer Protocol, SMTP) 구현 기능을 제공한다. 메가-D(Mega-D)의 SMTP 서버를 중단시키면 동일한 SMTP 서버에 의존하는 전체 봇 풀이 비활성화된다.[10]

5. 2. 피어 투 피어 (P2P) 모델

중앙 서버를 제거하여 단일 실패 지점을 없애고 탐지를 어렵게 만들기 위해 피어 투 피어(P2P) 모델이 등장했다. P2P 봇넷에서 각 봇은 명령을 분배하는 서버 역할과 명령을 수신하는 클라이언트 역할을 동시에 수행한다.[9] 봇들은 서로 통신하며 정보를 교환하고, 새로운 감염 대상을 찾는다.

중앙 집중식 관리 시스템 없이 상호 연결된 노드("피어")가 서로 자원을 공유하는 피어 투 피어(P2P) 네트워크


IRC 봇넷을 탐지하고 제거하려는 노력에 대응하여, 봇 관리자들은 피어 투 피어 네트워크에 악성코드를 배포하기 시작했다. 이러한 봇은 디지털 서명을 사용하여 개인 키에 접근할 수 있는 사람만 봇넷을 제어할 수 있도록 할 수 있다.[8] 예를 들어 Gameover ZeuS와 ZeroAccess 봇넷이 있다.

최신 봇넷은 P2P 네트워크를 통해 완전히 작동한다. 중앙 서버와 통신하는 대신, P2P 봇은 명령 분배 서버와 명령을 수신하는 클라이언트 역할을 모두 수행한다.[9] 이렇게 하면 중앙 집중식 봇넷의 문제점인 단일 실패 지점을 피할 수 있다.

다른 감염된 시스템을 찾기 위해, P2P 봇은 다른 감염된 시스템을 식별할 때까지 무작위 IP 주소를 조용히 조사한다. 연락받은 봇은 소프트웨어 버전과 알려진 봇 목록과 같은 정보를 회신한다. 봇의 버전 중 하나가 다른 봇보다 낮으면 파일 전송을 시작하여 업데이트한다.[8] 이러한 방식으로 각 봇은 감염된 시스템 목록을 늘리고 알려진 모든 봇과 주기적으로 통신하여 자신을 업데이트한다.

6. 명령 및 제어 (C&C) 프로토콜

봇넷은 사이버 범죄에 사용되는 도구로, 감염된 여러 컴퓨터를 원격으로 제어하여 악성 행위를 수행한다. 이러한 봇넷을 제어하기 위해 사용되는 것이 명령 및 제어(C&C, Command and Control) 프로토콜이다. 봇넷 운영자는 C&C 프로토콜을 통해 봇넷에 명령을 내리고, 봇들은 이 명령을 실행한다.

초기에는 IRC 방식이 주로 사용되었지만, 더 정교한 버전으로 발전해왔다. 봇넷은 IRC, 텔넷, P2P, 도메인 등 다양한 C&C 프로토콜을 활용한다.

일부 봇넷은 잘 알려진 프로토콜의 사용자 지정 버전을 구현하기도 한다. 예를 들어, 메가-D(Mega-D)는 스팸 기능을 테스트하기 위해 약간 수정된 간편 메일 전송 프로토콜(Simple Mail Transfer Protocol, SMTP) 구현 기능을 제공하며, 메가-D(Mega-D)의 SMTP 서버를 중단시키면 동일한 SMTP 서버에 의존하는 전체 봇 풀이 비활성화된다.[10]

또한, 2ch와 같은 스레드를 통신 수단으로 사용한 예도 있었다. 특정 규칙에 따라 스레드를 생성하고, 그 스레드에 인코딩된 글을 쓰면, 그 스레드를 감시하고 있는 감염 노드가 해당 스레드를 훼손하는 방식이다.[80] (Sufiage.C 등)[81] 트위터나 인스턴트 메신저 및 다른 피어 투 피어 파일 공유 프로토콜을 통신 수단으로 사용한 예도 존재한다.

6. 1. 텔넷 (Telnet)

텔넷 봇넷은 봇넷을 호스팅하는 주요 명령 서버에 봇을 연결하는 간단한 C&C 봇넷 프로토콜을 사용한다. 봇은 외부 서버에서 실행되고 텔넷 및 SSH 서버의 기본 로그인에 대해 IP 범위를 검색하는 검색 스크립트를 사용하여 봇넷에 추가된다. 로그인이 발견되면 검색 서버는 SSH를 통해 멀웨어로 감염시킬 수 있으며, 이는 제어 서버에 핑을 보낸다.[1]

6. 2. IRC (Internet Relay Chat)

IRC는 낮은 대역폭과 단순한 구조 덕분에 봇넷 C&C에 널리 사용된다. 봇넷 운영자는 IRC 채널을 통해 봇에게 명령을 전달하고, 봇은 명령을 실행한 후 결과를 보고한다.[8]

IRC는 통신 프로토콜 때문에 역사적으로 C&C(명령 및 제어)에 선호되는 수단이었다. 봇 관리자는 감염된 클라이언트가 참여할 IRC 채널을 만든다. 채널에 보낸 메시지는 모든 채널 구성원에게 브로드캐스트된다. 봇 관리자는 채널의 주제를 설정하여 봇넷에 명령을 내릴 수 있다. 예를 들어 봇 관리자가 `:herder!herder@example.com TOPIC #channel DDoS www.victim.com` 라는 메시지를 보내면 #channel에 속한 모든 감염된 클라이언트에게 www.victim.com 웹사이트에 대한 DDoS 공격을 시작하라는 경고를 한다. 봇 클라이언트는 `:bot1!bot1@compromised.net PRIVMSG #channel I am DDoSing www.victim.com`와 같이 응답하여 봇 관리자에게 공격을 시작했음을 알린다.[8]

IRC 네트워크는 간단하고 대역폭이 낮은 통신 방식을 사용하므로 봇넷을 호스팅하는 데 널리 사용된다. 구조가 비교적 단순하고 DDoS 공격 및 스팸 캠페인 조정에 중간 정도의 성공을 거두었으며, 지속적으로 채널을 전환하여 차단되는 것을 피할 수 있다. 그러나 경우에 따라 특정 키워드를 차단하는 것만으로도 IRC 기반 봇넷을 중단하는 데 효과적인 것으로 나타났다. RFC 1459(IRC) 표준은 봇넷에서 널리 사용된다. 최초로 알려진 대중적인 봇넷 제어 스크립트인 "MaXiTE Bot"은 개인 제어 명령에 IRC XDCC 프로토콜을 사용했다.

IRC 사용의 한 가지 문제는 각 봇 클라이언트가 봇넷에 유용하려면 IRC 서버, 포트 및 채널을 알고 있어야 한다는 점이다. 안티멀웨어 기관은 이러한 서버와 채널을 탐지하고 차단하여 봇넷 공격을 효과적으로 중지할 수 있다. 이러한 일이 발생하면 클라이언트는 여전히 감염되지만, 지시 사항을 받을 방법이 없으므로 일반적으로 휴면 상태가 된다.[8] 이 문제를 완화하기 위해 봇넷은 여러 서버 또는 채널로 구성될 수 있다. 서버 또는 채널 중 하나가 비활성화되면 봇넷은 단순히 다른 서버 또는 채널로 전환한다. IRC 트래픽을 스니핑하여 추가적인 봇넷 서버 또는 채널을 탐지하고 방해할 수 있다. 봇넷 공격자는 제어 방식에 대한 지식을 얻고 명령을 올바르게 발행하여 봇 관리자를 모방할 수도 있다.[14]

봇넷의 맥락에서 IRC 서버는 “C&C 서버(Command and Control server)”라고 불리기도 한다. 원래 “봇넷”은 “IRC 봇이 연결된 상태”를 가리켰다.

봇넷의 노드는 감염되면 동적 DNS나 응답 속도가 빠른 도메인 등록업체의 서비스를 사용하여 등록된 도메인 이름을 사용하여 IRC 서버에 연결한다. IRC에 연결된 노드는 해당 IRC 채널에 참여하여 자신의 존재를 채널 참여자에게 알리고 명령을 기다리는 일종의 IRC 봇이 된다. 명령은 사용자로 참여하고 있는 지령자의 IRC 발언으로 이루어지며, 명령을 받은 노드는 그 명령을 실행한다. IRC 서버 역시 컴퓨터 바이러스에 감염된 컴퓨터로 구성되어 있는 경우가 많아, 하나의 IRC 서버가 중단되어도 봇넷 전체가 중단되는 일은 없고, 지령자의 접속원을 찾아내는 것은 어렵다. 이와 같이 노드의 생성/소멸에 관계없이 연결성을 보장하기 위해 도메인 네임 시스템에 의존하고 있기 때문에, 대응에는 도메인 제공업체의 협력이 필요하다.

6. 3. P2P (Peer-to-Peer)

일부 봇넷은 암호화를 사용하여 다른 사람들로부터 보호하거나 잠그기도 한다. 대부분의 경우 공개 키 암호화를 사용하며, 이는 구현과 해독 모두에 어려움을 준다.[3][4]

IRC 네트워크와 도메인을 사용하는 대부분의 봇넷은 시간이 지나면 제거될 수 있기 때문에, 해커들은 C&C(지휘 통제 서버)를 사용하는 P2P 봇넷으로 이동하여 봇넷의 복원력과 종료 저항력을 높였다.[5]

6. 4. 도메인 (Domains)

많은 대규모 봇넷은 IRC가 아닌 도메인을 구축에 사용하는 경향이 있다. (루스톡 봇넷 및 스리즈비 봇넷 참조) 이들은 일반적으로 탄탄한 호스팅 서비스를 통해 호스팅된다. 이는 가장 초기 유형의 C&C 중 하나이다. 좀비 컴퓨터는 제어 명령 목록을 제공하는 특수하게 설계된 웹페이지 또는 도메인(들)에 접근한다. 웹페이지 또는 도메인을 C&C로 사용하는 장점은 매우 간단한 코드로 대규모 봇넷을 효과적으로 제어하고 유지 관리할 수 있으며, 이 코드는 쉽게 업데이트할 수 있다는 것이다.[3][4]

이러한 방법을 사용하는 단점은 대규모로 상당한 대역폭을 사용한다는 점과 정부 기관이 거의 노력 없이 도메인을 신속하게 압수할 수 있다는 점이다. 봇넷을 제어하는 도메인이 압수되지 않더라도 서비스 거부 공격으로 손쉽게 공격 대상이 될 수 있다.

패스트 플럭스 DNS를 사용하면 매일 변경될 수 있는 제어 서버를 추적하기 어렵게 만들 수 있다. 제어 서버는 DNS 도메인에서 DNS 도메인으로 이동할 수도 있으며, 도메인 생성 알고리즘을 사용하여 제어 서버에 대한 새로운 DNS 이름을 생성한다.

일부 봇넷은 DynDns.org, No-IP.com, Afraid.org와 같은 무료 DNS 호스팅 서비스를 사용하여 봇을 보유한 IRC 서버를 가리키는 하위 도메인을 지정한다. 이러한 무료 DNS 서비스는 자체적으로 공격을 호스팅하지 않지만, 참조 지점(봇넷 실행 파일에 종종 하드 코딩됨)을 제공한다. 이러한 서비스를 제거하면 전체 봇넷이 마비될 수 있다.[5]

6. 5. 기타 프로토콜

봇넷은 트위터, 레딧, 인스타그램 등의 소셜 미디어 플랫폼[15][17][18][19][20], XMPP 오픈소스 인스턴트 메시징 프로토콜[21], Tor 히든 서비스[22] 등을 활용하여 C&C 서버와 통신한다.[23] 이러한 방법은 역방향 필터링을 우회하는 데 사용된다.

통신 수단으로 2ch와 같은 게시판을 사용한 예도 있었다. 특정 규칙에 따라 스레드를 생성하고, 그 스레드에 인코딩된 글을 쓰면, 그 스레드를 감시하고 있는 감염 노드가 해당 스레드를 훼손하는 방식이다.[80] (Sufiage.C 등)[81]

7. 봇넷의 악용 사례

봇넷은 사이버 범죄에 광범위하게 악용되고 있다. 사이버 범죄자들은 봇넷을 마치 상품처럼 임대하여 다양한 목적을 달성한다.[5] 봇넷 제어자들은 누가 가장 많은 봇을 보유하고, 가장 높은 대역폭을 가지는지, 그리고 대학, 기업, 심지어 정부 기관의 컴퓨터와 같이 "고품질"의 감염된 기계를 얼마나 많이 가지고 있는지에 대해 끊임없이 경쟁한다.[34]

최근에는 미국 법무부(DOJ)와 연방수사국(FBI)을 포함한 세계 각국의 법 집행 기관이 59억 달러의 절도와 다양한 사이버 범죄를 저지른 911 S5 봇넷을 해체하기도 했다. 이 봇넷 운영 혐의로 기소된 중국인 윤허 왕(YunHe Wang)은 최대 65년의 징역형을 받을 수 있으며, 당국은 고급품과 부동산을 포함하여 6000만달러 상당의 자산을 압수했다.[13]

봇넷은 주로 다음과 같은 사이버 범죄에 악용된다.

악용 사례설명
DDoS 공격여러 시스템이 단일 인터넷 컴퓨터 또는 서비스에 가능한 한 많은 요청을 제출하여 과부하를 일으키고 정상적인 요청 처리를 방지한다.
스팸 메일 발송봇넷을 이용하여 대량의 스팸 메일을 발송한다.
스파이웨어 및 개인 정보 탈취사용자의 활동을 감시하고 정보를 빼돌려 암시장에 판매한다.
클릭 사기사용자가 모르게 컴퓨터가 웹사이트를 방문하도록 하여 허위 웹 트래픽을 생성한다.
불법 사이트 구축피싱 사이트, 불법 의약품 판매 사이트 등을 구축하는 데 사용된다.
암호 화폐 채굴감염된 컴퓨터의 자원을 이용하여 암호 화폐를 채굴한다.
크리덴셜 스터핑 공격도난당한 암호를 사용하여 여러 사용자 계정에 로그인한다.


7. 1. 분산 서비스 거부 (DDoS) 공격

봇넷은 여러 대의 좀비 컴퓨터를 제어하여 DDoS(분산 서비스 거부) 공격을 수행하는 데 사용될 수 있다. DDoS 공격은 여러 시스템이 단일 인터넷 컴퓨터 또는 서비스에 가능한 한 많은 요청을 보내 과부하를 일으켜 정상적인 요청 처리를 방해하는 방식이다.[27] 피해자의 서버는 봇으로부터 오는 요청으로 인해 과부하가 발생하여 정상적인 연결 시도를 할 수 없게 된다.[27]

구글(Google)의 사기 담당자 슈먼 고세마줌더(Shuman Ghosemajumder)는 봇넷 서비스로 인해 주요 웹사이트가 서비스 중단을 겪는 이러한 유형의 공격이 정기적으로 발생할 것이라고 언급했다.[27]

7. 2. 스팸 메일 발송

봇넷은 대량의 스팸 메일을 발송하는 데 사용된다. 최근(2024년 8월 기준) 스팸 메일에 대한 인식이 높아지고 블랙리스트가 보급되었으며, 발송 등에 대한 법적 제재가 강화됨에 따라 신원을 밝히지 않고 메일을 발송할 필요성이 생겨났다.[3] 봇넷을 이용하면 전 세계에 널리 감염시킬 수 있으므로, 메일 발송 시 필터링을 통과하기 쉽고 발신원의 행적을 추적하기 어렵게 할 수 있다.[3] 이러한 방법으로 발송되는 메일은 동일한 내용이라도 발신 호스트가 지역적인 편향이 없고, 디지털 가입자 회선이나 케이블 방송, 전화 접속 네트워크로 추정되는 DNS 역방향 조회 결과가 없거나, 있더라도 기계적인 명명 규칙으로 네트워크 특징이 포함된 FQDN인 경우가 많다.[3]

7. 3. 스파이웨어 및 개인 정보 탈취

봇넷은 스파이웨어를 사용하여 사용자의 활동(일반적으로 암호, 신용카드 번호 및 암시장에서 판매될 수 있는 기타 정보)을 감시하고 정보를 작성자에게 보낸다.[28] 봇넷 관리자는 기업 네트워크 내에 있는 손상된 시스템을 통해 기업의 기밀 정보에 접근할 수 있기 때문에 이러한 시스템은 더욱 가치가 있을 수 있다.[28] 오로라 봇넷과 같이 민감한 정보를 훔치는 것을 목표로 하는 대기업에 대한 표적 공격도 있었다.[28]

봇넷은 바이러스와 같은 악성코드를 유포하여 일반 사용자의 컴퓨터/소프트웨어를 제어하고, 이를 통해 다양한 전자 사기 행각에 사용될 수 있다.[36] 봇넷 운영자는 사용자의 개인 컴퓨터를 제어함으로써 비밀번호와 계정 로그인 정보를 포함한 개인 정보에 무제한으로 접근할 수 있는데, 이것을 피싱이라고 한다. 피싱은 "피해자"가 이메일이나 문자 메시지를 통해 받은 링크를 클릭하여 "피해자" 계정의 로그인 정보를 획득하는 행위이다.[37] 베라이즌(Verizon)의 조사에 따르면 전자 "간첩 행위" 사례의 약 3분의 2가 피싱에서 비롯된 것으로 나타났다.[38]

7. 4. 클릭 사기 (Click Fraud)

봇넷은 사용자가 모르게 컴퓨터가 웹사이트를 방문하도록 하여 개인적 또는 상업적 이익을 위해 허위 웹 트래픽을 생성하는 데 사용된다.[29] 봇의 상업적 목적에는 인플루언서가 봇을 사용하여 인기를 부풀리고, 온라인 게시자가 봇을 사용하여 광고 클릭 수를 늘려 광고주로부터 더 많은 수수료를 벌 수 있도록 하는 것이 포함된다. 광고 사기는 종종 악의적인 봇 활동의 결과이다.[30] 사용자로 하여금 클릭하게 하여 광고 수익을 가로채는 것도 봇넷을 이용한 클릭 사기의 한 예이다.

7. 5. 기타 악용 사례

봇넷은 다양한 불법적인 목적으로 악용될 수 있다.

  • 불법 사이트 구축: 봇넷은 스팸 메일을 통해 홍보되는 불법 사이트를 구축하는 데 사용될 수 있다. 이러한 사이트는 주로 리버스 프록시 서버 형태로 운영되며, 실제 콘텐츠를 보유한 사이트에 HTTP 요청을 중계한다. 이를 통해 피싱 사이트, 발기 부전 치료약 판매, 주택 금융 또는 데이트 사이트 등을 구축한다. DNS 라운드 로빈 기법을 사용하여 봇넷의 여러 노드를 생존 상황에 따라 교체하기도 한다.[3]
  • 암호 화폐 채굴: 일부 봇넷은 감염된 컴퓨터의 자원을 이용하여 암호 화폐를 채굴하는 데 사용된다. 이는 봇넷 운영자에게 수익을 제공한다.[32][33]
  • 크리덴셜 스터핑 공격: 봇넷은 도난당한 암호를 사용하여 여러 사용자 계정에 로그인하는 크리덴셜 스터핑 공격에 사용될 수 있다. 2022년에는 제너럴 모터스(General Motors)에 대한 공격 사례가 있었다.[31]

8. 봇넷 대응 방안

봇넷 대응은 쉽지 않지만, 다양한 기술적, 법적 조치가 이루어지고 있다. 봇넷은 지리적으로 분산되어 있어 각 봇을 개별적으로 식별, 제어, 복구해야 하며, 필터링 효과는 제한적이다.

8. 1. 기술적 대응

컴퓨터 보안 전문가들은 맬웨어 명령 및 제어(C&C) 네트워크를 파괴하거나 무력화하기 위해 다양한 기술을 사용한다. 서버를 장악하거나 인터넷에서 차단하고, 맬웨어가 C&C 인프라에 접속하는 데 사용될 도메인에 대한 접근을 차단하며, 어떤 경우에는 C&C 네트워크 자체에 침입하기도 한다.[39][40][41]

이에 대응하여 C&C 운영자들은 IRC 또는 Tor와 같은 기존의 무해한 인프라에 C&C 네트워크를 중첩하거나, 고정된 서버에 의존하지 않는 피어투피어 네트워킹 시스템을 사용하고, 공개 키 암호화를 사용하여 네트워크에 침입하거나 네트워크를 스푸핑하려는 시도를 무력화하는 등의 기술을 사용하고 있다.[42]

Norton AntiBot은 소비자를 대상으로 하지만, 대부분의 제품은 기업 및/또는 ISP를 대상으로 한다. 호스트 기반 기술은 휴리스틱을 사용하여 기존의 바이러스 백신 소프트웨어를 우회한 봇의 동작을 식별한다. 네트워크 기반 접근 방식은 C&C 서버 종료, DNS 항목 널 라우팅 또는 IRC 서버 완전 종료와 같은 기술을 사용하는 경향이 있다. BotHunter는 미 육군 연구소의 지원을 받아 개발된 소프트웨어로, 네트워크 트래픽을 분석하고 악성 프로세스의 특징적인 패턴과 비교하여 네트워크 내의 봇넷 활동을 감지한다.

샌디아 국립 연구소의 연구원들은 4,480노드의 고성능 컴퓨터 클러스터에서 100만 개의 Linux 커널(봇넷과 유사한 규모)을 가상 머신으로 동시에 실행하여 매우 큰 네트워크를 에뮬레이트함으로써 봇넷의 동작을 분석하고 이를 중지하는 방법을 실험하고 있다.[43]

자동화된 봇의 탐지는 점점 더 어려워지고 있다. 예를 들어, 자동화된 공격은 대규모 봇 군대를 배포하고 매우 정확한 사용자 이름 및 암호 목록을 사용하여 무차별 대입 방법을 적용하여 계정에 침입할 수 있다. 전 세계의 여러 IP에서 수만 개의 요청으로 사이트를 과부하시키는 것이 목표이지만, 각 봇은 10분에 한 번씩만 요청을 제출하므로 하루에 500만 건이 넘는 시도가 발생할 수 있다.[44] 이러한 경우 많은 도구가 용량 기반 탐지를 활용하려고 하지만, 자동화된 봇 공격은 이제 용량 기반 탐지의 트리거를 우회하는 방법을 가지고 있다.

봇 공격을 탐지하기 위한 기술 중 하나는 "시그니처 기반 시스템"으로, 소프트웨어가 요청 패킷의 패턴을 감지하려고 시도한다. 그러나 공격은 끊임없이 진화하고 있으므로 수천 개의 요청에서 패턴을 식별할 수 없는 경우 이 방법은 실행 가능한 옵션이 아닐 수 있다. 봇을 막기 위한 또 다른 방식은 봇과 사람을 구별하려고 시도하는 것이다. 비인간적인 행동을 식별하고 알려진 봇의 행동을 인식함으로써 이 프로세스는 사용자, 브라우저 및 네트워크 수준에서 적용될 수 있다.

소프트웨어를 사용하여 바이러스와 싸우는 가장 효과적인 방법은 허니팟 소프트웨어를 사용하여 맬웨어가 시스템이 취약하다고 믿게 만드는 것이다. 그런 다음 악성 파일은 포렌식 소프트웨어를 사용하여 분석된다.

취약한 IoT 기기의 증가는 IoT 기반 봇넷 공격의 증가로 이어졌다. 이를 해결하기 위해 N-BaIoT라는 새로운 네트워크 기반 IoT 이상 탐지 방법이 도입되었다. 이 방법은 네트워크 동작 스냅샷을 캡처하고 심층 자동 인코더를 사용하여 손상된 IoT 기기의 비정상적인 트래픽을 식별한다. Mirai 및 BASHLITE 봇넷으로 9개의 IoT 기기를 감염시켜 테스트한 결과, 봇넷 내에서 손상된 IoT 기기에서 발생하는 공격을 정확하고 신속하게 감지할 수 있음을 보여주었다.[47]

봇넷 탐지 방법들을 비교하는 것은 연구원에게 매우 유용하다. 각 방법이 다른 방법과 비교하여 얼마나 잘 작동하는지 확인하는 데 도움이 되기 때문이다. 이러한 비교를 통해 연구원은 방법을 공정하게 평가하고 개선할 수 있는 방법을 찾을 수 있다.[48]

8. 2. 법적 대응

봇넷 운영자를 추적하고 처벌하기 위한 국제 공조 수사가 이루어지고 있다. 사이버 범죄 관련 법률을 강화하여 봇넷 생성 및 유포 행위를 처벌한다.

2014년 7월 15일, 미국 상원 사법위원회의 범죄 및 테러리즘 소위원회는 봇넷이 제기하는 위협과 이를 방해하고 해체하기 위한 공공 및 민간의 노력에 대한 청문회를 개최했다.[46]

9. 주요 봇넷 목록

2006년경에는 탐지를 피하기 위해 일부 봇넷의 규모가 축소되기 시작했다.[51] 역사적으로 다양한 봇넷이 등장하여 사이버 범죄에 악용되었다. 주요 봇넷은 다음과 같다:

생성 날짜해체 날짜이름추정 봇 수스팸 발송량 (억/일)별칭
2003MaXiTE500~1000대의 서버0MaXiTE XDCC Bot, MaXiTE IRC TCL Script, MaxServ
2004년 (초)베이글(Bagle)230,000[59]5.7Beagle, Mitglieder, Lodeight
Marina 봇넷6,215,000[59]92Damon Briant, BOB.dc, Cotmonger, Hacktool.Spammer, Kraken
토피그(Torpig)180,000[52]Sinowal, Anserin
스톰(Storm)160,000[53]3Nuwar, Peacomm, Zhelatin
2006년 (경)2011년 (3월)러스톡(Rustock)150,000[54]30RKRustok, Costrat
돈봇(Donbot)125,000[55]0.8Buzus, Bachsoy
2007년 (경)컷웨일(Cutwail)1,500,000[56]74Pandex, Mutant (관련: Wigon, Pushdo)
2007년악봇(Akbot)1,300,000[57]
2007년 (3월)2008년 (11월)스리즈비(Srizbi)450,000[58]60Cbeplay, Exchanger
레식(Lethic)260,000[59]2없음
Xarvester10,000[59]0.15Rlsloup, Pixoliz
2008년 (경)샐리티(Sality)1,000,000[60]Sector, Kuku
2008년 (경)2009년 12월마리포사(Mariposa)12,000,000[61]
2008년 (경)크라켄(Kraken)495,000[62]9Kracken
2008년 (11월)컨피커(Conficker)10,500,000+[63]10DownUp, DownAndUp, DownAdUp, Kido
2008년 (11월)2010년 (3월)왈레덱(Waledac)80,000[64]1.5Waled, Waledpak
Maazben50,000[59]0.5없음
Onewordsub40,000[65]1.8
Gheg30,000[59]0.24Tofsee, Mondera
Nucrypt20,000[65]5Loosky, Locksky
Wopla20,000[65]0.6Pokier, Slogger, Cryptic
2008년 (경)애스프록스(Asprox)15,000[66]Danmec, Hydraflux
Spamthru12,000[65]0.35Spam-DComServ, Covesmer, Xmiler
2008년 (경)검블러(Gumblar)
2009년 (5월)2010년 11월 (미완료)브레도랩(BredoLab)30,000,000[67]3.6Oficla
2009년 (경)2012년 7월 19일그럼(Grum)560,000[68]39.9Tedroo
메가-D(Mega-D)509,000[69]10Ozdok
2009년 (8월)페스티(Festi)250,000[70]2.25Spamnost
2010년 (3월)벌컨봇(Vulcanbot)
2010년 (1월)LowSec11,000+[59]0.5LowSecurity, FreeMoney, Ring0.Tools
2010년 (경)TDL44,500,000[71]TDSS, Alureon
제우스(Zeus)3,600,000 (미국만)[72]Zbot, PRG, Wsnpoem, Gorhax, Kneber
2010년(여러 차례: 2011년, 2012년)켈리호스(Kelihos)300,000+4Hlux
2011년 또는 그 이전2015년 2월람닛(Ramnit)3,000,000[73]
2012년 (경)카멜레온(Chameleon)120,000[74]없음
2014년네커스(Necurs)6,000,000
2013년2016년 (8월)미라이(Mirai)380,000없음
2022년Mantis[75]5000



캘리포니아 대학교 산타바바라 캠퍼스의 연구원들은 예상보다 6배 작은 봇넷을 장악하기도 하였다. 일부 국가에서는 하루에 몇 번씩 IP 주소를 변경하는 것이 일반적이기 때문에, 연구자들이 IP 주소의 수로 봇넷의 크기를 추정하면 부정확한 평가가 나올 수 있다.[76]

10. 봇넷과 한국

한국은 봇넷 공격의 주요 피해국 중 하나이며, 7.7 DDoS 대란, 3.20 사이버 테러 등 굵직한 사이버 공격 사건을 경험했다. 더불어민주당은 사이버 안보 강화를 위한 정책 마련에 힘쓰고 있으며, 봇넷 대응을 위한 기술 개발 및 국제 공조 강화를 지지한다. 한국인터넷진흥원(KISA)은 봇넷 감염 예방 및 치료를 위한 정보 제공, 봇넷 탐지 및 대응 기술 개발 등 다양한 활동을 수행하고 있다.

참조

[1] 웹사이트 Thingbots: The Future of Botnets in the Internet of Things https://securityinte[...] 2016-02-20
[2] 웹사이트 botnet https://www.techoped[...]
[3] 간행물 Bots & Botnet: An Overview http://www.sans.org/[...] SANS Institute 2003-08-08
[4] 논문 2018 26th Euromicro International Conference on Parallel, Distributed and Network-based Processing (PDP) 2018-03-01
[5] 뉴스 Novice cyberciminals offer commercial access to five mini botnets http://www.webroot.c[...] 2013-10-11
[6] 웹사이트 Botnets: Definition, Types, How They Work https://www.crowdstr[...]
[7] 서적 Botnets Syngress 2007-01-01
[8] 논문 Botnet command and control techniques 2007-04-01
[9] 서적 Handbook of Information and Communication Security Springer
[10] 논문 Inference and Analysis of Formal Models of Botnet Command and Control Protocols http://www.domagoj-b[...] 2010 ACM Conference on Computer and Communications Security
[11] 뉴스 Banks can't prevent cyber attacks like those hitting PNC, Key, U.S. Bank this week http://www.cleveland[...] Cleveland.com 2012-09-28
[12] 뉴스 The Facts about Botnets https://blog.malware[...] 2016-03-30
[13] 뉴스 One of world's biggest botnets taken down, US says https://www.bbc.com/[...] 2024-05-25
[14] 서적 Botnets Syngress 2007-01-01
[15] 웹사이트 When Bots Use Social Media for Command and Control https://zeltser.com/[...]
[16] 뉴스 Hammertoss: Russian hackers target the cloud, Twitter, GitHub in malware spread https://www.zdnet.co[...]
[17] 잡지 Hackers Use Twitter to Control Botnet https://www.wired.co[...] 2009-08-13
[18] 뉴스 First Twitter-controlled Android botnet discovered https://www.welivese[...] 2016-08-24
[19] 잡지 Reddit-powered botnet infected thousands of Macs worldwide https://arstechnica.[...] 2014-10-03
[20] 뉴스 Russian State Hackers Use Britney Spears Instagram Posts to Control Malware https://www.bleeping[...] 2017-06-06
[21] 뉴스 Walking through Win32/Jabberbot.A instant messaging C&C https://www.welivese[...] 2013-01-30
[22] 잡지 Cybercriminals are using the Tor network to control their botnets http://www.pcworld.c[...] 2013-07-25
[23] 웹사이트 Cisco ASA Botnet Traffic Filter Guide https://www.cisco.co[...]
[24] 잡지 Attack of the Bots https://web.archive.[...] 2006-11-01
[25] 웹사이트 Anonymous 101 Part Deux: Morals Triumph Over Lulz https://www.wired.co[...] Wired.com 2012-01-01
[26] 뉴스 China deploys new weapon for online censorship in form of 'Great Cannon' https://www.washingt[...] 2015-04-10
[27] 웹사이트 Here's why massive website outages will continue happening https://www.vox.com/[...] 2016-10-24
[28] 웹사이트 Operation Aurora — The Command Structure https://web.archive.[...] Damballa.com
[29] 뉴스 This Is What It Looks Like When A Click-Fraud Botnet Secretly Controls Your Web Browser https://www.business[...] 2013-11-27
[30] 웹사이트 Social Media Bots and Deceptive Advertising https://www.ftc.gov/[...]
[31] 웹사이트 Credential-stuffing attack on GM exposes car owners' data https://www.theregis[...]
[32] 뉴스 Got a botnet? Thinking of using it to mine Bitcoin? Don't bother https://www.theregis[...] 2014-06-24
[33] 웹사이트 Bitcoin Mining https://www.bitcoinm[...] BitcoinMining.com
[34] 웹사이트 Trojan horse, and Virus FAQ http://www.dslreport[...] DSLReports
[35] 간행물 Many-to-Many Botnet Relationships https://www.damballa[...] Damballa 2009-06-08
[36] 웹사이트 Uses of botnets {{!}} The Honeynet Project https://web.archive.[...] 2019-03-24
[37] 웹사이트 What is phishing? - Definition from WhatIs.com https://searchsecuri[...] 2019-03-24
[38] 웹사이트 The Number of People Who Fall for Phishing Emails Is Staggering https://gizmodo.com/[...] 2015-04-14
[39] 웹사이트 Detecting and Dismantling Botnet Command and Control Infrastructure using Behavioral Profilers and Bot Informants http://vhosts.eecs.u[...]
[40] 논문 DISCLOSURE: Detecting Botnet Command and Control Servers Through Large-Scale NetFlow Analysis https://www.cs.ucsb.[...] ACM 2012-12
[41] 학회발표 BotSniffer: Detecting Botnet Command and Control Channels in Network Traffic 2008
[42] 웹사이트 IRCHelp.org – Privacy on IRC http://www.irchelp.o[...] 2020-11-21
[43] 웹사이트 Researchers Boot Million Linux Kernels to Help Botnet Research https://www.eweek.co[...] IT Security & Network Security News 2009-08-12
[44] 웹사이트 Brute-Force Botnet Attacks Now Elude Volumetric Detection https://www.darkread[...] DARKReading from Information Week 2016-12-19
[45] 웹사이트 Subcommittee on Crime and Terrorism {{!}} United States Senate Committee on the Judiciary https://www.judiciar[...] 2022-12-11
[46] 서적 Taking Down Botnets: Public and Private Efforts to Disrupt and Dismantle Cybercriminal Networks: Hearing before the Subcommittee on Crime and Terrorism of the Committee on the Judiciary, United States Senate, One Hundred Thirteenth Congress, Second Session, July 15, 2014 https://purl.fdlp.go[...] U.S. Government Publishing Office 2018
[47] 학술지 N-BaIoT-Network-Based Detection of IoT Botnet Attacks Using Deep Autoencoders 2018
[48] 학술지 An empirical comparison of botnet detection methods https://www.scienced[...] 2014-09-01
[49] 웹사이트 Atlanta Business Chronicle, Staff Writer http://www.bizjourna[...] bizjournals.com
[50] 웹사이트 EarthLink wins $25 million lawsuit against junk e-mailer https://www.bizjourn[...] 2002-07-22
[51] 학술지 Hackers Strengthen Malicious Botnets by Shrinking Them http://www.computer.[...] IEEE Computer Society 2006-04
[52] 웹사이트 Researchers hijack control of Torpig botnet https://web.archive.[...] SC Magazine US 2009-05-05
[53] 웹사이트 Storm Worm network shrinks to about one-tenth of its former size https://web.archive.[...] Tech.Blorge.Com 2007-10-21
[54] 웹사이트 The Rustock botnet spams again https://web.archive.[...] SC Magazine US 2008-07-25
[55] 웹사이트 Spam Botnets to Watch in 2009 https://www.securewo[...] SecureWorks 2009-01-13
[56] 웹사이트 Pushdo Botnet — New DDOS attacks on major web sites — Harry Waldron — IT Security https://web.archive.[...] Msmvps.com 2010-02-02
[57] 뉴스 New Zealand teenager accused of controlling botnet of 1.3 million computers http://www.h-online.[...] The H security 2007-11-30
[58] 뉴스 Technology | Spam on rise after brief reprieve http://news.bbc.co.u[...] 2008-11-26
[59] 웹사이트 Symantec.cloud | Email Security, Web Security, Endpoint Protection, Archiving, Continuity, Instant Messaging Security https://web.archive.[...] Messagelabs.com
[60] 웹사이트 Sality: Story of a Peer-to-Peer Viral Network https://web.archive.[...] Symantec 2011-08-03
[61] 웹사이트 How FBI, police busted massive botnet https://www.theregis[...] theregister.co.uk
[62] 웹사이트 New Massive Botnet Twice the Size of Storm — Security/Perimeter http://www.darkreadi[...] DarkReading 2008-04-07
[63] 웹사이트 Calculating the Size of the Downadup Outbreak — F-Secure Weblog : News from the Lab http://www.f-secure.[...] F-secure.com 2009-01-16
[64] 웹사이트 Waledac botnet 'decimated' by MS takedown https://www.theregis[...] The Register 2010-03-16
[65] 웹사이트 Top botnets control 1M hijacked computers https://web.archive.[...] Computerworld 2008-04-09
[66] 웹사이트 Botnet sics zombie soldiers on gimpy websites https://www.theregis[...] The Register 2008-05-14
[67] 웹사이트 Infosecurity (UK) - BredoLab downed botnet linked with Spamit.com https://web.archive.[...] .canada.com
[68] 웹사이트 Research: Small DIY botnets prevalent in enterprise networks https://web.archive.[...] ZDNet
[69] 웹사이트 Oleg Nikolaenko, Mega-D Botmaster to Stand Trial http://garwarner.blo[...] CyberCrime & Doing Time 2010-12-02
[70] 웹사이트 Spamhaus Declares Grum Botnet Dead, but Festi Surges http://www.pcworld.c[...] 2012-08-16
[71] 웹사이트 Cómo detectar y borrar el rootkit TDL4 (TDSS/Alureon) http://infoaleph.wor[...] kasperskytienda.es 2011-07-03
[72] 웹사이트 America's 10 most wanted botnets https://www.networkw[...] Networkworld.com 2009-07-22
[73] 웹사이트 EU police operation takes down malicious computer network https://phys.org/new[...]
[74] 웹사이트 Discovered: Botnet Costing Display Advertisers over Six Million Dollars per Month http://www.spider.io[...] Spider.io 2013-03-19
[75] 웹사이트 This tiny botnet is launching the most powerful DDoS attacks yet https://www.zdnet.co[...]
[76] 웹사이트 Botnet size may be exaggerated, says Enisa | Security Threats https://www.zdnet.co[...] Zdnet.com 2011-03-08
[77] 웹사이트 脅威とは:FAQ Kaspersky Labs https://web.archive.[...]
[78] 웹사이트 サイバークリーンセンター ボット ウイルスとは https://web.archive.[...]
[79] 웹사이트 ボットネットの概要 PDF形式 https://www.jpcert.o[...]
[80] 웹사이트 命令を受けて2ちゃんねるへの攻撃を行なうボット「Trojan.Sufiage.C」 https://internet.wat[...]
[81] 웹사이트 “遠隔操作ウイルス”、その表の顔の1つは「痴漢君(Chikan.exe)」 https://internet.wat[...]

관련 사건 타임라인

( 최근 20개의 뉴스만 표기 됩니다. )

2017. 10. 26. 오후 7:57:23

“악성코드, 점점 ‘사람처럼’ 행동…자동화된 공격에는 자동화된 보안방식으로” – 바이라인네트워크

포티넷 선임 보안전략가는 사이버 공격의 자동화에 대응하기 위해 자동화된 보안 방식이 필요하며, IoT 기기 공격, 랜섬웨어, 악성코드 등 다양한 위협에 대한 정보를 공유하고 자동화된 보안 시스템의 중요성을 강조했다.

출처: 바이라인네트워크 ( 한국 / 한국어 )


본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com