봇넷이 사이버 공격 수단으로 빠르게 확산되고 있다. IoT와 BYOD 확산으로 보호되지 않은 기기들이 보안에 취약한 네트워크에 연결되고 있어 악성봇을 쉽게 감염시킬 수 있기 때문이다. 지난해 미국 전역의 인터넷 서비스 사업을 중단시킨 미라이 봇넷이 대표적인 예이다. 최근 미국에서는 봇에 감염된 드론들이 통신망을 공격해 마비시킨 공격도 발생한 바 있다.
봇은 취약점을 점검하거나 합법적인 정보 수집 혹은 단순하고 반복적인 업무를 수행하기 위해 개발되고 활용되고 있지만, 공격에도 많이 사용되고 있다. 대규모 봇으로 이뤄진 봇넷이 디도스 공격을 일으키는가 하면, 봇이 웹을 돌아다니면서 인터넷에 연결된 기기와 시스템의 중요 정보를 수집하고, 관리자 권한을 탈취해 공격자가 주요 시스템으로 침투할 통로를 만들기도 한다.
봇넷은 주로 초보적인 공격 수법으로 감염되기 때문에 탐지가 쉽지만, 대규모로 감염이 이뤄지기 때문에 대응은 어려운 편이다. 특히 인터넷에 연결되는 디바이스가 폭발적으로 증가하는 현재 인터넷 환경에서는 기존 보안 시스템으로 봇넷을 막는데 한계가 있다.
일부 기업/기관들은 화이트해커를 고용해 취약점을 상시 점검하기도 하는데, 이들 업무의 중요한 비중이 봇넷을 탐지하고 차단하는 것이다. 몸값 비싼 전문가가 낮은 수법의 공격을 막는데 전문성을 허비한다고 지적할 수 있지만, 그만큼 봇넷에 의한 공격이 많아지고 다양해지고 있다는 뜻이기도 하다.
최근 봇넷은 탐지 시스템을 우회하는 기능도 탑재하고 있어 기존 보안 시스템으로 탐지가 어려워지고 있다. 예를 들어 무작위로 비밀번호를 입력해보는 브루트포스 공격을 막는 시스템이 1초에 100번의 입력이 있으면 이상행위로 차단한다고 한다면, 지능형 봇넷은 1000번을 입력해 과다 입력 오류로 장애가 발생되고 오류로 인해 로그인이 허용되는 틈을 노린다. 이 공격이 성공하지 못하는 시스템이 많지만, 많은 공격을 벌이다보면 성공하는 순간도 있다.
김민영 F5코리아 이사는 “지능형 봇넷은 대규모 트래픽을 일으켜 시스템을 마비시키는 전통적인 디
도스 공격이 아니라, 서버에 부하를 주면서 필요한 정보를 가져가는 형태를 가지기도 한다”며 “봇넷은 디도스 뿐만 아니라 APT 공격에도 사용되는데, IoT·클라우드·BYOD가 확산되면서 대규모 기기를 감염시키켜 공격에 이용하기 쉬워졌기 때문”이라고 말했다.
행위분석 기반 봇넷 차단 시스템 필요
봇넷을 탐지하고 차단하는 보안 기술은 오래 전 부터 발전돼 왔다. 디도스 공격 방어 시스템에도 봇넷 탐지 기능이 있으며, APT 방어 솔루션의 전신이라고 할 수 있는 좀비PC 방지 시스템도 결국은 감염된 단말을 탐지하는 봇넷 방지 솔루션이다. 이러한 솔루션은 봇이 수행하는 몇 가지 단순한 행위만을 차단하며, 시그니처 기반 차단 정책을 사용하고 있어 우회가 쉽다.
지능형 봇넷을 차단하기 위해서는 ‘행위’에 집중해야 한다. 봇넷은 정상적인 행위를 가장해 공격을 진행하기 때문에 정상행위라 할지라도 사람이 하는 것인지 기계가 사는 것인지 파악할 수 있어야 한다.
또한 기존의 안티봇넷 솔루션은 디바이스에 에이전트를 설치해야 했지만, 현재는 디바이스의 종류와 리소스가 다양하기 때문에 에이전트를 설치하지 못하는 경우도 있다. 에이전트 없이 정확하게 지능형 봇넷을 행위분석 기술로 탐지하는 솔루션이 필요하다. 또한 사용 환경에 따라 클라우드 혹은 온프레미스로 분석할 수 있는 유연성도 필요하다.
이러한 요구를 만족시키는 안티 봇넷 제품들이 최근 잇달아 발표되고 있는 가운데, F5네트웍스도 봇넷 방지 솔루션을 내놓았다. 이 제품은 머신러닝 기법을 이용해 봇넷의 행위를 분석해 차단하며, 웹 보안 사업을 진행하면서 축적한 IP 인텔리전스로 봇넷을 차단한다. 랜섬웨어 악성코드 차단 기능과 함께 이상거래탐지(FDS) 기능도 제공해 금융·통신을 비롯해 다양한 산업군에서 활용될 수 있따.
AI 적용한 보안 솔루션으로 지능형 공격 방어
ADC 전문기업 F5네트웍스는 웹과 애플리케이션 전문성을 기반으로 한 보안 사업을 확장하는데 주력하고 있다. 지능형 공격이 웹·애플리케이션을 노리고 있으며, 이러한 공격은 기존의 보안 시스템으로 막을 수 없기 때문에 지능적인 방어를 제공하기 위한 고급 기술을 추가하면서 발전해나가고 있다.
올해 발표한 ‘헤르쿨런(Herculon)’ 보안 제품군은 어플라이언스형으로 공급되고 있으며, ‘SSL 오케스트레이터’와 ‘디도스 하이브리드 디펜더’가 포함돼 있다. SSL 오케스트레이터는 콘텐츠 인지 기능과 통합 기능을 이용해 심층적인 방어가 가능하다. 디도스 하이브리드 디펜더는 고성능 하드웨어와 클라우드 기반 ‘실버라인(Silverline)’의 인텔리전스 기능을 이용한 클라우드 스크러빙을 통합해 대규모의 디도스 공격에 대한 멀티레이어 방어를 제공할 수 있다.
이외에도 F5는 웹방화벽, SSL과 SSL 복호화, FDS·FPS 등을 공급하면서 종합 보안 솔루션 포트폴리오를 완성하고 있다. 기존 시스템 변경이나 소스코드 변경없이 FDS 시스템을 연동할 수 있으며, 이기종 관리가 가능한 유연성도 갖추고 있다.
김민영 이사는 “IT는 웹을 기반으로 하고 있으며, 클라이언트 에이전트 없이 운영, 관리, 보안이 가능하게 됐다. 또한 머신러닝·AI를 이용해 보안 기능을 한 차원 업그레이드해야 하며, 클라우드를 이용해 전 세계 위협을 탐지하는 한편, 고객들은 클라우드 기반 서비스로 원하는 기능만을 셀프서비스로 쉽게 이용할 수 있게 해야 한다”고 말했다.
그는 “F5는 ‘시큐리티 서비스 체이닝’을 제공해 웹·애플리케이션 보안에 대한 모든 기술을 제공하는 한편, F5가 제공하지 않는 기술은 방대한 에코시스템을 통해 호환성을 맞춰 고객이 원하는 운영 환경을 제공할 수 있다”고 말했다.
