봇네트

로봇(robot)과 네트워크(network)의 합성어인 봇네트(botnet)는 서로 통신하고 해당 명령 및 제어(C&C) 서버와 통신하는 컴퓨터("봇")의 그룹입니다.

정보 보안 분야에서 봇은 보안 방어가 뚫린 컴퓨터를 말합니다. 봇은 컴퓨터 소유자나 정상적인 운영자의 동의 없이 제3자가 컴퓨터를 제어할 수 있도록 하는 악성 소프트웨어를 실행합니다. 홈 컴퓨터가 이러한 방식으로 손상되는 경우가 많지만 학교, 비즈니스 및 정부 소유 컴퓨터에서 봇이 발견되기도 합니다. 그러나 봇이 손상된 서버인 경우도 있습니다. 예를 들어, ESET 연구원들은 조직화된 범죄자 그룹이 25,000개 이상의 고유한 Linux 및 UNIX 서버를 손상시킨 "Windigo"라는 대규모의 정교한 활동을 발견했습니다.

봇네트는 일반적으로 스팸을 생성하거나, 다른 악성코드(자체 복사본 포함)를 퍼뜨리거나, 네트워크 또는 웹 서버에 과도한 요청을 보내 장애를 유발(서비스 거부 공격, DDoS)하는 데 사용됩니다. 봇네트는 피싱, 훔친 데이터 전송 및 기타 금융 범죄에도 사용된 적이 있습니다.

가장 큰 규모의 봇네트는 수백만 대의 컴퓨터로 구성되며 심각한 위협을 가합니다. 2014년 7월 15일 FBI 사이버 부문의 부국장인 Joseph Demarest가 상원 사법위원회와 범죄 및 테러리즘 소위원회를 대상으로 발표한 업계 추산치에 따르면, 봇네트로 인해 미국에서는 90억 달러 이상, 전 세계적으로는 1,100억 달러 이상의 손실 피해가 발생했습니다. 전 세계적으로는 매년 약 5억 대의 컴퓨터가 감염됩니다.

이러한 이유로 국내 및 국제 법 집행 기관은 주요 보안 회사와 협력하여 봇네트의 C&C 서버와 도메인을 압수함으로써 봇네트를 차단합니다. 2015년 12월 FBI, 인터폴, 유로폴, Microsoft, ESET 등 여러 보안 기관이 Dorkbot 봇네트에 공동으로 대응한 것이 이러한 그 예 중 하나입니다.

ESET은 발신 네트워크 통신에서 알려진 악성 패턴을 검색하고 원격 사이트를 악성 사이트의 차단 목록과 매칭하는 봇네트 보호 기술을 사용합니다. 탐지된 모든 악성 통신은 차단되고 사용자에게 보고되며 선택적으로 ESET에 보고됩니다.