들어가며: 진화하는 사이버 위협의 새로운 형태
사이버 보안의 세계에서 새로운 위협이 등장했습니다. ‘고릴라 봇넷(Gorilla Botnet)’이라 불리는 이 강력한 DDoS 공격 도구는 단 한 달 만에 100개국 이상을 대상으로 30만 건이 넘는 공격을 감행했습니다. 이 글에서는 고릴라 봇넷의 특징, 공격 방식, 그리고 이에 대한 대응 방안을 상세히 살펴보겠습니다.
1. 고릴라 봇넷의 출현과 충격적인 규모
2024년 9월, NSFOCUS의 글로벌 위협 추적 시스템이 새로운 봇넷 가족을 발견했습니다. 9월 4일부터 27일까지의 짧은 기간 동안, 이 봇넷은:
- 30만 건 이상의 공격 명령을 실행
- 하루 평균 2만 건의 DDoS 공격 명령을 발행
- 113개국의 2만 개 이상의 목표물을 공격
특히 주목할 만한 점은 공격 대상국의 분포입니다:
- 중국 (20%)
- 미국 (19%)
- 캐나다 (16%)
- 독일 (6%)
2. 기술적 특징과 진화된 공격 방식
2.1 다양한 CPU 아키텍처 지원
고릴라 봇넷은 유명한 Mirai 봇넷의 소스 코드를 기반으로 하지만, 한층 더 진화된 형태를 보여줍니다. 지원하는 CPU 아키텍처는 다음과 같습니다:
- ARM
- MIPS
- x86_64
- x86
2.2 주요 공격 방법
고릴라 봇넷은 다양한 DDoS 공격 기법을 활용합니다:
- UDP Flood (41%): 가장 많이 사용되는 공격 방식으로, UDP 프로토콜의 비연결성을 악용
- ACK BYPASS Flood (24%): TCP 연결 설정 과정을 우회하는 공격
- VSE Flood (12%): Valve Source Engine을 대상으로 하는 특화된 공격
- SYN Flood: TCP 연결 요청을 대량으로 발생시키는 공격
- ACK Flood: TCP ACK 패킷을 대량으로 전송하는 공격
2.3 고급 탐지 회피 기술
고릴라 봇넷은 다음과 같은 탐지 회피 기술을 사용합니다:
- 5개의 내장 C&C 서버 중 무작위 선택
- KekSec 그룹의 암호화 알고리즘 사용
- /proc 파일시스템 확인을 통한 허니팟 회피
3. 주요 공격 대상과 영향
고릴라 봇넷의 주요 공격 대상은 다음과 같습니다:
- 대학
- 정부 웹사이트
- 통신사
- 은행
- 게임 서비스
- 도박 관련 웹사이트
특히 우려되는 점은 40개 이상의 중요 인프라 조직이 반복적인 공격의 대상이 되었다는 것입니다.
4. 지속성 유지와 감염 방법
고릴라 봇넷은 장기적인 제어를 위해 다음과 같은 방법을 사용합니다:
- “/etc/systemd/system/” 디렉토리에 custom.service 파일 생성
- 시스템 부팅 시 자동 실행 설정
- Apache Hadoop YARN RPC 취약점을 이용한 원격 코드 실행
5. 대응 방안과 권장 사항
고릴라 봇넷의 위협에 대응하기 위해 다음과 같은 조치를 권장합니다:
- 시스템 업데이트: 모든 시스템과 소프트웨어를 최신 버전으로 유지
- 네트워크 모니터링: 비정상적인 트래픽 패턴 감시
- 접근 제어: 불필요한 포트와 서비스 차단
- DDoS 방어 솔루션: 전문적인 DDoS 방어 시스템 도입 검토
- 보안 감사: 정기적인 보안 취약점 점검 실시
결론: 새로운 위협에 대한 준비
고릴라 봇넷의 등장은 사이버 보안의 진화하는 위협 환경을 잘 보여줍니다. 이 봇넷의 규모와 정교함은 개인과 조직 모두에게 경각심을 일깨워주고 있습니다. 보안 전문가들은 이러한 새로운 위협에 대응하기 위해 지속적인 모니터링과 대응 전략 수립이 필요함을 강조합니다.
앞으로도 사이버 위협은 계속해서 진화할 것입니다. 우리는 이러한 위협에 대해 항상 경계하고, 최신 보안 동향을 파악하며, 필요한 대응책을 마련해야 할 것입니다.