C2 봇넷 인프라: 범위 및 영향
C2 인프라의 해체는 법 집행 기관의 IoT 봇넷 퇴치 노력에 또 다른 타격을 줄 뿐만 아니라, 공격자, 네트워크 운영자, 그리고 최악의 순간에 서비스가 중단되지 않아야 하는 서비스 간의 힘의 균형을 적어도 일시적으로 변화시킵니다. 이는 문제가 단순히 제어 패널이 꺼진다고 해서 끝나는 것이 아니라, 종종 양상만 바뀔 뿐이기 때문에 중요합니다.
지휘통제 기반시설에 대한 국제 작전
미국, 독일, 캐나다 당국은 개입하여 Aisuru, KimWolf, JackSkid, Mossad 봇넷이 사용하던 명령 및 제어(C2) 인프라를 무력화시켰습니다. 이 봇넷 네트워크는 사물 인터넷(IoT) 기기를 해킹하여 대규모 공격을 조율하는 데 사용되었습니다.
해당 작전은 단순히 가상 서버에만 그치지 않았습니다. 도메인, 관리자 패널, 그리고 운영자가 데이터를 전송할 수 있도록 하는 기술적 체인의 다른 지점까지 확장되었습니다. 수백만 대의 기기에 대한 주문 탈취당했습니다. 그 기지에서 수십만 건의 분산 서비스 거부(DDoS) 공격이 전 세계 목표물을 대상으로 감행되었으며, 여기에는 국방부 정보망(DoDIN)과 연결된 IP 주소도 포함되었습니다. 다시 말해, 단순히 문제가 있는 네트워크가 아니라, 민감한 인프라에 실질적인 압력을 가할 수 있는 운영 플랫폼이었던 것입니다.
법원 문서에 적힌 내용
미국 법무부에 따르면, 법원 기록은 IP 카메라, 비디오 레코더, Wi-Fi 라우터 등을 포함한 300만 대 이상의 기기가 이러한 네트워크에 의해 해킹당했다고 밝히고 있으며, 각 봇넷이 발행한 공격 명령은 Aisuru가 20만 건 이상, KimWolf가 2만 5천 건 이상, JackSkid가 9만 건 이상, Mossad가 1천 건 이상이라고 합니다. 법무부가 이를 공개했습니다..
그 수치는 상황을 파악하는 데 도움이 되지만, 모든 해킹된 기기가 똑같이 가치 있다고 해석해서는 안 됩니다. 규모는 크지만 불안정한 봇넷은 지속성이 뛰어나고 노드 순환이 잘 되며 공격 시점을 아는 운영자가 있는 소규모 봇넷과는 다릅니다. 때로는 문제가 단순히 관련된 기기의 수뿐만 아니라 특정 기간 동안 네트워크가 얼마나 유용하게 사용될 수 있는지에 달려 있기도 합니다.
교통량 급증 보고가 중요한 이유
12월에 Aisuru는 최고 31.4Tbps의 트래픽과 초당 2억 건의 요청을 기록했습니다. 이전에도 최고 기록은 29.7Tbps였으며, 11월에는 약 50만 개의 IP 주소에서 발생한 또 다른 공격으로 15.72Tbps에 달하는 트래픽이 발생하기도 했습니다. 이러한 수치는 놀랍지만, 중요한 것은 기술적인 수치 자체가 아닙니다. 이러한 수치가 진정으로 보여주는 것은 심각한 서비스 저하 없이 공격을 흡수하거나 차단할 수 있는 필요한 방어 수준입니다.
이러한 트래픽 급증이 발생하면 논쟁은 "위험한가?"에서 "누가, 얼마나 오랫동안, 그리고 어떤 비용으로 이를 견딜 수 있는가?"로 바뀝니다. 중소 규모 사업자나 분산 아키텍처가 덜 발달된 서비스의 경우, 해답을 찾는 것은 항상 쉬운 일이 아닙니다. 어떤 환경에서는 이러한 공격으로 모든 서비스가 중단되지는 않지만, 서비스가 간헐적으로 중단되거나 예측 불가능해지거나 유지 관리 비용이 매우 높아질 수 있습니다. 그리고 운영 측면에서 이는 이미 공격자에게 부분적인 승리나 다름없습니다.
봇넷이 그 정도 규모로 작동할 경우, 위협은 일회성 사건이 아니라 시스템적인 위험으로 변모합니다. 네트워크 혼잡, 장기적인 성능 저하, 막대한 비용의 완화 조치, 그리고 기술팀이 근본적인 취약점을 해결하기보다는 문제 해결에만 매달리는 상황이 발생합니다.
수법에 대한 기술적 해석
이러한 봇넷은 IoT 환경에서 흔히 볼 수 있는 여러 가지 특징을 악용했습니다. 즉, 인터페이스가 노출된 장치, 기본 또는 패치되지 않은 계정 정보, 그리고 인터넷에서 접근 가능한 관리 소프트웨어입니다. C2 인프라는 네트워크의 "두뇌" 역할을 하며, 운영자로부터 명령을 받아 각 감염된 장치에 설치된 에이전트에 배포되는 작업으로 변환합니다.
이론상으로는 간단해 보이지만, 실제로는 네트워크상의 문제점이 고질적인 문제인 경우가 많습니다. 잊혀진 라우터, 몇 년 전에 설치된 카메라, "아직 작동하니까 괜찮겠지"라는 이유로 업데이트되지 않는 녹화 장치 등이 그 예입니다. 이러한 네트워크는 바로 이런 곳에서 연속성을 찾습니다. 모든 노드가 완벽하게 정교할 필요는 없습니다. 일상적인 관리 소홀이나 재고 부족으로 인해 유지되는 수많은 취약점만으로도 충분합니다.
게다가, 성명서에서 언급된 "서비스형 사이버범죄" 모델인 접근 시장은 피해를 더욱 악화시킵니다. 개발자 외의 다른 운영자들도 마찬가지입니다. 맬웨어 이들은 이러한 네트워크에 대한 접근 권한을 임대하여 갈취나 집중 공격 캠페인을 벌일 수 있습니다. 이는 판도를 크게 바꿔놓습니다. 더 이상 특정 그룹이 봇넷을 집중적으로 악용하려는 의도에 의존할 필요가 없어지고, 네트워크 자체가 서비스 형태로 순환하게 됩니다. 이는 그들에게 더 큰 수익을 가져다주고, 다른 사람들에게는 예측하기 더욱 어렵게 만듭니다.
경찰 개입의 운영상 함의와 한계
그만큼 제거 C2 서버와 도메인에 개입하면 조정이 중단되고 새로운 명령 발행이 줄어들며 활성 공격을 차단할 수 있는 완충 장치가 마련됩니다. 이는 매우 중요한 이점입니다. 하지만 이를 과대해석해서는 안 됩니다. 제어 계층에 개입한다고 해서 감염된 장치가 자동으로 치료되거나 감염을 초래한 관행이 바로잡히는 것은 아닙니다.
이러한 유형의 작전을 해석할 때 가장 흔히 저지르는 실수 중 하나는 중앙 명령망이 무너졌으니 생태계도 깨끗해졌다고 생각하는 것입니다. 하지만 현실은 그렇지 않습니다. 소유자가 펌웨어를 업데이트하지 않거나, 자격 증명을 변경하지 않거나, 심지어 장치가 노출되었다는 사실조차 인지하지 못하는 경우 근본적인 문제는 여전히 남아 있습니다. 중앙 명령망이 무너진 봇넷이라도 나중에 다른 이름으로, 다른 네트워크에서 다시 나타날 수 있습니다.
이번 거래에 참여한 업계 기업 중 하나인 아카마이는 이러한 네트워크가 핵심 인프라에 미치는 운영상의 영향, 즉 코어 서비스 마비, 사용자 경험 저하, 클라우드 완화 솔루션 과부하를 초래할 수 있다는 점을 강조했습니다. 이는 단순히 경계 방어를 강화하는 것만으로는 모든 문제를 해결할 수 없다는 점에서 중요한 부분입니다. 완화 조치가 도움이 되는 경우도 있지만, 환경이 취약하거나, 제대로 분할되지 않았거나, 몇몇 병목 현상에 의존하는 경우 실질적인 개선 여지는 제한적입니다.
언제 개입하는 것이 타당하며, 개입 후에는 무엇을 기대할 수 있을까요?
사법적 및 기술적 개입은 중앙 집중식 조정을 방해하고, 진행 중인 공격을 줄이며, 해당 통제에 의존하는 행위자들의 작전 비용을 증가시킬 때 의미가 있습니다. 특히 봇넷이 이미 지속적인 피해를 입히고 있거나 여러 범죄 조직을 지원할 수 있을 만큼 충분히 성숙한 인프라를 갖추고 있을 때 유용합니다.
이러한 조치들을 자족적인 해결책으로 여기는 것은 바람직하지 않습니다. 조직이 "당국이 이미 조치를 취했다"는 생각에만 집중한다면, 실제로 조직이 통제할 수 있는 부분, 즉 자산 관리, 네트워크 분할, 자격 증명 관리, 원격 접근 제어, 그리고 현실적인 패치 적용 측면에서는 이미 늦은 것입니다. 모든 장비를 같은 속도로 업데이트할 수 있는 것도 아니고, 모든 구형 장비가 완벽한 보안을 지원하는 것도 아니기 때문입니다. 때로는 "평소처럼 사업을 계속하는 것"이 아니라, 영향을 받는 시스템을 격리하거나, 교체하거나, 아예 폐기하는 것이 최선의 선택일 수 있습니다.
벤더와 기업들에게 있어 여기서 중요한 기준은 추상적인 것이 아닙니다. IoT를 임시방편으로 관리하는 경우라면 노출 위험을 줄이고 자격 증명을 검증하는 데 집중할 수 있습니다. 하지만 비디오 감시, 게이트웨이, 분산 센서, 엣지 네트워킹 등 IoT 장비를 지속적으로 사용하는 경우에는 최소한의 제어만으로는 더 이상 충분하지 않습니다. 어느 정도의 위험은 반복적으로 발생할 수 있다는 점을 인정하고 예방뿐 아니라 대응책을 마련해야 합니다. 무엇보다 불필요한 것은 이러한 장비를 단순한 주변기기로 취급하는 것입니다. 봇넷이 확산될 경우 이러한 방식은 대개 큰 손실로 이어집니다.
이번 작전으로 Aisuru, KimWolf, JackSkid, 그리고 Mossad가 즉시 공격을 개시할 수 있는 능력이 감소했습니다. 좋은 소식입니다. 하지만 이번 작전의 진정한 교훈은 다른 곳에 있습니다. 제대로 관리되지 않는 기기들이 존재하는 한, 봇넷은 사라지지 않습니다. 단지 인프라를 교체하거나, 운영자를 바꾸거나, 다른 명령 인터페이스를 가지고 다시 나타날 뿐입니다. 이는 우리가 단기적인 공격보다는 그 이후에 이어지는 체계적인 대응에 더욱 집중해야 함을 의미합니다.
