봇넷에 의한 스팸의 대응 기술 연구

Abstract

최근 개인정보 유출 등의 보안 사고가 발생하면서 정보보호에 대한 관심이 더욱 커지고 있는 실정이다. PC에 대한 피싱 및 정보 유출의 경우, 스팸(Spam)이나 게시판의 첨부 파일을 주로 이용하여 발생하고 있다. 스팸(Spam)은 이메일(E-mail) 서비스를 이용하는 사용자가 원치 않음에도 불구하고 영리 목적의 상업적인 광고를 포함하여 일방적으로 전송되거나 악성코드 전파 등을 목적으로 발송되는 이메일을 말한다. 일반적으로 스팸은 사용자가 수신을 원치 않는 메일로 정의할 수 있다. 근래의 스팸 발송은 추적을 회피하기 위하여 주로 이미 해킹된 다른 컴퓨터, 즉 좀비(Zombie)들을 이용하여 이루어지고 있다. 이러한 좀비들은 봇이라고도 지칭되며, 봇들 간에 구성된 네트워크를 봇넷(Botnet)이라 한다. 봇넷은 분산서비스 공격 및 개인 정보 유출 등의 다양한 악성행위를 사용되며 본 논문에서는 스팸의 대응에 집중하고 있다. 봇넷은 주로 IRC(Internet Relay Chat), HTTP, P2P를 이용하여 구성 및 관리되고 있으며, 이에 대한 탐지기술은 많이 연구되어 왔다. 그러나 봇넷을 악용한 스팸메일 발송에 대한 대응책은 아직 많이 연구되지 않아서 초보단계의 연구수준에 머물러 있다. 본 논문에서는 그동안 연구되어 온 봇넷 탐지 기술 및 스팸 대응기술을 조사하였다. 또한 봇넷의 트래픽 분석을 위한 허니팟을 설치하여 2008년 스팸발송에 이용된 봇넷들 중 가장 점유율이 높았던 Storm 봇과 Srizbi 봇에 대한 트래픽 수집 및 분석을 진행하였다. 기존 대응 기술과 트래픽 분석 결과를 종합하여, 봇넷 통해 발송된 스팸에 대한 대응 프레임워크를 제안한다. 제안된 프레임워크에서는 IP 기반, DNS 기반, Agent 기반의 3단계를 거쳐 봇의 스팸을 탐지하고 차단한다.