11월 국내 봇 감염률 10% 미만으로 떨어져... DNS 싱크홀 성과 '톡톡'
올초까지만해도 25%를 넘어섰던 국내 악성 봇(Bot) 감염률이 처음으로 10% 미만으로 떨어졌다.

악성 봇이란 타인의 PC에 몰래 설치돼, 감염PC 내부의 개인정보 유출은 물론, 감염PC를 제3의 컴퓨터 해킹이나 스팸메일 발송 등에 악용할 수 해킹 프로그램으로, 봇에 감염된 PC를 흔히 좀비PC라고 불린다.

6일 한국정보보호진흥원(KISA)에 따르면, 악성 봇에 감염된 전세계 PC(추정) 중 우리나라 PC가 차지하는 비중이 8월 19.7%, 9월 14.6%, 10월 13.6%로 줄곧 감소세를 보이기 시작, 급기야 지난 11월에는 처음으로 9.5%를 기록했다.

지난해까지만해도 우리나라는 다른 국가에 비해 상대적으로 빠른 초고속인터넷 인프라가 전세계 해커들 사이에 주목을 받으면서 20~25% 가량의 높은 감염률을 유지해왔다. 이 때문에 미국, 중국 등에 이어 3~4위권 좀비 PC 보유국이라는 오명을 얻어왔다.

이같이 우리나리의 좀비PC 감염률이 급격히 감소한데는 KISA가 올초부터 주요 인터넷서비스사업자(ISP) 및 인터넷데이터센터(IDC) 등 인터넷망 사업자들과의 공동 으로 국내 봇 감염 PC들이 이를 원격 조정하는 명령 서버로의 연결을 원천 봉쇄한 것이 적잖은 성과로 이어졌다는 분석이다.

KISA는 올초부터 ISP 및 IDC들과 협력해 악성 봇에 감염된 국내 PC들이 공격자의 명령 서버로 자동 연결되는 것을 차단해주는 DNS 싱크 홀을 적용하기 시작했던 것.

일반적으로 악성 봇에 감염된 PC는 일종의 채팅서비스인 IRC의 특정 채널(봇넷 관리서버)로 자동 접속돼 공격자의 명령을 기다리게 된다.

DNS 싱크홀이란 봇에 감염된 PC가 이처럼 악성 봇 명령제어 서버로 접속을 시도하는 과정에서 도메인 이름에 실제 IP주소 대신 특정 IP를 부여함으로써 봇에 감염된 PC가 실제 서버에 연결되지 못하도록 해주는 시스템이다.

올초부터 DNS 싱크홀을 적용한 인터넷사업자들이 점차 늘기 시작해 11월 현재 총 8개 사업자가 DNS 싱크홀을 적용한 상태다.

이와 함께 KISA가 자체 허니넷에 탐지된 웜, 바이러스(악성 봇 포함) 샘플들을 국내 백신업체에 신속히 전달해 백신업체들이 패턴 업데이트를 했던 것도 주효했다.

KISA의 김우한 인터넷침해사고대응센터장은 "봇 감염 PC를 최소화할 수 있도록 나머지 국내 ISP와 IDC들과도 DNS씽크홀을 적용할 수 있도록 할 방침"이라며 "특히, 실질적인 봇 치료방안 마련을 위해 악성 봇에 감염된 PC를 ISP업체들이 자동 치료할 수 있도록 관련 법률도 검토하고 있다"고 강조했다.