사이버 위협 환경은 진화하여, 국지적인 디지털 교란에서 전략적 지정학적 영향을 미치는 정교한 도구로 변모했습니다. 이러한 위험한 변화는 주요 봇넷을 해체하려는 연방 법 집행 기관의 작전이 의도치 않게 경쟁 범죄 조직에게 즉각적인 기회를 제공했을 때 극명하게 드러났습니다. 이들 조직은 수만 대의 장치를 신속하게 장악하여 새로운 기록적인 사이버 공격을 감행했습니다.
연방수사국(FBI)이 광범위한 사이버 범죄 활동을 담당하던 봇넷을 성공적으로 해체하면서 약 95,000대의 감염된 장치가 정화되었습니다. 그러나 경쟁 봇넷인 아이수루(Aisuru)는 이 공백을 즉시 악용했습니다. 구글 보안 엔지니어 데미안 멘셔(Damian Menscher)가 언급했듯이, 이는 “가능한 한 빨리 장악하기 위한 경쟁”이 되었고, 아이수루는 해방된 장치 중 4분의 1 이상을 차지했습니다.
이렇게 재무장된 네트워크의 속도와 규모는 전례가 없습니다. 클라우드플레어(Cloudflare)는 9월 1일, 초당 11.5조 비트라는 경이로운 악성 트래픽으로 정점을 찍은 사상 최대 규모의 분산 서비스 거부(DDoS) 공격을 기록했습니다. 클라우드플레어가 X에서 “세계 기록”으로 강조한 이 강도는 짧고 대규모 공격의 새로운 세대를 알리며, 이는 종종 봇넷의 전체 역량을 시험하는 경우가 많습니다. 결정적으로, 이러한 현대 봇넷은 주로 사물 인터넷(IoT) 장치—라우터, 스마트 TV, 보안 카메라—를 활용하는데, 이 장치들은 자주 방치되고 거의 업데이트되지 않아 지속적인 하이재킹 표적이 됩니다.
봇넷, 사기에서 사이버 전쟁으로 진화
봇넷 역량의 이러한 변화는 디지털 교란이나 금융 사기에서 잠재적인 사이버 전쟁 도구로의 전환을 의미합니다. 노키아(Nokia) 딥필드(Deepfield) 사업부의 기술 책임자인 크레이그 라보비츠(Craig Labovitz)를 비롯한 전문가들은 중요한 확대를 지적합니다: “이전에는 웹사이트가 우려 대상이었지만, 이제는 국가가 우려 대상입니다.” 이는 러시아 GRU가 2022년 군사 침공에 앞서 우크라이나 은행에 DDoS 공격을 감행했다고 알려진 지정학적 사건과 일치합니다.
증거에 따르면 범죄 네트워크는 이러한 전략을 점점 더 많이 채택하고 있습니다. 예를 들어, 구글은 2023년 74,000대의 안드로이드 TV 장치에서 2년 만에 1,000만 대 이상으로 확장되어 스마트 TV 봇넷 중 가장 큰 규모로 알려진 봇넷을 해체했습니다. 처음에는 대규모 광고 사기에 사용되었지만, 구글은 이 봇넷이 랜섬웨어 또는 인터넷 마비 공격에 쉽게 재활용될 수 있다고 경고했습니다. 마찬가지로, 수천만 대의 장치로 구성된 레스하이드라(ResHydra) 봇넷 또한 사기에서 직접적인 온라인 공격으로 전환했으며, 루멘(Lumen)의 블랙 로터스 랩스(Black Lotus Labs) 소속 크리스 포모사(Chris Formosa)는 이 봇넷이 “국가에 극심한 피해”를 줄 수 있는 잠재력을 가지고 있다고 언급했습니다.
현재 구글 클라우드(Google Cloud) 및 아마존 웹 서비스(Amazon Web Services)와 같은 대규모 클라우드 서비스 제공업체는 이러한 정교한 공격을 대체로 완화하고 있습니다. 그러나 봇넷의 끊임없는 위력 증가와 아이수루 또는 레스하이드라와 같은 조직의 결합된 작전 가능성은 가장 강력한 디지털 방어 체계마저 압도할 위협을 가하며 엄청난 도전을 제기합니다.