ShadowNet

개요

ShadowNet은 "봇넷"이라는 단어가 세상에 존재하기도 전에 봇넷을 구현한 도구입니다. 1998년, 전 세계적으로 DDoS 공격이 본격적으로 알려지기 2년 전, ShadowNet은 이미 수천 대의 감염 PC를 동시에 제어하여 단일 목표를 공격하는 분산 공격 인프라를 완성했습니다.

감염된 PC는 자동으로 IRC 채널에 접속하여 C&C(Command & Control) 서버의 명령을 대기합니다. 공격자가 IRC 채팅방에 명령어 한 줄을 입력하면, 수천 대가 동시에 목표 서버를 공격합니다.

왜 ShadowNet이 충격적이었나

1998년 당시의 상황을 이해해야 합니다:

• DDoS라는 용어 자체가 아직 학술 논문에서만 등장하던 시기
• 전 세계적으로 유명한 Trinoo(1999), TFN(1999)보다 1년 앞선 구현
• 해외 보안 연구자들이 분산 공격의 가능성을 이론적으로 논의하던 때, 한국에서는 이미 실전 배치되어 있었음
• 2000년 2월, Yahoo/Amazon/eBay를 마비시킨 Mafiaboy 사건과 동일한 기술을 2년 전에 구현

핵심 기능

IRC 기반 C&C (Command & Control)

감염된 PC(좀비)는 지정된 IRC 서버의 비밀 채널에 자동 접속합니다. 공격자가 채널에 명령어를 입력하면 모든 좀비가 동시에 실행합니다. IRC의 특성상 실시간 양방향 통신이 가능하여, 각 좀비의 상태 보고, 명령 실행 결과 확인, 개별 좀비 제어까지 가능합니다.

주요 명령어:

• !flood [IP] [duration] — 전체 좀비가 목표 IP를 공격
• !udp [IP] [port] [size] — UDP Flood 공격
• !syn [IP] [port] — SYN Flood 공격
• !spread [method] — 전파 모듈 활성화
• !update [url] — 전체 좀비 원격 업데이트
• !status — 온라인 좀비 수, 대역폭 총합 보고
• !kill — 전체 좀비 자폭(자기 삭제)

자가 전파 웜 엔진

ShadowNet은 스스로 확산합니다:

• NetBIOS 스캔 — 같은 네트워크의 공유 폴더를 통해 전파
• 이메일 전파 — Outlook 주소록의 모든 연락처에 자동 발송
• IRC 전파 — 감염 PC가 접속 중인 IRC 채널에 파일 전송
• USB 전파 — 이동식 디스크에 autorun.inf와 함께 복사

전파 속도를 시간당 N대로 제한하는 속도 제어 기능이 있어 급격한 트래픽 증가로 인한 조기 탐지를 방지합니다.

DDoS 공격 엔진

단일 좀비로도 강력하지만, 수천 대가 동시에 공격하면 당시 어떤 서버도 버틸 수 없었습니다:

• SYN Flood — TCP 연결 자원 고갈
• UDP Flood — 대역폭 포화
• ICMP Amplification — Smurf 공격 기법 활용
• HTTP Flood — 웹 서버 연결 자원 고갈
• Slowloris — 저대역폭 서버 마비 기법

최대 10,000대 동시 제어

ShadowNet의 아키텍처는 계층형 C&C를 지원합니다. 1차 C&C가 10개의 2차 C&C를 제어하고, 각 2차 C&C가 1,000대의 좀비를 관리합니다. 이 구조로 단일 명령으로 10,000대를 동시에 동원할 수 있었습니다.

파급력

1999년 — 첫 번째 실전 투입

국내 게임 서버를 대상으로 한 공격에서 ShadowNet의 존재가 처음 확인되었습니다. 200대의 좀비만으로 당시 최대 규모의 게임 서버를 6시간 동안 완전 마비시켰습니다.

2000년 — 대형 포털 장애 사건

국내 주요 포털 사이트가 수 시간 동안 접속 불가 상태에 빠진 사건이 발생했습니다. 보안 업계에서는 ShadowNet 또는 그 변종이 사용되었을 것으로 추정했습니다. 이 사건은 한국 인터넷 역사에서 DDoS 공격의 위험성이 처음으로 사회적으로 인식된 계기가 되었습니다.

해외 보안 커뮤니티의 반응

Bugtraq과 CERT에서 ShadowNet에 대한 분석 리포트가 공유되었습니다. "극동 지역에서 발견된 고도의 봇넷 프레임워크"로 기술되었으며, Trinoo/TFN보다 구조적으로 우수하다는 평가를 받았습니다.

배포 중지

기술 사양