디도스 공격용 봇넷 셰도우V2, “디도스 공격의 고급화”
- 도커허브 이미지 감염시킨 뒤 주구장창 기다리는 거 하지 않아
- 각종 디도스용 신기술까지 탑재한 셰도우V2
- 대여 통해 디도스 공격의 진입장벽 낮추기도
디도스 공격을 전문으로 하는 대형 봇넷이 새롭게 발견됐다. 셰도우V2(ShadowV2)라고 명명된 이 네트워크는 디도스 공격을 원하는 누구나 유료로 활용할 수 있다고 보안 업체 다크트레이스(Darktrace)가 밝혔다. 주요 공격 대상은 AWS 클라우드 서버에 호스팅 된 도커 컨테이너 중 설정이 잘못 된 것들이라고 한다. 이런 컨테이너들은 셰도우V2에 편입돼 훗날 대규모 디도스 공격에 동원된다.
“셰도우V2의 C&C 서버는 깃허브(GitHub)의 코드스페이스(Codespaces)에 호스팅 되어 있는데, 이를 운영하는 공격자들은 HTTP/2라피드리셋(HTTP/2 Rapid Reset)와 클라우드플레어(Cloudflare)의 ‘언더어택모드(Under Attack Mode, UA)’ 우회, 대규모 HTTP플러딩(HTTP Flooding) 등의 고급 기법을 적절하게 사용해 취약점 익스플로잇 공격과 디도스 공격을 결합하는 실력을 보여주고 있습니다.” 다크트레이스가 보고서를 통해 밝힌 내용이다.
하지만 셰도우V2 봇넷의 가장 큰 특징은 “공격 도구의 정교함”이라고 한다. “공격자들은 봇넷을 확장시키기 위해 도커 데몬을 겨냥한 파이선 기반 모듈을 개발해 사용하고 있습니다. 이 모듈은 주로 AWS EC2에서 실행되는 도커 인스턴스를 노리게끔 설계돼 있고요. 그 외에도 고(Go) 기반 원격 접근 트로이목마(RAT)도 있는데, 이것은 C&C 서버와의 통신을 가능하게 해줍니다. 그래서인지 공격자들은 셰도우V2를 다크웹에 광고할 때 ‘고급 공격 플랫폼’이라고 표현하기도 합니다.”
왜 고급?
위의 설명만으로는 ‘고급’이라는 표현이 잘 와닿지 않을 수 있다. 도커 데몬을 위한 파이선 기반 모듈이나, AWS EC2의 도커 인스턴스를 노리는 것이나, 고 언어로 된 RAT 등이 있을 뿐인데 왜 ‘고급’으로 분류되는 것일까? 도커 생태계를 겨냥한 기존 공격들이 투박했기 때문이다. 공격자들이 손 댄 커스텀 컨테이너 이미지를 여기 저기에 올려 누군가 다운로드 받기를 기다리거나, 도커허브(Docker Hub)에 이미 업로드 되어 있는 이미지들을 감염시켜 확산시키는 것이 거의 전부였다고 할 수 있다.
“하지만 셰도우V2는 리눅스 배포판 중 하나인 우분투의 이미지에서 범용 컨테이너를 하나 생성한 뒤, 그 안에 다양한 도구를 설치하는 방식을 채택하고 있습니다. 이 컨테이너는 이후 빌드 과정을 거쳐 라이브 컨테이너로서 배포됩니다. 즉, 악성 도구를 직접 배포하는 게 아니라, 악성 도구의 ‘스냅샷’을 배포하는 겁니다. 그런 후에 피해자 시스템 안에서 그런 도구들이 설치된 컨테이너 이미지가 실제 만들어져 가동되도록 하는 것이죠. 따라서 포렌식 흔적이 덜 남고, 추적도 어려워지죠.”
도커허브 이미지를 감염시킨 후 업로드 해서 누군가 다운로드 하기까지 기다리는 건, 마치 테러리스트가 폭탄 상자를 피해자 문 밖에 가져다 놓는 것과 비슷하다. 그러면서 피해자가 문을 열고 그 상자를 안으로 가져가주기를 희망하는 것이다. 이 경우 피해자 집에 설치된 CCTV 등을 통해 배달자(즉 공격자)를 파악하는 게 가능해진다. 반대로 라이브 컨테이너로 배포한다는 건 공격자가 직접 피해자 집 안으로 들어가 직접 폭탄 상자를 만드는 것과 같다. 이 경우 집 밖의 CCTV는 무용지물이 되고, 집 안 흔적만으로 범인을 추적해야 하니 어려워진다.
디도스 대여점
C&C 인프라를 분석했을 때 다크트레이스는 클라우드플레어 뒤에 호스팅 되어 있는데, 이 역시 추적을 어렵게 하기 위한 전략으로 보인다고 한다. “중요한 건 로그인 패널과 운영자 인터페이스를 갖추고 있다는 겁니다. 이건 바로 봇넷이 누군가에게 빌려주기 위해 설계됐다는 걸 보여줍니다. 즉 임대형 디도스 서비스가 셰도우V2의 정체성이라는 의미입니다. 하나의 사업 아이템인 것이죠. 누군가를 디도스로 직접 못 살게 구는 것 자체가 아니라 돈 버는 게 목적이라는 걸 알 수 있습니다.”
다크트레이스는 “디도스용 봇넷을 대여해주는 사업은 이전에도 있어왔지만, 이번 셰도우V2가 특별히 다른 건 컨테이너화(containerization)과 API 활용, 사용자 인터페이스 등 최신 기술들이 깔끔하게 결합되어 있기 때문”이라고 짚는다. 즉 ‘임대형 사이버 범죄’ 혹은 ‘서비스형 사이버 범죄(cybercrime-as-a-service)’라는 범죄가 얼마나 발전해 있는지를 보여준다는 것. “고 기반 RAT을 통해 모듈형 기능을 제공하고, 운영자와 대여자의 원만한 소통을 위해 API를 구조화시켜 노출시키는 능력까지, 정말 고급 스킬을 가지고 있다고 할 수 있습니다.”
셰도우V2가 어떤 규모의 디도스 공격을 할 수 있는지는 아직 정확히 알 수 없다. 다만 클라우드플레어 측에서는 오늘 자사 SNS를 통해 “초당 22.2TB와 초당 106억 개 패킷에 이르는 규모의 디도스 공격을 차단했다”고 밝히며 “이는 사상 최대 규모”라고 주장했다. 이것이 셰도우V2로부터 비롯된 공격이라는 언급은 없었다. 참고로 클라우드플레어는 이번 달 초에도 초당 11.5TB의 공격이 35초간 지속된 것을 목격하고 위험을 완화했다고 발표하기도 했었다. 이 공격 역시 셰도우V2와의 연관성이 드러나지는 않았다.
디도스, 여전한 위협
디도스는 일반인들도 식상해할 정도로 오래된 유형의 공격이다. 오래됐기 때문에 누구나 막을 수 있는, 낡은 수법으로 여겨지기도 한다. 하지만 이는 사실이 아니다. 디도스는 여전히 많은 기업과 기관들을 위협하는 존재이며, 조금만 방심해도 어느 새 치고 들어오는 치명타와도 같다.
요즘 디도스는 그 규모면에서 예전 디도스와 비교가 불가하다. 현대 공격자들은 초당 테라바이트 단위의 트래픽을 쉽게 만들 수 있다. 게다가 위에서 말한 것처럼 트래픽 양을 크게 증가시킬 만한 각종 기술들도 부지런히 개발되고 있다. 거기다 셰도우V2처럼 돈만 내면 디도스 공격을 할 수 있게 해 주는 ‘대여점’까지 존재한다? 디도스에 대한 수요가 높아질 수밖에 없다. 높아지니 새 기술이 개발되고, 새 기술이 개발되니 디도수 규모가 커지는 것이라고 할 수 있다.
디도스가 명맥유지를 할 수 있는 건 사물인터넷 때문이기도 하다. 최근 수년 동안 사물인터넷 장비들이 기하급수적으로 보급되고 있는데, 문제는 이 기기들 대부분 보안 조치가 미흡하다는 것이다. 이 때문에 공격자들은 ‘쉬운’ 사물인터넷 장비들을 감염시켜 자신의 봇넷에 편입시킨다. 그리고 이 장비들을 죄다 동원해 대규모 트래픽을 만들어 표적을 마비시킨다. 사물인터넷 도입 속도가 줄거나, 사물인터넷 제조사들이 보안에 대해 다시 생각할 때까지 디도스는 늘 동반되는 위협으로 남아있을 예정이다.
Related Materials
- Darktrace exposes ShadowV2, a next-gen DDoS-as-a-service botnet targeting cloud workloads - IndustrialCyber, 2025년
- ShadowV2 Botnet Exploits Misconfigured AWS Docker - The Hacker News, 2025년
- ShadowV2 DDoS Service Lets Customers Self-Manage Attacks - SecurityWeek, 2025년
- Darktrace reveals ShadowV2 botnet exploiting Docker misconfigurations in AWS - SiliconANGLE, 2025년
문가용 기자
문가용 기자
