블록체인·P2P 네트워크 악용한 Glassworm 봇넷, 국제적 협력으로 무력화: 보안에 대한 시사점

II. 사건 개요: Glassworm 봇넷이란?

최근 사이버 보안 업계에서 주목받는 Glassworm 봇넷이 국제 보안 연구진의 협력으로 성공적으로 해체되었습니다. Glassworm은 소프트웨어 개발자를 주요 목표로 삼아 공급망 공격에 악용된 악성코드 기반 봇넷입니다. 이 봇넷은 독특한 명령·제어(C2) 인프라 구조를 활용해 기존의 차단 기법이 거의 통하지 않는 특징을 보였습니다.

보안 전문가들은 Glassworm이 기존 봇넷의 단순 변형이 아닌, 블록체인과 P2P 네트워크 등 최신 분산 기술을 악용한 새로운 유형의 사이버 위협임을 확인했습니다. 이는 최근 사이버 위협이 얼마나 빠르게 진화하는지, 그리고 보안 업계가 새로운 과제에 직면하고 있음을 상징하는 사례라 할 수 있습니다.

III. Glassworm의 공격 방식과 C2 인프라의 특징

Glassworm의 가장 큰 특징은 탈중앙화된 명령·제어(C2) 인프라 구조에 있습니다. 대부분의 전통적 봇넷은 중앙집중식 서버를 통해 명령을 내리며, 서버 차단으로 손쉽게 무력화할 수 있지만, Glassworm은 완전히 다른 방식을 채택했습니다.

Solana 블록체인 활용

Glassworm은 Solana 블록체인을 통해 C2 명령을 감염 호스트에 전달합니다. 블록체인의 분산 특성으로 인해 특정 서버를 차단하는 것이 거의 불가능하고, 모든 명령이 트랜잭션 형태로 블록체인에 영구 기록되어 추적이 어려워집니다. 공격자는 정상적인 토큰 전송처럼 보이는 트랜잭션에 명령을 숨겨 전파하였습니다.

BitTorrent DHT 네트워크 악용

P2P 파일 공유 프로토콜인 BitTorrent의 분산 해시 테이블(DHT)을 통해, 중앙 서버 없이 통신 채널을 구축하였습니다. DHT 네트워크는 여러 피어가 직접 정보를 교환하며, 단일 장애점이 없어 기존의 차단이 극히 어렵습니다.

공급망을 노린 다단계 공격

Glassworm은 소프트웨어 공급망에 집중하였습니다. 개발자 환경이나 빌드 파이프라인, 라이브러리 등을 감염시켜, 해당 개발자가 생성하는 모든 소프트웨어에 백도어를 삽입하는 다단계 공격 방식을 적용하였습니다. 그 결과, 하나의 감염 지점을 통해 수많은 최종 사용자까지 악성코드가 확산될 수 있습니다.

IV. 보안 연구진의 대응: 해체 작전의 경과

이처럼 탈중앙화된 구조는 보안 연구진에게 매우 새로운 도전이었습니다. 그러나 국제 보안 커뮤니티는 체계적인 분석과 협업으로 위협을 무력화하는 데 성공했습니다.

먼저 Glassworm의 통신 프로토콜, 블록체인 트랜잭션, DHT 네트워크 패턴을 심층 분석하고, 위협 정보를 업계 및 연구기관 간에 신속히 공유했습니다. 이 과정에는 블록체인 분석 기업, 보안 연구소, 각국의 보안 벤더 등이 참여해 공동 대응 체계를 구축했습니다.

주요한 전환점은 Glassworm의 P2P 네트워크가 완전히 탈중앙화된 형태는 아니며, 중간에 부분적인 집중 관리 노드가 있음을 발견한 것입니다. 이를 활용해 체계적인 무력화 전략이 시행됐으며, 감염 호스트 식별 및 자동 정리(클린업) 도구도 개발되었습니다. 법적 협력도 병행되어 관련 인프라 운영자 일부가 추적 및 기소되었습니다. 이처럼 기술·법적 다각도의 노력이 성공적인 해체의 핵심이 되었습니다.

V. 블록체인·P2P C2 인프라가 주는 보안적 시사점

Glassworm 사건은 블록체인 및 분산 네트워크 기술의 악용이 사이버 보안 패러다임에 어떤 근본적 변화를 야기하는지 보여줍니다. 전통적인 보안 대응 방안만으로는 현상을 해결하기 어렵고, 새로운 탐지 및 방어 프레임워크가 요구되고 있습니다.

탐지 난이도 비약적 상승

블록체인의 익명성과 P2P 네트워크의 분산 구조는 위협 탐지와 추적을 극도로 어렵게 만듭니다. 기존 서명 기반 혹은 행위 기반 탐지 방식 모두 한계에 직면하며, 이제 네트워크 장비도 블록체인 트랜잭션 자체를 분석할 역량을 가져야 합니다.

공급망 공격 고도화

Glassworm이 개발자를 노린 것은 공급망의 근본적 취약점을 공략한 ‘투자 대비 효율’이 높은 방식이었기 때문입니다. 하나의 감염으로 광범위한 파급을 기대할 수 있어, 공급망 전체의 보안 강화를 반드시 요구합니다.

국제 협력의 중요성과 법적 한계

글로벌하게 분산되는 네트워크 특성상 한 나라의 노력만으론 한계가 있습니다. 또한 암호화폐, 블록체인의 익명성은 법 집행의 사각지대를 만들 수 있으므로, 국제 협력과 법·기술 프레임워크의 구축이 시급합니다.

VI. 공급망 보안 강화를 위한 권고 및 향후 전망

Glassworm 봇넷 사건을 통해 드러난 시사점과 개선 방향은 다음과 같습니다.

1. 제로 트러스트 아키텍처 도입 : 모든 소프트웨어 컴포넌트와 의존성을 신뢰하지 않고, 빌드 파이프라인 내 모든 단계에서 무결성 검증 및 검증되지 않은 코드의 차단이 필요합니다.

2. 블록체인 트래픽 모니터링 강화 : 보안 솔루션이 블록체인 트랜잭션과 스마트 컨트랙트 호출까지 감시할 수 있어야 하고, 이상 징후 탐지 규칙 개발이 요구됩니다.

3. 위협 인텔리전스 공유 체계 구축 : 업계 및 국가 간 위협 정보 신속 공유가 신종 위협 대응의 관건입니다.

4. 개발 환경의 보안 강화 : 개발자 워크스테이션, 빌드 서버 등 생산 환경에 보안 정책 강화와 접근 제어, 정기 검증 프로세스를 적용해야 합니다.

향후 블록체인과 분산 네트워크 기술이 꾸준히 발전함에 따라 이를 악용하는 사이버 위협 또한 더욱 정교해질 전망입니다. 보안 업계와 정부, 법 집행기관 등 이해관계자 간의 지속적 협력과 선제적 기술 개발만이 효과적인 방어 체계를 마련할 열쇠가 될 것입니다.

Glassworm 봇넷의 해체 사례는 새로운 분산 기술 악용 위협에도 국제적 협력과 체계적 분석이 유효함을 보여주었습니다. 이는 공급망 보안의 중요성이 그 어느 때보다 강조되는 현재, 모든 조직과 개발자가 각성해야 할 부분임을 시사합니다.