본문 바로가기

벌새::Security

BBC의 위험한 보안 관련 방송

얼마 전 영국 방송사 BBC에서 봇넷(Botnet)을 이용한 스팸 메일의 위험성을 알리는 보안 관련 방송을 하면서 위험한 실험을 한 것에 대해 해외에서 이슈가 되었습니다.

대략적인 내용은 이렇습니다.

BBC 방송은 보안업체 
PrevX의 도움을 받아 봇넷을 이용한 스팸 메일에 대한 방송을 진행하게 됩니다. 방송에서는 실제 어떻게 스팸 메일을 발송하는지를 직접 구현을 하는 내용을 포함하고 있습니다.

문제는 이 구현 과정에서 불법적인 부분과 윤리적인 부분에 대한 논란을 야기한다는 점인 것 같습니다.

실험을 위해 사이버 범죄자를 통해 약 22,000개 수준의 봇넷을 렌탈(Rental)을 합니다. 이렇게 확보한 봇넷은 2개의 이메일 계정(Hotmail / gmail)에 스팸 메일(수천통 이상 단위)을 발송하도록 봇넷에 명령을 내립니다.

명령을 받은 봇넷은 감염된 사용자의 PC를 이용하여 해당 동작을 하였고, 이용된 PC의 윈도우 데스크탑 이미지 변경도 이루어졌다고 합니다.

이러한 일련의 과정은 녹화가 되었으며, 결과는 TV 다큐멘터리 방송에 이용이 되었다고 알려져 있습니다.

문제는 실제 공격에 이용된 감염된 PC입니다. 실제 해당 PC 사용자는 자신의 컴퓨터가 봇넷에 감염되어 스팸 메일 발송에 악용당하고 있다는 사실을 모르고 있습니다.

이 방송이 나가고 나서 Sophos 등 보안업체에서 문제를 제기한 것으로 알려져 있습니다.



이런 실험은 통제된 상황 속에서 이루어져야 하는 것이 정상이지만 실제와 유사하게 구성하기 어려운 현실과 함께 더욱 리얼한 모습을 보여주려는 방송사의 과욕이 아니었을까 생각됩니다.