자동 생성 도메인으로 봇넷 추적 및 특성 분석

초록

본 논문은 공개된 패시브 DNS 데이터를 활용해 자동 생성 도메인(AGD)을 식별하고, 이를 기반으로 DGA(도메인 생성 알고리즘)를 모델링·군집화하여 각 봇넷을 자동으로 구분·추적하는 시스템 ‘Phoenix’를 제안한다. 기존 연구가 요구하던 저수준 DNS 센서와 개인정보 수집 문제를 해소하고, 94.8%의 정확도로 AGD와 정상 도메인을 구분한다.

상세 분석

Phoenix는 세 가지 핵심 모듈로 구성된다. 첫 번째 DGA Discovery 모듈은 블랙리스트·패시브 DNS 스트림에서 악성 도메인 집합을 받아, 언어학적 특징과 IP‑도메인 매핑을 이용해 자동 생성 도메인(AGD)을 추출한다. 여기서 사용되는 언어학적 특징은 문자 빈도, n‑gram 분포, 모음·자음 비율 등으로, 기존 연구가 그룹 기반 특징에 의존했던 점과 달리 단일 도메인만으로도 높은 판별력을 제공한다. 두 번째 AGD Detection 모듈은 실시간 DNS 트래픽을 입력받아, 사전에 구축된 AGD 모델과 비교해 새로운 도메인이 자동 생성 여부를 판단하고, 가장 유사한 DGA 유형을 라벨링한다. 라벨링 과정은 각 DGA 별 ‘지문(fingerprint)’을 정의함으로써, 동일 DGA에서 파생된 새로운 도메인도 즉시 식별할 수 있게 한다. 세 번째 Intelligence and Insights 모듈은 라벨링된 결과를 집계·시각화하여, 봇넷의 AS 이동, C&C 서버 교체, 새로운 AGD 출현 등을 추적한다.

기술적 난관으로는 (1) AGD의 ‘무작위성’ 때문에 단일 샘플만으로는 DGA 특성을 파악하기 어려운 점, (2) 도메인‑IP 매핑의 고빈도·저빈도 변동성으로 인한 데이터 규모와 연산 복잡성, (3) 기존 연구가 의존하던 저수준 DNS 쿼리 로그(클라이언트 IP 포함)의 비공개·프라이버시 문제 등이 있다. Phoenix는 이러한 문제를 ‘패시브 DNS’라는 공개 데이터 소스만을 이용함으로써 해결한다. 즉, DNS 레코드와 응답 IP만을 수집해도 충분히 AGD를 구분하고 DGA를 모델링할 수 있음을 입증한다.

실험에서는 1,153,516개의 도메인(현대형 Bamital부터 전통형 Conficker·Torpig까지)을 대상으로 평가했으며, AGD와 비AGD를 94.8% 정확도로 구분하고, 서로 다른 DGA에 속하는 도메인 군집을 정확히 분리했다. 특히, 사전 지식이 없던 미확인 AGD 집합을 Conficker로 라벨링한 사례는 Phoenix의 실시간 인텔리전스 제공 능력을 강조한다.

이 시스템은 (a) 프라이버시 보존·배포 용이성, (b) 대규모 실시간 운영 가능성, (c) IP‑공유·재할당에 강인한 정확도, (d) 기존 DGA 역공학 없이도 새로운 봇넷을 자동 탐지한다는 점에서 기존 솔루션을 크게 능가한다. 또한, 생성된 DGA 지문은 향후 악성 도메인 블랙리스트에 자동으로 추가될 수 있어, 사전 방어 체계 구축에 직접 활용 가능하다.