스테고봇 사회적 행동 기반 은밀 이미지 스테가노그래피 봇넷

초록

스테고봇은 온라인 소셜 네트워크의 이미지 공유 행위를 이용해 JPEG 스테가노그래피로 명령·데이터를 은닉하고, 친구 관계의 그래프 위에서만 통신함으로써 기존 C&C 서버를 드러내지 않는 비가시적 봇넷을 구현한다. 실제 페이스북 이미지 데이터를 활용한 실험에서 월당 수십 메가바이트 수준의 데이터 전송이 가능함을 보였다.

상세 분석

본 논문은 기존 중앙집중식·분산형 봇넷이 갖는 “통신 엔드포인트 노출” 문제를 근본적으로 회피하기 위해, 사회적 연결망 자체를 통신 인프라로 활용하는 새로운 설계 패러다임을 제시한다. 핵심 아이디어는 (1) 소셜 네트워크 사용자가 이미지 파일을 업로드·다운로드하는 정상적인 흐름에 스테가노그래피를 삽입해 명령·수집 데이터를 은닉하고, (2) 이러한 이미지 전송이 발생하는 친구‑간의 그래프 엣지를 C&C 경로로 제한함으로써 외부 관찰자가 새로운 IP·포트 연결을 탐지할 수 없게 만든다.

기술적으로는 JPEG 기반의 최신 스테가노그래피 기법인 YASS를 채택했으며, 페이스북이 적용하는 JPEG 압축(Q≈75)과 호환되도록 이미지 전처리(리사이징·재인코딩)를 수행한다. 실험 결과, Q=75에서 비트 오류율(BER)이 최소화되어 스테가노그래피가 손실 없이 복원될 수 있음을 확인했다. 또한, 스테가노그래피 용량은 비제로가 아닌 0.05 bits/비영(Non‑zero) AC DCT 계수 수준으로, 이는 일반 이미지에 눈에 띄는 변형을 일으키지 않으면서도 충분한 데이터 전송을 가능하게 한다.

라우팅은 “제한된 플러딩(restricted flooding)”이라는 단순한 멀티홉 전파 방식을 사용한다. 각 봇은 자신이 받은 이미지에 스테가노그래피를 삽입해 이웃에게 전파하고, 최종적으로 봇마스터가 자신의 이웃 이미지들을 다운로드함으로써 전체 데이터를 수집한다. 이 과정에서 중복 전송을 방지하기 위한 대역폭 스로틀링과 중복 카운트 측정이 도입되어, 실제 네트워크 환경에서도 평균 30 % 이상의 채널 효율성을 달성한다.

보안 측면에서 스테고봇은 (a) 기존 C&C 서버를 전혀 사용하지 않음, (b) 통신 흐름이 정상적인 소셜 미디어 트래픽에 완전히 매몰됨, (c) 스테가노그래피 탐지 모델이 0.05 bits/계수 이하에서는 높은 오탐률을 보이는 점을 이용해 탐지를 회피한다는 세 가지 강점을 가진다. 그러나 페이스북 이미지 자동 다운로드 정책에 의존하므로, 플랫폼이 이미지 전송 방식을 변경하거나 압축 파라미터를 조정하면 채널이 파괴될 위험이 있다. 또한, 사회적 악성코드 전파 자체가 피싱·스피어 피싱 등 기존 이메일 기반 공격과 유사한 전제조건을 필요로 하므로, 초기 감염 단계에서의 방어는 여전히 중요하다.

결론적으로, 스테고봇은 사회적 행동과 이미지 스테가노그래피를 결합해 기존 봇넷 탐지 기법을 무력화시키는 혁신적 설계이며, 제한된 플러딩 라우팅과 대역폭 제어 메커니즘을 통해 실용적인 전송량을 확보한다. 향후 연구는 보다 정교한 라우팅 최적화, 다중 플랫폼(인스타그램, 트위터 등) 지원, 그리고 스테가노그래피 탐지 회피를 위한 적응형 변조 기법 개발을 제안한다.