[보안_GPT] C&C 트래픽이란?

🔥 1. C&C 트래픽이란?

정의:
C&C 트래픽은 악성코드에 감염된 장치(좀비, Bot)가 공격자의 명령 서버(Command & Control Server)와 주고받는 네트워크 트래픽을 말해.

즉:

👉 “봇넷 악성코드가 공격자의 지시를 받고 데이터를 보내거나 명령을 받는 통신”

• 기업 내부망에서 발생하면 보안 사고의 주요 신호
• 보안관제(SIEM)에서 탐지해야 하는 대표적 악성 트래픽

---

🔹 2. C&C 트래픽 특징

1️⃣ 주기적 통신

• 일정 시간마다 서버와 통신 → 감염 장치 동기화

2️⃣ 암호화/은폐

• 통신 내용 암호화 또는 정상 트래픽처럼 위장

3️⃣ 비정상 도메인/IP 접속

• 내부 시스템에서는 접근하지 않는 외부 IP/도메인으로 통신

4️⃣ 명령 수신 및 데이터 송신

• 공격 명령 실행 (DDoS, 정보 탈취 등)
• 내부 정보 ex) 계정, 파일, 키보드 입력 전송

---

🔹 3. C&C 트래픽 예시

유형설명

HTTP/HTTPS 기반	웹 요청처럼 위장, 정상 트래픽과 유사
DNS 기반	도메인 이름 요청을 통해 명령 수신
IRC 기반	채팅 서버를 통해 명령 전달
P2P 기반	중앙 서버 없이 Bot끼리 명령 전달

---

🔹 4. C&C 트래픽 탐지 방법

• 비정상 외부 IP 접속 모니터링
• 내부 장치의 주기적 트래픽 패턴 분석
• DNS 요청 이상 패턴 탐지
• SIEM / EDR 연동 → 이상행위 경보

---

🔹 5. 대응 방법

1️⃣ 감염 장치 격리
2️⃣ 악성코드 제거 및 복구
3️⃣ 방화벽, IPS, WAF 룰 업데이트
4️⃣ C&C 서버 차단
5️⃣ 네트워크 트래픽 지속 모니터링

---

🎯 한 문장 요약

C&C 트래픽 = 악성코드에 감염된 장치가 공격자의 명령 서버와 주고받는 통신으로, 명령 수신과 내부 정보 유출을 수행하며, 탐지와 차단이 보안 대응의 핵심이다.