다양한 악성코드 유형이 있지만, 봇넷은 가장 심각한 사이버 보안 위협으로 인식되고 있다. 봇넷은 봇 마스터로부터 원격 제어되는 봇들의 네트워크를 의미하며, C&C 채널을 통해 명령이 하달되어 개인정보 유출, DDoS 공격 등을 유발한다. 봇넷으로 인한 악성행위 방지를 위해 봇 감염PC와 C&C 서버 간 접속을 차단하는 'DNS 싱크홀'이 민관 협력하에 운영되고 있다. 뿐만 아니라, 싱크홀된 봇 감염PC 정보를 수집하여 '감염PC 사이버 치료체계'를 통해 감염사실을 통보하고 있다.
그러나 現 DNS 싱크홀 운영체계는 기술적인 제약으로 인해 IRC 봇 수집에 국한되어 있으며, 운영 구조상 봇넷 규모를 파악할 수 없어 전용백신 제작·배포 등 적극적인 봇넷 대응이 어렵다. 또한 DNS 싱크홀은 봇넷 트래픽이 집중되는 지점으로 통신 분석 가치가 있으나, 봇넷 차단 목적으로만 한정되어 운영되고 있다.
본 논문에서는 現 DNS 싱크홀 운영체계에서 봇넷 규모를 분석할 수 있는 방안을 제안한다. 또한 봇과 C&C 서버 간 게이트웨이를 구성하고, 트래픽 조작을 통한 통신 재접속 및 통제 메카니즘을 구현하여 봇 수집 확대 및 봇넷 분석목적으로 활용하는 방안을 제안한다.