AI가 봇 공격에서 하는 역할
AI 도구의 접근성 증가로 사이버 공격자들이 악성 봇을 대규모로 생성하고 배포하는 진입 장벽이 크게 낮아졌습니다. 생성형 AI가 봇 개발을 단순화하면서 자동화된 위협이 빠르게 진화하고 있습니다. 이러한 위협은 더욱 정교해지고, 탐지를 회피하며, 광범위하게 확산되어 고급 악성 봇의 성장을 가속화하고 있습니다.
공격자들은 이제 AI를 봇 생성뿐만 아니라 실패한 시도를 분석하고 탐지를 더 효율적으로 우회하기 위한 기술을 개선하는 데에도 사용하고 있습니다. 그 결과 더욱 정교하고 회피가 용이한 악성 봇이 등장하면서 기업들은 그 어느 때보다 큰 위험에 처해 있습니다. 자동화된 트래픽 양이 증가함에 따라 보안 팀은 애플리케이션 보안 접근 방식을 조정해야 하며, 봇이 우위를 점하고 있는 진화하는 위협 환경에 대응하기 위한 압박이 커지고 있습니다.
아래 차트는 연도별 전체 웹 봇 트래픽 중 악성 봇의 비율이 꾸준히 증가하는 것을 보여줍니다. 2015년에는 악성 봇이 전체 봇 트래픽의 19%에 불과했습니다. 2019년에 급격한 성장이 이루어졌는데 이는 주로 코로나19 팬데믹 기간 동안 전례 없는 온라인 사용량의 영향을 받은 것으로, 이러한 추세가 계속되어 2024년에는 악성 봇 트래픽이 37%에 도달했습니다.
봇 트래픽의 급격한 증가는 심각한 우려를 불러일으키고 있습니다. 특히 AI 기술의 발전으로 인해, 어떻게 하면 기업을 보호하고 공정한 시장을 유지하기 위해 봇 트래픽을 효과적으로 통제할 것인지가 새로운 과제로 대두되고 있습니다.
OWASP 자동화 위협, 모든 공격의 거의 1/3을 차지
지난 한 해 동안 모든 공격의 31%가 OWASP에서 정의한 자동화 위협이었습니다. OWASP 21 자동화 위협은 봇과 스크립트를 활용하여 웹 애플리케이션 취약점을 대규모로 악용하고, 보안 통제를 우회하며, 다양한 산업 분야의 기업을 방해하는 일련의 자동화된 사이버 공격으로, 웹 애플리케이션이 직면한 가장 일반적이고 중요한 취약점 중 일부를 나타냅니다.
이들의 광범위한 특성과 공격자들이 이를 쉽게 악용할 수 있다는 점은 모든 조직의 보안 전략에서 주요 관심사가 됩니다. 공격 유형을 더 자세히 살펴보면, 완화된 공격의 25%가 비즈니스 로직을 특별히 대상으로 하고 악용하는 정교한 악성 봇이었습니다.
현대 API가 악성 봇으로부터 방어해야 하는 이유
2024년, 연구팀은 API 대상 공격의 상당한 증가를 관찰했으며, 고급 봇 트래픽의 44%가 API를 대상으로 했습니다. 이 보고서에는 API 보안에 관한 섹션이 포함되어 있으며, API 비즈니스 로직을 대상으로 하는 악성 봇이 기업에 어떻게 주요 위협이 되는지, 그리고 API를 보호하는 것이 단순한 보안 조치가 아니라 디지털 생태계의 기반을 보호하는 것임을 설명합니다.
주거용 프록시는 여전히 선호되는 회피 전술
주거용 프록시를 활용함으로써 악성 봇은 주거지 주소에서 발생하는 합법적인 트래픽을 모방할 수 있어 탐지가 더 어려워집니다. 실제로 인터넷 서비스 제공업체(ISP)를 사용하는 모든 봇 공격의 21%가 주거용 프록시를 통해 수행되었으며, 이는 고급 공격자들이 흔히 사용하는 주요 회피 전술입니다.
기업들은 봇과 온라인 사기로부터 스스로를 보호하기 위한 조치를 취해야 합니다. 각 사이트마다 고유한 취약점과 잠재적 공격 경로가 있기 때문에 모든 상황에 적용되는 획일적인 해결책을 찾기는 어렵습니다. 그러나 다양한 보안 조치를 통한 선제적 접근 방식을 채택하면 위험을 크게 줄일 수 있습니다. 여기에는 고급 봇 탐지 도구와 효과적인 사이버 보안 관리 솔루션 사용이 포함됩니다. 이러한 전략들이 함께 작동하면 끊임없이 변화하는 봇 관련 위협에 대한 강력한 방어체계를 구축할 수 있습니다.
API는 현대 디지털 인프라에서 중요한 공격 표면이 되었으며, 자격 증명 스터핑, 데이터 스크래핑 및 자동화된 악용의 대상이 되고 있습니다. 포괄적인 보호를 보장하기 위해 API 보안을 다루는 구체적인 권장 사항이 아래에 포함되어 있습니다.
1. 위험 식별
봇 트래픽 차단은 웹사이트에 대한 잠재적 위험을 식별하는 것부터 시작됩니다.
A. 마케팅 및 온라인 전자상거래 증가는 특히 한정 수량의 인기 제품 출시하는 경우 특히 봇 활동의 증가를 유발합니다. 최신 스니커즈, 신형 게임 콘솔, 한정판 수집품 같은 상품의 출시일 공개는 봇들에게 마치 표적 신호와 같습니다.
이런 자동화 프로그램들이 실제 소비자보다 먼저 상품을 선점하려 하며, 이로 인해 구매기회가 독점되고 기업의 판매 전략의 효과가 감소할 수 있습니다.
웹사이트 보안을 강화해 트래픽 급증에 효과적으로 대응하고, 실제 고객과 제품 출시를 방해하는 교묘한 봇을 정확히 구별하는 것이 중요합니다. 정교한 트래픽 분석, 실시간 봇 탐지 시스템, 강력한 인증 절차를 도입하면 플랫폼을 안전하게 보호하고 진짜 고객들에게 공정한 구매 기회를 제공할 수 있습니다.
B. 웹사이트와 애플리케이션의 악용 가능성이 있는 기능을 인지하는 것은 효과적인 봇 관리 전략의 핵심 요소입니다. 특정 웹사이트 기능은 악의적인 봇 활동에 특히 취약합니다. 예를 들어, 로그인 기능을 도입하면 공격자가 도용한 자격 증명을 사용하여 무단 접근을 시도하는 자격 증명 스터핑 및 크래킹 공격이 발생할 수 있습니다.
마찬가지로, 결제 양식이 있으면 카딩 또는 카드 크래킹이라고 알려진 신용카드 사기 위험이 증가할 수 있습니다. 또한 기프트 카드 기능을 구현하면 사기를 저지르려는 봇을 유인할 수 있습니다.
이러한 위험을 완화하기 위해서는 위에서 언급한 취약한 기능이 포함된 페이지에 강화된 보안 장치와 더 엄격한 규칙을 적용하는 것이 필수적입니다. 다중 인증, CAPTCHA 및 의심스러운 활동에 대한 지속적인 모니터링을 구현하면 이러한 자동화된 위협에 대한 사이트 방어를 크게 강화할 수 있습니다.
AI 기반 탐지 시스템을 활용하면 정교한 봇 활동을 실시간으로 식별할 수 있습니다. 적응형 CAPTCHA 메커니즘과 동적 속도 제한 기술은 표준 보안 조치를 우회하려는 봇을 무력화하는 데 특히 효과적입니다.
C. 또한, 로그인 페이지, 결제 프로세스, API 엔드포인트와 같이 가장 중요하고 자주 공격 대상이 되는 경로를 식별하고, 여기에 속도 제한, 대량 요청 IP 모니터링 및 전체 경로 계층 보안과 같은 완화 기술을 적용하세요. API는 종종 봇이 주도하는 자격 증명 스터핑 및 데이터 스크래핑 공격의 대상이 되므로, API 별 속도 제한, 인증 강화 및 이상 탐지를 구현하면 무단 접근과 악용을 더욱 방지할 수 있습니다.
2. 취약점 감소
노출된 API와 모바일 애플리케이션을 보호하는 것은 웹사이트 보안만큼 중요하며, 이는 모든 디지털 접점을 포괄하는 통합적인 사이버 보안 전략의 필요성을 강조합니다. API와 모바일 앱은 종종 민감한 데이터에 대한 관문 역할을 하여 사이버 위협에 대한 추가 경로를 만듭니다.
모든 플랫폼에 강력한 보안 조치를 구현하고 시스템 간 차단을 실시하면 취약점이 줄어들어 무단 접근에 대한 통합 방어가 보장됩니다. API 보안은 토큰 악용 및 무단 데이터 스크래핑을 방지하기 위해 인증 모범 사례와 엄격한 접근 제어를 시행해야 합니다.
또한 작업 증명 메커니즘 및 타르핏(tarpit) 전략과 같은 다층적인 봇 완화 기술은 원활한 사용자 경험을 유지하면서 봇을 늦출 수 있습니다.
3. 위협 감소: 사용자 에이전트
많은 봇 도구와 스크립트는 오래된 브라우저 버전의 사용자 에이전트 문자열을 포함합니다.
반면에 사람들은 브라우저를 최신 버전으로 자동 업데이트해야 합니다. 다음과 같이 오래된 브라우저 버전을 차단하는 조치를 취하세요
또한 지역 제한, 요청 방법, URL 접근 제어, 사용자 에이전트 제한 및 앱 버전 관리를 포함한 허용 가능한 참조 목록을 시행하여 오래되거나 정당하지 않은 트래픽 소스로부터의 악용을 최소화하세요.
4. 위협 감소: 프록시
악의적인 봇이 활동을 숨기기 위해 프록시 서비스를 사용하는 경우가 증가하고 있으며, 공격자들은 이러한 서비스를 사용하여 합법적인 사용자 행동을 시뮬레이션합니다.
공격자가 수많은 IP주소를 빠르게 바꿔가며 사용(IP 회전)하여 실제 출처를 감추어 탐지 노력을 복잡하게 만듭니다. 이러한 위협을 완화하기 위한 전략적 접근 방식은 알려진 대량 IP 데이터 센터의 접근을 제한하는 것으로, 봇넷 트래픽이 네트워크에 침투할 가능성을 크게 줄입니다.
이러한 프록시 기반 공격의 주요 출처에는 Host Europe GmbH, Dedibox SAS, Digital Ocean, OVH SAS, Choopa, LLC와 같은 데이터 센터 및 클라우드 서비스 제공업체가 포함됩니다.
이러한 서비스 제공업체로부터 발생하는 트래픽에 대한 접근 제어 및 모니터링을 구현하면 봇이 생성한 트래픽을 사전에 식별하고 차단함으로써 보안 태세를 강화하고, 이러한 프록시 활성화 공격과 관련된 위험을 최소화할 수 있습니다.
5. 위협 감소: 자동화
Puppeteer, Selenium, WebDriver와 같은 현대적 도구는 공격자들이 온라인에서 사람의 행동을 모방하는 데 종종 남용되어 대량 계정 등록 및 데이터 도난과 같은 유해한 활동을 수행할 수 있게 합니다.
이러한 악의적인 노력을 합법적인 트래픽과 구별하려면 비정상적으로 빠른 상호작용이나 비정상적인 브라우징 패턴과 같은 자동화의 징후를 탐지하는 전략을 구현해야 합니다.
이러한 행동에 초점을 맞추어 조직은 자동화된 공격을 효과적으로 발견하고 중단시켜 진정한 사용자 상호작용을 보호할 수 있습니다.
API는 공격자가 헤드리스 브라우저와 스크립트를 사용하여 대규모로 엔드포인트와 상호작용하기 때문에 자동화된 봇 악용에 특히 취약합니다.
의심스러운 행동에 대한 API 트래픽 모니터링은 합법적인 사용자와 자동화된 위협을 구별하는 데 도움이 될 수 있습니다. 이러한 위협을 효율적으로 완화하려면 자동화된 도구와 헤드리스 크롬과 같은 기본 봇의 사용을 제한하는 것이 매우 중요합니다.
6. 일반적인 봇 탐지 패턴
뚜렷한 지표 없이도 봇 트래픽을 식별할 수 있는 방법이 있습니다. 주목할 만한 패턴들이 봇의 존재를 알려주기 때문입니다. 높은 이탈률과 낮은 전환율은 실제 사용자가 아닌 자동화된 트래픽의 강력한 증거로 볼 수 있습니다. 또한 트래픽이 갑자기 설명 없이 급증하거나 특정 URL에 비정상적으로 많은 요청이 집중되는 현상은 대부분 봇 활동을 의미합니다.
이런 비정상적 패턴을 지속적으로 모니터링함으로써 기업은 의심스러운 봇 트래픽을 식별하고, 추가 조사와 적절한 대응을 통해 원치 않는 침입을 효과적으로 차단할 수 있습니다.
정상적인 트래픽 패턴의 기준을 먼저 설정하고, 봇 활동을 암시하는 이례적인 변화를 주시하세요. 특정 웹 페이지나 API로의 트래픽이 갑자기 급증한다면, 이는 봇이 특정 서비스나 기능을 노리고 있다는 신호일 수 있습니다.
이러한 급증이 실제로 봇에 의한 것인지 확인하기 위해서는 해당 트래픽의 발생 근원을 면밀히 분석해야 합니다. 특히 단일 IP 주소나 특정 인터넷 서비스 제공자, 또는 특정 경로에서 평소보다 현저히 많은 트래픽이 발생하는 패턴을 주목하세요.
이러한 출처를 정확히 파악하면 봇 활동을 명확히 증명할 수 있으며, 이를 바탕으로 정확한 대응 전략을 실행할 수 있습니다.
가령, 대부분의 트래픽이 하나의 IP 주소나 제한된 IP 범위에서 집중적으로 발생한다면, 이는 자동화된 접속 시도가 진행 중임을 강하게 시사합니다. 이와 같은 정확한 분석은 봇 공격에 효과적으로 대처하여 귀사의 디지털 자산을 안전하게 지키는 데 필수적입니다.
7. 실시간 모니터링, 경고 및 API별 위협
로그인 페이지에서 실패한 인증 시도의 평상시 수준을 먼저 파악한 후, 이상 징후나 급증 현상을 지속적으로 모니터링하세요. 이러한 상황이 발생하면 즉시 대응할 수 있도록 자동 알림 시스템을 구축해 두는 것이 중요합니다.
특히 주의해야 할 점은 ‘저속·저강도(low and slow)’ 공격의 경우 개별 사용자나 세션 단위의 경고 시스템으로는 감지하기 어려우므로, 전체 시스템 차원의 임계값 설정이 필수적입니다. 결제 페이지나 기프트 카드 인증 과정에서 실패율이나 트래픽이 증가하는 현상은 카드 도용 공격의 징후일 수 있으며, GiftGhostBot과 같은 봇이 기프트 카드 잔액을 탈취하려는 시도를 의미할 수도 있습니다.
효과적인 보안을 위해서는 API 요청 빈도 추적, 비정상적인 API 호출 급증 감지, 그리고 자동화된 악용 패턴을 식별하기 위한 행동분석 기술 도입이 필요합니다.
8. 인식 및 다중 인증(MFA)
글로벌 데이터 유출 사고에 대한 지속적인 주의가 필요합니다. 요즘은 공격자들이 데이터 침해로 유출된 계정 정보를 쉽게 구매하거나, 봇 인프라를 임대해 자동화된 공격을 감행할 수 있어 위협 수준이 크게 높아졌습니다. 이들은 특히 최근에 유출된 계정 정보를 이용해 대량 계정 공격이나 계정 탈취(ATO) 시도를 자주 감행하는데, 이는 이러한 유출 정보가 아직 활성화된 상태일 가능성이 높기 때문입니다.
이런 공격 방식은 플랫폼 내 사용자 계정의 침해 가능성을 크게 높입니다. 데이터 유출 상황을 지속적으로 모니터링하고 그 영향을 정확히 이해한다면, 보안 체계를 선제적으로 강화하여 자동화된 공격의 표적이 될 위험을 줄일 수 있습니다.
무단 접근 방지를 위한 가장 효과적인 방법 중 하나는 다중 인증(MFA)을 로그인, 결제, 비밀번호 재설정 과정에 필수적으로 적용하는 것입니다. 이는 자동화된 계정 공격에 대응하는 추가 보안 계층을 제공합니다. API 보안의 경우, 강력한 인증 메커니즘을 구현하면 계정 대량 공격과 토큰 악용 시도를 효과적으로 차단할 수 있습니다.
9. 봇 보호 솔루션 평가
봇 공격의 양상이 크게 변화했기 때문에 봇 보호 솔루션을 평가하는 것이 중요합니다. 한때 악의적인 봇을 방어하기에 충분했던 단순한 조치들은 이제 효과가 없습니다. 이 보고서에서 수집된 통찰력은 현대 봇의 정교함과 적응성이 이전 수준을 능가하며, 그들의 사용 용이성과 효과성이 사이버 범죄자들 사이에서 선호되는 도구가 되었음을 강조합니다.
이러한 봇은 빠르게 진화하여 전통적인 탐지 방법을 쓸모없게 만들 뿐만 아니라, 그 어느 때보다 사람의 행동을 더 가깝게 모방하여 합법적인 사용자와 구별하기 어렵게 만듭니다. 공격자들이 높은 보상과 낮은 위험 이점을 위해 봇을 활용하는 이러한 환경에서, 혼자서 이러한 위협에 대응하려는 시도는 거의 불가능합니다.
동적 방어 전략의 필요성은 그 어느 때보다 절실합니다. 악의적인 봇을 식별하는 것뿐만 아니라, 점점 복잡해지는 상황에서 이들을 유익한 봇과 구별하는 것이 중요합니다. 포괄적인 봇 방지 솔루션은 사용자 행동 분석, 프로파일링 및 지문 인식을 포함한 다층적 방어 접근 방식을 통합해야 합니다. 또한 봇 탐지 정확도를 향상시키고 진화하는 위협에 지속적으로 적응하기 위해 AI/ML 기반 도구를 사용해야 합니다.
지속적인 경계를 유지하고, 정기적인 감사를 수행하며, AI/ML 통합을 확장함으로써 조직은 거짓 양성 및 거짓 음성을 효과적으로 균형을 맞추면서 자동화된 위협으로부터 중요한 자산을 사전에 보호할 수 있습니다. 이러한 세밀한 접근 방식은 새로운 위협의 속도에 맞춰 방어를 발전시킬 수 있는 전담 팀의 전문성을 요구합니다.
10. 모든 보안 카드를 한꺼번에 공개하지 마세요
보안 대응책을 모두 한 번에 전체 시스템에 적용하면 의도치 않게 방어 전략의 전모를 드러내게 됩니다. 이는 시간이 지남에 따라 공격자들이 이를 면밀히 분석하고 우회 방법을 찾아낼 기회를 제공하는 셈입니다.
보다 효과적인 방법은 상황에 맞게 전략적으로 대응하는 것입니다.
신제품 출시, 대규모 프로모션, 트래픽이 집중되는 특별 행사 등 봇 활동이 증가할 것으로 예상되는 중요 시점에만 특정 보안 기술을 선별적으로 배치하세요. 해당 이벤트가 끝나면 적용했던 보안 조치를 변경하거나 일시적으로 비활성화하여 공격자들이 패턴을 파악하고 적응할 시간을 주지 마세요.
API 보안에서도 마찬가지로, 트래픽 흐름과 위험도에 따라 접속 제한, 접근 통제, 봇 감지 시스템을 유동적으로 조정함으로써 공격자들이 고정된 방어책을 파악하고 악용하는 것을 막을 수 있습니다.
이처럼 예측 불가능한 방어 전략은 봇이 학습하고 적응하며 탐지를 회피하기 어렵게 만듭니다. 봇 대응을 고정된 규칙이 아닌 지속적으로 진화하는 유연한 전략으로 발전시킴으로써, 끊임없이 진화하는 자동화 위협과의 싸움에서 우위를 점할 수 있습니다.
