온라인 리테일러: 봇이 당신의 휴가를 망치지 않도록 하세요
휴일은 전자 상거래 소매업체들에게 기분 좋은 시기인데, 블랙 프라이데이와 사이버 먼데이는 종종 흉작이었던 한 해를 마무리하며 금광을 선사합니다. 그러나 휴일 시즌 동안 전자 상거래 수익이 집중되면 상당한 위험이 발생할 수 있습니다. 이러한 몇 주 동안 수익에 지장을 줄 만한 문제가 발생하면 회복할 시간이 거의 없습니다. 기업이 휴일 시즌을 맞아 위험 관리를 수행하면서 잘 이해하고, 정량화하고, 완화할 수 있는 잠재적 위협 중 하나가 바로 봇 위험입니다.
봇은 자동화되고 반복적인 작업을 수행하는 소프트웨어 프로그램이나 스크립트입니다. 봇은 웹상 어디에나 존재합니다. 인터넷 트래픽의 최대 50%가 인간이 아닌 방문자로부터 발생하는 것으로 추정됩니다. 검색 크롤러 등 일부 봇은 기업에 도움이 되지만, 악성 봇은 웹 및 앱 성능을 저하시키고, 상품을 급히 빼앗고, 재고를 쌓아두고, 신원 정보 입력을 통한 계정 인수를 실행하여 사기와 신원 도용으로 이어짐으로써 전자 상거래 기업에 상당한 재정적 피해를 입힙니다.
리테일 및 호텔 정보 공유 및 분석 센터(ISAC)가 발표한 2022년 홀리데이 시즌 사이버 위협 추세 보고서에 따르면 "홀리데이 시즌은 소비자와 사이버 보안 전문가가 지속적인 위협에 직면하는 가장 강렬한 시기입니다. 10월 초부터 12월 말까지 조직에 대한 사이버 위협은 규모와 강도 면에서 소비자 트래픽 증가에 맞춰 확대됩니다."
그 이유는 봇을 활용하는 범죄자들이 돈을 쫓기 때문이며, 불행히도 휴일 시즌에는 전자상거래 사이트를 표적으로 삼는 경우도 있을 수 있습니다. (기사를 읽어보세요 봇과 사기 완화가 함께 작동하여 위험을 줄이는 방법 (조슈아 골드파브가 온라인 애플리케이션의 보안 및 사기 문제를 보다 효과적으로 모니터링하는 3가지 접근 방식에 대해 설명합니다.)
봇이 휴일 매출에 어떤 영향을 미칠 수 있을까?
봇 공격은 여러 형태로 나타날 수 있으며, 다양한 방식으로 판매, 운영, 고객 관계에 피해를 입힐 수 있습니다. 봇이 정교한 자동화 공격을 통해 앱을 손상시킬 수 있는 방식을 예상하고 이러한 악용을 완화하는 방법을 이해하면 비즈니스가 휴일 매출 예상치를 달성하는 데 도움이 될 수 있습니다. 특히 다음과 같은 봇 공격 유형은 쇼핑 시즌을 망칠 가능성이 높습니다.
콘텐츠 스크래핑
콘텐츠 스크래핑은 자동화된 봇을 사용해 대상 앱에서 대량의 콘텐츠를 수집한 후 분석, 재사용 또는 다른 곳에서 판매하는 것을 말합니다. 콘텐츠 수집에는 합법적인 용도가 있습니다(예를 들어, 온라인 여행 수집 사이트가 항공사 웹사이트를 스크래핑하여 항공료 정보를 수집함). 하지만 스크래핑은 경쟁자에 의한 가격 조작이나 저작권이 있는 콘텐츠의 도용을 포함한 불법적인 목적으로도 사용될 수 있습니다. 또한, 스크래핑 양이 많으면 사이트 성능에 영향을 미치고 중단이 발생하여 합법적인 사용자가 사이트에 액세스하지 못할 수도 있습니다.
스크래핑의 영향은 특히 쇼핑 활동이 활발한 기간 동안에 큰 피해를 줄 수 있습니다. 이때는 전자 상거래 사이트가 이미 잠재 고객으로 분주한 상태이기 때문입니다. 경쟁사는 귀사 사이트에서 최신 가격 데이터를 수집하여 신속하게 가격을 조정하려는 동기가 더 강할 수 있으며, 트래픽이 증가하면 사이트가 다운되거나 속도가 느려져 쇼핑객에게 반응하지 못하게 될 수 있습니다. 온라인 쇼핑에서는 경쟁업체가 클릭 한 번 거리에 있기 때문에 성과가 중요합니다.
재고 비축
휴일 재고는 평소에도 관리하기 어렵지만, 오늘날의 공급망 위기 상황에서는 소매업체가 특히 어려운 시련에 직면하게 될 것입니다. 재고 축적 봇은 대량의 제품을 보류하고, 재고에서 해당 제품이 제거되어 실제 고객이 구매하지 못하게 함으로써 물류적 어려움을 가중시킬 수 있습니다. 지속적인 재고 축적과 기타 형태의 봇 조작은 쇼핑객을 좌절시키고 고객 충성도와 브랜드 평판을 위협할 수 있으며, 소비자가 다른 곳에서 쉽게 구매할 수 있으므로 수익에 영향을 미치는 것은 말할 것도 없습니다.
재판매/가격 인상
기간 한정 특가 상품을 제공하는 소매업체는 리셀러 봇을 이용할 위험이 있습니다 . 리셀러 봇은 할인 판매가 시작되자마자 대량으로 상품을 구매하기 위해 온라인 구매 및 결제 과정을 즉시 완료할 수 있습니다. 이런 품목은 이후 2차 시장에서 상당한 마진을 붙여 재판매됩니다.
범죄자들은 쌓아두기와 구매 봇을 이용해 귀중한 재고와 가격 수준을 조작할 수 있으며, 이로 인해 인위적인 희소성, 재고 거부, 소비자 불만 등이 발생합니다.
신임장 채우기
자격 증명 채우기는 휴일 쇼핑과 수익을 방해할 수 있는 또 다른 봇 기반 악용 사례입니다. 공격자는 많은 사용자가 여러 앱에서 비밀번호를 재사용한다는 사실을 악용해, 대량의 손상된 인증 정보를 로그인에 적용해 테스트하고, 이를 통해 계정을 탈취해 사기를 저지릅니다. 휴일은 범죄자들이 다음과 같은 범죄를 저지를 수 있는 좋은 기회를 제공합니다. 공격자는 조직이 사기를 감지하는 데 시간이 오래 걸린다는 것을 알고 사이버보안 팀의 업무량이 많은 것을 악용합니다. (자격 증명 공격에 대해 자세히 알아보려면 블로그를 읽어보세요. 사이버 범죄자가 온라인 계정을 점유하는 방법 (프랭크 카이마누 지음.)
봇이 계정을 인수하는 데 실패하더라도 잘못된 비밀번호를 여러 번 입력하여 계정이 잠기는 경우가 많으며, 이로 인해 고객은 비밀번호를 잊어버린 경우 복구 프로세스를 거치거나 고객 서비스에 문의해야 합니다. 쇼핑객이 휴일 선물로 카트를 가득 채웠을 때, 그들의 계정이 잠겼다고 말하는 것은 좋지 않은 일입니다.
고객에게 마찰을 가함으로써 봇과 싸우지 마십시오.
휴일 매출 목표를 달성하려면 봇을 줄이는 것이 중요하지만, 봇을 퇴치하는 데에는 올바른 방법과 잘못된 방법이 있습니다. 구매 과정에 마찰과 귀찮은 과제를 추가하는 기존의 봇 방지 방어책 중 일부는 이들이 방지하고자 하는 악용만큼이나 쇼핑객에게 방해가 될 수 있습니다. 쇼핑객이 구매할 준비가 되었을 때, 귀찮은 CAPTCHA 퍼즐로 그들을 괴롭히거나 다중 인증에 가입하도록 강요하고 싶으신가요? 경쟁자가 클릭 한 번 거리에 있기 때문에 어떤 장애물이라도 전환율에 영향을 미칠 수 있습니다. CAPTCHA Defeat에 대해 자세히 알아보고 F5 Distributed Cloud Bot Defense가 퍼즐을 풀지 않고도 애플리케이션을 보호하는 데 어떻게 도움이 되는지 알아보려면 Kyle Roberts가 쓴 OWASP Automated Threats – CAPTCHA(OAT-009) 문서를 읽어보세요.
보안팀에 봇 없는 휴일을 기원합니다
봇과 휴일을 생각할 때, 악의적인 봇이 이미 바쁜 보안 및 고객 지원 팀에 큰 타격을 입힌다는 점을 명심하세요. 고객 지원팀은 계정이 잠긴 고객의 분노를 처리합니다. 정보 보안팀은 시즌 내내 긴 시간 동안 봇이 수익과 고객 경험을 해치기 전에 이를 차단하기 위해 노력합니다. 봇을 성공적으로 차단하면 현장에 있는 직원들이 어느 정도 안도감을 느끼고 가족과 함께 휴일을 즐길 수 있습니다.
봇 관리의 ROI에 대해 자세히 알아보세요
봇이 기업에 어떤 영향을 미칠 수 있는지 자세히 알아보려면 F5의 무료 봇 기업 영향 평가 계산기를 사용하여 봇의 실질적인 효과를 보여주세요.