이제 봇 대책을 재평가할 때입니다.
보안 전문가로서 봇 완화 문제를 해결했다고 생각한다면 다시 생각해 보세요.
봇은 엄청난 재정적 고통을 초래합니다. 신임장 정보 입력 봇은 계정 인수로 이어지고, 승인되지 않은 리셀러 봇은 제품 출시와 기간 한정 행사를 망쳐 놓고, 스크래퍼 봇은 성능을 저하시키고 인프라 비용을 증가시키고, 기프트 카드 크래킹 봇은 잔액을 고갈시키고 고객을 화나게 합니다. 피해가 클 뿐만 아니라, 온라인 기업이 공격을 받을 가능성은 거의 100%에 가깝습니다. 이는 범죄자들이 이러한 공격을 통해 큰 이익을 얻을 수 있기 때문입니다. 높은 영향과 높은 가능성을 고려하면 효과적인 보안 전략이 분명히 필요합니다. 그러나 최근 헤드라인에서 알 수 있듯이 공격자들은 흔히 사용되는 봇 방어 수단을 우회하는 방법을 계속 개발하고 있습니다. 이는 봇에 대응하기 위해 시행 중인 대책을 재평가해야 할 시점입니다.
2023년 1월 24일, 티켓마스터 모회사인 라이브네이션(Live Nation)의 사장인 조 버히톨드(Joe Berchtold)가 미국 법원에서 증언했습니다 . 상원 사법위원회는 테일러 스위프트의 다가올 투어 티켓 판매를 잘못 처리한 것에 대해 리셀러 봇의 책임이 있다고 판결했습니다. "이것이 끔찍한 소비자 경험을 초래한 원인이며, 우리는 이에 대해 깊이 유감스럽게 생각합니다." Berchtold가 상원 의원들에게 말했습니다.
CNET은 2023년 1월에 Norton 비밀번호 관리자를 사용하는 수천 명의 사람들이 허가받지 않은 타인이 자신의 금고에 저장된 비밀번호와 함께 개인 정보에 접근했을 수 있다는 알림을 받았다고 보도했습니다 . 노턴의 모회사인 젠 디지털은 이 보안 사고의 원인을 IDS(침입 탐지 시스템) 시스템에서 비정상적으로 많은 수의 로그인 실패가 표시되었을 때 감지된 봇 기반 자격 증명 스터핑 공격으로 돌렸습니다.
티켓마스터는 봇을 완화하는 데 투자했고 , 젠 디지털 역시 보호 조치를 마련해 놓았을 것으로 추정됩니다. 그러나 봇은 여전히 보안 손상을 일으켜 가용성과 기밀성에 영향을 미쳤으며, 많은 부정적인 평판을 불러일으켰습니다. 여기서 당연한 질문이 제기됩니다. 수년 동안 봇 차단 솔루션이 출시되었지만, 왜 많은 봇 방어 솔루션이 악성 봇을 완화하는 데 실패할까요?
아직도 CAPTCHA에 의존하는 조직의 경우 답은 분명합니다. CAPTCHA는 실제 고객을 귀찮게 하고 전자상거래 전환율을 낮추는 것 외에는 효과가 없습니다. CAPTCHA 해결 서비스에 대한 웹 검색을 해보면 가격과 속도 면에서 경쟁하는 회사가 최소 12개는 나옵니다. 오픈소스 라이브러리를 만든 사람은 CAPTCHA를 아주 쉽게 우회할 수 있게 하는 것을 자신의 사명으로 삼았습니다.
“현재 형태의 CAPTCHA는 실패했습니다. 그들은 로봇보다 인간에게 훨씬 더 큰 장애물이자 성가신 존재이기 때문에 쓸모가 없습니다. 이 토론에 대한 나의 무정부주의적 기여는 로봇을 위한 플러그인을 통해 이러한 부조리를 보여주는 것입니다. 이 플러그인을 사용하면 단 한 줄의 코드만으로 모든 사이트에서 reCAPTCHA를 우회할 수 있습니다."
봇을 완화하기 위해 WAF 기반 IP 차단 목록에 의존하는 조직의 경우에도 이 작업은 마찬가지로 희망이 없습니다. 봇 감지를 우회하기 위해 봇 생성자에게 수천만 개의 주거용 IP 주소를 제공하는 서비스가 있습니다. 이러한 서비스는 회전형 주거용 프록시로 광고됩니다. 봇은 많은 기업용 브라우저가 포워드 프록시를 통해 요청을 보내는 것과 매우 유사하게 프록시에 http 요청을 보내고, 서비스는 웹사이트나 API에 요청을 보내는 데 사용된 공개 IP 주소를 지속적으로 회전합니다. 과거에 봇은 일반적으로 클라우드 서비스의 데이터 센터 프록시를 사용했는데, 이는 잘 알려져 있고 식별하기 쉽습니다. 그러나 이러한 새로운 프록시 서비스는 고객과 동일한 지역의 주거용 IP 주소를 사용합니다. ISP의 NAT로 인해 각 IP 주소가 동시에 봇과 유효한 고객을 나타낼 수 있으므로, 실제 고객을 차단하지 않고 이러한 모든 IP 주소를 차단하는 것은 불가능합니다.
한 걸음 더 나아가, ZenRows , ScrapFly, ScrapingBee 와 같은 새로운 상업 서비스는 웹 스크래핑을 API를 호출하는 것만큼 쉽게 만듭니다. 이 서비스는 귀하를 대신하여 봇 방어를 우회하는 전적인 책임을 맡습니다. 이러한 API 기반 서비스는 미국과 유럽 연합에서는 합법적 인 스크래핑에만 초점을 맞추지만, 범죄자는 다크 웹에서 유사한 서비스를 이용해 자격 증명 스터핑과 같은 더 사악한 봇 공격을 수행할 수 있습니다.
상업적 서비스 외에도 여러 오픈소스 프로젝트가 봇 우회 문제를 다루고 있습니다. 인기 있는 node.js 자동화 및 테스트 도구인 Puppeteer용 스텔스 플러그인을 사용 하면 Puppeteer가 감지를 우회할 수 있습니다. 활동적인 개발자 그룹이 GitHub 에서 프로젝트를 유지 관리하고 봇 방어가 이를 감지할 때마다 업데이트를 제공합니다. 설명서에 따르면, "이 고양이와 쥐 게임은 아직 초창기이고 속도가 빠르기 때문에 플러그인은 빠른 테스트와 반복을 지원하기 위해 최대한 유연하게 유지됩니다." 비슷한 라이브러리인 undetected-chromedriver 는 Python 개발자를 대상으로 합니다. 오픈 소스 정신에 따라 이러한 프로젝트의 목적은 개발자가 앱을 자동화할 수 있도록 웹을 개방하는 것입니다. 안타깝게도 이러한 기능은 범죄자들이 쉽게 악용할 수 있습니다.
더 많은 조직이 오픈소스 프로젝트와 상업 서비스를 만드는 데 참여함에 따라, 봇 방어를 우회하는 데 참여하는 개발자들은 정보를 배우고 공유합니다. 이 지침에서는 독자들에게 탐지 도구의 JavaScript 난독화를 해제하는 단계와 이러한 도구가 탐지 서비스로 전송하기 위해 데이터를 패키징하는 방식을 해석하는 단계를 안내합니다. 개발자는 클라이언트 측 코드를 리버스 엔지니어링하여 탐지 도구의 작동 방식을 알아냅니다. 예를 들어, ZenRows의 개발자는 창 크기 조정과 봇 감지 서비스가 불일치를 포착하는 방식에 대해 배운 내용을 공유합니다 .
"센서 데이터 예시 이미지에서 창 크기를 전송하는 것을 볼 수 있습니다. 대부분의 데이터 포인트는 서로 관련되어 있습니다. 즉, 실제 화면 크기, 사용 가능 크기, 내부 크기, 외부 크기입니다. 예를 들어, 내부는 외부보다 커선 안 됩니다. 여기서는 무작위 값은 작동하지 않습니다. 실제 사이즈가 필요할 거예요."
위협의 심각성을 고려했을 때, 봇 완화를 위한 대책을 재평가해야 할 때가 됐습니다. 봇 탐지 효율성 분야의 선두주자인 F5가 도움을 드릴 수 있습니다. 봇 완화 효과의 실제 상태를 파악하고, 어떤 봇이 누락되었는지, 그리고 봇이 기업에 얼마만큼의 비용을 초래하는지 알고 싶으시다면 F5에서 제공하는 무료 위협 평가 및 봇 기업 영향 컨설팅을 이용 해보세요.