봇 보안이란? 인프라 보호

봇 보안은 온라인 상거래를 촉진하거나, Alexa 또는 Siri와 같은 개인 비서 역할을 하거나, 웹사이트에서 고객 서비스를 자동화하는 챗봇 역할을 하는 건전한 봇에는 영향을 주지 않으면서 악성 봇으로부터 보호하고 온라인 리소스의 무결성과 가용성을 보장하는 실행 방안입니다.

악성 봇은 데이터를 손상시키고 서비스를 방해하며 다양한 방식으로 비즈니스에 피해를 입힘으로써 디지털 생태계에 심각한 위협을 가합니다.

봇은 시스템에 침투하여 개인 데이터, 재무 기록 또는 지적 재산과 같은 민감한 정보를 유출하도록 프로그래밍할 수 있습니다. 봇은 자격 증명 기반 공격에 사용되는 주요 디지털 도구입니다. 또한 봇은 데이터베이스 또는 스토리지 시스템 내의 데이터를 조작하거나 변경하여 금전적 손실을 초래하거나 부정확한 기록을 남길 수 있습니다.

봇은 온라인 서비스 및 시스템을 중단시키는 데에도 사용됩니다. 범죄자는 여러 대의 연결된 디바이스에서 대규모의 봇을 보내 분산 서비스 거부(DDoS) 공격으로 웹사이트, 서버 또는 네트워크를 압도하여 의도한 사용자가 해당 서비스에 액세스하지 못하도록 만들 수 있습니다.

또한 브랜드 평판을 손상시키고 재고를 조작하고 금융 사기로 이어질 수 있는 계정 탈취(ATO)를 가능하게 함으로써 봇 활동은 기업의 재정적 성공에 심각한 해를 끼칠 수도 있습니다.

사이버 보안의 맥락에서 봇에는 악성 봇과 방어적 봇이라는 두 가지 주요 유형이 있습니다.

사이버 범죄자는 악성 봇을 프로그래밍하여 웹 자산과 애플리케이션 전반의 공격 표면을 악용하는 창의적이고 복잡하며 은밀한 공격을 광범위하게 실행합니다. 인간의 개입 없이 작동하도록 설계된 이러한 봇은 멀웨어 유포, DDoS 공격 실행, 민감한 정보 탈취, 사기 행위 등의 작업을 수행하는 경우가 많습니다. 악성 봇은 네트워크에 침투하여 데이터 무결성을 손상시키고 서비스를 방해하여 심각한 사이버 보안 위협을 일으킬 수 있습니다. 이들의 행위는 소프트웨어 취약점 악용에서 사회 공학적 공격 수행에 이르기까지 다양하며, 궁극적으로 그 목적은 시스템 및 민감한 정보에 피해를 입히거나 재정 손실을 입히거나 무단으로 액세스하는 것입니다.

방어적 봇 제어는 다양한 보안 위협과 공격으로부터 컴퓨터 시스템, 네트워크, 웹 플랫폼을 보호하기 위해 설계된 자동화된 프로그램 및 메커니즘을 일컫는 또 다른 용어입니다. 이러한 봇은 디지털 자산을 보호하고 정보의 무결성, 기밀성, 가용성을 보장하기 위해 다양한 방식으로 작동합니다.

이러한 방어적 자동화에는 서명 기반 탐지, 행동 분석 및 휴리스틱을 사용하여 알려진 멀웨어와 관련된 패턴과 행동을 식별하는 안티바이러스 봇이 포함됩니다. 방어적 봇은 방화벽 보호 기능의 일부로도 사용되며, 데이터 패킷을 분석하고 미리 정의된 보안 규칙을 적용하여 트래픽 허용 또는 차단 여부를 결정함으로써 유입 및 유출되는 네트워크 트래픽을 모니터링합니다. 특히 Web Application Firewall(WAF)은 행동 분석을 통합하고 머신 러닝을 통해 자동화된 보호 기능을 제공하는 정교한 봇 관리 제어 기능과 통합할 수 있습니다.

또한 침입 탐지 및 방지 시스템(IDPS)은 방어적 봇을 사용하여 특정 IP 주소를 차단하거나 방화벽 규칙을 수정하거나 보안 담당자에게 경고하는 등 대응을 자동화하고 Threat Intelligence를 활용하여 보안 사고를 사전에 식별하고 예방합니다. 방어적 봇은 DDoS 공격과 관련된 패턴을 식별하고 대응 조치를 구현하여 봇넷과 관련된 악의적 트래픽을 필터링하고 우회시킴으로써 서비스 가용성을 유지할 수 있습니다. 이러한 조치에는 공격의 출처에서 트래픽을 차단하여 악성 봇이 네트워크에 추가로 액세스하지 못하게 동적으로 업데이트되는 방화벽 규칙이 포함될 수 있습니다.

봇 공격은 다양한 형태로 여러 유형의 조직을 표적으로 삼을 수 있습니다.

• 크리덴셜 스터핑. 가장 일반적인 봇 공격 형태 중 하나는 다양한 사기 유형의 기본 벡터인 계정 탈취(ATO)로 이어지는 크리덴셜 스터핑입니다. 이 사이버 죄의 연이은 악재는 사용자 자격 증명(일반적으로 사용자 이름과 비밀번호 쌍)의 도난 또는 수집으로 시작됩니다. 이러한 자격 증명 정보는 다양한 다른 사이버 공격 및 기타 사이버 범죄 기술을 통해 훔치거나 다크웹 마켓플레이스에서 구매할 수 있습니다. 공격자가 은닉해둔 유효한 크리덴셜이 축적되면 크리덴셜 스터핑 프로세스를 시작할 수 있으며, 이는 종종 대규모로 이루어지는데 다른 사이트의 웹사이트 로그인 양식에 대해 대량의 손상된 자격 증명을 테스트하는 방식을 취합니다. 소비자의 약 3분의 2가 여러 웹사이트에서 동일한 사용자 이름과 비밀번호를 재사용하기 때문에 이러한 유출된 자격 증명을 사이버 범죄자 및 자동화된 봇이 쉽게 악용하게 됩니다. 유출된 자격 증명 중 상당수는 다른 사이트의 계정에 액세스하는 데도 효과가 있습니다. 공격자는 계정을 탈취한 후 자격 증명 정보를 변경하여 정상적인 계정 소유자가 이용하지 못하게 하고, 자산을 빼내고, 해당 계정을 사용하여 추가적인 사기 행위를 저지를 수 있습니다.
  
• 콘텐츠 스크래핑. 콘텐츠 스크래핑에 봇을 사용하면 합당한 영향과 유해한 영향이 모두 발생합니다. 콘텐츠 스크래핑은 자동화된 봇으로 대상 웹사이트에서 대량의 콘텐츠를 수집하여 해당 데이터를 분석하거나 다른 곳에서 재사용합니다. 콘텐츠 수집은 가격 최적화 및 시장 조사 등 긍정적인 목적으로 사용될 수 있지만 가격 조작, 저작권 콘텐츠 도용 등과 같이 악의적으로 사용될 수도 있습니다. 또한 높은 수준의 콘텐츠 스크래핑 활동은 사이트 성능에 영향을 주고 합법적인 사용자가 사이트에 액세스하지 못하도록 할 수 있습니다.
• DDoS 공격. 사이트 성능 저하는 범죄자가 여러 소스 또는 봇넷(공격자의 통제 하에 있는 손상된 컴퓨터 또는 디바이스의 네트워크)으로부터 많은 수의 봇을 오케스트레이션하는 DDoS 공격에서 의도된 목표입니다. 공격자는 이러한 여러 소스를 조정하여 대상에 대한 공격을 동시에 시작함으로써 해당 대상이 압도되어 사용할 수 없도록 만듭니다. DDoS 공격은 온라인 서비스의 가용성과 무결성을 손상시키고 심각한 혼란을 초래하여 재정적 손실, 강탈 및 평판 손상의 가능성이 있는 심각한 결과를 초래할 수 있습니다.
• 싹쓸이 구매. 구매 봇이라고도 하는 리셀러 봇은 온라인 상품 또는 서비스가 판매되는 순간 대량으로 구매하기 위해 배포됩니다. 범죄자는 결제 프로세스를 즉시 완료함으로써 가치있는 재고를 대량으로 통제할 수 있으며, 보통 중고 시장에서 대폭 인상된 가격으로 재판매합니다. 범죄자는 이러한 봇을 통해 재고 또는 가격을 통제하여 인위적인 희소성, 재고 거부, 소비자 불만을 초래할 수 있습니다.
• 가짜 계정 생성. 사이버 범죄자는 봇을 사용하여 계정 생성 프로세스를 자동화하고 가짜 계정을 사용하여 제품 리뷰에 영향을 미치거나 허위 정보를 배포하거나 멀웨어를 유포하거나 인센티브 또는 할인 프로그램을 악용하거나 스팸을 만들어 보내는 등의 사기 행위를 저지릅니다. 마찬가지로 범죄자는 금융 기관을 속이기 위해 신용카드 또는 대출을 신청하도록 봇을 프로그래밍할 수도 있습니다.
• 기프트 카드 크래킹. 공격자는 가치가 있는 카드 번호를 식별하기 위해 봇을 배포하여 수백만 개의 기프트 카드 번호 변형을 확인합니다. 공격자가 확실히 잔액이 있는 것으로 카드 번호를 식별하면 합법적인 고객이 사용하기 전에 해당 기프트 카드를 사용하거나 판매합니다. 여행 및 호텔 로열티 프로그램도 이러한 봇 기반 공격의 표적이 되고 있습니다.

봇 공격은 조직의 네트워크에 심각한 부정적 영향을 미치고 비즈니스 운영에 심각한 피해를 입힐 수 있습니다.

봇은 웹사이트, 데이터베이스 또는 API에서 데이터를 체계적으로 수집하도록 프로그래밍할 수 있으므로 데이터 도난은 봇 공격에서 가장 심각한 잠재적 결과 중 하나입니다. 이 데이터에는 경쟁 우위를 잃거나 브랜드 평판이 손상되는 결과를 초래할 수 있는 지적 재산, 영업 비밀 또는 기타 독점 정보가 포함될 수 있습니다. 또한 고객 정보의 도난은 데이터 보호 규정 준수를 위태롭게 하고 벌금 또는 법적 처벌을 초래할 수 있습니다.

봇 공격은 서비스를 중단시켜 조직에 심각한 피해를 입힐 수 있으며 이것은 재정적 손실과 고객 신뢰 훼손으로 이어질 수 있습니다. 봇 기반 공격의 심각한 결과 중 하나는 범죄자가 봇넷을 통해 네트워크 리소스에 과부하를 일으키고 서비스 중단을 야기하는 DDoS입니다.

또한 크리덴셜 스터핑 및 계정 탈취 공격으로 인해 정상적인 고객의 계정이 잠겨 비즈니스 거래를 할 수 없게 되면 서비스 중단이 발생할 수 있습니다. 고객은 계정에 액세스할 수 없을 뿐만 아니라, 탈취된 계정을 제어하는 범죄자가 이를 이용해 부정 거래를 할 수도 있습니다.

악성 봇 공격으로부터 보호하기 위한 보안 봇 방어 설정에는 몇 가지 주요 단계가 포함됩니다.

철저한 분석을 수행하여 시스템 및 업계와 관련된 잠재적인 봇 위협을 식별합니다. IP 분석과 같은 기술을 사용하여 소스 IP 주소를 기반으로 유입되는 트래픽의 특성을 조사합니다. 이를 통해 알려진 악성 IP 주소 또는 의심스러운 행동과 관련된 패턴을 식별하고, 봇 트래픽과 정상적인 사용자 활동을 구분할 수 있습니다. 또한 봇 활동과 관련된 알려진 악성 IP 주소의 거부 목록을 유지 관리합니다.

비정상적인 지역에서 갑자기 트래픽이 유입되면 봇넷일 수 있으므로 IP 주소의 지리적 위치를 분석하여 비정상적인 행위를 탐지합니다. 또한 공격자는 탐지를 피하기 위해 캠페인에 대해 분산 인프라를 구축하는 데 많은 ASN(자율 시스템 번호)을 사용하는 것으로 알려져 있습니다. 사용자 에이전트 분석을 통해 사용자 에이전트 서명을 검사하여 요청하는 클라이언트 유형을 식별합니다. 봇은 종종 일반적인 패턴에서 벗어난 일반 사용자 에이전트 또는 수정된 사용자 에이전트를 사용하므로 실제 사용자와 구별할 수 있습니다.

유입되는 트래픽을 평가하여 봇 활동을 나타낼 수 있는 패턴 또는 비정상적인 행위를 식별하기 위해 행동 분석을 사용합니다. 이 방법은 인간의 행동을 모방하려고 시도하는 정교한 봇에 특히 효과적입니다. 봇은 정상적인 사용자에 비해 세션이 짧고 다양하지 않거나 웹사이트 또는 애플리케이션과의 상호 작용에서 반복적이거나 빠르거나 인간과 다른 패턴을 보일 수 있으므로 사용자 세션의 기간과 흐름을 조사합니다. 일부 고급 행동 분석 메커니즘은 마우스 움직임과 클릭을 추적하여 인간과 자동화된 상호 작용을 구분합니다.

WAF는 웹 애플리케이션과 인터넷 사이의 보호 장벽 역할을 하여 다양한 사이버 위협으로부터 데이터와 웹 애플리케이션을 보호하며 인증되지 않은 데이터가 앱을 벗어나 유출되는 것을 방지합니다. WAF에는 악성 봇 트래픽을 탐지 및 완화하고 웹 스크래핑, 크리덴셜 스터핑, 자동화된 공격과 같은 악성 활동을 차단하는 기능이 포함되어 있습니다. 또한 DDoS 공격의 영향을 완화할 수 있도록 특정 IP 주소의 요청 수를 정해진 시간 내에서 제한하는 속도 제한 및 스로틀링 메커니즘이 포함되어 있습니다. WAF는 SQL 주입, 크로스 사이트 스크립팅(XSS), 사이트 간 요청 위조(CSRF)를 포함한 기타 악성 및 자동화된 공격으로부터 웹 애플리케이션과 시스템을 보호할 수 있습니다.

애플리케이션이 배포되는 위치, 필요한 서비스, 관리 방법, 필요한 아키텍처 유연성 및 성능 수준에 따라 여러 가지 방법으로 WAF를 배포할 수 있습니다. 또한 WAF는 공격자의 악성 캠페인 방식에 관계없이 효율성과 복원력을 유지하는 특수 봇 관리 제어 기능과 통합할 수도 있습니다. 여기에서 적합한 WAF 및 배포 모드를 선택하는 데 도움이 되는 가이드를 참조하십시오.

보안은 공격자의 도구, 기술 또는 의도에 관계없이 로그인 프롬프트, CAPTCHA 및 MFA로 사용자를 불편하게 하지 않으면서 대응 조치를 우회하려고 시도하는 공격자 리툴링에 적응해야 합니다. 여기에는 웹 애플리케이션, 모바일 애플리케이션 및 API 인터페이스에 대한 옴니채널 보호, 실시간 Threat Intelligence, AI 기반 소급 분석이 포함됩니다.

클라우드와 아키텍처 전반에 걸친 가시성 및 내구성이 뛰어나고 난독화된 텔레메트리 기능이 집단 방어 네트워크 및 고도로 학습된 머신 러닝 모델과 결합되어 봇, 자동화된 공격, 사기를 탐지하고 억제하는 데 필요한 탁월한 정확도를 제공합니다. 이를 통해 공격자가 재정비하고 대응 조치에 적응할 동안 완화 조치의 효과를 최대한 유지할 수 있으며, 실제 고객에게 불편을 주지 않고 가장 지능적인 사이버 범죄자 및 국가 활동 세력도 차단할 수 있습니다.

다음은 효과적인 봇 보안을 유지하기 위한 모범 사례 가이드라인입니다.

• 봇 트래픽을 사전에 모니터링하고 위협에 신속하게 대응합니다. 정기적인 모니터링을 통해 조직은 웹 트래픽의 정상 동작에 대한 기준을 설정할 수 있습니다. 그러면 패턴의 변화 또는 비정상적인 행위를 조기에 탐지하여 잠재적인 봇 활동을 알릴 수 있습니다. 조기 탐지는 봇이 심각한 피해를 입히기 전에 신속한 대응을 가능하게 합니다. 또한 위협 환경은 끊임없이 진화하여 새로운 봇 공격 기술이 자주 등장합니다. 보안팀은 정기적인 모니터링을 통해 최신 동향에 대한 정보를 파악하고 새로운 위협이 발생할 때 이를 식별할 수 있습니다. 방어자는 실시간 인텔리전스 및 인간이 구동하는 AI를 사용한 소급 분석을 결합하여 대응 조치를 조정하고 공격자의 리툴링을 저지하여 무력화시킬 수 있습니다.
• 의심스러운 봇 활동에 대한 실시간 경보를 설정합니다. 로깅 및 경보 시스템을 사용하여 의심스러운 행동에 대한 즉각적인 알림을 받습니다. 로그를 정기적으로 검토하여 패턴 및 잠재적인 보안 사고를 파악합니다. 봇 관련 공격 발생 시 취해야 할 조치를 설명하는 종합적인 사고 대응 계획을 개발합니다. 많은 공급업체가 지속적인 모니터링과 정기적인 위협 브리핑을 제공하여 조직에서 위험을 분석하고 필요한 보호 조치를 취할 수 있도록 도와줍니다.
• 보안 패치를 위한 체계적인 관행을 개발합니다. 조직은 보안 패치와 시스템 업데이트를 신속하게 적용함으로써 알려진 취약점을 노리는 악성 봇의 악용 위험을 완화합니다. 또한 시스템에 정기적으로 패치를 적용하면 공격 표면이 줄어들고 봇이 공개되지 않은 취약점을 악용하기 어려워져 제로데이 악용으로부터의 보호가 강화됩니다. 많은 봇이 소프트웨어 취약점 또는 소프트웨어 약점을 악용하기보다는 내재된 취약점을 노리고 로그온, 계정 생성, 비밀번호 재설정 기능과 같은 중요한 비즈니스 로직을 악용할 수 있다는 점에 유의해야 합니다.

악성 봇 공격이 점점 더 정교해지고 악의적이며 위험해지면서 봇 보안은 사이버 범죄자와 보안팀 간에 끊임없이 확대되는 군비 경쟁에서 앞서고 복원력을 유지하기 위해 계속 발전하고 있습니다. 또한 위협(및 완화)은 결코 진화를 멈추지 않을 것이라는 점도 잘 알고 있습니다.

봇 위협을 완화하는 가장 좋은 방법은 변화하는 공격 벡터를 관리하고 취약점과 위협이 실행되기 전에 이를 파악하여 해결하는 계층화된 보안 접근 방식을 도입하는 것입니다. 조직이 봇의 영향에 사전에 대비하면 자동화된 공격으로부터 지적 재산, 고객 데이터 및 중요한 서비스를 보호하는 데 도움이 됩니다.

F5 Distributed Cloud Bot Defense는 웹 애플리케이션, 모바일 애플리케이션 및 API 인터페이스에 대한 옴니채널 보호를 포함하여 자동화된 공격으로부터 조직을 보호하기 위한 실시간 모니터링 및 인텔리전스를 제공합니다. Distributed Cloud Bot Defense는 실시간 Threat Intelligence, AI 기반의 소급 분석 및 지속적인 Security Operations Center(SOC) 모니터링을 사용하여 가장 지능적인 사이버 공격을 저지하는 복원력을 통해 봇 완화를 제공합니다. F5 솔루션은 공격자가 웹 앱에서 API로 전환하든 또는 텔레메트리를 스푸핑하거나 인간 CAPTCHA 솔버를 사용하여 자동화 방지 방어 시스템을 우회하려고 시도하든 공격자 리툴링 방식에 관계없이 효과를 유지합니다.

F5는 또한 대규모 네트워크, 프로토콜, 애플리케이션 대상 공격을 실시간으로 탐지하고 완화하는 관리형 클라우드 제공 완화 서비스로서 첨단 온라인 보안을 위한 다중 계층 DDoS Protection 기능을 제공합니다. 온프레미스 하드웨어, 소프트웨어, 하이브리드 솔루션과 동일한 보호 기능을 사용할 수 있습니다. F5 Distributed Cloud DDoS Mitigation은 볼륨 및 애플리케이션별 레이어 3-4 및 고급 레이어 7 공격이 네트워크 인프라 및 애플리케이션에 도달하기 전에 차단합니다.