용어집: 사이버 보안 용어 및 정의

OWASP 웹 애플리케이션에 대한 자동화된 위협

이 OWASP 프로젝트는 웹 애플리케이션을 표적으로 하는 자동화된 위협을 식별하고 위험을 완화하기 위한 보안 통제 및 모범 사례를 권장하는 데 중점을 두고 있습니다.

OWASP (Open Worldwide Application Security Project) 웹 애플리케이션에 대한 자동화된 위협 프로젝트 의 목표는 웹 애플리케이션이 일반적으로 직면하는 다양한 자동화된 위협에 대한 포괄적이고 표준화된 이해를 제공하는 것입니다. 이러한 자동화된 공격은 모바일 앱과 API를 대상으로 하는 경우가 점차 늘어나고 있습니다. 이 프로젝트는 웹 애플리케이션을 대상으로 하는 실제 자동화 공격에 대한 연구와 분석을 결합하여 운영자가 이러한 위협으로부터 방어하는 데 도움이 되는 문서를 작성합니다. 

자동화된 위협이란 무엇입니까?

자동화된 위협은 웹 애플리케이션과 수동으로 상호 작용하는 사람이 아닌 봇, 스크립트 또는 해커 툴킷이 수행하는 악의적인 공격을 말합니다. 이러한 위협은 웹 애플리케이션과 API의 고유한 취약성을 악용하여 보안 침해, 데이터 도난, 계정 인수, 사기 및 기타 유해한 결과를 초래할 수 있습니다.

애플리케이션에 쇼핑 카트가 있다는 것은 취약점이 아니지만, 쇼핑 카트에 항목을 추가하는 것을 용이하게 하는 비즈니스 로직도 자동화의 대상이 되어 조작될 수 있으며, 그 결과 재고가 쌓이게 됩니다

이 프로젝트는 웹 애플리케이션을 표적으로 삼는 다양한 자동화된 위협에 대한 카탈로그나 분류법을 만들었습니다. 이러한 위협을 식별하고 분류함으로써 개발자, 보안 전문가 및 조직은 자신이 직면한 위험과 시스템에 미칠 수 있는 잠재적 영향을 더 깊이 이해할 수 있습니다. 이 프로젝트에서는 각각의 자동화된 위협에 대해 위험을 완화하기 위한 효과적인 대책과 모범 사례를 권장합니다. OWASP는 이러한 위협에 대한 인식을 높여 사전 보안 조치를 장려하고 웹 애플리케이션의 전반적인 보안 태세를 개선하는 것을 목표로 합니다.

많은 자동화된 위협이 봇에 의존하기 때문에 봇 관리와 봇 완화를 구분하는 것이 유용합니다. 봇 관리란 웹 애플리케이션과 상호작용하는 봇을 처리하는 데 사용되는 전략과 관행을 말합니다. 봇 관리의 목표는 봇을 차단하거나 완화하는 데 그치지 않고 합법적인 봇 트래픽(예: 검색 엔진 크롤러)과 악성 봇을 구별하는 것입니다. 봇 완화는 특히 웹 애플리케이션에 미치는 악의적인 봇의 영향을 줄이거나 없애는 프로세스에 초점을 맞춥니다. 여기에는 봇이 계정 인수(ATO) 및 사기를 초래할 수 있는 유해한 작업이나 공격을 성공적으로 수행하지 못하도록 방어 조치를 구현하는 것이 포함됩니다.

웹 애플리케이션에 대한 자동화된 위협의 OWASP 목록

다음은 OWASP 웹 애플리케이션에 대한 자동화된 위협 프로젝트에서 식별하고 편집한 자동화된 위협 목록입니다.   

  1. 계정 집계. 이러한 공격의 목표는 신원 도용, 금융 사기 또는 민감한 정보에 대한 무단 액세스와 같은 악의적인 목적을 위해 여러 사이트나 플랫폼에서 사용자 계정 자격 증명을 수집하는 것입니다. 계정 집계 공격은 다양한 웹 서비스나 애플리케이션과 인간의 상호작용을 모방하는 자동화된 봇이나 스크립트를 사용하여 수행됩니다. 
  2. 계정 생성. 이러한 공격에는 악의적인 행위자가 자동화된 스크립트나 봇을 사용하여 플랫폼이나 웹사이트에 대량의 가짜 사용자 계정을 만드는 것이 포함됩니다. 공격자는 이러한 가짜 계정을 사용해 플랫폼을 스팸 콘텐츠, 광고, 악성 링크로 가득 채워서 합법적 사용자에게 방해와 불편을 끼칠 수 있습니다. 가짜 계정은 웹사이트나 애플리케이션에서 여론 및 리뷰/평가를 조작하거나, 실제 사용자나 공인을 사칭하여 잘못된 정보를 퍼뜨리거나 평판을 손상시키는 데 사용될 수도 있습니다.  이러한 위협은 신규 계좌 개설 사기를 초래할 수도 있는데, 이를 제1자 사기라고도 하며 전체 디지털 세계에 영향을 미칩니다.
  3. 광고 사기. 클릭 사기라고도 알려진 이 위협에는 클릭이나 노출 등 온라인 광고와의 상호작용 횟수를 조작하는 기만적인 활동이 포함됩니다. 이러한 사기 행위는 일반적으로 자동화된 봇이나 스크립트를 통해 수행되며 사기꾼의 수익을 창출하거나 광고 성과 지표를 조작하는 것을 목표로 합니다. 
  4. CAPTCHA 실패. 이러한 위협은 CAPTCHA 문제를 우회하거나 회피하기 위한 자동화된 기술을 사용하며, 악의적인 행위자가 봇에 대한 일반적인 방어수단을 우회할 수 있으므로 웹 애플리케이션 보안에 큰 문제가 됩니다. CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans)는 인간 사용자와 자동화된 봇 또는 스크립트를 구별하는 데 사용되는 보안 제어입니다. 공격자는 이미지 인식 소프트웨어를 사용하여 시각적 CAPTCHA를 풀고, 기계 학습 알고리즘을 사용하여 청각적 CAPTCHA와 퍼즐 CAPTCHA를 풀 수 있습니다. 어떤 경우 공격자는 CAPTCHA를 실시간으로 수동으로 풀어주는 인간 CAPTCHA 해결사를 고용하기도 합니다. CAPTCHA는 일반적으로 사용되는 보안 제어 기능이지만, 우회될 수 있으며 합법적인 사용자에게 고객 경험을 저하시켜 거래 및 수익 중단으로 이어질 수 있습니다.   
  5. 카드 크래킹. 이는 카드 번호, 만료일, 보안 코드(CVV/CVC) 등 지불 카드의 보안 기능을 추측하거나 해독하는 자동화된 유형의 사이버범죄입니다. 카드 해킹은 일반적으로 무차별 대입 공격을 사용하는데, 이는 자동화된 봇이나 스크립트가 체계적으로 수많은 카드 세부 정보 조합을 시도하여 유효한 카드와 일치하는 조합을 찾을 때까지 진행됩니다. 유효한 카드 정보가 확인되면 승인되지 않은 구매나 금융 사기를 저지르는 등 다양한 불법 활동에 사용될 수 있습니다. 공격자는 실제 매장에서 충전되지 않은 몇 개의 실제 상품권을 훔쳐서 상품권 발급자가 순차적 번호 패턴을 사용했는지 확인할 수 있습니다. 
  6. 소면. 이러한 형태의 자동화된 사이버범죄에는 도난한 지불 카드 정보를 무단으로 사용하여 사기 거래나 구매를 하는 것이 포함됩니다. 범죄자는 자동화된 봇이나 스크립트를 사용해 다양한 웹사이트나 애플리케이션에서 훔친 신용카드나 직불카드 정보를 테스트하여 훔친 정보를 수락하는 웹사이트나 애플리케이션을 식별합니다. 자동화된 봇이 취약한 대상을 식별하면 도난당한 카드 정보를 사용해 고가 상품이나 디지털 서비스를 사기성 구매하거나 사용 가능한 금액을 다른 계좌로 이체합니다.  
  7. 현금화. 이는 유동성이 없는 자산이나 가상화폐를 실제 자금이나 유형의 상품으로 전환하는 것을 말합니다. 이러한 위협은 종종 온라인 플랫폼이나 계정에서 귀중한 자산을 도난하는 성공적인 공격에 뒤따릅니다. 공격자가 웹 애플리케이션이나 온라인 플랫폼에서 사용자 계정을 장악하면 이러한 계정을 이용해 기프트 카드, 로열티 포인트, 가상화폐 등 계정 소유자의 자산을 현금화할 수 있습니다. 봇은 사이버 범죄자들이 대규모로 효율적으로 사기 활동을 수행할 수 있도록 허용하므로 현금화를 용이하게 하는 데 자주 사용됩니다. 
  8. 신임장 해킹. 이 위협은 로그인 페이지, 사용자 계정 포털, 인증 API 등 웹 애플리케이션의 로그인 메커니즘을 표적으로 삼는 무차별 대입 공격의 한 유형입니다. 공격자는 자동화를 사용하여 사용자 계정에 대한 무단 액세스를 허용하는 일반적인 사용자 이름과 비밀번호 조합을 체계적으로 시도한 후 해당 조합을 찾습니다. 이를 통해 공격자는 신원 도용, 금융 사기 또는 기타 무단 행위와 같은 악의적인 활동을 수행할 수 있습니다.  
  9. 신임장 정보 입력. 웹 애플리케이션 위협의 가장 일반적인 형태 중 하나인 자격 증명 채우기는 사이버 범죄자가 다크 웹에서 구입한 사용자 이름/비밀번호 쌍 목록을 얻고 자격 증명 쌍을 사용하여 다른 로그인으로 보호된 계정에 액세스하려고 시도할 때 발생합니다. 많은 사람이 사용자 이름과 비밀번호를 재사용하기 때문에 이러한 공격(계정 인수라고도 함)은 매우 효과적일 수 있으며, 범죄자는 사용자 계정을 제어하여 자산을 훔치거나 제3자에게 사기를 저지를 수 있습니다.  
  10. 재고 거부. 이러한 공격은 공격자가 봇을 이용해 대량의 품목을 쇼핑 카트에 담은 후, 해당 품목을 구매하기 위해 결제 단계로 넘어가지 않고 전자상거래 상품을 유통에서 제외함으로써 발생합니다. 이런 상황에서는 시스템이 품절 상태로 등록되어 다른 쇼핑객이 해당 상품을 구매할 수 없게 되고, 구매가 완료되지 않아 공급업체가 판매를 거부당하게 됩니다. 이러한 자동화된 위협의 한 변형은 봇을 사용하여 결제를 완료하지 않고 호텔 객실, 레스토랑 테이블 또는 항공편 좌석을 예약하거나 보류하는 경우 발생합니다. 
  11. 서비스 거부(DoS) 분산 서비스 거부(DDoS). 이러한 공격은 대상 시스템이나 네트워크의 정상적인 기능을 방해하여 합법적인 사용자가 해당 시스템이나 네트워크를 사용할 수 없게 만들려는 악의적인 시도입니다. DDoS 공격에서 공격자는 엄청난 양의 트래픽이나 리소스 요청으로 대상을 압도하여 서버에 과부하를 일으키고 서비스에 접근할 수 없게 만듭니다. 이러한 공격은 대상에게 패킷을 대량으로 보내거나 특별히 제작된 요청을 보내는 등 다양한 방법을 통해 수행될 수 있습니다. DoS와 DDoS 공격은 비슷하지만, DDoS의 경우 공격에 여러 소스가 관여하며, 일반적으로 봇넷을 통해 조정됩니다. 봇넷은 공격자가 제어하는 손상된 컴퓨터 또는 장치의 네트워크입니다. 공격자는 이러한 여러 소스를 조정하여 동시에 타겟에 대한 공격을 시작합니다. 공격자는 봇넷의 결합된 리소스를 활용하여 엄청난 양의 트래픽이나 요청을 생성하여 대상 시스템의 용량을 압도하고 서비스 거부를 일으킬 수 있습니다. 이러한 공격은 방화벽 상태 테이블, CPU 리소스, 인프라 대역폭을 과부하시킬 수 있습니다. DoS 공격은 웹 애플리케이션에 대한 단 하나의 잘 만들어진 요청으로 실행될 수 있습니다. 예를 들어, CPU와 성능이 크게 저하되는 복잡한 SQL 쿼리를 실행할 수 있습니다.
  12. 신속 처리. 이러한 위협에는 자동화된 봇이나 스크립트를 사용해 일련의 신청 프로세스를 빠르게 완료하고, 일반적인 제한이나 검사를 우회하는 것이 포함됩니다. 프로세스를 자동화함으로써 공격자나 악의적인 사용자는 다른 합법적 사용자에 비해 부당한 이점을 얻을 수 있습니다. 이런 활동은 종종 사기와 연관되며 다른 당사자에게 손실을 초래할 수 있습니다.  
  13. 지문 채취. 위협 행위자는 지문을 정보 수집 기술로 사용하여 사용자의 웹 브라우저나 기기의 고유한 특성이나 속성을 수집하고 분석하여 독특한 "지문"을 만듭니다. 이를 통해 위협 행위자는 다양한 웹사이트와 온라인 플랫폼에서 개별 사용자를 식별하고 추적하거나 애플리케이션을 프로파일링한 후 공격할 수 있습니다. 
  14. 발자국. 이는 그 자체로 자동화된 위협은 아니지만 해킹 과정이나 정찰의 예비 단계입니다. 풋프린팅은 봇이나 스크립트를 사용하여 대상 웹 애플리케이션의 구성, 구성 및 보안 메커니즘에 대한 정보를 수집하는 것을 포함하며, 이를 통해 공격자는 무단 액세스를 얻거나 특정 취약성을 악용하기 위해 타깃을 지정한 익스플로잇을 실행하는 등 후속 공격을 더 잘 계획할 수 있습니다. 
  15. 암표매매 또는 재고 축적. 이는 공격자가 봇을 이용해 한정된 재고의 상품이나 서비스(콘서트 티켓이나 한정판 스니커즈 등)가 온라인에서 판매되는 즉시 대량으로 구매하는 구매 자동화 형태입니다. 범죄자들은 즉시 결제 과정을 완료함으로써 귀중한 재고를 대량으로 장악하게 되고, 이 재고들은 보통 2차 시장에서 상당한 마진을 붙여 재판매되어 인위적인 희소성, 재고 거부, 소비자 좌절로 이어진다.  
  16. 스크래핑. 스크래핑은 본질적으로 악의적인 것은 아니지만, 웹사이트나 웹 애플리케이션에서 데이터를 추출하는 자동화된 프로세스입니다. 스크래핑은 승인되지 않은 목적이나 악의적인 목적으로 사용될 경우 자동화된 위협이 됩니다. 예를 들어, 봇을 이용해 대상 웹사이트의 콘텐츠를 수집하여 분석, 재사용하거나 가격 조작에 사용하는 경우, 특히 경쟁 시장에서 그렇습니다. 스크래핑은 사이트 성능에 영향을 미치고 합법적인 사용자가 사이트에 액세스하지 못하게 할 수도 있습니다. 
  17. 기울어짐. 이는 악의적인 행위자가 웹 애플리케이션에서 콘텐츠를 반복적으로 클릭하거나 요청하거나 제출하여 개수, 좋아요, 노출 수, 설문 조사 결과, 빈도 또는 비율과 같은 애플리케이션 기반 지표에 의도적으로 영향을 미칠 때 발생합니다. 자동화된 봇을 사용하여 웹 애플리케이션과 인공적인 상호작용을 생성함으로써 인간의 행동을 모방하여 왜곡을 수행할 수 있습니다. 왜곡의 목적은 애플리케이션 기반 메트릭에서 생성된 데이터를 조작하고 왜곡하여 부정확하거나 오해의 소지가 있는 결과를 얻는 것입니다. 
  18. 저격. 이는 자동화된 봇이나 스크립트를 사용하여 온라인 경매, 판매 또는 예약 시스템에서 경쟁 우위를 확보하는 일종의 악의적 활동입니다. "스나이핑"이라는 용어는 일반적으로 시간 제한이 있는 이벤트나 제한된 가용성 항목의 맥락에서 사용되며, 이러한 상황에서는 속도와 정확한 타이밍이 중요한 역할을 하며 다른 사용자가 입찰하거나 제안을 할 시간이 충분하지 않습니다. 스나이핑을 통해 공격자는 이벤트에 수동으로 참여하는 인간 사용자에 비해 경쟁 우위를 얻을 수 있습니다. 봇은 더 빠르고 정확하게 작업을 실행할 수 있기 때문입니다. 
  19. 스팸 발송. 이는 웹 애플리케이션의 공개 또는 비공개 콘텐츠, 데이터베이스, 사용자 메시지에 나타나는 봇이 배포하는 악성 콘텐츠나 의심스러운 정보를 말합니다. 악성 콘텐츠에는 맬웨어, IFRAME 팝업, 사진, 비디오, 광고, 추적/감시 코드 등이 포함될 수 있습니다. 공격자는 또한 스팸을 사용하여 포럼이나 다른 메시징 앱에 가짜 댓글을 추가하여 정보를 위조하거나 맬웨어를 배포합니다. 
  20. 토큰 크래킹. 이러한 자동화된 공격은 범죄자들이 쿠폰 번호, 바우처 코드, 할인 토큰을 대량으로 수집하여 발생합니다. 받을 수 있는 혜택으로는 할인, 현금 대체, 신용 또는 특별 행사 이용 등이 있습니다.
  21. 취약점 스캐닝. 이 위협은 자동화된 도구나 스크립트를 사용하여 웹 애플리케이션의 취약점을 식별하고 악용하는 것을 말합니다. 보안을 강화할 목적으로 취약점을 식별하는 합법적인 취약성 스캐닝과 달리, 자동화된 위협으로서의 취약성 스캐닝은 애플리케이션의 보안을 손상시키려는 악의적인 의도로 수행됩니다. 범죄자는 자동화된 스캐닝 도구나 스크립트를 사용해 인터넷에 노출된 애플리케이션을 체계적으로 스캔하는데, 이는 일반적으로 취약점이 공개된 직후에 이뤄진다. 취약점이 확인되면 범죄자는 이를 악용해 애플리케이션, 중요 데이터 또는 기반 서버 인프라에 대한 무단 액세스를 시도합니다. 

통합 보안 제어의 사례

F5, OWASP 보안 위험 해결

F5는 OWASP 재단을 지원하고 소프트웨어 보안을 개선하고 웹 애플리케이션 보안 위험과 취약성에 대한 인식을 다방면으로 높이기 위한 노력을 지원합니다. 실제로, 보안 솔루션을 구현할 때 고려해야 할 웹 앱과 API 모두에 공통적인 보안 위험이 있습니다 . 예를 들어: 

  • 취약한 인증/권한 부여 제어 
  • 잘못된 구성 
  • 비즈니스 로직 남용(자격 증명 채우기, 계정 인수)  
  • 서버 측 요청 위조(SSRF).

F5는 OWASP의 웹 애플리케이션에 대한 자동화된 위협 프로젝트에 설명된 위험을 해결하기 위한 솔루션을 제공합니다. F5 Distributed Cloud Bot Defense는 기존 봇 관리 솔루션을 우회할 수 있는 사기와 남용을 방지하고, 사용자에게 불편을 주거나 고객 경험을 방해하지 않으면서 실시간 모니터링과 인텔리전스, ML 기반 회고적 분석을 제공하여 조직을 자동화된 공격으로부터 보호합니다. 분산형 클라우드 봇 방어는 공격자가 어떻게 재편하든, 공격이 웹 앱에서 API로 방향을 바꾸든, 원격 측정 데이터를 스푸핑하거나 인간의 CAPTCHA 솔버를 사용하여 자동화 방지 방어를 우회하려고 시도하든 관계없이 효과를 유지합니다. F5 봇 관리 솔루션은 애플리케이션 프록시, 플랫폼, 콘텐츠 전송 네트워크(CDN)에서 유연한 삽입 지점을 제공합니다.

F5 웹 애플리케이션 방화벽 솔루션은 널리 알려진 가장 중요한 웹 애플리케이션 보안 위험 목록인 OWASP Top 10 에서 식별된 광범위한 위험을 차단하고 완화합니다. F5 WAF 솔루션은 F5 Labs의 위협 인텔리전스와 ML 기반 보안을 비롯한 서명 및 행동 보호 기능을 결합하여 새로운 위협에 대응합니다. 클라우드, 온프레미스, 엣지 환경에서 지속적으로 애플리케이션을 보호하는 데 따른 부담과 복잡성을 덜어주는 동시에 중앙 집중식 SaaS 인프라를 통해 관리를 간소화합니다. F5 WAF는 개발 프레임워크와 CI/CD 파이프라인에 보호 기능을 통합하여 핵심 보안 기능, 중앙 집중식 오케스트레이션, 분산 애플리케이션 전반의 앱 성능과 보안 이벤트를 360도로 볼 수 있는 단일 대시보드를 통한 감독을 제공함으로써 앱 보안을 간소화합니다. 특수한 봇 방어와 통합된 WAF는 취약성 악용, 자동화된 위협을 포함한 심각한 보안 위험을 완화하기 위한 강력한 솔루션을 제공합니다.  

F5는 앱이 발전하고 API 배포가 늘어남에 따라 늘어나는 공격 표면과 새로운 위협을 보호하는 솔루션을 통해 OWASP API 보안 상위 10개 위험에 대응합니다. F5 웹 애플리케이션 및 API 보호(WAAP) 솔루션은 WAF, API 보안 , L3-L7 DDoS 완화, 자동화된 위협과 이로 인한 사기를 방지하는 봇 방어 등의 포괄적인 보호 기능을 통해 최신 앱 공격 표면 전체를 방어합니다. 분산 플랫폼을 사용하면 호스팅되는 위치에 관계없이 앱과 API 전체 에 일관된 정책을 배포하고 보안을 확장하는 것이 간편해지며, API 수명 주기와 더 광범위한 보안 생태계에 보호 기능을 통합합니다.

F5는 또한 관리형 클라우드 제공 완화 서비스로서 고급 온라인 보안을 위한 다계층 DDoS 보호 기능을 제공하며, 이를 통해 대규모 네트워크, 프로토콜 및 애플리케이션을 표적으로 하는 공격을 실시간으로 탐지하고 완화합니다. 동일한 보호 기능은 온프레미스 하드웨어, 소프트웨어 및 하이브리드 솔루션에서도 제공됩니다. F5 분산 클라우드 DDoS 완화는 볼륨형 및 애플리케이션별 레이어 3-4 공격과 고급 레이어 7 공격이 네트워크 인프라와 애플리케이션에 도달하기 전에 이를 방어합니다.