용어집

웹 애플리케이션 대상 OWASP 자동화 위협

이 OWASP 프로젝트는 웹 애플리케이션을 타겟으로 하는 자동화된 위협을 식별하고 위험을 완화하기 위한 보안 제어 및 모범 사례를 제안하는 데 중점을 둡니다.

Open Worldwide Application Security Project(OWASP) 웹 애플리케이션에 대한 자동화 위협 프로젝트의 목표는 웹 애플리케이션에 일반적으로 발생하는 다양한 자동화된 위협에 대한 포괄적이고 표준화된 이해를 제공하는 것입니다. 이러한 자동화된 공격은 점점 더 모바일 앱과 API를 타겟팅하고 있습니다. 이 프로젝트는 운영자가 이러한 위협을 차단하는 데 도움이 되는 문서를 생성하기 위해 웹 애플리케이션에 대한 실제 자동화된 공격에 대한 연구 및 분석을 함께 제공합니다.

자동화된 위협이란?

자동화된 위협은 웹 애플리케이션과 사람이 아닌 봇, 스크립트 또는 해커 툴킷에 의해 수행되는 악의적인 공격을 의미합니다. 이는 웹 애플리케이션과 API의 고유한 취약점을 악용하여 보안 침해, 데이터 도용, 계정 탈취, 사기 등의 유해한 결과를 초래할 수 있습니다.

애플리케이션에 장바구니가 있는 것은 취약점이 아니지만, 장바구니에 상품을 쉽게 추가할 수 있도록 하는 비즈니스 로직이 자동화를 통해 표적이 되어 조작될 수 있으며,이로 인해 싹쓸이 구매가 발생할 수 있습니다.

이 프로젝트에서는 웹 애플리케이션을 타겟팅하는 다양한 자동화된 위협의 카탈로그 또는 분류 체계를 만들었습니다. 이러한 위협을 식별하고 분류함으로써 개발자, 보안 전문가, 조직은 직면한 위험과 시스템에 미치는 잠재적 영향을 더 깊이 이해할 수 있습니다. 각 자동화된 위협에 대해 위험을 완화하기 위한 효과적인 대응책과 모범 사례도 제시합니다. OWASP는 이러한 위협에 대한 인식을 높임으로써 사전 예방적 보안 조치를 장려하고 웹 애플리케이션의 전반적인 보안 태세를 강화하는 것을 목표로 합니다.

대다수의 자동화된 위협이 봇을 이용하므로, 봇 관리와 봇 위험 최소화를 구분하는 것이 좋습니다. 봇 관리는 웹 애플리케이션과 상호 작용하는 봇을 관리하는 데 사용되는 전략 및 관행을 의미합니다. 봇 관리의 목표는 봇을 차단하거나 위험을 최소화하는 것뿐만 아니라 합법적인 봇 트래픽(예: 검색 엔진 크롤러)과 악성 봇을 구별하는 것입니다. 봇 위험 최소화는 구체적으로 악성 봇이 웹 애플리케이션에 미치는 영향을 줄이거나 제거하는 프로세스에 중점을 둡니다. 이를 위해 봇이 계정 탈취(ATO) 및 사기로 이어질 수 있는 유해한 행동이나 공격을 성공적으로 수행하는 것을 방지하기 위한 방어 조치를 구현합니다.

웹 애플리케이션에 대한 자동화된 위협의 OWASP 목록

다음은 웹 애플리케이션에 대한 자동화 위협 프로젝트에서 파악하고 취합한 자동화 위협의 목록입니다.

  1. Account Aggregation. 이러한 공격의 목표는 보통 신원 도용, 금융 사기 또는 민감한 정보에 대한 무단 액세스와 같은 악의적인 목적으로 여러 사이트 또는 플랫폼에서 사용자 계정 자격 증명을 수집하는 것입니다. 이는 다양한 웹 서비스 또는 애플리케이션과의 인간 상호 작용을 모방하는 자동화된 봇 또는 스크립트를 사용하여 수행됩니다.
  2. 계정 생성. 악의적인 행위자가 자동화된 스크립트 또는 봇을 사용하여 플랫폼 또는 웹사이트에서 수많은 허위 사용자 계정을 생성하는 공격입니다. 공격자는 이러한 허위 계정을 사용하여 플랫폼에 스팸 콘텐츠, 광고 또는 악성 링크를 플러딩하여 합법적인 사용자에게 중단과 불편을 유발할 수 있습니다. 허위 계정은 웹사이트나 애플리케이션에서 대중의 정서와 후기/평점을 조작하거나 실제 사용자나 공인을 사칭하여 잘못된 정보를 퍼뜨리거나 평판에 피해를 입히는 데도 사용될 수 있습니다. 이 위협은 또한 자사 사기라고도 하는 새로운 계정 생성 사기로 이어질 수 있으며, 디지털 환경 전체에 걸친 파급 효과가 발생할 수 있습니다.
  3. 광고 사기. 클릭 사기라고도 하는 이 위협은 클릭 또는 노출과 같은 온라인 광고와의 상호 작용 수를 위조하는 기만 행위입니다. 이러한 사기 행위는 일반적으로 자동화된 봇 또는 스크립트를 통해 수행되며 사기 행위자의 수익을 창출하거나 광고 성과 지표를 조작하는 것을 목표로 합니다.
  4. CAPTCHA 우회. 이 위협은 자동화된 기법을 사용하여 CAPTCHA 확인을 우회 또는 회피하며 악의적인 행위자가 봇에 대한 일반적인 방어를 우회할 수 있기 때문에 웹 애플리케이션 보안에 중요한 우려 사항입니다. Completely Automated Public Turing test to tell Computers and Humans Apart(CAPTCHA)는 인간 사용자와 자동화된 봇 또는 스크립트를 구분하는 데 사용되는 보안 제어 조치입니다. 공격자는 이미지 인식 소프트웨어를 사용하여 이미지 캡차 방식을 우회하고 머신러닝 알고리즘을 배포하여 청각 및 퍼즐 캡챠 방식을 우회할 수 있습니다. 경우에 따라 공격자는 수작업으로 CAPTCHA를 실시간으로 해결하는 인간 CAPTCHA 솔버를 활용합니다. CAPTCHA는 일반적으로 사용되는 보안 제어이지만 우회가 가능하며 합법적인 사용자의 고객 경험에 불편을 초래하며 이는 매출 손실로 이어질 수 있습니다.
  5. 카드 크래킹. 카드 번호, 만료일, 보안 코드(CVV/CVC)와 같은 결제 카드의 보안 기능을 추측하거나 크래킹하는 자동화된 사이버 범죄 유형입니다. 카드 크래킹은 일반적으로 자동화된 봇 또는 스크립트가 유효한 카드와 일치하는 조합을 찾을 때까지 여러 조합의 카드 세부 정보를 체계적으로 시도하는 무차별 대입 공격을 사용합니다. 유효한 카드 세부 정보가 파악되면 권한이 없는 구매를 실행하거나 금융 사기를 저지르는 등 다양한 불법 행위에 사용될 수 있습니다. 공격자는 실제 매장에서 사용되지 않은 실물 상품권을 가져와 발급자가 순차적인 번호 패턴을 사용했는지 확인할 수 있습니다.
  6. 카딩. 사기성 거래 또는 구매를 위해 도난당한 결제 카드 정보를 무단으로 사용하는 자동화된 사이버 범죄의 한 형태입니다. 범죄자는 자동화된 봇 또는 스크립트를 사용하여 다양한 웹사이트 또는 애플리케이션에서 도난당한 신용카드 또는 직불카드 세부 정보를 테스트하여 도용 정보를 수락하는 곳을 파악합니다. 자동화된 봇이 취약한 타겟을 파악하면 도난당한 카드 정보를 사용하여 고가의 상품이나 디지털 서비스를 구매하거나 사용 가능한 금액을 다른 계정으로 이전합니다.
  7. 현금화. 비유동자산 또는 가상통화를 실물 자금 또는 유형의 물품으로 전환하는 것을 말합니다. 이 위협은 보통 온라인 플랫폼이나 계정에서 가치가 큰 자산을 훔치는 공격이 성공한 후에 이루어집니다. 공격자는 웹 애플리케이션 또는 온라인 플랫폼에서 사용자 계정을 제어할 때 이러한 계정을 사용하여 상품권, 멤버십 포인트 또는 가상 통화와 같은 계정 소유자의 자산을 현금화할 수 있습니다. 사이버 범죄자는 봇을 통해 이러한 사기 행위를 대규모로 효율적으로 수행할 수 있기 때문에 봇은 현금화에 흔히 사용됩니다.
  8. 자격 증명 크래킹. 이 위협은 로그인 페이지, 사용자 계정 포털 또는 인증 API와 같은 웹 애플리케이션의 로그인 메커니즘을 타겟팅하는 무차별 대입 공격의 일종입니다. 공격자는 자동화를 사용하여 사용자 계정에 무단 액세스 권한을 부여할 수 있는 사용자 이름과 비밀번호를 찾을 때까지 체계적으로 일반적인 사용자 이름과 비밀번호 조합을 시도합니다. 이를 통해 공격자는 신원 도용, 금융 사기 등의 무단 행위과 같은 악의적인 활동을 수행할 수 있습니다.
  9. 크리덴셜 스터핑: 가장 일반적인 형태의 웹 애플리케이션 위협 중 하나로, 사이버 범죄자가 주로 다크 웹에서 사용자 이름/비밀번호 쌍의 목록을 구매하고 이 자격 증명을 사용하여 다른 로그인 보호 계정에 액세스하려고 시도합니다. 많은 사람들이 사용자 이름과 비밀번호를 재사용하기 때문에 이러한 공격(계정 탈취라고도 함)을 통해 범죄자가 사용자 계정을 탈취하여 자산을 훔치거나 제3자 사기 행위를 저지르는 데 매우 효과적일 수 있습니다.
  10. 재고 거부. 이 공격은 공격자가 봇을 사용하여 장바구니에 수많은 상품을 담은 다음 구매를 위한 결제를 진행하지 않아 전자 상거래 상품이 유통되지 못하도록 할 때 발생합니다. 시스템에 재고 소진 상태로 등록되기 때문에 다른 쇼핑객이 상품을 구매할 수 없으며 구매가 완료되지 않기 때문에 벤더가 매출을 울릴 수도 없습니다. 이러한 자동화된 위협의 예는 봇을 사용하여 호텔 객실, 레스토랑 테이블 또는 항공사 좌석을 예매하거나 확보한 다음 결제를 완료하지 않는 경우입니다.
  11. 서비스 거부 (DoS)분산 서비스 거부(DDoS). 이러한 공격은 타겟 시스템 또는 네트워크의 정상적인 작동을 방해하여 합법적인 사용자가 이용할 수 없도록 만드는 악의적인 시도입니다. DDoS 공경 시 공격자는 엄청난 양의 트래픽 또는 리소스 요청으로 타겟을 압도하여 서버 과부하를 유발하고 서비스에 액세스할 수 없게 만듭니다. 이러한 공격은 타겟을 패킷으로 플러딩하거나 특수하게 조작된 요청을 전송하는 것과 같은 다양한 방법을 사용하여 수행할 수 있습니다. DoS 공격과 DDoS 공격은 비슷하지만 DDoS의 경우 공격자가 제어하는 보안이 침해된 컴퓨터 또는 장치의 네트워크인 봇넷을 통해 조정되는 여러 소스에서 공격이 이루어집니다. 공격자는 이러한 여러 소스를 조정하여 타겟에 대한 공격을 동시에 시작합니다. 공격자는 봇넷의 리소스를 조합하여 엄청난 양의 트래픽 또는 요청을 생성하여 타겟 시스템의 용량을 압도하고 서비스 거부를 유발할 수 있습니다. 이러한 공격은 방화벽 상태 테이블, CPU 리소스, 인프라 대역폭을 압도할 수 있습니다. DoS 공격은 웹 애플리케이션에 복잡한 SQL 쿼리와 같이 정교하게 만들어진 단일 요청을 전송하여 심각한 CPU 및 성능 저하를 초래할 수 있습니다.
  12. 엑스퍼다이팅(Expediting). 자동화된 봇 또는 스크립트를 사용하여 일련의 애플리케이션 프로세스를 신속하게 완료하고 정상적인 제한이나 검사를 우회하는 위협입니다. 공격자 또는 악의적인 사용자는 프로세스를 자동화함으로써 다른 합법적인 사용자가 이용할 수 없는 부당한 혜택을 얻을 수 있습니다. 이 활동은 보통 기만 행위로 다른 당사자에게 손실을 초래할 수 있습니다.
  13. 핑거프린팅. 위협 행위자는 핑거프린팅을 정보 수집 기법으로 사용하여 사용자의 웹 브라우저나 장치의 고유한 특성 또는 속성을 수집하고 분석하여 고유한 "핑거프린트" 를 생성합니다. 이를 통해 위협 행위자는 다양한 웹 사이트와 온라인 플랫폼에서 개별 사용자를 식별하고 추적하거나 애플리케이션을 프로파일링한 다음 공격할 수 있습니다.
  14. 풋프린팅. 풋프린팅 자체는 자동화된 위협이라기 보다는 해킹 프로세스 또는 정찰의 예비 단계입니다. 풋프린팅은 봇 또는 스크립트를 사용하여 타겟 웹 애플리케이션의 구성, 설정, 보안 메커니즘에 대한 정보를 수집하여 공격자가 타겟 공격을 시작하여 무단 액세스 권한을 확보하거나 특정 취약점을 악용하는 것과 같은 후속 공격을 효과적으로 계획할 수 있도록 합니다.
  15. 스캘핑 또는 싹쓸이 구매. 온라인 판매가 시작되는 순간 공격자가 봇을 사용하여 한정 상품이나 서비스를 대량으로 구매하는 구매 자동화의 한 형태입니다(콘서트 티켓, 한정판 운동화 등). 범죄자는 즉시 결제 프로세스를 완료함으로써 가치가 높은 재고를 대량으로 통제할 수 있으며, 이러한 상품에는 일반적으로 2차 시장에서 상당한 이윤이 적용되어 재판매되므로 인위적인 희소성, 재고 거부, 소비자의 불만을 초래합니다.
  16. 스크래핑. 본질적으로 악의적이지는 않지만 웹사이트 또는 웹 애플리케이션에서 데이터를 추출하는 자동 프로세스입니다. 스크래핑은 특히 경쟁이 치열한 시장에서 분석, 재사용 또는 가격 조작을 위해 타겟 웹 사이트의 콘텐츠를 수집하는 데 봇을 사용하는 경우와 같이 승인되지 않았거나 악의적인 목적으로 사용되는 경우 자동화된 위협이 됩니다. 또한 사이트 성능을 저하시키고 합법적인 사용자가 사이트에 액세스하지 못하도록 할 수 있습니다.
  17. 스큐잉(Skewing) 악의적인 행위자가 웹 애플리케이션에서 개수, 좋아요, 노출수, 설문조사 결과, 빈도 또는 순위과 같은 애플리케이션 기반 측정지표에 영향을 미치려는 의도를 가지고 콘텐츠를 반복적으로 클릭, 요청 또는 제출하는 경우에 발생하는 공격입니다. 스큐잉은 인간의 행동을 모방하여 웹 애플리케이션과의 인위적인 상호 작용을 생성하는 자동화된 봇을 사용하여 수행할 수 있습니다. 스큐잉의 목표는 애플리케이션 기반 측정지표로 생성된 데이터를 조작하고 왜곡하여 부정확하거나 오해의 소지가 있는 결과를 초래하는 것입니다.
  18. 스나이핑(Sniping). 온라인 경매, 판매 또는 예약 시스템에서 경쟁 우위를 확보하기 위해 자동화된 봇 또는 스크립트를 사용하는 악의적인 활동의 일종입니다. "스나이핑"이라는 용어는 주로 속도와 정확한 타이밍이 중요한 역할을 하는 시간 한정 이벤트 또는 한정 수량 상품의 경우에 사용되므로 다른 사용자가 입찰하거나 제안할 시간이 충분하지 않습니다. 봇이 더 빠르고 정확하게 작업을 실행할 수 있기 때문에 스나이핑을 통해 공격자는 이벤트에 수작업으로 참여하는 인간 사용자보다 경쟁 우위를 확보할 수 있습니다.
  19. 스팸. 봇이 배포하여 웹 애플리케이션의 공개 또는 비공개 콘텐츠, 데이터베이스 또는 사용자 메시지에 나타나는 악성 콘텐츠 또는 의심스러운 정보를 의미합니다. 악성 콘텐츠로는 맬웨어, IFRAME 팝업, 사진, 동영상, 광고, 추적/감시 코드가 포함될 수 있습니다. 공격자는 또한 스팸을 사용하여 포럼 및 기타 메시징 앱에 허위 댓글을 추가함으로써 정보를 위조하거나 맬웨어를 배포합니다.
  20. 토큰 크래킹. 이 자동화된 공격은 범죄자가 쿠폰 번호, 바우처 코드, 할인 토큰의 대량 열거를 수행하는 경우 발생합니다. 이를 통해 할인, 현금 대체제, 크레딧 또는 특별가 이용 혜택 등을 받을 수 있습니다.
  21. 취약점 스캐닝. 이 위협은 자동화된 도구 또는 스크립트를 사용하여 웹 애플리케이션의 취약점을 식별하고 악용하는 것을 의미합니다. 보안을 강화할 목적으로 취약점을 식별하는 것을 목표로 하는 합법적인 취약점 스캐닝과 달리, 자동화된 위협으로서의 취약점 스캐닝은 애플리케이션의 보안을 침해하려는 악의적인 의도로 수행됩니다. 범죄자는 자동화된 검색 도구 또는 스크립트를 사용하여 일반적으로 취약점이 공개된 직후 인터넷에 노출된 애플리케이션을 체계적으로 스캔합니다. 취약점이 확인되면 범죄자는 이를 악용하여 애플리케이션, 민감한 데이터 또는 기본 서버 인프라에 대한 무단 액세스를 시도합니다.

통합 보안 제어 사례

F5를 통한 OWASP 보안 위험 해결

F5는 OWASP Foundation과 소프트웨어 보안을 강화하고 다각도에서 웹 애플리케이션 보안 위험 및 취약성에 대한 인식을 제고하려는 재단의 노력을 지원합니다. 실제로 보안 솔루션을 구현할 때 고려해야 할 웹 앱과 API 모두에 공통적인 보안 위험이 있습니다. 그 예는 다음과 같습니다.

  • 취약한 인증 / 권한 제어
  • 구성 오류
  • 비즈니스 논리 악용(크리덴셜 스터핑, 계정 탈취)
  • 서버 측 요청 위조(SSRF)

F5는 또한 웹 애플리케이션에 대한 OWASP 자동화 위협 프로젝트에 명시된 위험을 해결하기 위한 솔루션을 제공합니다. F5 Distributed Cloud Bot Defense는 기존 봇 관리 솔루션을 우회할 수 있는 사기 및 남용을 방지하고 실시간 모니터링 및 인텔리전스뿐만 아니라 머신러닝 기반 소급 분석을 제공하여 사용자 불편을 더하거나 고객 경험을 방해하지 않고 자동화된 공격으로부터 조직을 보호합니다. Distributed Cloud Bot Defense는 공격자가 어떻게 리툴링하는지, 공격이 웹 앱에서 API로 피벗되는지 아니면 텔레메트리를 스푸핑하거나 인간 CAPTCHA 솔버를 사용하여 반자동화 방어 우회를 시도하는지에 관계없이 효율성을 유지합니다. F5 Bot Management 솔루션을 통해 애플리케이션 프록시, 플랫폼, Content Delivery Network(CDN)에서 유연한 삽입이 가능합니다.

F5 웹방화벽 솔루션은 가장 중요한 웹 애플리케이션 보안 위험의 널리 알려진 목록인 OWASP Top 10에 명시된 광범위한 위험을 차단하고 완화합니다. F5 WAF 솔루션은 F5 Labs의 위협 인텔리전스 및 머신러닝 기반 보안을 포함한 시그니처 보호 및 행동 보호 기능을 결합하여 새로운 위협에 대응합니다. 중앙 집중식 SaaS 인프라를 통해 관리를 간소화하면서 클라우드, 온프레미스, 엣지 환경에 걸쳐 애플리케이션을 일관되게 보호해야 하는 부담과 복잡성을 완화합니다. 또한 F5 WAF는 분산된 여러 애플리케이션의 앱 성능 및 보안 이벤트를 전방위로 볼 수 있는 단일 대시보드를 통해 핵심 보안 기능, 중앙 집중식 오케스트레이션, 감독을 통해 보호 기능을 개발 프레임워크와 CI/CD 파이프라인에 통합하여 앱 보안을 간소화합니다. 특수 봇 방어에 통합된 웹방화벽은 취약점 공격 및 자동화된 위협을 포함한 주요 보안 위험을 완화하기 위한 강력한 솔루션을 제공합니다.

F5는 앱이 진화하고 API 배포가 증가함에 따라 확대하는 공격 표면과 새로운 위협을 차단하는 솔루션을 통해 OWASP API Security Top 10에 명시된 위험을 해결합니다. F5 Web Application and API Protection(WAAP) 솔루션은 WAF, API Security, L3-L7 DDoS 완화, 자동화된 위협과 이로 인한 사기에 대한 봇 방어를 포함한 포괄적인 보호 기능을 통해 최신 앱 공격 표면 전체를 방어합니다. 분산 플랫폼을 사용하면 호스팅 위치에 관계없이 앱과 API 전체에 일관된 정책을 배포하고 보안을 확장하며 API 수명 주기 및 광범위한 보안 생태계에 보호 기능을 통합할 수 있습니다.

F5는 또한 대규모 네트워크, 프로토콜, 애플리케이션 대상 공격을 실시간으로 탐지하고 완화하는 관리형 클라우드 제공 완화 서비스로서 첨단 온라인 보안을 위한 다중 계층 DDoS 보호 기능을 제공합니다. 온프레미스 하드웨어, 소프트웨어, 하이브리드 솔루션과 동일한 보호 기능을 사용할 수 있습니다. F5 Distributed Cloud DDoS Mitigation은 볼륨 및 애플리케이션별 레이어 3-4 및 고급 레이어 7 공격이 네트워크 인프라 및 애플리케이션에 도달하기 전에 차단합니다.