전체메뉴

[애플경제 전윤미 기자] 인터넷상에서 악의적인 의도로 사용자를 속이거나, 사이버공격을 가하는 악성 봇(bot)들이 급속히 증가하고 있다. 특히 지구촌 인터넷 트래픽의 거의 절반이 자동화되면서 이런 악성봇들은 한층 기승을 떠는 것으로 밝혀졌다.

앱․데이터 보안업체인 임퍼바(Imperva)의 연계 ‘불량 봇’ 보고서에 따르면 특히 “인터넷상에서 ‘봇’이 5년 연속 증가하면서 전체 트래픽의 절반을 차지할 정도가 되었다”면서 “특히 자동화된 봇이 웹 트래픽을 장악하고 있다.”며 이같이 밝혔다.

악의적인 의도로 사용자 모방, 위장

이에 따르면 인터넷 봇은 전 세계 웹 트래픽의 거의 절반을 차지하면서, 그 중 상당수가 사용자들을 해롭게 하는 악의적 행동이나 공격을 하고 있다. 특히 “2024년까지 악성 ‘봇’ 트래픽이 계속 증가, 5년 연속 범죄적인 활동이 증가한 것으로 나타났다”는 분석이다.

‘악성 봇’은 악의적인 의도를 가지고 사용자를 모방하거나 위장한채 자동화된 작업을 수행하는 소프트웨어 애플리케이션이다. 이들은 DDoS(분산 서비스 거부) 공격, 스캘핑, 자격 증명 스터핑, 스크래핑 등과 같은 다양한 사악한 목적으로 사용될 수 있다.

그 중에서도 특히 대규모 DDoS 공격에 사용되는 하위 수준 네트워크 프로토콜과 달리, OSI(open systems interconnection) 모델의 애플리케이션 계층(계층 7)에서 발생하는 악성 봇 활동이 문제다. OSI 자체는 여러 컴퓨터들끼리 또는 네트워크간의 상호 접속을 용이하게 하기 위해 ISO가 규정한 네트워크 프로토콜이다.

앞서 ‘임퍼바’가 2023년에 글로벌 네트워크에서 수집한 데이터를 분석한 결과는 가히 경악할 만한 수준이다. 여기에는 차단된 악성 봇 요청이 거의 6조 개나 포함되어 있고, 이들은 수천 개의 도메인과 산업을 망라하며 익명 처리되어 있다.

2023년 전체 인터넷 트래픽의 49.6%가 봇으로 인한 것으로 밝혀졌다. 이는 전년보다 약간 늘어난 수치로서, “‘임퍼바’가 지난 2013년 자동화된 트래픽 모니터링을 시작한 이후 가장 높은 수준을 기록했다”고 한다.

사람에 의한 트랙픽은 감소, 봇은 증가

악성 봇 활동으로 생성된 트래픽도 2022년 30.2%에서 2023년 전 세계 트래픽의 32%로 증가했다. 반면에 사람에 의해 생겨난 트래픽은 같은 기간 동안 50.4%나 줄어들었다. 그야말로 ‘사람’ 대신 ‘봇’이 인터넷을 지배하는 셈이다.

산업별로 인터넷 트래픽을 분석한 결과는 더욱 심각하다. 악성 봇은 산업이나 업종을 불문하고 기승을 떨고 있는 것으로 나타났다. 특히 가장 큰 악성 봇이 날뛰는 부문은 게임(전체의 57.2%)이다. 통신 및 ISP(49.3%), 컴퓨팅 및 IT(45.9%), 비즈니스 서비스(40.9%), 헬스케어(33.4%)가 그 뒤를 잇고 있다.

‘임퍼바’는 이에 대해 “악성 봇은 모든 산업에 걸쳐 가장 널리 퍼진 ‘위협’ 중 하나”라며 “특히 자동화 기술이 더욱 정교해짐에 따라 점점 더 확산되며 심각해지고 있다”고 밝혔다. 이는 단순한 웹 스크래핑부터 악의적인 계정 탈취, 스팸, 서비스 거부 등 행태도 갖가지다. 그로 인해 온라인 서비스의 안전성과 품질을 떨어뜨리고, 기업으로선 안전한 인프라와 고객 신뢰를 위해 비용을 많이 들일 수 밖에 없는 상황이다.

이에 “공격자가 계정 손상이나 데이터 유출로 이어질 수 있는 API를 남용하는 등 위험성에 대비하는 방안이 적극적으로 모색되어야 한다”는 조언이다.

정교하고 교묘해진 봇, 중요 산업 위협

한편 이들 봇은 그 수법이 수준에 따라 몇 가지 종류로 나뉜다. 단순한 봇은 브라우저가 아닌, 자동화된 스크립트를 사용, 단일 IP 주소에서 사이트에 연결하므로 로봇 여부를 손쉽게 식별할 수 있다. 이에 비해 ‘보통’ 수준의 봇은 주로 자바스크립트 코드 실행 기능을 포함, 브라우저 활동을 시뮬레이션한다. 좀더 정교한 ‘헤드리스 브라우저’ 소프트웨어를 사용하는 봇으로 구성되는게 일반적이다.

이른바 ‘고급 봇’은 한층 수준이 높다. 웹에 설치된 스푸핑 봇 탐지 시스템을 속이기 위해 마우스 움직임이나, 클릭과 같은 ‘인간 사용자’의 행동을 모방한다. 실제 브라우저 내에서 브라우저 자동화 소프트웨어나, 악성 코드를 사용해 사이트에 연결하는 것이다.

이들 악성 봇은 또한 다양한 스텔스 기술을 사용, 탐지를 피하곤한다. 우선 무작위 IP 순환이나, 익명 프록시를 통한 진입, 주거용 프록시 사용, 신원 변경, 인간 행동 모방, 요청 지연, ‘캡차’(CAPTCHA)돌파 등을 시도하는게 보통이다. 캡차는 사용자가 실제 사람인지 컴퓨터 프로그램인지 판별해주는 기술이다.

이처럼 탐지를 피하고 최소한의 입력이나 요청 등 ‘낮고 느린’ 접근 방식을 시도하는게 보통이다. 또한 많은 악성 봇들은 흔히 사이버공격 과정에서 발생하는 ‘노이즈’를 최소한으로 줄여 탐지를 어렵게 하기도 한다.

탐지 회피, 사람으로 위장한 ‘고급 봇’ 비율, 날로 높아

‘임퍼바’ 연구에 따르면 2024년에는 특히 ‘고급 봇’ 트래픽의 비율이 가장 높을 것으로 예상된다. 그 중에서도 법률 분야나 정부, 금융 서비스 부문에서 주로 고급 봇이 활발하게 움직일 것으로 보인다. 특히 이런 지능형 공격일수록 공격의 규모는 그다지 크지 않다는게 ‘임퍼바’의 분석이다. 즉 “정교한 공격일수록 대상 시스템을 손상시키는 데 필요한 시도 횟수도 적다는 것을 의미”하기 때문이다.

또 API가 사이버 범죄의 주요 표적이 되면서 계정탈취(ATO) 공격도 증가하고 있다. 이는 특히 지난해 기업들이 직면한 가장 널리 퍼진 자동화 위협 중 하나로서, ATO 공격이 무려 10%나 증가한 것으로 나타났다. 매년 ATO 공격은 증가하고 있으며, 인터넷을 통한 모든 로그인 시도 중 11%가 계정 탈취 시도와 관련되어 있다는 분석이다. 특히 금융 서비스 부문이 전 세계 ATO 공격 시도의 36.8%를 차지했다는 보고도 있다.

특히 모든 ATO 공격의 44%가 API 엔드포인트를 표적으로 삼고 있는 점도 특징이다. 2023년에 이미 모든 API 공격의 30%를 차지했던 ATO 공격은 날로 늘어날 것으로 우려된다. 임퍼바는 “모바일 및 웹 애플리케이션의 확산으로 인해 API가 널리 채택되면서 사이버 범죄자의 매력적인 표적이 되었다”며 “이는 특히 API가 중요한 신원 확인 프로세스를 처리하는 데 자주 사용되기 때문”이라고 했다. 따라서 “인증 API의 취약점을 악용하면 위협 행위자가 사용자 계정에 무단으로 액세스할 수 있으므로, 무엇보다 API 보안이 중요하다”는 조언이다.