AI·인텔리전스 활용 지능형 봇 통한 공격 방어
[데이터넷] 공격자들은 수익을 극대화하기 위해 공격을 자동화한다. 이때 많이 사용하는 것이 ‘봇’이다. 정상 봇은 ‘디지털 비서’라고도 불리며, 비즈니스 자동화, 데이터 수집 및 분석 등 다양한 분야에서 사용된다.
봇이 어떻게 사용되느냐에 따라 악성-정상으로 나뉜다. 임퍼바의 ‘악성 봇 리포트 2020 : 악성봇 의 반격’에서는 “공격자들이 악성봇을 ‘비즈니스 인텔리전스 서비스’라는 합법적인 행위로 포장해 이미지를 개선시키고 있다. 웹 사이트에서 추출한 데이터에 인텔리전스를 더해 원하는 정보로 가공해 제공해 주고 있다”고 설명했다.
임퍼바 보고서에서는 악성 봇 서비스(Bad Bots as a Service) 방식에 대해서도 자세히 설명했다. 봇을 이용해 웹사이트를 스크래핑해 데이터를 수집하고 이를 웹 데이터 추출 전문가나 데이터 스크래핑 전문가를 통 해 정제해 필요한 정보로 만들어 제공한다. 특정 산업에 맞춘 스크래핑 데이터를 ‘비즈니스 인텔리전스 서비스’로 판매하는데, 이 인텔리전스를 축적하는 과정이 모두 다 합법적인 것은 아니라는 뜻이다.
보고서에서는 “악성 봇은 거의 대부분의 산업에서 사용되고 있으며, 돈을 벌기 위한 목적으로 사용된다. 그러나 많은 기업이 이 같은 자동화된 트래픽의 부정적인 영향을 잘못 이해하고 있다”고 지적했다.
악성봇을 이용한 공격 중 하나가 크리덴셜 스터핑이 다. 미리 입수한 개인정보를 이용해 봇이 웹사이트에 자동으로 로그인하도록 한 후 전자금융사기, 추가 데이터 입수 등의 공격을 진행한다. 임퍼바가 대응한 공격 중 60시간 동안 4400만번의 로그인 시도가 발생한 것도 있다.
글로벌 위협 인텔리전스로 봇·디도스 차단
봇을 이용한 가장 대표적인 공격은 디도스다. 취약한 기기를 감염시켜 특정 사이트로 트래픽을 일으켜 사이트를 다운시키거나 접속을 지연시키는 공격으로, 대규모 볼륨 공격 뿐 아니라 작은 규모의 요청을 지능적으로 진행해 웹사이트 응답속도를 지연시키는 공격도 있다. 이러한 공격은 정상 사용자의 요청으로 위장되기 때문에 탐지가 쉽지 않다.
아카마이 조사에 따르면 올해 1월 1일부터 3월 1일까지 디도스 공격은 910건이 감지됐으나 코로나19가 본격 확산된 3월 1일부터 7월 초까지는 1800건으로 공격이 2배 증가했다. 임퍼바 조사에서는 대규모 볼륨공격 뿐 아니라 소규모 트래픽을 자주, 짧게 발생시키는 등 새로운 공격 유형도 발견된다.
넷스카우트 조사에서는 공격자들이 11가지 이상 공 격 벡터를 사용하고 있으며, IoT 기기를 이용해 전 세계에서 공격을 일으키고 있다. 복잡하고 지능적인 공 격에 대응하기 위해서는 공격에 사용되는 벡터와 대응에 대한 인텔리전스가 있어야 한다.
넷스카우트는 글로벌 위협 인텔리전스와 디도스 대응 전문성을 이용한 디도스 대응을 제공한다. 가장 빠르고 정확하게 디도스 공격을 제어하며, 실시간 데이터와 패킷 분석을 통한 위협 가시성을 제공한다. 클라우드 기반 디도스 서비스인 ‘아버 클라우드’는 11Tbps 방어 능력을 갖고 있으며, 써드파티 솔루션까지 강력한 방어를 제공한다.
AI 이용 봇·디도스 방어 유행
임퍼바는 지능적인 봇 차단 솔루션과 디도스 방어 솔루션을 클라우드로 제공해 방어 능력을 한층 강화했다. ‘어드밴스드 봇 프로텍션(ABP)’은 봇 차단 기술을 우회하는 지능형 봇까지 대응할 수 있다.
임퍼바가 그동안 축적한 악성 봇 DB를 활용해 알려진 봇을 차단하고, 이를 우회해 정상 트래픽으로 위장해 접속하는 봇은 17가지 머신러닝 기반 기술을 이용해 차단한다. 암호화 트래픽도 핑거프린팅 기술 등을 이용해 대응한다. ABP 솔루션을 도입한 기업들은 86~96%의 봇 트래픽 위협을 감소하는 효과를 거뒀으며, 이를 통해 자동화된 보안위협을 감소한 효과를 누렸다.
또한 오랜 기간 디도스 공격 방어 솔루션과 서비스를 제공하면서 축적한 전문성, 전 세계에 구축한 디도스 방어 인프라를 통해 모든 종류의 공격을 차단할 수 있다. L3/L4 공격부터 L7 공격까지 대응 가능하며, 구축 형 디도스 방어부터 클라우드 기반 서비스 방식, 상시 모니터링 방식, 공격이 발생했을 때만 임퍼바 POP으로 우회시키는 방식 등 다양한 대응 모델을 제시한다.
아카마이의 디도스 방어 솔루션 ‘프롤렉식 루트(Prolexic Route)’는 데이터센터 내 모든 웹 및 IP 기반 애플리케이션을 디도스 공격으로부터 쉽고 신속하고 효율적으로 보호할 수 있다. BGP(Border Gateway Protocol)를 기반으로 특정 기업의 모든 네트워크 트래픽을 아카마이의 스크러빙 센터로 라우팅한다. 8.0Tbps의 전용 용량을 갖춘 글로벌 네트워크로 많은 대형 인터넷 기업들을 가장 정교한 대규모 디도스 공격으로부터 안전하게 보호할 수 있다.
