정상 봇 트래픽은 최저치, 악성 봇 트래픽은 최고치 동시 기록

입력 : 2020-04-22 16:48

정상 봇의 가치가 점점 줄어들면서 악성으로 분류될 수 있는 행위 늘어나
특히 악성 봇들의 크리덴셜 공격 행위 크게 늘어나...데이터 스크래핑도

[보안뉴스 문가용 기자] 자동화 소프트웨어, 즉 봇이 생성한 인터넷 트래픽이 6여년 만에 최저치를 찍었다. 그러나 역설적이게도 악성 봇 트래픽은 6여년 만에 최고치를 찍었다고 한다. 이러한 현상에 대해 보안 업체 임퍼바(Imperva)가 최근 보고서를 작성해 발표했다.


2019년 임퍼바의 고객사 트래픽을 분석했을 때 악성 봇에 의한 트래픽은 전체 트래픽의 24% 정도에 달했었다. 이는 2015년 실시한 조사의 결과보다 5.5% 포인트 높아진 것이었다. 악성 봇은 자동화 기술을 사용해 정보 수집, 계정 탈취, 신용카드 사기 등의 행위를 하는 소프트웨어를 말한다. 그러나 정보 스크랩 등 ‘정상적인 목적’으로 사용되는 봇들도 존재한다.

정상 봇의 활동량은 2014년 36%를 기록했는데, 2019년에는 13%로 떨어졌다고 임퍼바는 보고서를 통해 설명한다. CTO인 쿠날 아난드(Kunal Anand)는 “데이터 주도형 경제 모델을 갖춰가면서 봇들에 대한 수요가 높아졌지만 동시에 봇이 생성한 트래픽의 가치가 급격히 떨어지기 시작했다”고 말한다.

“디지털 변혁이 진행되고, 정보 위주의 사회로 변화되면서 ‘사람이 만든’ 데이터가 더 중요하게 인식되기 시작했습니다. 봇에는 봇만의 특장점이 있지만, 봇이 만든 트래픽은 필요 없는 데이터가 된 것이죠. 그러면서 좋은 봇과 나쁜 봇을 구분하는 기업이 늘어나기 시작했습니다.” 봇이 생성한 트래픽은 집계하지 않는 것이 점점 온라인 산업 내에서 주류로 자리 잡아가는 이유다. 아니, 트래픽은 높은데 전환율이 낮거나 실패한 로그인 시도만 많아진다는 게 얼마나 상업적 가치가 낮은 것인지 이해하기 시작한 것이다.

“악성 봇들이 현재 가장 많이 하는 건 크리덴셜 스터핑 공격과 데이터 스크래핑이라고 볼 수 있습니다. 거의 모든 웹사이트가 이 두 공격을 끊임없이 받고 있다고 해도 과언이 아닙니다.” 데이터 스크래핑은 사이트 내 공개된 콘텐츠를 빠르게 수집하는 것으로, 그 자체로 불법 행위라고 볼 수는 없다. 다만 정보를 빠르게 모음으로써 할 수 있는 악성 행위들이 늘어날 뿐이다.

봇 트래픽의 1/4은 단수의 IP 주소에서 나온다. 또한 브라우저 에이전트 헤더를 사용해 정상적인(사람이 생성하는) 트래픽인 것처럼 스스로를 위장하지 않는다. 나머지는 이것보다 복잡한 구성을 하고 있다. 복잡한 트래픽을 생성하는 봇들은 브라우즈 에뮬레이션 소프트웨어를 사용해 실제 사람이 브라우저를 통해 접속한 것처럼 꾸민다. 심지어 사람처럼 마우스 커서를 움직이는 봇들도 존재한다. “사람을 흉내 내는 봇들 중 크롬 브라우저를 가장한 것이 가장 많다”고 한다. 그만큼 크롬 사용자가 많다는 것이다.

산업마다 악성 봇 활동의 수준은 꽤나 극명하게 차이가 난다고 한다. 금융 산업 내에서 정상적인 봇이 생성하는 트래픽은 정말 작은 부분을 차지한다. 악성 봇은 전체 트래픽의 48%, 진짜 사람은 51%를 차지한다. 교육과 IT 서비스 분야에서도 악성 봇이 생성하는 트래픽이 전체의 45% 정도를 차지한다. 정상 봇의 트래픽이 가장 많았던 건 온라인 데이터 회사와 비즈니스 서비스 분야였다.

이렇듯 악성으로 분류할 수 있는 봇 트래픽의 대부분은 2019년 한 해 동안 미국에서 나왔다. 재미있는 건 이런 트래픽의 대부분이 합법적인 선 안에서 생성됐다는 것이다. 즉 봇 트래픽의 양이 가치를 전혀 발휘하지 못하는 상황이 되자 정상 봇 및 악성 봇 운영자들이 법의 한계선 상에서 아슬아슬하게 봇을 사용하기 시작했다는 뜻이 된다. 그 자체로는 법적 문제가 없으나, 누군가에게 불편함을 주거나 특정 계기를 통해 악성으로 변모할 수 있다는 뜻이 된다고 아난드는 설명했다.

“저희 회사에서 정의하는 ‘정상 봇’이란, 봇이 활동하는 웹사이트의 운영자나 소유주가 허용하는 선 안에서 움직이는 봇을 말합니다. 그 외에 사이트 운영자가 예상치 못한 행위를 몰래 하는 것은, 그것이 아무리 합법적인 것이라 해도 정상적이라 할 수 없습니다. 그런 봇들로부터 악성 행위가 비롯되는 게 대부분인 것도 사실이고요. 그런 의미에서 저희는 ‘악성 봇’을 기업이 허용하지 않은 행위를 하거나 인증 과정을 정상적으로 통과하지 않은 봇이라고 정의합니다.”

3줄 요약
1. 6년 만에 정상 봇 활동은 크게 줄고, 악성 봇 활동은 크게 늘어남.
2. 봇이 생성하는 트래픽이 상업적 가치를 잃어가니 정상 봇이 줄어드는 것.
3. 대신 법의 아슬아슬한 경계선에서 활동하는 봇들이 늘어나고 있음.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  라자루스·안다리엘·김수키까지 北 해커조직 총...

• 2

  EvilQueen 해커조직, 온라인 쇼핑몰 ...

• 3

  깃허브와 깃랩 사용하면 사실상 대처법이 전무...

• 4

  신종 피싱범죄 조직, 리딩방 회원에 ‘상장 ...

• 5

  ‘K-시큐리티’ 미국 상륙작전! 한국 보안기...

• 1

  사이버 보안 전문가 자격을 나라에서 직접 주...

• 2

  VPN 겨냥한 비밀번호 분사 공격 유행하고 ...

• 3

  EvilQueen 해커조직, 온라인 쇼핑몰 ...

• 4

  인공지능의 자원 소모 문제, 이제는 직시해야...

• 5

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  집 앞에 우편물 도착안내서가? 신종 보이스피...

• 3

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 4

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 5

  2023년 가장 주목받은 사이버 위협 커뮤니...