봇의 부상(댄 우즈 Q&A 2부)
거짓말을 퍼뜨리고 소셜 미디어 사용자를 조종하는 것부터 글로벌 기업을 방해하는 것까지, 봇은 점점 더 화제가 되고 있습니다.
F5 글로벌 인텔리전스 책임자인 댄 우즈와의 Q&A 2부에서는 봇의 기능, 주의해야 할 위험, 그리고 조직이 변화하는 위협에 적응할 수 있는 방법에 대해 알아봅니다. ( 1부로의 링크 )
봇이란 무엇이고 왜 잠재적으로 위험한가요?
봇은 작업을 자동화하는 코드 조각입니다. 기프트 카드의 잔액을 확인하는 것이 그러한 예 중 하나입니다.
왜 이런 일을 하는 걸까? 그럼, 악의적인 행위자가 기프트 카드에 저장된 금액을 훔치는 데 필요한 것은 16자리 카드 번호와 PIN뿐입니다. 그들은 위의 봇을 수정한 버전을 사용하여 수백만, 심지어 수십억 개의 카드 번호-PIN 쌍의 잔액을 확인할 수 있습니다. 잔액이 있는 카드 번호-PIN 쌍을 찾으면 이를 제3자에게 판매할 수 있습니다. 기프트 카드의 진짜 소유자라도 그것을 사용하려고 하기 전까지는 잔액이 도난당했다는 사실을 깨닫지 못합니다.
봇은 또한 보험 회사 웹사이트를 스크래핑하는 데 사용되고 있습니다. 생명보험 견적을 원하시면 나이, 거주지, 직업 등을 묻는 절차를 거쳐야 합니다. 경쟁업체와 타사는 봇을 사용하여 동일한 워크플로를 탐색하고 매번 다른 답변을 제공할 수 있습니다. 이를 통해 보험 회사의 가격 책정 알고리즘을 역공학할 수 있습니다.
가장 큰 문제 중 하나는 악성 봇이 다크 웹이나 일부 기업의 침해를 통해 유출된 사용자 이름과 비밀번호를 이용해 다른 기업의 로그인 애플리케이션을 공격하는 것입니다. 사용자 이름과 비밀번호를 재사용하는 소비자 습관으로 인해 이러한 공격은 일반적으로 시도된 계정의 0.1~3.0%를 차지합니다. 따라서 악의적인 공격자가 수억 개의 사용자 이름/비밀번호 쌍을 시도하면 결국 수천만 개의 계정이 손상됩니다.
또 다른 파괴적인 사례로는 봇이 한정된 기간 동안 할인된 운동화나 콘서트 티켓을 세일이 시작된 지 30초 안에 대량으로 사들인 후, 이를 2차 시장에서 부풀려진 가격으로 재판매하는 것을 들 수 있습니다. 또는 회사가 온라인 계정을 개설하면 무료 커피 한 잔을 제공하는 등의 가치 있는 상품을 제공한다면, 봇은 수천 개의 계정을 만들어 수천 잔의 무료 커피를 즐길 수 있을 것입니다. 아니면 범죄 조직이 자금 세탁을 위해 많은 온라인 계정이 필요할 수도 있습니다.
모든 봇이 나쁜가요?
모든 봇이 나쁜 것은 아닙니다. 예를 들어, Googlebot은 수십억 개의 웹사이트를 스크래핑하고 인덱싱하여 검색이 가능하도록 합니다. 카약과 다른 온라인 여행사는 여러 여행사의 항공 및 호텔 요금을 수집하여 고객에게 가장 저렴한 가격을 제공합니다.
봇이 소셜 미디어 회사에 미치는 영향은 어떠한가?
몇 년 전, 한 소셜 미디어 회사가 자사 웹 및 모바일 애플리케이션에 대한 공격을 감행하는 봇을 더 잘 이해하기 위해 F5에 협력했습니다. 우리가 인라인을 가동하고 클라이언트 측 신호(봇을 식별하는 데 도움이 되는 신호)를 배포했을 때, 모든 로그인의 90% 이상이 봇과 관련이 있다는 것을 확인했습니다. 높은 로그인 성공률과 고객과의 논의 내용을 토대로, 이러한 계정은 스윗하트 사기 와 연관이 있다는 결론을 내렸습니다. 안타깝게도 일부 소셜 미디어 회사는 봇 트래픽에 대한 진실을 알고 싶어하지 않습니다. 왜냐하면 진실이 DAU와 주가/가치 평가에 부정적인 영향을 미칠 수 있기 때문입니다.
봇은 어떻게 여론에 영향을 미치고 소셜 미디어 사용자를 조종할 수 있을까?
나쁜 행위자가 수백만 개의 Twitter, TikTok, Facebook 또는 Instagram 계정을 프로그램적으로 제어한다면 얼마나 큰 영향력을 행사할 수 있을지 상상해 보세요. 우선, 그들은 여론에 영향을 미칠 만큼 많은 양의 뉴스와 콘텐츠를 확산할 수 있었습니다.
지난 6~7년 동안, 인센티브와 수단은 있지만, 인라인에 들어가기 전에 의미 있는 대책이 없는 것을 볼 때마다, 저는 항상 인라인에 들어간 후에 기대했던 자동화를 관찰했습니다. 정치 및 국가 행위자들이 소셜 미디어 플랫폼을 활용하여 여론과 심지어 선거에 영향을 미치고 있다는 점에는 의심의 여지가 없습니다.
사람은 누구나 쉽게 감명을 받는다. 어떤 사람은 다른 사람보다 더 그렇습니다. 만약 코미디언이 농담을 했는데 당신은 웃지 않았지만 다른 사람들은 모두 웃었다면, 당신은 그 농담이 사실 재밌다고 믿기 시작할지도 모릅니다. 시트콤에서 웃음 트랙을 사용하는 이유가 여기에 있습니다. 사람이 더 쉽게 감명받는다면, 동료의 압력에 따라 자신의 의견을 바꿀 가능성이 더 높습니다. 심지어 그 동료가 실제로는 봇이라 하더라도 말입니다.
왜 회사들은 봇 문제를 과소평가하는가?
많은 봇은 사기로 인해 손실을 증가시킵니다. 하지만 피해는 거기서 끝나지 않습니다. 봇의 양에 따라 거래 수에 따라 요금을 부과하는 CDN이나 사기 도구와 관련된 비용이 증가할 수도 있습니다. 더욱이 이로 인해 지연 시간이 길어지고 일반 고객의 사용자 경험이 망가질 수도 있습니다. 왜곡된 지표는 기업 지출과 의사 결정에 부정적인 영향을 미칠 수도 있습니다.
대부분의 회사는 진실을 알고 싶어합니다. F5를 사용하는 사람들은 진실을 알게 되지만, DIY 프로젝트로 봇을 감지하려는 사람들은 몇 가지 이유에서 문제의 규모를 과소평가하는 경우가 거의 대부분입니다.
우선, 봇은 이제 수십만 개, 심지어 수백만 개의 IP 주소를 사용하고 있습니다. 보안팀은 일반적으로 가장 시끄러운 IP 수백 개나 수천 개를 파악할 수 있습니다. 그러나 그들은 봇이 몇 번만 사용하는 롱테일 IP를 놓치고 있습니다. 두 번째로, 봇의 공격은 시간이 지남에 따라 점진적으로 나타나기 때문에 인식하기가 어렵고 자연스러운 성장과 혼동하지 않기가 어렵습니다. F5와 협력한 기업들은 종종 결과에 충격적이고 믿기 어렵다고 생각하지만, 데이터를 보면 금세 믿게 됩니다.
조직에서는 자사 사이트에서 봇 문제를 줄이기 위해 무엇을 해야 할까요?
두 가지가 있습니다. 클라이언트 측 신호(사용자, 사용자 에이전트, 장치, 네트워크)를 수집해야 하며 두 단계의 방어가 있어야 합니다.
클라이언트 측 신호의 예로는 키 입력 및 마우스 클릭/움직임의 타이밍, 플러그인, 글꼴, 화면 활용도, 코어 수, 사용자 에이전트가 부동 소수점 연산을 수행하는 방법 또는 이모지를 렌더링하는 방법 등이 있습니다.
수백 개나 수천 개의 신호가 필요하지 않습니다. 스푸핑하기 매우 어려운 고품질 신호 몇십 개만 있으면 됩니다. 이러한 신호는 일반적으로 웹 및 모바일 브라우저에서 JavaScript를 사용하여 수집되고 네이티브 앱과 함께 설치된 SDK를 사용합니다. 공격자가 웹에서 완화되면 모바일 API를 공격하는 것으로 전환됩니다. JavaScript와 SDK도 리버스 엔지니어링을 극도로 어렵게 만들기 위해 잘 강화되어야 합니다.
이제 방어의 두 단계를 살펴보겠습니다.
첫 번째 단계는 거의 실시간(10ms 미만)이며 단일 거래와 관련된 신호를 활용합니다. 신호가 원치 않는 봇임을 나타내는 경우 완화 조치를 취하세요. 신호가 거래가 인간으로부터 이루어졌다고 나타내는 경우, 정상적인 처리를 위해 원점으로 전달합니다. 첫 번째 단계에서는 거의 모든 봇을 식별할 수 있지만, 공격자가 자신의 공격이 완화되고 있다는 것을 깨닫고 대응책을 극복하기 위해 봇을 개선하기로 결정하는 경우(즉, 봇을 재조정하는 데 필요한 조치를 취하는 경우)에는 대응할 수 없습니다.
조직에 두 번째 방어 단계가 필요한 이유는 재정비 때문입니다. 첫 번째 단계는 거의 실시간인 반면, 두 번째 단계는 회고적입니다. AI/ML 모델은 집계된 거래(지난 30초, 분, 시간, 일, 며칠 등)를 기반으로 작동합니다. 그렇다고 해서 조직이 AI/ML에만 의존해 재정비를 할 수는 없습니다. AI/ML 시스템에서 발사된 경고를 인간이 검토하여 거짓 양성 반응을 걸러내야 합니다. AI/ML 모델이 올바르게 학습하는지 확인하세요. 두 번째 단계에서 조직이 원치 않는 봇 트래픽을 발견하면 합법적인 고객의 트래픽에 영향을 주지 않으면서 새로 발견된 봇 트래픽을 완화하기 위해 실시간 방어를 업데이트할 수 있어야 합니다.
F5는 AI/ML과 인간이라는 두 가지 방어 단계를 관리형 서비스로 제공합니다. 봇과의 전투는 결코 DIY 프로젝트가 되어서는 안 됩니다.
봇 위협이 더욱 심해질까요?
정량화하기는 불가능하지만 봇 문제는 지난 6~7년 동안 확실히 증가했습니다. 이 기간 동안 저는 악의적이고 성가신 봇이 사실상 모든 수직 분야의 회사를 상대로 자동화를 시작하는 것을 보았습니다. 모든 사용 사례를 다 봤다고 생각한 순간, 새로운 사례가 나타났습니다. 공에서 눈을 떼는 것은 결코 선택 사항이 아닙니다!