봇 보안이란? 인프라 보호

봇 보안은 악의적인 봇으로부터 보호하고 온라인 리소스의 무결성과 가용성을 보장하는 관행으로, 온라인 상거래를 원활하게 하는 좋은 봇, Alexa나 Siri와 같은 개인 비서 역할을 하는 봇, 웹사이트에서 고객 서비스를 자동화하는 채팅봇 역할을 하는 봇에 영향을 주지 않습니다.

악성 봇은 데이터를 손상시키고, 서비스를 중단시키고, 다양한 방법으로 기업에 피해를 입혀 디지털 생태계에 심각한 위협을 가합니다. 

봇은 시스템에 침투하여 개인 데이터, 재무 기록, 지적 재산권 등의 민감한 정보를 빼내도록 프로그래밍될 수 있습니다. 봇은 자격 증명을 기반으로 하는 공격에 사용되는 주요 디지털 도구입니다. 봇은 데이터베이스나 저장 시스템 내의 데이터를 조작하거나 변경할 수도 있으며, 그로 인해 재정적 손실이나 부정확한 기록이 발생할 수 있습니다. 

봇은 또한 온라인 서비스와 시스템을 방해하는 데 사용됩니다. 범죄자는 여러 대의 연결된 기기에서 대량의 봇을 보내 분산 서비스 거부(DDoS) 공격을 가해 웹사이트, 서버 또는 네트워크를 마비시키고, 의도한 사용자가 서비스에 접근할 수 없게 만들 수 있습니다.

봇 활동은 브랜드 평판을 손상시키고, 재고를 조작하며, 재정 사기로 이어질 수 있는 계정 인수(ATO)를 가능하게 하여 기업의 재정적 성공에 심각한 해를 끼칠 수도 있습니다 .

사이버 보안의 맥락에서 봇에는 악의적인 봇과 방어적인 봇이라는 두 가지 주요 유형이 있습니다.

사이버범죄자들은 악성 봇을 프로그래밍하여 다양하고 창의적이며 복잡하고 은밀한 공격을 실행함으로써 웹 속성과 애플리케이션 전반의 공격 표면을 악용하고자 합니다. 이러한 봇은 인간의 개입 없이 작동하도록 설계되었으며, 맬웨어 확산, DDoS 공격 실행, 민감한 정보 훔치기 또는 사기 행위에 가담하는 등의 작업을 수행하는 경우가 많습니다. 악성 봇은 네트워크에 침투하고, 데이터 무결성을 손상시키고, 서비스를 중단시켜 심각한 사이버보안 위협을 초래할 수 있습니다. 그들의 활동은 소프트웨어 취약점을 악용하는 것부터 사회 공학적 공격을 실시하는 것까지 다양하며, 궁극적으로는 피해, 재정적 손실 또는 시스템 및 민감한 정보에 대한 무단 액세스를 유발하는 것을 목표로 합니다.

방어형 봇 제어는 다양한 보안 위협과 공격으로부터 컴퓨터 시스템, 네트워크, 웹 플랫폼을 보호하도록 설계된 자동화 프로그램 및 메커니즘을 가리키는 또 다른 용어입니다. 이러한 봇은 다양한 방식으로 작동하여 디지털 자산을 보호하고 정보의 무결성, 기밀성, 가용성을 보장합니다.

이러한 방어적 자동화에는 알려진 맬웨어와 관련된 패턴과 동작을 식별하기 위해 서명 기반 탐지, 행동 분석, 휴리스틱을 사용하는 바이러스 백신 봇이 포함됩니다. 방어형 봇은 방화벽 보호 의 일부로도 사용되며, 데이터 패킷을 분석하고 사전 정의된 보안 규칙을 적용하여 트래픽을 허용할지 차단할지 여부를 결정함으로써 들어오고 나가는 네트워크 트래픽을 모니터링합니다. 특히 웹 애플리케이션 방화벽(WAF)은 행동 분석을 통합하고 기계 학습을 통해 자동화된 보호를 제공하는 정교한 봇 관리 제어와 통합될 수 있습니다. 

침입 탐지 및 방지 시스템(IDPS)은 방어용 봇을 사용하여 특정 IP 주소 차단, 방화벽 규칙 수정 또는 보안 담당자에게 경고하는 등 대응을 자동화하고 위협 인텔리전스를 활용하여 보안 사고를 사전에 식별하고 방지합니다. 방어형 봇은 DDoS 공격과 관련된 패턴을 식별하고 서비스 가용성을 유지하기 위한 대책을 구현함으로써 봇넷과 관련된 악성 트래픽을 필터링하고 분산시킬 수도 있습니다. 이러한 조치에는 공격 출처에서의 트래픽을 차단하기 위해 방화벽 규칙을 동적으로 업데이트하고, 악성 봇이 네트워크에 추가로 액세스하는 것을 방지하는 것이 포함될 수 있습니다.

봇 공격은 다양한 형태로 나타날 수 있으며 여러 유형의 조직을 표적으로 삼습니다. 

• 신임장 정보 추가. 가장 흔한 봇 공격 형태 중 하나는 자격 증명 채우기( credential stuffing) 로, 이는 다양한 사기의 주요 벡터인 계정 인수(ATO) 로 이어집니다. 사이버범죄의 일격필살은 사용자 자격 증명, 일반적으로 사용자 이름-비밀번호 쌍을 훔치거나 수집하는 것으로 시작됩니다. 이러한 정보는 다양한 사이버 공격이나 기타 사이버범죄 기술을 통해 훔쳐질 수도 있고, 다크웹 마켓플레이스에서 구매할 수도 있습니다. 공격자가 유효한 자격 증명을 축적하면 종종 대규모로 자격 증명 채우기 프로세스를 시작할 수 있습니다. 즉, 손상된 자격 증명을 다른 사이트의 웹사이트 로그인 양식에 테스트하는 것입니다. 소비자의 약 3분의 2가 여러 웹사이트에서 동일한 사용자 이름과 비밀번호를 재사용하기 때문에 침해된 자격 증명은 사이버 범죄자와 자동화된 봇 군대에 의해 쉽게 악용될 수 있습니다. 침해된 자격 증명의 상당수는 다른 사이트의 계정에 액세스하는 데에도 사용됩니다. 공격자가 계정을 인수하면 자격 증명을 변경하여 합법적인 계정 소유자를 잠그고, 자산을 빼내고, 해당 계정을 사용하여 추가 사기 행위를 저지를 수 있습니다.
  
• 콘텐츠 스크래핑. 콘텐츠 스크래핑에 봇을 사용하는 데는 합법적인 영향과 해로운 영향이 모두 있습니다. 콘텐츠 스크래핑은 자동화된 봇을 사용하여 대상 웹사이트에서 대량의 콘텐츠를 수집한 후 해당 데이터를 분석하거나 다른 곳에서 재사용합니다. 콘텐츠 수집은 가격 최적화나 시장 조사와 같은 긍정적인 목적으로 사용될 수 있지만, 가격 조작이나 저작권이 있는 콘텐츠 도용을 포함하여 악의적인 목적으로 사용될 수도 있습니다. 또한, 높은 수준의 콘텐츠 스크래핑 활동은 사이트 성능에 영향을 미치고 합법적인 사용자가 사이트에 액세스하지 못하게 할 수도 있습니다.
• DDoS 공격. DDoS 공격은 범죄자가 여러 출처에서 대량의 봇을 실행하거나, 공격자가 제어하는 손상된 컴퓨터 또는 장치의 네트워크인 봇넷을 구성하여 사이트 성능을 저하시키는 것을 목표로 합니다. 공격자는 이러한 여러 소스를 조정하여 동시에 대상에 대한 공격을 개시함으로써 대상을 압도하고 이용할 수 없게 만듭니다. DDoS 공격은 온라인 서비스의 가용성과 무결성을 손상시키고 상당한 중단을 초래하여 재정적 손실, 강탈, 명예 훼손 등의 심각한 결과를 초래할 수 있습니다.
• 재고 축적. 구매 봇이라고도 불리는 리셀러 봇은 할인 판매가 시작되는 즉시 대량으로 온라인 상품이나 서비스를 구매하기 위해 배치됩니다. 범죄자들은 결제 과정을 즉시 완료함으로써 귀중한 재고를 대량으로 장악하게 되고, 이 재고들은 보통 상당한 마진을 붙여 2차 시장에서 재판매됩니다. 범죄자들은 이러한 봇을 이용해 재고나 가격을 조작할 수 있으며, 이로 인해 인위적인 부족 현상, 재고 거부, 소비자 불만이 발생합니다.  
• 가짜 계정 생성. 사이버 범죄자들은 봇을 사용하여 계정 생성 프로세스를 자동화하고, 가짜 계정을 사용하여 제품 리뷰에 영향을 미치거나, 허위 정보를 배포하거나, 맬웨어를 퍼뜨리거나, 인센티브나 할인 프로그램을 남용하거나, 스팸을 만들어서 보내는 등의 사기 행위를 저지릅니다. 마찬가지로, 범죄자들은 봇을 프로그래밍하여 신용카드나 대출을 신청하고 금융 기관을 사기할 수도 있습니다.
• 기프트 카드 해킹. 공격자는 수백만 개의 기프트 카드 번호 변형을 확인하는 봇을 배포하여 가치가 있는 카드 번호를 식별합니다. 공격자가 잔액이 있는 카드 번호를 알아내면, 합법적인 고객이 사용할 기회도 없이 기프트 카드를 사용하거나 판매합니다. 여행 및 호텔 업계의 로열티 프로그램도 이러한 봇 기반 공격의 표적이 됩니다.

봇 공격은 조직의 네트워크에 엄청난 부정적 영향을 미칠 수 있으며, 기업의 운영에 상당한 피해를 입힐 수 있습니다. 

봇 공격의 가장 심각한 잠재적 결과 중 하나는 데이터 유출입니다. 봇은 웹사이트, 데이터베이스 또는 API에서 체계적으로 데이터를 수집하도록 프로그래밍될 수 있기 때문입니다. 이 데이터에는 경쟁 우위 상실이나 브랜드 평판 손상으로 이어질 수 있는 지적 재산권, 영업 비밀 또는 기타 독점 정보가 포함될 수 있습니다. 고객 정보 도난은 데이터 보호 규정 준수를 위협할 수 있으며 벌금이나 법적 결과를 초래할 수도 있습니다. 

봇 공격은 서비스를 중단시키고, 재정적 손실과 고객 신뢰 훼손으로 이어져서 조직에 상당한 피해를 입힐 수 있습니다. 완화되지 않은 봇 기반 공격의 심각한 결과 중 하나는 DDoS로, 범죄자가 봇넷을 지시하여 네트워크 리소스를 압도하고 서비스를 중단시키는 것입니다. 

합법적인 고객이 계정에서 잠겨서 거래를 할 수 없게 되는 자격 증명 채우기 및 계정 인수 공격으로 인해 서비스가 중단될 수도 있습니다. 고객이 자신의 계좌에 접근할 수 없을 뿐만 아니라, 침해된 계정을 제어하는 범죄자는 해당 계정을 이용해 사기 거래를 저지를 수 있습니다. 

악의적인 봇 공격으로부터 보호하기 위해 보안 봇 방어를 설정하려면 몇 가지 핵심 단계가 필요합니다. 

귀하의 시스템과 업계에 대한 잠재적인 봇 위협을 식별하기 위해 철저한 분석을 수행합니다. IP 분석과 같은 기술을 사용하여 소스 IP 주소를 기반으로 들어오는 트래픽의 특성을 조사합니다. 이는 알려진 악성 IP 주소나 의심스러운 동작과 관련된 패턴을 식별하는 데 도움이 되며, 봇 트래픽과 합법적인 사용자 활동을 구별하는 데 도움이 됩니다. 봇 활동과 관련된 알려진 악성 IP 주소의 거부 목록을 유지 관리합니다. 

IP 주소의 지리적 위치를 분석하여 이상 징후를 감지합니다. 특이한 지역에서 갑자기 트래픽이 유입되는 경우 봇넷이 있을 수 있음을 나타낼 수 있습니다. 또한 많은 자율 시스템 번호(ASN)는 공격자가 감지되지 않도록 캠페인을 위한 분산 인프라를 구축하는 데 사용되는 것으로 알려져 있습니다. 사용자 에이전트 분석을 통해 사용자 에이전트 시그니처를 조사하여 요청을 하는 클라이언트 유형을 식별합니다. 봇은 일반적인 패턴에서 벗어나는 일반적이거나 수정된 사용자 에이전트를 사용하는 경우가 많기 때문에 실제 사용자와 구별이 가능합니다. 

동작 분석을 사용하면 유입 트래픽을 평가하여 봇 활동을 나타낼 수 있는 패턴이나 이상 징후를 파악할 수 있습니다. 이 방법은 인간의 행동을 모방하려는 정교한 봇에 대항해 특히 효과적입니다. 사용자 세션의 지속 시간과 흐름을 살펴보세요. 봇은 합법적인 사용자에 비해 세션이 짧고 다양하지 않은 경우가 많고, 웹사이트나 애플리케이션과 상호 작용할 때 반복적이고 빠르거나 인간이 아닌 패턴을 보일 수 있습니다. 일부 고급 행동 분석 메커니즘은 마우스 움직임과 클릭을 추적하여 인간 상호작용과 자동 상호작용을 구분합니다.

WAF는 웹 애플리케이션과 인터넷 사이의 보호 장벽 역할을 하여 다양한 사이버 위협으로부터 데이터와 웹 애플리케이션을 보호하고 허가되지 않은 데이터가 앱을 떠나는 것을 방지합니다. WAF에는 악성 봇 트래픽을 탐지하고 완화하고 웹 스크래핑, 자격 증명 스터핑, 자동화된 공격과 같은 악성 활동을 방지하는 기능이 포함되어 있습니다. WAF에는 정의된 시간 범위 내에서 특정 IP 주소에서 발생하는 요청 수를 제한하는 속도 제한 및 조절 메커니즘이 포함되어 있어 DDoS 공격의 영향을 완화하는 데 도움이 됩니다. WAF는 SQL 주입, 교차 사이트 스크립팅(XSS), 교차 사이트 요청 위조(CSRF)를 비롯한 기타 악의적이고 자동화된 공격으로부터 웹 애플리케이션과 시스템을 보호할 수도 있습니다.

WAF는 여러 가지 방법으로 배포할 수 있습니다. 모두 애플리케이션이 배포된 위치, 필요한 서비스, 관리 방법, 필요한 아키텍처적 유연성 및 성능 수준에 따라 달라집니다. WAF는 공격자가 악의적인 캠페인을 어떻게 전개하든 효과와 회복성을 유지하는 특수한 봇 관리 컨트롤과 통합될 수도 있습니다.  다음은 귀하에게 적합한 WAF와 배포 모드를 선택하는 데 도움이 되는 가이드입니다.

보안은 로그인 프롬프트, CAPTCHA 및 MFA로 사용자를 좌절시키지 않고 공격자의 도구, 기술 또는 의도와 관계없이 대응책을 우회하려는 공격자의 재조정에 적응해야 합니다. 여기에는 웹 애플리케이션, 모바일 애플리케이션 및 API 인터페이스를 위한 옴니채널 보호, 실시간 위협 인텔리전스, AI로 구동되는 회고적 분석이 포함됩니다.

클라우드 및 아키텍처 전반에 걸친 가시성과 지속 가능하고 난독화된 원격 측정, 집단적 방어 네트워크 및 고도로 훈련된 머신 러닝 모델을 결합하여 봇, 자동화된 공격 및 사기를 탐지하고 억제하는 데 탁월한 정확성을 제공합니다. 이를 통해 공격자가 대책을 재정비하고 적응하는 동안 완화책의 효과를 최대한 유지할 수 있으며, 실제 고객을 좌절시키지 않고도 가장 진보된 사이버 범죄자와 국가 행위자도 막을 수 있습니다.

효과적인 봇 보안을 유지하기 위한 모범 사례 지침은 다음과 같습니다.

• 봇 트래픽을 사전에 모니터링하고 위협에 신속히 대응합니다. 정기적인 모니터링을 통해 조직은 웹 트래픽에 대한 정상적인 동작의 기준을 확립할 수 있습니다. 패턴에 어떤 편차나 이상이 생기면 이를 조기에 감지하여 잠재적인 봇 활동을 알릴 수 있습니다. 조기에 감지하면 봇이 심각한 피해를 입히기 전에 신속하게 대응할 수 있습니다. 또한, 새로운 봇 공격 기술이 정기적으로 등장함에 따라 위협 환경은 끊임없이 변화하고 있습니다. 정기적인 모니터링을 통해 보안 팀은 최신 동향에 대한 정보를 얻고 발생하는 새로운 위협을 식별할 수 있습니다. 실시간 정보와 인간의 AI를 활용한 회고적 분석을 결합하면 방어자는 대응책을 조정하고 재편 노력을 좌절시켜 공격자를 무력화할 수 있습니다. 
• 의심스러운 봇 활동에 대해 실시간 알림을 설정합니다. 로깅 및 경고 시스템을 사용하여 의심스러운 행동에 대한 즉각적인 알림을 받으세요. 정기적으로 로그를 검토하여 패턴과 잠재적인 보안 사고를 파악합니다. 봇 관련 공격이 발생한 경우 취해야 할 단계를 개략적으로 설명하는 포괄적인 사고 대응 계획을 개발합니다. 많은 공급업체는 조직이 위험을 분석하고 필요한 보호 조치를 도입할 수 있도록 지속적인 모니터링과 정기적인 위협 브리핑을 제공합니다. 
• 보안 패치에 대한 체계적인 관행을 개발합니다. 조직에서는 보안 패치와 시스템 업데이트를 신속하게 적용함으로써 알려진 취약점을 노리는 악의적인 봇의 악용 위험을 완화할 수 있습니다. 정기적으로 시스템에 패치를 적용하면 공격 표면이 줄어들고 봇이 알려지지 않은 취약점을 악용하기가 더 어려워지며, 제로데이 악용에 대한 보호가 강화됩니다. 많은 봇이 소프트웨어 취약성이나 약점을 악용하기보다는 고유한 취약성을 노리고 로그인, 계정 생성, 비밀번호 재설정 기능과 같은 중요한 비즈니스 로직을 남용한다는 점을 알아두는 것이 중요합니다. 

악의적인 봇 공격이 점점 더 정교하고 악의적이며 위험해짐에 따라 봇 보안 또한 사이버 범죄자와 보안 팀 간의 끊임없이 확대되는 군비 경쟁에서 앞서 나가고 회복력을 유지하기 위해 계속 발전하고 있습니다. 또한 위협(및 완화책)은 결코 진화하지 않을 것이라는 점을 이해하고 있습니다. 

봇 위협을 완화하는 가장 좋은 방법은 계층화된 보안 접근 방식을 채택하여 변화하는 공격 벡터를 관리하고 취약점과 위협이 실행되기 전에 이를 식별하여 해결하는 것입니다. 봇의 영향에 대처하기 위해 조직을 사전에 대비시키는 것은 자동화된 공격으로부터 지적 재산, 고객 데이터 및 중요 서비스를 보호하는 데 도움이 됩니다.

F5 Distributed Cloud Bot Defense는 웹 애플리케이션, 모바일 애플리케이션, API 인터페이스에 대한 옴니채널 보호를 포함하여 자동화된 공격으로부터 조직을 보호하기 위한 실시간 모니터링과 인텔리전스를 제공합니다. Distributed Cloud Bot Defense는 실시간 위협 인텔리전스, AI 기반 회고적 분석, 지속적인 보안 운영 센터(SOC) 모니터링을 활용하여 가장 진보된 사이버 공격도 막을 수 있는 탄력성을 갖춘 봇 완화 기능을 제공합니다. F5 솔루션은 공격자가 어떻게 재편하든, 공격이 웹 앱에서 API로 방향을 바꾸든, 원격 측정 데이터를 스푸핑하거나 인간의 CAPTCHA 솔버를 사용하여 자동화 방지 방어를 우회하려고 시도하든 관계없이 효과를 유지합니다.

F5는 또한 관리형 클라우드 제공 완화 서비스로서 고급 온라인 보안을 위한 다계층 DDoS 보호 기능을 제공하며, 이를 통해 대규모 네트워크, 프로토콜 및 애플리케이션을 표적으로 하는 공격을 실시간으로 탐지하고 완화합니다. 동일한 보호 기능은 온프레미스 하드웨어, 소프트웨어 및 하이브리드 솔루션에서도 제공됩니다. F5 분산 클라우드 DDoS 완화는 볼륨형 및 애플리케이션별 레이어 3-4 공격과 고급 레이어 7 공격이 네트워크 인프라와 애플리케이션에 도달하기 전에 이를 방어합니다.