전 세계 구글봇 60.5% 차지, 가짜 구글봇 위장 악성행위 발생

[보안뉴스 민세아] IT 보안업체 Incapsula는 가짜 구글봇이 Application layer DDoS 공격을 발생시키고 있다는 연구결과를 발표했다.

전 세계적으로 웹 페이지 정보를 수집하는 검색엔진들 중 구글봇이 차지하는 비중(60.5%)이 다른 주요 검색엔진들을 합친 비중보다 큰 상황에서 가짜 구글봇으로 위장한 악성행위가 발생하고 있다는 것.

실제 분석 결과에서도 4% 이상의 봇들이 구글봇의 User-agent로 위장하여 각 사이트들을 방문하면서 디도스 공격에 악용되고 있다고 그들은 전했다.


 ▲ 두 얼굴의 구글봇 


가짜 구글봇은 일반적인 사이트들이 공개되지 않은 구글의 모든 IP에 대한 검증을 할 수 없다는 점과 User-agent 부분을 쉽게 변경 가능하다는 점을 이용하여 정상적인 구글봇으로 위장하고 사이트에 접근하고 있다.

이러한 가짜 구글봇은 스크랩, 스팸, 해킹 등과 같이 다양한 행위를 수행하고 있으며, 그 중 상당수가 디도스 공격에 악용되고 있다.

가짜 구글봇이 발생하는 주요 근원지를 중심으로 최근 수집된 데이터에 의하면, 발견된 5억 개 중 실제로 34.3%가 악성봇이었으며, 그 중에서 23.5%는 실제 OSI Layer 7 DDos 공격에 사용됨을 확인했다.

기술적으로는 IP와 ASN 검증을 통해 가짜 구글봇을 원천적으로 차단할 수 있으나, 이 작업을 수행하기 위해서는 막대한 컴퓨팅 자원이 소모되기 때문에 현실적으로 매우 어려운 것으로 알려졌다.
 
이와 관련 보다 자세한 사항은 한국인터넷진흥원 인터넷침해대응센터 홈페이지나 아래 출처 내용을 참조하면 된다.
[출처] 1. http://www.incapsula.com/blog/was-that-really-a-google-bot-crawling-my-site.html 2. http://www.incapsula.com/blog/googlebot-study-mr-hack.html 3. http://www.incapsula.com/blog/googlebot-study-dr-crawlit.html

[용어설명] User-agent : 해당 사이트를 방문하고 있는 주체가 누구인지를 확인할 수 있는 일종의 온라인 ID카드 구글봇(Googlebot) : 주기적으로 동시에 수백만 개의 사이트를 방문하여 구글 데이터베이스를 업데이트하고 검색 결과를 최신 상태로 유지하기 위한 정보 수집 도구 ASN(Autonomous System Number) : 특정 지역의 네트워크 그룹을 식별할 수 있는 코드번호 [민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>