‘인간 트래픽’이 전체 웹 트래픽 대부분 차지...2년 만에 처음
인간 행동 따라하는 봇 늘어나... 인터넷 사용자 급증하기도 해서
[보안뉴스 문가용] 웹상에서 활동하는 악성 봇 트래픽이 탐지 솔루션을 피하기 위해 인간의 행동 양식을 본뜬다는 연구 결과가 나왔다. 지난 2년 간 웹 트래픽의 절반 이상이 봇으로부터 나오는 것이었는데 갑자기 현재 시점에서 인간이 54%를 차지하고 있다는 통계 결과가 의심되는 이유다.
해당 조사를 실시한 건 네트워크 보안 업체인 디스틸 네트웍스(Distil Networks)로 고객들의 하둡 클러스터에서 740억 건의 봇 요청 등 다량의 트래픽 데이터를 모아 분석했다. 그 결과 악성 봇 트래픽은 2014~2015년 사이에 22.78%에서 18.61%로 줄어들었고 평범한(악성이지 않은) 봇 트래픽은 36.32%에서 27.04%로 줄어들었다. 이로써 인간이 발생시킨 트래픽이 가장 많은 부분을 차지하게 되었다는 결과가 나왔다. 디스틸 네트웍스는 “인도와 중국, 인도네시아의 인터넷 사용인구가 급증한 것 때문인 듯 하다”고 분석했다.
“하지만 아직도 봇에 의한 트래픽이 인간의 그것을 웃돈다고 생각합니다.” 디스틸의 CEO인 라미 에세이드(Rami Essaid)의 설명이다. “위 통계로 알 수 있는 건 오히려 봇이 얼마나 발전하고 있는지와 그 발전의 방향이라고 봅니다. 이젠 악성 봇이 ‘나 악성 봇이오’하고 자신의 정체를 노출시키지 않죠. 정체를 숨기기 위한 각종 노력들이 슬슬 성공을 거두고 있는 중이라는 사실이 드러난 지표입니다.”
디스틸이 분석한 봇 데이터에는 디도스 공격에 활용된 봇 트래픽이 포함되어 있지 않다. 그밖에 다른 악성 공격 및 온라인 사기에 활용되는 것만 수집해 분석했다고 한다. 여기에는 웹 스크래핑, 경쟁사 지적재산 탈취, 개인정보 및 금융정보 탈취, 브루트포스 로그인 공격, 중간자 공격, 멀버타이징, 스패밍, 거래 사기 등이 포함된다.
디스틀 측에선 최근 등장하기 시작한 버전의 봇들을 ‘AP봇’이라고 부른다. 지능형 지속 봇(advanced persistent bot)이라는 뜻이다. “이 봇들은 자바스크립트를 실행하고, 쿠키를 로딩하며, 마우스 움직임도 조작하고, 키스트로크도 복제할 수 있습니다. 즉, 인간의 행동을 따라할 수 있다는 겁니다. 요즘 봇들은 그저 봇이 아닙니다. 알파고 수준까지는 아니어도 정말 똑똑합니다. 사람과 분간이 불가능한 수준이죠.”
에세이드는 이렇게 똑똑해진 봇들이 어쩌다 한두 건 발견되는 게 아니라 현재 활동하는 봇들의 거의 대다수를 차지하고 있다는 게 더 놀랍다는 입장이다. “저희가 조사한 봇들 중 63%가 자바스크립트를 로드할 수 있습니다. 절반 이상의 봇이 자바스크립트를 돌릴 수 있다면, 온라인 광고 산업 쪽에서 내는 모든 통계 숫자가 믿을 수 없다는 결론이 나올 수밖에 없다는 뜻입니다.”
탐지 우회를 위해 사람처럼 행동할 수 있는 봇은 40%, 다량의 IP 주소를 사용하는 봇은 73%인 것으로 나타났다. 특히 후자 중 20%는 100개 이상의 IP 주소를 한꺼번에 사용 가능한 것으로 나타났다.
봇은 범죄자들이 주로 사용하는 무기 중 하나다. 특히 은행용 트로이목마와 악성 코드를 퍼트리는 데에 자주 활용된다. 2015년 한 해 동안 한 개 봇이 입힌 손해는 평균 천만 달러에 달했으며 광고산업 전체는 총 72억 달러의 손실을 입은 것으로 나타났다.
디스틸 네트웍스의 분석에 따르면 봇의 공격에 가장 많이 시달리는 건 중간 규모의 웹 사이트들로 알렉사 랭킹(Alexa ranking, 전 세계 웹 사이트 페이지뷰 및 인기도 순위) 10,001~50,000위에 위치하는 웹 사이트들이 전체 봇 공격의 26%를 겪었다. 그중에서도 부동산 관련 웹 사이티들에 대한 공격이 300%나 증가한 것이 눈에 띄며, 디지털 퍼블리싱 관련 트래픽 중 31%가 악성 봇 트래픽이었다.
국가 별로 보면 악성 봇의 활동이 가장 활발한 나라는 미국(40%)이었으며 그 뒤를 인도와 이스라엘이 이었다. 온라인 사용자 당 악성 봇의 비율은 몰디브가 가장 높았으며, 그 뒤로 이스라엘과 키르기스스탄이 높은 순위를 기록했다. “결국 이런 상황에서 중요한 건 봇넷의 최상위에 있는 최종 봇(end bot)의 위치를 파악하는 게 중요합니다. 누가 봇의 주인인지 파악하는 건 우선순위에서 조금 밀릴 수밖에 없어요.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
인간 행동 따라하는 봇 늘어나... 인터넷 사용자 급증하기도 해서
[보안뉴스 문가용] 웹상에서 활동하는 악성 봇 트래픽이 탐지 솔루션을 피하기 위해 인간의 행동 양식을 본뜬다는 연구 결과가 나왔다. 지난 2년 간 웹 트래픽의 절반 이상이 봇으로부터 나오는 것이었는데 갑자기 현재 시점에서 인간이 54%를 차지하고 있다는 통계 결과가 의심되는 이유다.
해당 조사를 실시한 건 네트워크 보안 업체인 디스틸 네트웍스(Distil Networks)로 고객들의 하둡 클러스터에서 740억 건의 봇 요청 등 다량의 트래픽 데이터를 모아 분석했다. 그 결과 악성 봇 트래픽은 2014~2015년 사이에 22.78%에서 18.61%로 줄어들었고 평범한(악성이지 않은) 봇 트래픽은 36.32%에서 27.04%로 줄어들었다. 이로써 인간이 발생시킨 트래픽이 가장 많은 부분을 차지하게 되었다는 결과가 나왔다. 디스틸 네트웍스는 “인도와 중국, 인도네시아의 인터넷 사용인구가 급증한 것 때문인 듯 하다”고 분석했다.
“하지만 아직도 봇에 의한 트래픽이 인간의 그것을 웃돈다고 생각합니다.” 디스틸의 CEO인 라미 에세이드(Rami Essaid)의 설명이다. “위 통계로 알 수 있는 건 오히려 봇이 얼마나 발전하고 있는지와 그 발전의 방향이라고 봅니다. 이젠 악성 봇이 ‘나 악성 봇이오’하고 자신의 정체를 노출시키지 않죠. 정체를 숨기기 위한 각종 노력들이 슬슬 성공을 거두고 있는 중이라는 사실이 드러난 지표입니다.”
디스틸이 분석한 봇 데이터에는 디도스 공격에 활용된 봇 트래픽이 포함되어 있지 않다. 그밖에 다른 악성 공격 및 온라인 사기에 활용되는 것만 수집해 분석했다고 한다. 여기에는 웹 스크래핑, 경쟁사 지적재산 탈취, 개인정보 및 금융정보 탈취, 브루트포스 로그인 공격, 중간자 공격, 멀버타이징, 스패밍, 거래 사기 등이 포함된다.
디스틀 측에선 최근 등장하기 시작한 버전의 봇들을 ‘AP봇’이라고 부른다. 지능형 지속 봇(advanced persistent bot)이라는 뜻이다. “이 봇들은 자바스크립트를 실행하고, 쿠키를 로딩하며, 마우스 움직임도 조작하고, 키스트로크도 복제할 수 있습니다. 즉, 인간의 행동을 따라할 수 있다는 겁니다. 요즘 봇들은 그저 봇이 아닙니다. 알파고 수준까지는 아니어도 정말 똑똑합니다. 사람과 분간이 불가능한 수준이죠.”
에세이드는 이렇게 똑똑해진 봇들이 어쩌다 한두 건 발견되는 게 아니라 현재 활동하는 봇들의 거의 대다수를 차지하고 있다는 게 더 놀랍다는 입장이다. “저희가 조사한 봇들 중 63%가 자바스크립트를 로드할 수 있습니다. 절반 이상의 봇이 자바스크립트를 돌릴 수 있다면, 온라인 광고 산업 쪽에서 내는 모든 통계 숫자가 믿을 수 없다는 결론이 나올 수밖에 없다는 뜻입니다.”
탐지 우회를 위해 사람처럼 행동할 수 있는 봇은 40%, 다량의 IP 주소를 사용하는 봇은 73%인 것으로 나타났다. 특히 후자 중 20%는 100개 이상의 IP 주소를 한꺼번에 사용 가능한 것으로 나타났다.
봇은 범죄자들이 주로 사용하는 무기 중 하나다. 특히 은행용 트로이목마와 악성 코드를 퍼트리는 데에 자주 활용된다. 2015년 한 해 동안 한 개 봇이 입힌 손해는 평균 천만 달러에 달했으며 광고산업 전체는 총 72억 달러의 손실을 입은 것으로 나타났다.
디스틸 네트웍스의 분석에 따르면 봇의 공격에 가장 많이 시달리는 건 중간 규모의 웹 사이트들로 알렉사 랭킹(Alexa ranking, 전 세계 웹 사이트 페이지뷰 및 인기도 순위) 10,001~50,000위에 위치하는 웹 사이트들이 전체 봇 공격의 26%를 겪었다. 그중에서도 부동산 관련 웹 사이티들에 대한 공격이 300%나 증가한 것이 눈에 띄며, 디지털 퍼블리싱 관련 트래픽 중 31%가 악성 봇 트래픽이었다.
국가 별로 보면 악성 봇의 활동이 가장 활발한 나라는 미국(40%)이었으며 그 뒤를 인도와 이스라엘이 이었다. 온라인 사용자 당 악성 봇의 비율은 몰디브가 가장 높았으며, 그 뒤로 이스라엘과 키르기스스탄이 높은 순위를 기록했다. “결국 이런 상황에서 중요한 건 봇넷의 최상위에 있는 최종 봇(end bot)의 위치를 파악하는 게 중요합니다. 누가 봇의 주인인지 파악하는 건 우선순위에서 조금 밀릴 수밖에 없어요.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
(1).jpg){kind=spacer}
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
