사람인 척 구는 트래픽 늘어나면 보안 툴들도 무용지물
[보안뉴스 문가용 기자] 웹 상의 ‘나쁜’ 트래픽이 계속해서 흘러 다니고 있다. 얼마나 되냐면 2016년 전체 트래픽의 약 1/3이 악성 봇으로부터 발생하는 것이라고 한다. 이는 최근 보안 전문업체인 임퍼바(Imperva)에서 조사한 내용으로, 무작위로 선택한 웹사이트 10만 개를 분석한 결과라고 한다.
.jpg)
보다 정확히 말하자면, 웹사이트 트래픽의 48.2%만이 사람으로부터 나온 것이다. 피드를 자동으로 가져오거나 검색엔진들에서 사용하는 크롤러 등 ‘좋은 봇’이 발생시키는 트래픽은 22.9%를 차지하고 있고, 악성 봇은 28.9%나 된다. 즉 작년 한 해 동안 웹사이트 방문자 세 명 중 한 명은 악성 봇이었다는 뜻으로도 해석이 가능하다.
“웹사이트들 대부분 방문자 수에 민감하게 반응하는 것으로 알고 있는데, 과연 그 트래픽 중 1/3만이 진짜 사람이었다는 걸 알고 있을지는 모르겠습니다.” 임퍼바의 이갈 제이프만(Igal Zeifman)의 설명이다. “게다가 나머지 봇 트래픽 중 대다수는 하지 말아야 할 짓을 하고 있다는 것도 모를 테죠.” 하지 말아야 할 짓이란, 스패밍, 콘텐츠 스패밍, 링크 스패밍, 온라인 양식 자동 채우기, 디도스 공격 감행 등을 전부 포함하는 말이다.
악성 봇 트래픽은 인터넷 전체 트래픽의 증가와 함께 자라나고 있는 상태다. 다만 2012년에 31%를 찍은 뒤 그 후 몇 년 동안은 29% 근처에 머물고 있긴 하다. 또한 임퍼바는 악성 봇의 종류에 대해서도 세분화 했다. 그 결과 ‘진짜 사용자인척 시늉하는 봇’이 제일 많았다고 한다. “임퍼바가 조사한 모든 트래픽의 24.3%가 이런 ‘사람인척 하는 봇’이었습니다. 봇이 실제 합법적인 사용자인척 하는 데에 성공하면 꽤나 많은 보안 검사 툴을 피해갈 수 있다.
“특히 실제로 웹 브라우저를 사용하는 사람인 것처럼 보이게끔 하는 봇들이 위협적입니다. 물론 웹사이트의 성격마다 다르긴 하지만, 이 경우 디도스 공격을 간단하게 실행할 수 있게 되죠. 사람인 것처럼 구니까 웹사이트가 자체적으로 차단하지 않고, 봇으로 이런 트래픽을 다량으로 발생시키면 웹사이트가 마비되죠. 그렇지 않으면 진짜 사용자처럼 로그인을 해서 해당 사이트로부터 멀웨어를 퍼트릴 수도 있습니다.”
또 다른 보안 전문업체인 디스틸 네트웍스(Distill Networks)는 작년 한 해 사람이 발생시킨 트래픽이 봇 트래픽을 2013년 이후 처음으로 넘어섰다고 발표한 바 있다. 이는 임퍼바의 조사 내용과 다른 결과다. 이는 두 기업의 데이터 출처가 다르기 때문이다. 디스틸 네트웍스는 디도스용 봇 대신 광고 사기에 활용되는 악성 봇 트래픽도 전부 포함했다.
그렇지만 두 보고서가 완전히 상충되는 것만은 아니다. 일단 악성 봇이 발생시키는 트래픽이 유의미하게 많은 부분을 차지한다는 맥락에서는 두 결과가 같다고 볼 수 있다. 또한 세부 내용을 들여다보면, 인간인 것처럼 시늉하는 봇이 상당 부분을 차지한다는 부분도 똑같이 언급되고 있다.
“이런 봇들은 수천 개의 IP에서 활동하고 있습니다. 그래서 쉽게 패턴이 발각되지 않습니다. 또, 페이지 열람을 하거나 요청을 할 때마다 몇 초씩 일부러 멈춥니다. 브라우징 속도가 사람과 기계를 구분하는 가장 주요한 요소거든요. 앞으로도 봇들은 더 사람 같이 보이고, 더 감쪽같이 우리를 속일 겁니다. 보다 확실한 대처가 필요합니다.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>