.jpg)
현대 인터넷에서의 로그인 시도 중 상당수가 봇에 의해 행해져
봇 트래픽 이용하는 법 익히고 있는 범죄자들, 공유로 맞서야
[보안뉴스 문가용 기자] 미라이(Mirai)와 도크봇(Dorkbot)이라는 봇넷들이 대대적으로 뜨기 시작하면서 ‘봇’이라는 개념 자체에 어두운 기운이 깃들기 시작했다. 하지만 ‘봇’이 반드시 나쁜 것만을 지칭하는 건 아니다. 구글이 검색 엔진 운영에 사용하는 스파이더 프로그램도 봇의 일종이다. 사실 따져보면 우리의 웹 생활에 ‘좋은 봇’이 미치는 영향은 지대하다. 그 기술을 사용하는 사람들의 의도가 나쁜 것이지, 봇은 잘못이 없다.
[이미지 = iclickart]
보안 업체 아카마이(Akamai)가 발표한 2017년 4사분기 보고서(2017 State of the Internet/Security Report)에 의하면 봇이 생성하는 트래픽만 인터넷 전체의 30%를 차지한다고 한다. 이는 영상물 스트리밍을 제외한 수치다. 그러니 각 조직들의 IT 및 보안 팀들은 봇의 활동을 눈여겨봐야만 한다. 봇에 대해 이해하고, 어떤 식으로 관리 및 제어할 것인가 지금부터 준비를 해야 하는 것이다.
물론 봇들 중에서 ‘퓨어 이블’에 가까울 정도로 나쁘게 사용되는 것들도 존재한다. 이 봇들을 통해 공격자들은 크리덴셜을 훔쳐가고 남의 이메일을 훔쳐보며, 암호화폐를 채굴한다. 실제로 이러한 악성 봇들이 전체 로그인 시도로 발생하는 트래픽의 43%나 차지한다고 아카마이는 분석하고 있다. 즉 과장 하나도 없이 ‘수억 건’의 로그인 시도가 악성 봇에 의해 매달 발생하는 것이다. 만약 당신이 로그인이 필요한 온라인 서비스를 운영하고 있다면, 그리고 누군가 로그인을 시도한다면, 귀중한 고객님이 아니라 봇일 가능성이 매우 높다는 뜻이다.
현재 인터넷 트래픽 상황에서 일반 봇과 악성 봇넷은 마치 우리 주위에 항상 존재하는 소음과 같은 존재다. 아니면 미술 작품의 캔버스 혹은 도화지와도 같다. 모든 웹사이트에서 항시적인 존재감을 뽐내며, 어디에서나 트래픽을 생성한다. 그런데도 현재 우리들은 이러한 봇넷 트래픽을 제대로 다룰 줄 모른다. 그렇기에 누군가 이 트래픽을 ‘악의적으로’ 활용하는 것이기도 하다.
예전에는 봇 자체에 집중하기보다 악성 봇들이 저지르는 크리덴셜 공격을 방어하는 시도가 있었다. 수년 전만 해도 이러한 봇들의 악성 로그인 시도를 방어하기 위해 변화율 한계(rate limit)라는 기법을 차용했다. 한 개의 호스트에서 수많은 로그인 시도가 발생하면, 해당 호스트를 막는 원리였다. 그래서 공격자들은 봇들을 여러 대 거느린 ‘봇넷’을 구성했고, 봇넷 안의 수많은 호스트에서부터 로그인을 시도했다. 변화율 한계라는 방법을 우회한 것이다.
또한 몇 년 전만해도 인터넷에 노출된 시스템에 첫 번째 악성 로그인 시도가 일어나기까지 30분 정도 소요됐었다. 하지만 요즘은 수초 만에 첫 번째 공격이 실시된다. 공격자들이 대단히 빨라지거나 기술적으로 우월해진 게 아니라, 봇 트래픽이 너무나 많이 증가했기 때문이다. 배경 소음과 같이 되어버린 봇 트래픽 덕분에 누군가 온라인 공간에 반짝 하고 나타나면 그것이 그대로 전파되는 것이다. 컴퓨터를 켜자마자 공격을 당할 수 있는 시대다.
(물 호스를 생각해보라. 긴 호스의 한쪽에서 물을 틀면, 반대쪽으로 물이 나오는 데 어느 정도 시간이 소요된다. 그러나 그 호스 안에 이미 물이 꽉 차 있다면 어떨까? 한쪽에서 물을 틀자마자 반대편으로 물이 흘러나오기 시작한다_편집자 주)
그렇다면 우린 이 문제를 어떤 식으로 해결해야 할까? 봇의 작용을 어떤 식으로 관리해야 하는 것일까? 사기 방지(fraud prevention) 기법에서 답을 얻을 수 있다. 예를 들어 신용카드 회사의 경우 여러 조직 및 단체들과 연계되어 있는데, 이러한 방대한 네트워크 속에서 비정상적인 행동 패턴을 찾는 것을 말한다. 물론 글자로 쓰기는 쉽지만, 실제로 비정상적인 걸 찾아낸다는 건 쉽지 않다. 가시성을 확보해야 비정상이 뭔지도 알아챌 것인데, 그 가시성 확보라는 것부터가 대단히 어려운 작업이다.
혹시 카드사로부터 ‘수상한 점이 발견되어 카드 거래가 일시 중단됐다’는 식의 전화나 메시지를 받아본 적 있는가? 그래서 무슨 일이냐고 물어보면, 수분 전에 우크라이나에서 거래 시도가 있었다는 식의 답이 돌아온다. 당신은 지금 서울 마포에 있는데 말이다. 카드사들은 이미 이런 식으로 사기 거래를 미연에 방지하기 위해 시스템을 갖추고 있다.
카드사 자체만의 입장에서 보면 동유럽 어딘가에서 누가 뭘 사든 이상할 것도, 아무런 상관도 없다. 카드사 본연의 거래 기능만 실행해주면 된다. 그러나 카드사는 여러 가지 정보와 첩보를 입수해 ‘지금 이 고객이 동유럽에 있을 리가 없다’거나 ‘30분만에 서울에서 우크라이나까지 사람이 이동한다는 건 불가능하다’고 판단을 내리고 알아서 거래를 금지시킨다.
악성 봇, 특히 여러 크리덴셜을 채집하는 봇들의 경우 이와 비슷한 시스템으로 방어하는 것이 가능하다. 물론 한 회사에서 이러한 공격이 발견됐다고 해서 정확한 결론에 다다를 수는 없다. 여러 조직들에서 이러한 정보를 모으고 수집하고 나눠서 큰 틀에서 보고 판단을 내려야만 한다. ‘최근 활동하는 봇넷의 행동 패턴’을 파악하게 됨으로써 우리 네트워크 안의 움직임들이 정상인지 아닌지 판단이 가능하게 된다.
나쁜 놈들은 이상하게 머리가 좋다. 그리고 우리로선 나쁜 짓이지만, 그들로선 기발한 여러 수법들을 자기들끼리 잘도 공유한다. 그렇기에 더 위협적이고 앞서가는 것처럼 보인다. 그러한 해커들은 인터넷 공간의 배경 소음인 척 위장하는 법을 익혀가고 있다. 소음인지 아닌지 정확히 파악하고 걸러내기 위해서는 소음을 아예 없애거나 모두가 다양한 첩보와 분석 자료를 공유해서 ‘이상한 것’ 혹은 ‘수상한 것’에 대한 정의를 내려야 한다. 즉, 소음 속으로 파고들어야 한다는 것이다.
글 : 마틴 맥키(Martin McKeay), Akamai
[국제부 문가용 기자(globoan@boannews.com)]
봇 트래픽 이용하는 법 익히고 있는 범죄자들, 공유로 맞서야
[보안뉴스 문가용 기자] 미라이(Mirai)와 도크봇(Dorkbot)이라는 봇넷들이 대대적으로 뜨기 시작하면서 ‘봇’이라는 개념 자체에 어두운 기운이 깃들기 시작했다. 하지만 ‘봇’이 반드시 나쁜 것만을 지칭하는 건 아니다. 구글이 검색 엔진 운영에 사용하는 스파이더 프로그램도 봇의 일종이다. 사실 따져보면 우리의 웹 생활에 ‘좋은 봇’이 미치는 영향은 지대하다. 그 기술을 사용하는 사람들의 의도가 나쁜 것이지, 봇은 잘못이 없다.
[이미지 = iclickart]
보안 업체 아카마이(Akamai)가 발표한 2017년 4사분기 보고서(2017 State of the Internet/Security Report)에 의하면 봇이 생성하는 트래픽만 인터넷 전체의 30%를 차지한다고 한다. 이는 영상물 스트리밍을 제외한 수치다. 그러니 각 조직들의 IT 및 보안 팀들은 봇의 활동을 눈여겨봐야만 한다. 봇에 대해 이해하고, 어떤 식으로 관리 및 제어할 것인가 지금부터 준비를 해야 하는 것이다.
물론 봇들 중에서 ‘퓨어 이블’에 가까울 정도로 나쁘게 사용되는 것들도 존재한다. 이 봇들을 통해 공격자들은 크리덴셜을 훔쳐가고 남의 이메일을 훔쳐보며, 암호화폐를 채굴한다. 실제로 이러한 악성 봇들이 전체 로그인 시도로 발생하는 트래픽의 43%나 차지한다고 아카마이는 분석하고 있다. 즉 과장 하나도 없이 ‘수억 건’의 로그인 시도가 악성 봇에 의해 매달 발생하는 것이다. 만약 당신이 로그인이 필요한 온라인 서비스를 운영하고 있다면, 그리고 누군가 로그인을 시도한다면, 귀중한 고객님이 아니라 봇일 가능성이 매우 높다는 뜻이다.
현재 인터넷 트래픽 상황에서 일반 봇과 악성 봇넷은 마치 우리 주위에 항상 존재하는 소음과 같은 존재다. 아니면 미술 작품의 캔버스 혹은 도화지와도 같다. 모든 웹사이트에서 항시적인 존재감을 뽐내며, 어디에서나 트래픽을 생성한다. 그런데도 현재 우리들은 이러한 봇넷 트래픽을 제대로 다룰 줄 모른다. 그렇기에 누군가 이 트래픽을 ‘악의적으로’ 활용하는 것이기도 하다.
예전에는 봇 자체에 집중하기보다 악성 봇들이 저지르는 크리덴셜 공격을 방어하는 시도가 있었다. 수년 전만 해도 이러한 봇들의 악성 로그인 시도를 방어하기 위해 변화율 한계(rate limit)라는 기법을 차용했다. 한 개의 호스트에서 수많은 로그인 시도가 발생하면, 해당 호스트를 막는 원리였다. 그래서 공격자들은 봇들을 여러 대 거느린 ‘봇넷’을 구성했고, 봇넷 안의 수많은 호스트에서부터 로그인을 시도했다. 변화율 한계라는 방법을 우회한 것이다.
또한 몇 년 전만해도 인터넷에 노출된 시스템에 첫 번째 악성 로그인 시도가 일어나기까지 30분 정도 소요됐었다. 하지만 요즘은 수초 만에 첫 번째 공격이 실시된다. 공격자들이 대단히 빨라지거나 기술적으로 우월해진 게 아니라, 봇 트래픽이 너무나 많이 증가했기 때문이다. 배경 소음과 같이 되어버린 봇 트래픽 덕분에 누군가 온라인 공간에 반짝 하고 나타나면 그것이 그대로 전파되는 것이다. 컴퓨터를 켜자마자 공격을 당할 수 있는 시대다.
(물 호스를 생각해보라. 긴 호스의 한쪽에서 물을 틀면, 반대쪽으로 물이 나오는 데 어느 정도 시간이 소요된다. 그러나 그 호스 안에 이미 물이 꽉 차 있다면 어떨까? 한쪽에서 물을 틀자마자 반대편으로 물이 흘러나오기 시작한다_편집자 주)
그렇다면 우린 이 문제를 어떤 식으로 해결해야 할까? 봇의 작용을 어떤 식으로 관리해야 하는 것일까? 사기 방지(fraud prevention) 기법에서 답을 얻을 수 있다. 예를 들어 신용카드 회사의 경우 여러 조직 및 단체들과 연계되어 있는데, 이러한 방대한 네트워크 속에서 비정상적인 행동 패턴을 찾는 것을 말한다. 물론 글자로 쓰기는 쉽지만, 실제로 비정상적인 걸 찾아낸다는 건 쉽지 않다. 가시성을 확보해야 비정상이 뭔지도 알아챌 것인데, 그 가시성 확보라는 것부터가 대단히 어려운 작업이다.
혹시 카드사로부터 ‘수상한 점이 발견되어 카드 거래가 일시 중단됐다’는 식의 전화나 메시지를 받아본 적 있는가? 그래서 무슨 일이냐고 물어보면, 수분 전에 우크라이나에서 거래 시도가 있었다는 식의 답이 돌아온다. 당신은 지금 서울 마포에 있는데 말이다. 카드사들은 이미 이런 식으로 사기 거래를 미연에 방지하기 위해 시스템을 갖추고 있다.
카드사 자체만의 입장에서 보면 동유럽 어딘가에서 누가 뭘 사든 이상할 것도, 아무런 상관도 없다. 카드사 본연의 거래 기능만 실행해주면 된다. 그러나 카드사는 여러 가지 정보와 첩보를 입수해 ‘지금 이 고객이 동유럽에 있을 리가 없다’거나 ‘30분만에 서울에서 우크라이나까지 사람이 이동한다는 건 불가능하다’고 판단을 내리고 알아서 거래를 금지시킨다.
악성 봇, 특히 여러 크리덴셜을 채집하는 봇들의 경우 이와 비슷한 시스템으로 방어하는 것이 가능하다. 물론 한 회사에서 이러한 공격이 발견됐다고 해서 정확한 결론에 다다를 수는 없다. 여러 조직들에서 이러한 정보를 모으고 수집하고 나눠서 큰 틀에서 보고 판단을 내려야만 한다. ‘최근 활동하는 봇넷의 행동 패턴’을 파악하게 됨으로써 우리 네트워크 안의 움직임들이 정상인지 아닌지 판단이 가능하게 된다.
나쁜 놈들은 이상하게 머리가 좋다. 그리고 우리로선 나쁜 짓이지만, 그들로선 기발한 여러 수법들을 자기들끼리 잘도 공유한다. 그렇기에 더 위협적이고 앞서가는 것처럼 보인다. 그러한 해커들은 인터넷 공간의 배경 소음인 척 위장하는 법을 익혀가고 있다. 소음인지 아닌지 정확히 파악하고 걸러내기 위해서는 소음을 아예 없애거나 모두가 다양한 첩보와 분석 자료를 공유해서 ‘이상한 것’ 혹은 ‘수상한 것’에 대한 정의를 내려야 한다. 즉, 소음 속으로 파고들어야 한다는 것이다.
글 : 마틴 맥키(Martin McKeay), Akamai
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.gif)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
