이스라엘 정부 서비스 이용권을 판매하는 봇
작성자: 곤 아브논(Gon Avnon)
Executive Summary
Akamai 연구원들은 다양한 정부 기관을 통해 이스라엘 시민이 이용하는 봇 상황을 모니터링하고 있습니다.
여권 갱신 예약을 원하는 이스라엘인이 70만명을 넘어가면서 내무부에는 수개월간의 적체가 발생하고 있습니다.
개발자 그룹은 일부 이스라엘 정부 기관에서 사용하는 예약 일정 계획 플랫폼인 MyVisit에서 예약을 잡을 수 있는 봇을 만든 데 이어, 대중이 무료로 사용할 수 있도록 이 봇을 배포했습니다.
얼마 후, 다른 그룹이 내무부, 교통부, 국민 보험, 이스라엘 우체국, 전기 회사 등 다양한 정부 서비스에 대한 MyVisit 예약을 가로채 판매하는 자체 봇을 만들었습니다. 예약은 한 건당 100달러가 넘는 가격으로 판매됩니다.
MyVisit는 CAPTCHA를 사용하여 이러한 봇을 방어하려고 했지만 공격자의 봇은 이를 빠르게 통과했습니다.
이러한 봇을 효과적으로 차단하려면 봇 관리 제품에서 디바이스 지문 인식, 브라우저 검증, JavaScript 문제부터 백엔드의 데이터를 분석하고 분류하는 고급 머신 러닝 모델에 이르기까지 다양한 조치를 통해 제공하는 보다 포괄적인 솔루션이 필요합니다
서론
스캘퍼 봇은 전 세계 디지털 커머스 쇼핑객에게 악명 높은 위험 요소입니다. 게임 콘솔, 최신 스니커즈, 수집품, 그래픽 카드 등 모든 한정판 아이템은 기술이 부족한 소비자를 상대로 되팔아서 수익을 올리려는 스캘퍼의 목표물이 됩니다.
그러나 이스라엘에서는 정부 서비스를 위한 스캘핑 시장이 새로운 위협으로 등장했습니다. 이스라엘에서는 콘서트의 정가보다 훨씬 높은 값으로 바가지를 씌우는 수법 대신 일상 생활의 서비스로 사기를 치는 수법이 횡행했습니다. 이 스캘핑 시장은 단순히 휴가를 가지 못하게 되는 것보다 훨씬 큰 손실을 유발할 수 있습니다.
이 블로그 게시물에서는 이 위협이 어디에서 시작되었고, 현재 어떤 상황인지, 그리고 이러한 위협이 이스라엘과 기타 국가에 미치는 위험을 설명합니다.
여권 수요 급증
코로나19가 사람들의 삶에 미친 가장 큰 영향 중 하나는 관광의 즉각적인 중단이었습니다. 다행히도 이제 관광 산업은 조금씩 되살아나기 시작했고, 바로 여기에서 문제가 시작됩니다. 지난 2년이 넘는 시간 동안 사실상 집에 갇혀 있던 수백만 명의 이스라엘인이 해외 여행을 가려고 오랫동안 잊혀졌던 여권을 찾기 시작했으며, 그 와중에 여권이 거의 만료된 사람들도 많았습니다. 팬데믹 이후의 내무부는 인력과 준비도 제대로 갖추지 않은 채 여행을 가려는 이스라엘인의 급증으로 과부하가 걸렸습니다. 신청서가 70만 건 이상 밀려 있는 상황에서 인력 부족과 여권 발급이 소진된 외무부로 인해 현재 이스라엘 국민들의 국내외 여행은 쉽지 않습니다.
그렇다면 이스라엘 국민들은 여행에 꼭 필요한 이 문서를 어떻게 얻을 수 있을까요? 여권 재발급을 위한 예약을 확보하기 위해서는 온라인 예약 사이트인 MyVisit를 반복해서 확인해야 하는데, 오전 7시에 이 사이트에서 새 슬롯이 열리고 나면 예약 가능한 시간이 있는지를 찾아내야 합니다. 몇 달씩 기다리면서 예약을 위해 전국을 다니는 사람도 많았습니다.
하지만 일명 GamkenBot이라 불리는 '예약 봇'을 개발해 더 나은 해결책을 들고 나온 개발자도 있었습니다. 연락처 정보와 선호하는 위치를 입력하면 이 예약 봇이 예약 시스템에 빠르게 들어가, 예약 가능한 슬롯이 열리는 즉시 신속하게 예약을 확보했습니다. 이 봇은 대중들이 사용할 수 있도록 공개되어 널리 유명해졌으며, 이 봇의 개발자들은 머지않아 관료 체제에 맞선 국민들의 영웅이 되었습니다.
탐욕스러운 비즈니스의 등장
안타깝게도 긍정적으로 사용될 수 있는 대부분의 것들이 부정한 목적으로도 사용될 수 있습니다. 머지않아 사람들은 좋은 의도로 만들어진 이 봇을 사용해 중요한 예약을 가로챈 다음 해당 예약이 꼭 필요한 시민들을 상대로 그것을 되팔기 시작했습니다.
GamkenBot 출시 직후인 5월 10일, 텔레그램 채널을 통해 MyVisit 예약 그룹이 생기기도 했습니다. 사실 MyVisit 예약 시스템을 활용하는 정부 기관은 내무부 뿐만이 아닙니다. 그래서 이 텔레그램 그룹에서는 여권 갱신뿐만 아니라 이민국, 이스라엘 전기 공사, 국민 보험, 이스라엘 우체국, 교통부 등에 대한 예약도 제공합니다. 관리자의 주장에 따르면 이들은 봇으로 열린 예약을 검색해서 즉시 잡아 두었다가 나중에 구매할 수 있도록 하는 개발자 그룹입니다. 2건 이상의 예약을 구매하면 할인 혜택도 받을 수 있습니다.
그 결과, 필수 정부 서비스는 거래 대상 상품이 되고 말았습니다. 필수 서비스를 원하는 시민을 갈취하는 것만으로도 충분히 나쁘지만 이러한 취약성은 국가 안보에 더 심각한 영향을 줄 수 있으며, 이에 관해서는 이 글의 후반부에서 다루겠습니다.
이러한 봇의 개발자들은 봇이 고객에게 서비스를 제공한다고 주장합니다. 그러나 실제로 이 사업은 선점한 스니커즈나 콘서트 티켓을 되파는 것과 다를 바가 없습니다. 이들은 공급자와 소비자 사이에 개입하여 불필요한 거래 수수료를 부과합니다.
다양한 정부 부처에서는 접근성을 높이기 위해 예약 시스템인 MyVisit를 사용하고 있습니다. 그러나 이 시스템은 문제 해결을 위해 만들어졌음에도 불구하고 불안정한 구현으로 인해 문제를 증폭시키는 결과를 초래했습니다. 즉, 사람들의 삶에 필수적인 금융, 행정 등의 서비스가 사실상 약탈의 대상으로 전락하고 만 것입니다.
국가 안보에 대한 위험
안타깝게도 이러한 상황은 기본적인 정부 프로그램을 원하는 시민들에게 직접적으로 혼란을 주는 것에 그치지 않습니다. 이로 인해 악의적이거나 무질서한 집단이 내무부에 쌓인 여권 대기 행렬 뿐만 아니라 교통부의 트럭 및 버스 운전사 등록, 국민 보험 또는 전기 회사의 방문 등을 차단해 버릴 수도 있습니다. 여기에 의사 진료 예약이나 병원 시술도 대상이 된다면 어떻게 될까요?
위협 방어
MyVisit는 예약 페이지에 CAPTCHA를 포함하여 봇을 차단하려고 했지만봇 개발자는 단 며칠 만에 이러한 방어를 뚫었습니다.. 결국 CAPTCHA는 CAPTCHA의 난이도와 공격자의 의도에 따라 자동 생성 리졸버, 수동 팜 또는 토큰 수집 같은 비교적 간단한 기술로도 뚫을 수 있기 때문에 안티 봇 솔루션이 되지 못합니다.
봇의 초기 단계에서는 간단한 HTTP 헤더 이상 탐지로 많은 봇을 감지할 수 있었습니다. 하지만 오늘날 봇은 인간의 상호 작용을 전문적으로 모방하는 방향으로 진화해 왔습니다. 따라서 최신 봇을 대응하려면 봇 관리 제품에서 훨씬 더 발전된 방법을 사용해야 합니다. 디바이스 핑거프린트 및 동작 분석은 머신러닝 모델과 결합되어 매일 수십억 건의 트렌드 및 이상 징후를 감지합니다. 봇 개발자가 브라우저 환경을 조작하고 사람의 행동을 모방하는 방법을 학습함에 따라 위협 연구원들은 탐지 기능을 개선해 특성 변조, 자동화 추적 등 새로운 침입 방법을 찾기 위해 끊임없이 노력하고 있습니다.
결국 최소한 작은 규모라도 충분한 동기와 리소스를 갖추고 있다면 어떤 공격자도 안티 봇 보안 조치를 통과할 수 있을 것입니다. 그러나 보안의 벽은 가능한 높게 설정되어야 하며 매번 그 수준을 더 높여야만 합니다. 이와 관련해 적어도 일부 정부기관은 스니커즈 기업보다 상당히 뒤쳐져 있는 것으로 보입니다.
결론
현대 사회의 봇에는 몇 가지 중요한 이점이 있습니다. 예를 들어, 예약을 분류하는 봇은 매우 유익했기 때문에 시민들에게 좋은 평가를 받았습니다. 챗봇과 도우미 봇은 우리의 삶을 보다 편리하게 만들기 위해 개발된 것으로서 종종 발생하는 사소한 불편함을 제외한다면 대부분의 경우에 유용합니다.
기술이 발전함에 따라 점점 더 복잡해지는 작업을 자동화하고 봇이 이를 대체할 수도 있습니다. 이러한 봇은 지루한 작업을 덜어주고 더 중요한 과제를 해결하는 데 도움을 주지만, 악의적으로 사용될 가능성도 충분히 존재합니다. 온전한 온라인 생활을 보호하고 보장하기 위해서는 봇을 감정한 후 분류하여 봇이 있어서는 안 되는 곳에는 접근하지 못하게 해야 합니다.
